2024年下半年,微软安全官方博客发布了一条消息,以回应安全社区的呼吁。公司计划在2024年下半年发布的Windows 11中淘汰NT LAN Manager(NTLM)认证协议,以提升安全性。
根据之前的解释,微软此前已经有过类似的动作。去年10月12日,微软在一份官方新闻稿中就已经提出了一个过渡计划,旨在逐步淘汰NTLM身份验证方式,并推动更多企业和用户转向使用Kerberos。为了帮助那些可能在关闭NTLM身份验证后遇到硬连接(hardwired)应用程序和服务问题的企业,微软提供了IAKerb和KDC(密钥分发中心)两个身份验证功能。
为了实现从NTLM到Kerberos的平稳过渡,微软已经开展了两个重要工作。微软扩展了Kerberos的应用范围,并在Windows 11系统中,微软为Kerberos新增了IAKerb和本地KDC功能,这使得Kerberos能够在多样化的网络环境和本地账户环境中进行身份验证。
NTLM硬编码部分已在Windows组件中进行微调。这些部分目前正在改用Negotiate协议,以便能够足够使用Kerberos替代NTLM。通过迁移至Negotiate协议,这些组件将能够支持本地和域账户通过IAKerb和LocalKDC进行验证。
NTLM是一种微软的专用协议,它使用挑战/响应模型对用户和计算机进行认证,并提供认证服务。相比之下,Kerberos则是一种网络认证协议,它通过密钥系统为客户机/服务器应用程序提供认证服务,不依赖于主机操作系统的认证,更为安全可靠。微软的这一举措无疑将进一步提升Windows系统的安全性。
以上是微软计划2024年下半年在Windows 11中淘汰NTLM,全面转向Kerberos认证的详细内容。更多信息请关注PHP中文网其他相关文章!
