微软计划在 Windows 11 中弃用 NTLM 身份验证协议

微软公司宣布  ，微软计划在未来的计划 Windows 11 中取消 NT LAN Manager ，将其换成其他认证方式并加强安全性 。弃用

微软方面强调 ，身份此次变化的验证重点是加强自 2000 年以来一直默认使用的 Kerberos 身份验证协议，从而减少对 NT LAN Manager 的协议依赖。源码库Windows 11 的微软新功能包括使用 Kerberos 的初始和通过身份验证以及用于 Kerberos 的本地密钥分发中心 。

客户能够通过 IAKerb 在各种网络拓扑结构中使用 Kerberos 进行身份验证。计划其次，弃用 Kerberos 的身份本地密钥分发中心 ，将 Kerberos 支持扩展到本地账户。验证

NTLM 安全协议于 20 世纪 90 年代首次推出
，云计算协议旨在为用户提供身份验证 、微软完整性和保密性。计划它是弃用一种单点登录（SSO）工具，依靠挑战-响应协议向服务器或域控制器验证用户账户及相关密码 。

自Windows 2000发布以来，它已经被另一种称为Kerberos的身份验证协议所取代
，后来NTLM就一直被用作后备机制 。

NTLM和Kerberos之间的免费模板主要区别在于这两个协议如何管理身份验证  。NTLM依赖于客户端和服务器之间的“三次握手”来验证用户。Kerberos使用一个由两部分组成的过程 ，该过程利用票据授予服务或密钥分发中心 。还有另一个关键的区别是，NTLM依赖于密码散列 ，源码下载而Kerberos则是利用了加密。

除了NTLM固有的安全弱点外
 ，该技术还容易受到中继攻击 ，可能会允许不良行为者拦截身份验证尝试并获得对网络资源的未经授权访问
。

微软方面表示 ，他们还在其组件中处理硬编码的NTLM实例，高防服务器为最终在Windows 11中禁用NTLM做准备，并补充表示正在进行改进 ，鼓励使用Kerberos而不是NTLM。

微软企业与安全部高级产品管理负责人 Matthew Palko 提到 ：所有这些更改都将默认启用，在大多数情况下无需配置。未来NTLM也将继续作为后备方案使用 ，以保持现有的兼容性。