#2024年下半年,微軟安全官方部落格發布了一則訊息,以回應安全社群的呼籲。本公司計畫在2024年下半年發布的Windows 11中淘汰NT LAN Manager(NTLM)認證協議,以提升安全性。
根據先前的解釋,微軟先前已經有過類似的動作。去年10月12日,微軟在一份官方新聞稿中就已經提出了一個過渡計劃,旨在逐步淘汰NTLM身份驗證方式,並推動更多企業和用戶轉向使用Kerberos。為了幫助那些可能在關閉NTLM驗證後遇到硬連線(hardwired)應用程式和服務問題的企業,微軟提供了IAKerb和KDC(金鑰分發中心)兩個驗證功能。
為了實現從NTLM到Kerberos的平穩過渡,微軟已經進行了兩個重要工作。微軟擴展了Kerberos的應用程式範圍,並在Windows 11系統中,微軟為Kerberos新增了IAKerb和本機KDC功能,這使得Kerberos能夠在多樣化的網路環境和本機帳戶環境中進行驗證。
NTLM硬編碼部分已在Windows元件中微調。這些部分目前正在改用Negotiate協議,以便能夠足夠使用Kerberos取代NTLM。透過遷移至Negotiate協議,這些元件將能夠支援本地和網域帳戶透過IAKerb和LocalKDC進行驗證。
NTLM是一種微軟的專用協議,它使用挑戰/回應模型對使用者和電腦進行認證,並提供認證服務。相較之下,Kerberos是一種網路認證協議,它透過金鑰系統為客戶機/伺服器應用程式提供認證服務,不依賴主機作業系統的認證,更為安全可靠。微軟的這項舉措無疑將進一步提升Windows系統的安全性。
以上是微軟計畫2024年下半年在Windows 11中淘汰NTLM,全面轉向Kerberos認證的詳細內容。更多資訊請關注PHP中文網其他相關文章!