微软希望最终在Windows11中禁用NTLM身份验证

20多年来，各种版本的 Windows 一直使用 Kerberos 作为其主要身份验证协议。但是，在某些情况下，操作系统必须使用另一种方法，NTLM(NT LAN Manager)。今天，微软宣布正在扩大 Kerberos 的使用，并计划最终完全放弃 NTLM 的使用。

在一篇博客文章中，微软表示 NTLM 继续被一些企业和组织用于 Windows 身份验证，因为它“不需要与域控制器的本地网络连接”。它也是“使用本地帐户时唯一支持的协议”，并且“当您不知道目标服务器是谁时可以使用”

微软状态：

这些好处导致一些应用程序和服务硬编码 NTLM 的使用，而不是尝试使用其他更现代的身份验证协议(如 Kerberos)。Kerberos 提供了更好的安全保证，并且比 NTLM 更具可扩展性，这就是它现在成为 Windows 中首选默认协议的原因。

问题是，虽然企业可以关闭 NTLM 进行身份验证，但那些硬连线的应用程序和服务可能会遇到问题。这就是为什么微软向 Kerberos 添加了两个新的身份验证功能。

一种是使用 Kerberos (IAKerb) 进行初始和直通身份验证，这将允许“没有域控制器视线的客户端通过有视线的服务器进行身份验证”。另一个是 Kerberos 的本地密钥分发中心 (KDC)，它增加了对本地帐户的身份验证支持。

标签：

版权声明：本文由用户上传，如有侵权请联系删除！