33 年历史终结：微软 Win11 已启动 NTLM 三步走淘汰计划

1 月 31 日消息，微软昨日（1 月 30 日）发布博文，宣布为应对日益严峻的网络攻击风险，在未来的 Windows 11 以及 Windows Server 版本中，将默认禁用拥有 33 年历史的 NTLM 身份验证协议，转向更安全的 Kerberos 验证标准。

注：NTLM 全称为 New Technology LAN Manager，诞生于 1993 年，是微软早期开发的一种“对暗号”式的身份验证方法，就像两个人通过对暗号来确认身份，但因为暗号机制太老旧，很容易被坏人偷听或伪造。

攻击者常利用 NTLM 中继攻击（NTLM relay attacks）迫使网络设备向恶意服务器进行身份验证，从而提升权限并接管 Windows 域。

此外，哈希传递攻击（pass-the-hash attacks）允许犯罪分子窃取 NTLM 哈希值来模拟用户身份，进而窃取敏感数据并在网络中横向移动。尽管微软曾多次修补，但诸如 PetitPotam 和 ShadowCoerce 等漏洞仍能绕过现有防御机制。

而 Kerberos 是现代且更安全的身份验证协议，依赖一个可信的第三方（像发证机关）来发放有时效性的“票据”，比简单的对暗号更难被伪造。

微软为最大限度减少业务中断，制定了详尽的三阶段过渡方案：

第一阶段

作为淘汰计划的序幕，微软目前已在 Windows Server 2025 和 Windows 11 版本 24H2 中部署了增强型 NTLM 审计工具，这些工具能帮助企业管理员精准识别当前网络环境中哪些应用和服务仍依赖 NTLM 进行验证。

通过这一阶段的全面排查，组织可以清晰掌握内部基础设施的依赖关系，为后续的迁移工作提供精确的数据支持，避免盲目切断服务导致系统瘫痪。

第二阶段

微软计划于 2026 年下半年启动转型的攻坚阶段，届时将引入 IAKerb 和本地密钥分发中心（Local KDC）等关键功能。

这些新技术旨在消除对 NTLM 的硬性依赖，专门解决域控制器连接受限、本地账户验证需求以及核心组件中硬编码协议等“钉子户”问题。

第三阶段

在完成前两阶段的铺垫后，微软将在下一代 Windows Server 主要版本中默认禁用网络 NTLM 身份验证。尽管管理员仍可通过新策略手动重新启用，但系统将主要依靠内置机制处理旧版场景。

微软强烈建议各组织立即着手部署审计工具，绘制应用依赖图谱，并在非生产环境中测试禁用 NTLM 后的系统表现。