【ITBEAR科技資訊】5月24日消息,微軟安全官方博客最近宣布,為了回應安全社區的呼吁,公司計劃在2024年下半年發布的Windows 11中逐步淘汰NT LAN Manager(NTLM)。
據ITBEAR科技資訊了解,微軟此前已經有過類似的動作。去年10月12日,微軟在一份官方新聞稿中就已經提出了一個過渡計劃,旨在逐步淘汰NTLM身份驗證方式,并推動更多企業和用戶轉向使用Kerberos。為了幫助那些可能在關閉NTLM身份驗證后遇到硬連線(hardwired)應用程序和服務問題的企業,微軟提供了IAKerb和KDC(密鑰分發中心)兩個身份驗證功能。
為了實現從NTLM到Kerberos的平穩過渡,微軟已經開展了兩個重要工作。微軟擴展了Kerberos的應用范圍。在Windows 11系統中,微軟為Kerberos新增了IAKerb和本地KDC功能,這使得Kerberos能夠在多樣化的網絡環境和本地賬戶環境中進行身份驗證。
其次,微軟修復了現有Windows組件中內置的NTLM硬編碼部分。這些部分現在改用Negotiate協議,以便能夠使用Kerberos替代NTLM。通過遷移到Negotiate協議,這些組件將能夠支持本地和域賬戶通過IAKerb和LocalKDC進行驗證。
NTLM是微軟的一個專用協議,它使用挑戰/響應模型對用戶和計算機進行認證,而Kerberos則是一種網絡認證協議,它通過密鑰系統為客戶機/服務器應用程序提供認證服務,不依賴于主機操作系統的認證,更為安全可靠。微軟的這一舉措無疑將進一步提升Windows系統的安全性。
