20 多年来,各种版本的 Windows 一直使用 Kerberos 作为其主要身份验证协议。但是,在某些情况下,操作系统必须使用另一种方法,即 NTLM(NT LAN MANAGER)。今天,微软宣布正在扩大Kerberos的使用,并计划最终完全放弃NTLM的使用。
在一篇博客文章中,微软表示,NTLM继续被一些企业和组织用于Windows身份验证,因为它“不需要与域控制器的本地网络连接”。它也是“使用本地帐户时唯一支持的协议”,并且“当您不知道目标服务器是谁时有效”
微软指出:
这些好处导致一些应用程序和服务对 NTLM 的使用进行硬编码,而不是尝试使用其他更现代的身份验证协议(如 Kerberos)。Kerberos 提供了更好的安全保证,并且比 NTLM 更具可扩展性,这就是为什么它现在是 Windows 中首选的默认协议。
问题在于,虽然企业可以关闭 NTLM 进行身份验证,但这些硬连线应用程序和服务可能会遇到问题。这就是为什么微软在 Kerberos 中添加了两个新的身份验证功能。
一种是使用 Kerberos (IAKerb) 的初始和直通身份验证,这将允许“没有域控制器视线的客户端通过具有视线的服务器进行身份验证”。另一个是 Kerberos 的本地密钥分发中心 (KDC),它为本地帐户添加了身份验证支持。
正在进行这些更改,以便从长远来看,Kerberos将成为唯一的Windows身份验证协议。微软说:
减少NTLM的使用最终将导致它在Windows 11中被禁用。我们正在采用数据驱动的方法并监控 NTLM 使用的减少情况,以确定何时可以安全禁用。
做出决定后,微软将首先默认禁用 NTLM,但企业将能够重新启用它,以防遇到兼容性问题。微软尚未宣布所有这一切发生的具体时间表。
