微软希望最终在Windows 11中禁用 NTLM 身份验证
微软希望最终在Windows11中禁用NTLM身份验证微软在一篇博客文章中表示,一些企业和组织继续使用NTLM进行Windows身份验证,因为它“不需要与域控制器的本地网络连接”。它也是“使用本地帐户时唯一支持的协议”,并且“当您不知道目标服务器是谁时可以使用”微软表示:这些好处导致一些应用程序和服务硬编码NTLM的使用,而不是尝试使用其他更现代的身份验证协议(如Kerberos)。Kerberos提供了更好的安全保证,并且比NTLM更具可扩展性,这就是它现在成为Windows中首选默认协议的原因。问题是,虽然企业可以关闭NTLM进行身份验证,但那些硬连线的应用程序和服务可能会遇到问题。这也是微软向Kerberos添加两个新的身份验证功能的原因。一种是使用Kerberos(IAKerb)进行初始和直通身份验证,这将允许“没有域控制器视线的客户端通过有视线的服务器进行身份验证”。另一个是Kerberos的本地密钥分发中心(KDC),它增加了对本地帐户的身份验证支持。正在进行这些更改,以便从长远来看,Kerberos将成为唯一的Windows身份验证协议。微软表示:减少NTLM的使用最终将导致它在Windows11中被禁用。我们正在采用数据驱动的方法并监控NTLM使用的减少情况,以确定何时可以安全地禁用它。一旦做出决定,微软将首先默认禁用NTLM,但企业可以重新启用它,以防遇到兼容性问题。微软尚未公布这一切何时发生的具体时间表。...PC版:https://www.cnbeta.com.tw/articles/soft/1390207.htm手机版:https://m.cnbeta.com.tw/view/1390207.htm