20 多年来,各种版本的 Windows 一直使用 Kerberos 作为主要的身份验证协议。不过,在某些情况下,操作系统不得不使用另一种方法,即 NTLM(NT LAN 管理器)。今天,微软宣布将扩大 Kerberos 的使用范围,并计划最终完全放弃使用 NTLM。
微软在一篇博客文章中指出,一些企业和组织仍在使用 NTLM 进行 Windows 身份验证,因为它 "不需要本地网络连接到域控制器"。它还是 "使用本地账户时唯一受支持的协议",而且 "在不知道目标服务器是谁的情况下也能工作"。
微软表示:
这些优点导致一些应用程序和服务硬编码使用 NTLM,而不是尝试使用 Kerberos 等其他更现代的身份验证协议。与 NTLM 相比,Kerberos 提供了更好的安全保证,而且更具可扩展性,这也是它现在成为 Windows 首选默认协议的原因。
问题是,虽然企业可以关闭 NTLM 进行身份验证,但那些硬连接的应用程序和服务可能会出现问题。因此,微软为 Kerberos 增加了两个新的身份验证功能。
一个是 "使用 Kerberos 的初始和通过验证(IAKerb)",它将允许 "没有域控制器视线的客户端通过有视线的服务器进行验证"。另一个是 Kerberos 的本地密钥分发中心(KDC),它增加了对本地账户的身份验证支持。
进行这些更改是为了使 Kerberos 长期成为唯一的 Windows 身份验证协议。微软表示:
减少 NTLM 的使用最终将导致 Windows 11 禁用 NTLM。我们将采取数据驱动的方法,监控 NTLM 使用量的减少情况,以确定何时可以安全禁用。
一旦做出决定,微软将首先默认禁用 NTLM,但企业可以重新启用它,以防遇到兼容性问题。微软尚未公布所有这一切何时发生的具体时间表。
