我要评论6 月 5 日消息,微软于 6 月 3 日更新官方支持文档,宣布停止开发包括 lanman、ntlmv1 和 ntlmv2 在内的所有 ntlm 版本,并已经完全废弃该身份认证协议。
代码网去年 10 月报道,微软宣布新一轮过渡计划,弃用 ntlm 身份认证方式,让更多企业和用户过渡使用 kerberos。
微软安全官方博客今年 5 月再次发布博文,为了响应安全社区的强烈要求,计划在 2024 年下半年的 windows 11 中弃用 nt lan manager(ntlm)。
而在最新支持文档中,微软明确下个 windows 年度更新、下个 windows server 更新中,用户可以继续使用 ntlm 协议,但后续调用 ntlm 会替代调用 negotiate,而 negotiate 会优先使用 kerberos 进行身份验证,只有在必要时才调用 ntlm。
据悉微软为实现这一目标主要进行了两项重要工作:
一方面是扩展 kerberos 的应用场景。在 windows 11 系统中,为 kerberos 引入了 iakerb 和本地 kdc,分别实现了在多样化的网络拓扑环境和本地账户环境中使用 kerberos 进行身份验证。
另一方面修复了现有 windows 组件中内置的 ntlm 硬编码组件。将这些组件转而使用 negotiate 协议,以便可以使用 kerberos 代替 ntlm。通过迁移到 negotiate 协议,这些组件服务将能够支持本地和域账户使用 iakerb 和 localkdc 验证。
代码网注:ntlm 是一个微软专用协议,它基于挑战 / 响应模型认证用户和计算机,使用挑战 / 响应模型来证实客户端的身份,而不需要在网络上发送口令或散列的口令,是所有 windows nt 系列产品都使用的认证方式。
发表评论