微軟計畫2024年下半年在Windows 11中淘汰NTLM，全面轉向Kerberos認證

#2024年下半年，微軟安全官方部落格發布了一則訊息，以回應安全社群的呼籲。本公司計畫在2024年下半年發布的Windows 11中淘汰NT LAN Manager（NTLM）認證協議，以提升安全性。

根據先前的解釋，微軟先前已經有過類似的動作。去年10月12日，微軟在一份官方新聞稿中就已經提出了一個過渡計劃，旨在逐步淘汰NTLM身份驗證方式，並推動更多企業和用戶轉向使用Kerberos。為了幫助那些可能在關閉NTLM驗證後遇到硬連線（hardwired）應用程式和服務問題的企業，微軟提供了IAKerb和KDC（金鑰分發中心）兩個驗證功能。

為了實現從NTLM到Kerberos的平穩過渡，微軟已經進行了兩個重要工作。微軟擴展了Kerberos的應用程式範圍，並在Windows 11系統中，微軟為Kerberos新增了IAKerb和本機KDC功能，這使得Kerberos能夠在多樣化的網路環境和本機帳戶環境中進行驗證。

NTLM硬編碼部分已在Windows元件中微調。這些部分目前正在改用Negotiate協議，以便能夠足夠使用Kerberos取代NTLM。透過遷移至Negotiate協議，這些元件將能夠支援本地和網域帳戶透過IAKerb和LocalKDC進行驗證。

NTLM是一種微軟的專用協議，它使用挑戰/回應模型對使用者和電腦進行認證，並提供認證服務。相較之下，Kerberos是一種網路認證協議，它透過金鑰系統為客戶機/伺服器應用程式提供認證服務，不依賴主機作業系統的認證，更為安全可靠。微軟的這項舉措無疑將進一步提升Windows系統的安全性。

以上是微軟計畫2024年下半年在Windows 11中淘汰NTLM，全面轉向Kerberos認證的詳細內容。更多資訊請關注PHP中文網其他相關文章！