【ITBEAR科技资讯】5月24日消息,微软安全官方博客最近宣布,为了回应安全社区的呼吁,公司计划在2024年下半年发布的Windows 11中逐步淘汰NT LAN Manager(NTLM)。
据ITBEAR科技资讯了解,微软此前已经有过类似的动作。去年10月12日,微软在一份官方新闻稿中就已经提出了一个过渡计划,旨在逐步淘汰NTLM身份验证方式,并推动更多企业和用户转向使用Kerberos。为了帮助那些可能在关闭NTLM身份验证后遇到硬连线(hardwired)应用程序和服务问题的企业,微软提供了IAKerb和KDC(密钥分发中心)两个身份验证功能。
为了实现从NTLM到Kerberos的平稳过渡,微软已经开展了两个重要工作。微软扩展了Kerberos的应用范围。在Windows 11系统中,微软为Kerberos新增了IAKerb和本地KDC功能,这使得Kerberos能够在多样化的网络环境和本地账户环境中进行身份验证。
其次,微软修复了现有Windows组件中内置的NTLM硬编码部分。这些部分现在改用Negotiate协议,以便能够使用Kerberos替代NTLM。通过迁移到Negotiate协议,这些组件将能够支持本地和域账户通过IAKerb和LocalKDC进行验证。
NTLM是微软的一个专用协议,它使用挑战/响应模型对用户和计算机进行认证,而Kerberos则是一种网络认证协议,它通过密钥系统为客户机/服务器应用程序提供认证服务,不依赖于主机操作系统的认证,更为安全可靠。微软的这一举措无疑将进一步提升Windows系统的安全性。
