5 月 23 日消息,根據微軟安全官方博客消息,為了響應安全社區的強烈要求,計劃在 2024 年下半年的 Windows 11 中棄用 NT LAN Manager(NTLM)。
據IT之家先前的消息,微軟去年 10 月 12 日的官方新聞稿就提出,新一輪過渡計劃,棄用 NTLM 身份認證方式,讓更多企業和用戶過渡使用 Kerberos 并且為關閉 NTLM 身份認證,但硬連線(hardwired)的應用程序和服務可能出現問題的企業,提供了包括 IAKerb 和 KDC 兩個身份驗證功能。
據悉微軟為實現這一目標主要進行了兩項重要工作:
-
一方面是擴展 Kerberos 的應用場景。在 Windows 11 系統中,為 Kerberos 引入了 IAKerb 和本地 KDC,分別實現了在多樣化的網絡拓撲環境和本地賬戶環境中使用 Kerberos 進行身份驗證。
-
另一方面修復了現有 Windows 組件中內置的 NTLM 硬編碼組件。將這些組件轉而使用 Negotiate 協議,以便可以使用 Kerberos 代替 NTLM。通過遷移到 Negotiate 協議,這些組件服務將能夠支持本地和域賬戶使用 IAKerb 和 LocalKDC 驗證。
IT之家注:NTLM 是一個微軟專用協議,它基于挑戰 / 響應模型認證用戶和計算機,使用挑戰 / 響應模型來證實客戶端的身份,而不需要在網絡上發送口令或散列的口令,是所有 Windows NT 系列產品都使用的認證方式。
Kerberos 是一種通過密鑰系統為客戶機 / 服務器應用程序提供認證服務的網絡認證協議。該認證過程的實現不依賴于主機操作系統的認證,無需基于主機地址的信任,不要求網絡上所有主機的物理安全,是通過傳統的密碼技術(如:共享密鑰)執行認證服務的。