微軟公司宣布，計劃在未來的 Windows 11 中取消 NT LAN Manager，將其換成其他認(rèn)證方式并加強(qiáng)安全性。

微軟方面強(qiáng)調(diào)，此次變化的重點是加強(qiáng)自 2000 年以來一直默認(rèn)使用的 Kerberos 身份驗證協(xié)議，從而減少對 NT LAN Manager 的依賴。Windows 11 的新功能包括使用 Kerberos 的初始和通過身份驗證以及用于 Kerberos 的本地密鑰分發(fā)中心。

客戶能夠通過 IAKerb 在各種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)中使用 Kerberos 進(jìn)行身份驗證。其次， Kerberos 的本地密鑰分發(fā)中心，將 Kerberos 支持?jǐn)U展到本地賬戶。

NTLM 安全協(xié)議于 20 世紀(jì) 90 年代首次推出，旨在為用戶提供身份驗證、完整性和保密性。它是一種單點登錄（SSO）工具，依靠挑戰(zhàn)-響應(yīng)協(xié)議向服務(wù)器或域控制器驗證用戶賬戶及相關(guān)密碼。

自Windows 2000發(fā)布以來，它已經(jīng)被另一種稱為Kerberos的身份驗證協(xié)議所取代，后來NTLM就一直被用作后備機(jī)制。

NTLM和Kerberos之間的主要區(qū)別在于這兩個協(xié)議如何管理身份驗證。NTLM依賴于客戶端和服務(wù)器之間的“三次握手”來驗證用戶。Kerberos使用一個由兩部分組成的過程，該過程利用票據(jù)授予服務(wù)或密鑰分發(fā)中心。還有另一個關(guān)鍵的區(qū)別是，NTLM依賴于密碼散列，而Kerberos則是利用了加密。

除了NTLM固有的安全弱點外，該技術(shù)還容易受到中繼攻擊，可能會允許不良行為者攔截身份驗證嘗試并獲得對網(wǎng)絡(luò)資源的未經(jīng)授權(quán)訪問。

微軟方面表示，他們還在其組件中處理硬編碼的NTLM實例，為最終在Windows 11中禁用NTLM做準(zhǔn)備，并補(bǔ)充表示正在進(jìn)行改進(jìn)，鼓勵使用Kerberos而不是NTLM。

微軟企業(yè)與安全部高級產(chǎn)品管理負(fù)責(zé)人 Matthew Palko 提到：所有這些更改都將默認(rèn)啟用，在大多數(shù)情況下無需配置。未來NTLM也將繼續(xù)作為后備方案使用，以保持現(xiàn)有的兼容性。