Microsoft 将逐步淘汰 NTLM，转而使用 Kerberos 进行更强大的身份验证

微软宣布计划将来在 Windows 11 中消除 NT LAN Manager ( NTLM )，因为它将转向替代身份验证方法和增强安全性。

这家科技巨头表示：“重点是加强 Kerberos 身份验证协议（该协议自 2000 年以来一直是默认协议），并减少对 NT LAN Manager (NTLM) 的依赖。” “Windows 11 的新功能包括使用 Kerberos (IAKerb) 进行初始和直通身份验证以及Kerberos 的本地密钥分发中心 ( KDC )。”
IAKerb 使客户端能够跨各种网络拓扑使用 Kerberos 进行身份验证。第二个功能是 Kerberos 的本地密钥分发中心 (KDC)，它将 Kerberos 支持扩展到本地帐户。

NTLM 于 20 世纪 90 年代首次推出，是一套安全协议，旨在为用户提供身份验证、完整性和机密性。它是一种单点登录 (SSO) 工具，依赖于质询响应协议，该协议向服务器或域控制器证明用户知道与帐户关联的密码。

自 Windows 2000 发布以来，它已被另一种名为 Kerberos 的身份验证协议所取代，尽管 NTLM 仍继续用作后备机制。

“NTLM 和 Kerberos 之间的主要区别在于这两种协议如何管理身份验证。NTLM 依赖客户端和服务器之间的三向握手来对用户进行身份验证，”CrowdStrike指出。“Kerberos 使用由两部分组成的流程，利用票证授予服务或密钥分发中心。”
另一个重要区别是 NTLM 依赖于密码散列，而 Kerberos 利用加密。

除了 NTLM固有的安全弱点之外，该技术还容易受到中继攻击，可能会导致不良行为者拦截身份验证尝试并获得对网络资源的未经授权的访问。

微软表示，它还在致力于解决其组件中的硬编码 NTLM 实例问题，为最终在 Windows 11 中禁用 NTLM 做准备，并补充说它正在进行改进，鼓励使用 Kerberos 而不是 NTLM。

微软企业和安全部门的高级产品管理主管 Matthew Palko 表示：“所有这些更改都将默认启用，并且不需要在大多数情况下进行配置。” “NTLM 将继续作为后备方案提供，以维持现有的兼容性。”