微軟公司宣布，計(jì)劃在未來的 Windows 11 中取消 NT LAN Manager，將其換成其他認(rèn)證方式并加強(qiáng)安全性。

微軟方面強(qiáng)調(diào)，此次變化的重點(diǎn)是加強(qiáng)自 2000 年以來一直默認(rèn)使用的 Kerberos 身份驗(yàn)證協(xié)議，從而減少對(duì) NT LAN Manager 的依賴。Windows 11 的新功能包括使用 Kerberos 的初始和通過身份驗(yàn)證以及用于 Kerberos 的本地密鑰分發(fā)中心。

客戶能夠通過 IAKerb 在各種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)中使用 Kerberos 進(jìn)行身份驗(yàn)證。其次， Kerberos 的本地密鑰分發(fā)中心，將 Kerberos 支持?jǐn)U展到本地賬戶。

NTLM 安全協(xié)議于 20 世紀(jì) 90 年代首次推出，旨在為用戶提供身份驗(yàn)證、完整性和保密性。它是一種單點(diǎn)登錄（SSO）工具，依靠挑戰(zhàn)-響應(yīng)協(xié)議向服務(wù)器或域控制器驗(yàn)證用戶賬戶及相關(guān)密碼。

自Windows 2000發(fā)布以來，它已經(jīng)被另一種稱為Kerberos的身份驗(yàn)證協(xié)議所取代，后來NTLM就一直被用作后備機(jī)制。

NTLM和Kerberos之間的主要區(qū)別在于這兩個(gè)協(xié)議如何管理身份驗(yàn)證。NTLM依賴于客戶端和服務(wù)器之間的“三次握手”來驗(yàn)證用戶。Kerberos使用一個(gè)由兩部分組成的過程，該過程利用票據(jù)授予服務(wù)或密鑰分發(fā)中心。還有另一個(gè)關(guān)鍵的區(qū)別是，NTLM依賴于密碼散列，而Kerberos則是利用了加密。

除了NTLM固有的安全弱點(diǎn)外，該技術(shù)還容易受到中繼攻擊，可能會(huì)允許不良行為者攔截身份驗(yàn)證嘗試并獲得對(duì)網(wǎng)絡(luò)資源的未經(jīng)授權(quán)訪問。

微軟方面表示，他們還在其組件中處理硬編碼的NTLM實(shí)例，為最終在Windows 11中禁用NTLM做準(zhǔn)備，并補(bǔ)充表示正在進(jìn)行改進(jìn)，鼓勵(lì)使用Kerberos而不是NTLM。

微軟企業(yè)與安全部高級(jí)產(chǎn)品管理負(fù)責(zé)人 Matthew Palko 提到：所有這些更改都將默認(rèn)啟用，在大多數(shù)情況下無需配置。未來NTLM也將繼續(xù)作為后備方案使用，以保持現(xiàn)有的兼容性。