微软公司近期对支持文档进行了更新,公布了一项重要的安全策略调整。从Windows 11的24H2版本和Windows Server 2025版本开始,微软将正式移除NTLMv1认证方式,这意味着在未来的Windows客户端和服务器版本中,NTLMv1将不再被支持。
早在2023年10月,微软就曾宣布了一项过渡计划,旨在逐步淘汰NTLM身份认证,并推动企业和用户转向Kerberos认证方式。Kerberos作为一种更为安全的认证协议,受到了广泛的认可和应用。
为了实现这一过渡,微软采取了多项关键措施。一方面,他们积极扩展Kerberos的应用场景,特别是在Windows 11系统中,引入了IAKerb和本地KDC,使得Kerberos能够在多样化的网络拓扑环境和本地账户环境中进行身份验证,大大提升了系统的安全性和灵活性。
另一方面,微软对现有的Windows组件进行了全面的优化和升级。他们修复了那些内置了NTLM硬编码的组件,将这些组件的认证方式转变为Negotiate协议。通过这一转变,这些组件服务不仅能够支持Kerberos认证,还能在本地和域账户环境中使用IAKerb和LocalKDC进行验证,从而实现了与NTLM的无缝对接和替代。
NTLM是微软开发的一种专用协议,它基于挑战/响应模型来认证用户和计算机。通过这种模型,客户端的身份可以得到验证,而无需在网络上发送口令或散列的口令。然而,随着技术的发展和安全需求的提升,NTLMv1已经逐渐显露出其局限性,微软此次的决策无疑是对这些挑战的积极回应。
微软还提供了详细的迁移指南和支持,帮助企业顺利过渡到Kerberos认证方式。他们鼓励企业尽早制定迁移计划,并充分利用微软提供的资源和工具,以确保迁移过程的顺利进行。
