微软计划2024年下半年在Windows 11中淘汰NTLM，全面转向Kerberos认证

2024年下半年，微软安全官方博客发布了一条消息，以回应安全社区的呼吁。公司计划在2024年下半年发布的Windows 11中淘汰NT LAN Manager（NTLM）认证协议，以提升安全性。

根据之前的解释，微软此前已经有过类似的动作。去年10月12日，微软在一份官方新闻稿中就已经提出了一个过渡计划，旨在逐步淘汰NTLM身份验证方式，并推动更多企业和用户转向使用Kerberos。为了帮助那些可能在关闭NTLM身份验证后遇到硬连接（hardwired）应用程序和服务问题的企业，微软提供了IAKerb和KDC（密钥分发中心）两个身份验证功能。

为了实现从NTLM到Kerberos的平稳过渡，微软已经开展了两个重要工作。微软扩展了Kerberos的应用范围，并在Windows 11系统中，微软为Kerberos新增了IAKerb和本地KDC功能，这使得Kerberos能够在多样化的网络环境和本地账户环境中进行身份验证。

NTLM硬编码部分已在Windows组件中进行微调。这些部分目前正在改用Negotiate协议，以便能够足够使用Kerberos替代NTLM。通过迁移至Negotiate协议，这些组件将能够支持本地和域账户通过IAKerb和LocalKDC进行验证。

NTLM是一种微软的专用协议，它使用挑战/响应模型对用户和计算机进行认证，并提供认证服务。相比之下，Kerberos则是一种网络认证协议，它通过密钥系统为客户机/服务器应用程序提供认证服务，不依赖于主机操作系统的认证，更为安全可靠。微软的这一举措无疑将进一步提升Windows系统的安全性。

以上是微软计划2024年下半年在Windows 11中淘汰NTLM，全面转向Kerberos认证的详细内容。更多信息请关注PHP中文网其他相关文章！