微軟Win11 24H2及Windows Server 2025將正式告別NTLMv1認(rèn)證

微軟公司近期對(duì)支持文檔進(jìn)行了更新，公布了一項(xiàng)重要的安全策略調(diào)整。從Windows 11的24H2版本和Windows Server 2025版本開(kāi)始，微軟將正式移除NTLMv1認(rèn)證方式，這意味著在未來(lái)的Windows客戶端和服務(wù)器版本中，NTLMv1將不再被支持。

早在2023年10月，微軟就曾宣布了一項(xiàng)過(guò)渡計(jì)劃，旨在逐步淘汰NTLM身份認(rèn)證，并推動(dòng)企業(yè)和用戶轉(zhuǎn)向Kerberos認(rèn)證方式。Kerberos作為一種更為安全的認(rèn)證協(xié)議，受到了廣泛的認(rèn)可和應(yīng)用。

為了實(shí)現(xiàn)這一過(guò)渡，微軟采取了多項(xiàng)關(guān)鍵措施。一方面，他們積極擴(kuò)展Kerberos的應(yīng)用場(chǎng)景，特別是在Windows 11系統(tǒng)中，引入了IAKerb和本地KDC，使得Kerberos能夠在多樣化的網(wǎng)絡(luò)拓?fù)洵h(huán)境和本地賬戶環(huán)境中進(jìn)行身份驗(yàn)證，大大提升了系統(tǒng)的安全性和靈活性。

另一方面，微軟對(duì)現(xiàn)有的Windows組件進(jìn)行了全面的優(yōu)化和升級(jí)。他們修復(fù)了那些內(nèi)置了NTLM硬編碼的組件，將這些組件的認(rèn)證方式轉(zhuǎn)變?yōu)镹egotiate協(xié)議。通過(guò)這一轉(zhuǎn)變，這些組件服務(wù)不僅能夠支持Kerberos認(rèn)證，還能在本地和域賬戶環(huán)境中使用IAKerb和LocalKDC進(jìn)行驗(yàn)證，從而實(shí)現(xiàn)了與NTLM的無(wú)縫對(duì)接和替代。

NTLM是微軟開(kāi)發(fā)的一種專用協(xié)議，它基于挑戰(zhàn)/響應(yīng)模型來(lái)認(rèn)證用戶和計(jì)算機(jī)。通過(guò)這種模型，客戶端的身份可以得到驗(yàn)證，而無(wú)需在網(wǎng)絡(luò)上發(fā)送口令或散列的口令。然而，隨著技術(shù)的發(fā)展和安全需求的提升，NTLMv1已經(jīng)逐漸顯露出其局限性，微軟此次的決策無(wú)疑是對(duì)這些挑戰(zhàn)的積極回應(yīng)。

微軟還提供了詳細(xì)的遷移指南和支持，幫助企業(yè)順利過(guò)渡到Kerberos認(rèn)證方式。他們鼓勵(lì)企業(yè)盡早制定遷移計(jì)劃，并充分利用微軟提供的資源和工具，以確保遷移過(guò)程的順利進(jìn)行。