微软在Win11 24H2和Windows Server 2025上正式移除NTLMv1
为了实现这一具有里程碑意义的变革,微软公司在幕后进行了大量细致而周密的工作。据悉,微软主要围绕两大核心策略展开了行动:
一方面,微软致力于扩展 Kerberos 协议的应用场景,以期在更广泛的场景下替代 NTLMv1。在最新的 Windows 11 系统中,微软创新性地为 Kerberos 引入了 IAKerb(Internet Authentication Kerberos)和本地 KDC(Key Distribution Center)两大组件。IAKerb 的引入,使得 Kerberos 能够在多样化的网络拓扑环境中高效地进行身份验证,无论是复杂的企业网络环境还是远程办公场景,都能游刃有余。而本地 KDC 的加入,则让 Kerberos 在本地账户环境中也能大放异彩,为用户提供了更加便捷、安全的身份验证体验。
另一方面,微软对现有 Windows 组件中内置的 NTLM 硬编码组件进行了全面而深入的修复和改造。这些组件原本依赖于 NTLM 协议进行身份验证,但微软通过精湛的技术手段,成功地将它们迁移到了 Negotiate 协议上。Negotiate 协议作为一种更为灵活、强大的认证协议,能够根据不同的环境和需求,智能地选择使用 Kerberos 或其他认证方式进行身份验证。通过这一迁移,这些组件服务不仅能够支持本地和域账户使用 IAKerb 和 LocalKDC 进行验证,还显著提升了系统的安全性和兼容性。
值得注意的是,NTLM 作为微软专用的认证协议,曾在 Windows NT 系列产品中扮演了举足轻重的角色。它基于挑战/响应模型认证用户和计算机,通过发送挑战码并接收响应码来验证客户端的身份,而无需在网络上传输明文口令或散列的口令。然而,随着时代的发展和安全需求的不断提升,NTLMv1 协议逐渐暴露出了诸多安全隐患和局限性。
免责声明:本文为转载,非本网原创内容,不代表本网观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。