微软计划下半年在 Windows 11 中弃用 NTLM 身份验证协议

IT之家 5 月 24 日消息，微软根据微软安全官方博客消息 ，计划为了响应安全社区的下半强烈要求 ，计划在 2024 年下半年的中弃证协 Windows 11 中弃用 NT LAN Manager（NTLM） 。

据IT之家先前的用N议消息，微软去年 10 月 12 日的份验官方新闻稿就提出，服务器租用新一轮过渡计划  ，微软弃用 NTLM 身份认证方式，计划让更多企业和用户过渡使用 Kerberos 并且为关闭 NTLM 身份认证，下半但硬连线（hardwired）的中弃证协应用程序和服务可能出现问题的企业，提供了包括 IAKerb 和 KDC 两个身份验证功能。用N议

据悉微软为实现这一目标主要进行了两项重要工作：

一方面是份验扩展 Kerberos 的免费模板应用场景。在 Windows 11 系统中 ，微软为 Kerberos 引入了 IAKerb 和本地 KDC
 ，计划分别实现了在多样化的下半网络拓扑环境和本地账户环境中使用 Kerberos 进行身份验证 。另一方面修复了现有 Windows 组件中内置的 NTLM 硬编码组件。将这些组件转而使用 Negotiate 协议，以便可以使用 Kerberos 代替 NTLM 。源码下载通过迁移到 Negotiate 协议，这些组件服务将能够支持本地和域账户使用 IAKerb 和 LocalKDC 验证。

IT之家注：NTLM 是一个微软专用协议 ，它基于挑战 / 响应模型认证用户和计算机，使用挑战 / 响应模型来证实客户端的身份 ，而不需要在网络上发送口令或散列的口令，建站模板是所有 Windows NT 系列产品都使用的认证方式。

Kerberos 是一种通过密钥系统为客户机 / 服务器应用程序提供认证服务的网络认证协议。该认证过程的实现不依赖于主机操作系统的认证 ，模板下载无需基于主机地址的信任 ，不要求网络上所有主机的物理安全
，是通过传统的密码技术（如 ：共享密钥）执行认证服务的。

源码库