早在去年 10 月,微软就表示希望最终禁用 NTLM 身份验证。该公司在其官方网站上更新了已废弃的 Windows 功能列表,其中新增了 NTLM 或新技术 LAN 管理器。其中包括所有版本的 NTLM,包括: LANMAN、NTLMv1 和 NTLMv2。
不过,与此同时,这家科技巨头还补充说,它将继续致力于 “Windows Server 的下一个版本和 Windows 的下一个年度版本”,这意味着 NTLM 身份验证将在 Windows 11 的 2024 更新版本 24H2 和 Windows Server 2025 上运行。微软目前正在确保这两个操作系统的系统要求兼容性。
该公司写道:
所有版本的 NTLM(包括 LANMAN、NTLMv1 和 NTLMv2)不再处于活动功能开发阶段,并且已弃用。 NTLM 的使用将继续在 Windows Server 的下一个版本和 Windows 的下一个年度版本中使用。
对 NTLM 的调用应替换为对 Negotiate 的调用,后者将尝试使用 Kerberos 进行身份验证,并且仅在必要时回退到 NTLM。 有关详细信息,请参阅 已弃用功能的资源。
早些时候,微软曾解释说,此举是为了提高身份验证的安全性,因为像 Kerberos 这样的现代协议在这方面更胜一筹。该公司现在建议使用 “协商” 协议,只有在 Kerberos 不可用时才使用 NTLM。
该公司解释说:
在许多情况下,应用程序应该能够在对
AcquireCredentialsHandle
SSPI 的请求中使用单行更改将 NTLM 替换为 Negotiate。 一个已知的例外是那些对完成身份验证所需的最大往返次数做出硬性假设的应用程序。 在大多数情况下,Negotiate 将至少添加一个额外的往返行程。 某些方案可能需要其他配置。 有关详细信息,请参阅 Kerberos 身份验证故障排除指南。将保留 Negotiate 的内置回退到 NTLM,以缓解此转换期间的兼容性问题。 有关 NTLM 弃用的更新,请参阅 https://aka.ms/ntlm。
对于那些想知道 NTLM 历史有多悠久的人来说,这项技术自 1993 年在 Windows NT 3.1 中添加以来就一直存在。Kerberos 虽然更 “现代”,但也从 Windows 2000 Service Pack 4 (SP4) 开始使用。