IT之家1月31日消息,微软昨日(1月30日)发布博文,宣布为应对日益严峻的网络攻击风险,在未来的Windows11以及WindowsServer版本中,将默认禁用拥有33年历史的NTLM身份验证协议,转向更安全的Kerberos验证标准。
IT之家注:NTLM全称为NewTechnologyLANManager,诞生于1993年,是微软早期开发的一种“对暗号”式的身份验证方法,就像两个人通过对暗号来确认身份,但因为暗号机制太老旧,很容易被坏人偷听或伪造。
攻击者常利用NTLM中继攻击(NTLMrelayattacks)迫使网络设备向恶意服务器进行身份验证,从而提升权限并接管Windows域。
此外,哈希传递攻击(pass-the-hashattacks)允许犯罪分子窃取NTLM哈希值来模拟用户身份,进而窃取敏感数据并在网络中横向移动。尽管微软曾多次修补,但诸如PetitPotam和ShadowCoerce等漏洞仍能绕过现有防御机制。
而Kerberos是现代且更安全的身份验证协议,依赖一个可信的第三方(像发证机关)来发放有时效性的“票据”,比简单的对暗号更难被伪造。
微软为最大限度减少业务中断,制定了详尽的三阶段过渡方案:
第一阶段
作为淘汰计划的序幕,微软目前已在WindowsServer2025和Windows11版本24H2中部署了增强型NTLM审计工具,这些工具能帮助企业管理员精准识别当前网络环境中哪些应用和服务仍依赖NTLM进行验证。
通过这一阶段的全面排查,组织可以清晰掌握内部基础设施的依赖关系,为后续的迁移工作提供精确的数据支持,避免盲目切断服务导致系统瘫痪。
第二阶段
微软计划于2026年下半年启动转型的攻坚阶段,届时将引入IAKerb和本地密钥分发中心(LocalKDC)等关键功能。
这些新技术旨在消除对NTLM的硬性依赖,专门解决域控制器连接受限、本地账户验证需求以及核心组件中硬编码协议等“钉子户”问题。
第三阶段
在完成前两阶段的铺垫后,微软将在下一代WindowsServer主要版本中默认禁用网络NTLM身份验证。尽管管理员仍可通过新策略手动重新启用,但系统将主要依靠内置机制处理旧版场景。
微软强烈建议各组织立即着手部署审计工具,绘制应用依赖图谱,并在非生产环境中测试禁用NTLM后的系统表现。
