微软宣布采用三阶段方案逐步淘汰新技术局域网管理器(NTLM),这是其推动Windows环境转向更强大的Kerberos认证选项的重要举措。
这一进展距离微软首次宣布弃用该传统技术已过去两年多时间。微软当初指出NTLM存在安全漏洞,可能导致中继攻击,使恶意行为者能够未经授权访问网络资源。NTLM已于2024年6月正式被弃用,不再接收更新。
微软第二级技术项目经理Mariam Gewida解释说:"NTLM由最初设计用于为用户提供身份验证、完整性和机密性的安全协议组成。然而,随着安全威胁的演变,我们的标准也必须满足现代安全期望。如今,NTLM容易受到各种攻击,包括重放攻击和中间人攻击,这是由于它使用了弱加密技术。"
尽管已被弃用,微软表示在企业环境中仍普遍使用NTLM,原因是由于遗留依赖关系、网络限制或根深蒂固的应用程序逻辑,无法实施Kerberos等现代协议。这反过来使组织面临重放、中继和哈希传递等安全风险。
为了以安全的方式缓解这一问题,微软采用了三阶段战略,为默认禁用NTLM铺平道路:
第一阶段:使用增强的NTLM审计功能建立可见性和控制,以更好地了解NTLM仍在何处以及为何被使用(现已可用)
第二阶段:通过IAKerb和本地密钥分发中心(KDC)等功能(预发布版)解决阻碍迁移到Kerberos的常见障碍,并更新核心Windows组件以优先使用Kerberos身份验证(预计2026年下半年)
第三阶段:在下一版本的Windows Server和相关Windows客户端中默认禁用NTLM,并通过新的策略控制要求显式重新启用
微软将此次转型定位为迈向无密码、抗钓鱼未来的重要一步。这也要求依赖NTLM的组织进行审计、映射依赖关系、迁移到Kerberos、在非生产环境中测试禁用NTLM的配置,并启用Kerberos升级。
Gewida表示:"默认禁用NTLM并不意味着完全从Windows中删除NTLM。相反,这意味着Windows将以默认安全状态交付,其中网络NTLM身份验证被阻止,不再自动使用。"
"操作系统将优先选择基于Kerberos的现代化、更安全的替代方案。同时,常见的遗留场景将通过即将推出的新功能(如本地KDC和IAKerb)(预发布版)来解决。"
Q&A
Q1:微软为什么要淘汰NTLM认证协议?
A:NTLM作为传统的安全协议存在明显的安全漏洞,容易受到重放攻击、中间人攻击和哈希传递等多种攻击方式的威胁,这是因为它使用了弱加密技术。随着安全威胁的演变,微软需要采用更符合现代安全标准的认证方式,因此决定将Windows环境转向更强大、更安全的Kerberos认证选项。
Q2:微软淘汰NTLM的三个阶段分别是什么?
A:第一阶段是通过增强的NTLM审计功能了解NTLM的使用情况,现已可用。第二阶段是通过IAKerb和本地密钥分发中心等新功能解决迁移障碍,并更新核心Windows组件优先使用Kerberos,预计2026年下半年推出。第三阶段是在下一版本Windows Server和客户端中默认禁用NTLM,需要时可通过策略控制重新启用。
Q3:默认禁用NTLM后还能继续使用吗?
A:可以。默认禁用NTLM并不意味着完全从Windows中删除这项功能,而是将Windows设置为默认安全状态,网络NTLM身份验证被阻止且不再自动使用。如果组织确实需要使用NTLM,可以通过新的策略控制显式重新启用该功能,但系统会优先使用更安全的Kerberos认证方案。
热门跟贴