5 月 23 日消息，根据微软安全官方博客消息，为了响应安全社区的强烈要求，计划在 2024 年下半年的 Windows 11 中弃用 NT LAN Manager（NTLM）。

据IT之家先前的消息，微软去年 10 月 12 日的官方新闻稿就提出，新一轮过渡计划，弃用 NTLM 身份认证方式，让更多企业和用户过渡使用 Kerberos 并且为关闭 NTLM 身份认证，但硬连线（hardwired）的应用程序和服务可能出现问题的企业，提供了包括 IAKerb 和 KDC 两个身份验证功能。

据悉微软为实现这一目标主要进行了两项重要工作：

• 一方面是扩展 Kerberos 的应用场景。在 Windows 11 系统中，为 Kerberos 引入了 IAKerb 和本地 KDC，分别实现了在多样化的网络拓扑环境和本地账户环境中使用 Kerberos 进行身份验证。

• 另一方面修复了现有 Windows 组件中内置的 NTLM 硬编码组件。将这些组件转而使用 Negotiate 协议，以便可以使用 Kerberos 代替 NTLM。通过迁移到 Negotiate 协议，这些组件服务将能够支持本地和域账户使用 IAKerb 和 LocalKDC 验证。

来源：pixabay

NTLM 是一个微软专用协议，它基于挑战 / 响应模型认证用户和计算机，使用挑战 / 响应模型来证实客户端的身份，而不需要在网络上发送口令或散列的口令，是所有 Windows NT 系列产品都使用的认证方式。

Kerberos 是一种通过密钥系统为客户机 / 服务器应用程序提供认证服务的网络认证协议。该认证过程的实现不依赖于主机操作系统的认证，无需基于主机地址的信任，不要求网络上所有主机的物理安全，是通过传统的密码技术（如：共享密钥）执行认证服务的。

免责声明：本文由作者原创。文章内容系作者个人观点，转载目的在于传递更多信息，并不代表EETOP赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题，请及时联系我们，我们将在第一时间删除