IT之家 1 月 31 日消息，微軟昨日（1 月 30 日）發(fā)布博文，宣布為應(yīng)對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)，在未來(lái)的 Windows 11 以及 Windows Server 版本中，將默認(rèn)禁用擁有 33 年歷史的 NTLM 身份驗(yàn)證協(xié)議，轉(zhuǎn)向更安全的 Kerberos 驗(yàn)證標(biāo)準(zhǔn)。

IT之家注：NTLM 全稱(chēng)為 New Technology LAN Manager，誕生于 1993 年，是微軟早期開(kāi)發(fā)的一種“對(duì)暗號(hào)”式的身份驗(yàn)證方法，就像兩個(gè)人通過(guò)對(duì)暗號(hào)來(lái)確認(rèn)身份，但因?yàn)榘堤?hào)機(jī)制太老舊，很容易被壞人偷聽(tīng)或偽造。

攻擊者常利用 NTLM 中繼攻擊（NTLM relay attacks）迫使網(wǎng)絡(luò)設(shè)備向惡意服務(wù)器進(jìn)行身份驗(yàn)證，從而提升權(quán)限并接管 Windows 域。

此外，哈希傳遞攻擊（pass-the-hash attacks）允許犯罪分子竊取 NTLM 哈希值來(lái)模擬用戶(hù)身份，進(jìn)而竊取敏感數(shù)據(jù)并在網(wǎng)絡(luò)中橫向移動(dòng)。盡管微軟曾多次修補(bǔ)，但諸如 PetitPotam 和 ShadowCoerce 等漏洞仍能繞過(guò)現(xiàn)有防御機(jī)制。

而 Kerberos 是現(xiàn)代且更安全的身份驗(yàn)證協(xié)議，依賴(lài)一個(gè)可信的第三方（像發(fā)證機(jī)關(guān)）來(lái)發(fā)放有時(shí)效性的“票據(jù)”，比簡(jiǎn)單的對(duì)暗號(hào)更難被偽造。

微軟為最大限度減少業(yè)務(wù)中斷，制定了詳盡的三階段過(guò)渡方案：

第一階段

作為淘汰計(jì)劃的序幕，微軟目前已在 Windows Server 2025 和 Windows 11 版本 24H2 中部署了增強(qiáng)型 NTLM 審計(jì)工具，這些工具能幫助企業(yè)管理員精準(zhǔn)識(shí)別當(dāng)前網(wǎng)絡(luò)環(huán)境中哪些應(yīng)用和服務(wù)仍依賴(lài) NTLM 進(jìn)行驗(yàn)證。

通過(guò)這一階段的全面排查，組織可以清晰掌握內(nèi)部基礎(chǔ)設(shè)施的依賴(lài)關(guān)系，為后續(xù)的遷移工作提供精確的數(shù)據(jù)支持，避免盲目切斷服務(wù)導(dǎo)致系統(tǒng)癱瘓。

第二階段

微軟計(jì)劃于 2026 年下半年啟動(dòng)轉(zhuǎn)型的攻堅(jiān)階段，屆時(shí)將引入 IAKerb 和本地密鑰分發(fā)中心（Local KDC）等關(guān)鍵功能。

這些新技術(shù)旨在消除對(duì) NTLM 的硬性依賴(lài)，專(zhuān)門(mén)解決域控制器連接受限、本地賬戶(hù)驗(yàn)證需求以及核心組件中硬編碼協(xié)議等“釘子戶(hù)”問(wèn)題。

第三階段

在完成前兩階段的鋪墊后，微軟將在下一代 Windows Server 主要版本中默認(rèn)禁用網(wǎng)絡(luò) NTLM 身份驗(yàn)證。盡管管理員仍可通過(guò)新策略手動(dòng)重新啟用，但系統(tǒng)將主要依靠?jī)?nèi)置機(jī)制處理舊版場(chǎng)景。

微軟強(qiáng)烈建議各組織立即著手部署審計(jì)工具，繪制應(yīng)用依賴(lài)圖譜，并在非生產(chǎn)環(huán)境中測(cè)試禁用 NTLM 后的系統(tǒng)表現(xiàn)。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。