微软启动三阶段计划将Windows从NTLM迁移至Kerberos认证

微软宣布采用三阶段方案逐步淘汰新技术局域网管理器（NTLM），这是其推动Windows环境转向更强大的Kerberos认证选项的重要举措。

这一进展距离微软首次宣布弃用该传统技术已过去两年多时间。微软当初指出NTLM存在安全漏洞，可能导致中继攻击，使恶意行为者能够未经授权访问网络资源。NTLM已于2024年6月正式被弃用，不再接收更新。

微软第二级技术项目经理Mariam Gewida解释说："NTLM由最初设计用于为用户提供身份验证、完整性和机密性的安全协议组成。然而，随着安全威胁的演变，我们的标准也必须满足现代安全期望。如今，NTLM容易受到各种攻击，包括重放攻击和中间人攻击，这是由于它使用了弱加密技术。"

尽管已被弃用，微软表示在企业环境中仍普遍使用NTLM，原因是由于遗留依赖关系、网络限制或根深蒂固的应用程序逻辑，无法实施Kerberos等现代协议。这反过来使组织面临重放、中继和哈希传递等安全风险。

为了以安全的方式缓解这一问题，微软采用了三阶段战略，为默认禁用NTLM铺平道路：

第一阶段：使用增强的NTLM审计功能建立可见性和控制，以更好地了解NTLM仍在何处以及为何被使用（现已可用）

第二阶段：通过IAKerb和本地密钥分发中心（KDC）等功能（预发布版）解决阻碍迁移到Kerberos的常见障碍，并更新核心Windows组件以优先使用Kerberos身份验证（预计2026年下半年）

第三阶段：在下一版本的Windows Server和相关Windows客户端中默认禁用NTLM，并通过新的策略控制要求显式重新启用

微软将此次转型定位为迈向无密码、抗钓鱼未来的重要一步。这也要求依赖NTLM的组织进行审计、映射依赖关系、迁移到Kerberos、在非生产环境中测试禁用NTLM的配置，并启用Kerberos升级。

Gewida表示："默认禁用NTLM并不意味着完全从Windows中删除NTLM。相反，这意味着Windows将以默认安全状态交付，其中网络NTLM身份验证被阻止，不再自动使用。"

"操作系统将优先选择基于Kerberos的现代化、更安全的替代方案。同时，常见的遗留场景将通过即将推出的新功能（如本地KDC和IAKerb）（预发布版）来解决。"

Q&A

Q1：微软为什么要淘汰NTLM认证协议？

A：NTLM作为传统的安全协议存在明显的安全漏洞，容易受到重放攻击、中间人攻击和哈希传递等多种攻击方式的威胁，这是因为它使用了弱加密技术。随着安全威胁的演变，微软需要采用更符合现代安全标准的认证方式，因此决定将Windows环境转向更强大、更安全的Kerberos认证选项。

Q2：微软淘汰NTLM的三个阶段分别是什么？

A：第一阶段是通过增强的NTLM审计功能了解NTLM的使用情况，现已可用。第二阶段是通过IAKerb和本地密钥分发中心等新功能解决迁移障碍，并更新核心Windows组件优先使用Kerberos，预计2026年下半年推出。第三阶段是在下一版本Windows Server和客户端中默认禁用NTLM，需要时可通过策略控制重新启用。

Q3：默认禁用NTLM后还能继续使用吗？

A：可以。默认禁用NTLM并不意味着完全从Windows中删除这项功能，而是将Windows设置为默认安全状态，网络NTLM身份验证被阻止且不再自动使用。如果组织确实需要使用NTLM，可以通过新的策略控制显式重新启用该功能，但系统会优先使用更安全的Kerberos认证方案。