微软近日宣布了一项激动人心的计划,将逐步淘汰过去20多年一直充当其主要身份验证协议的Kerberos,以及在某些情况下使用的NTLM(NT LAN Manager)。在一篇引人注目的博客文章中,微软强调了一些企业和组织仍在使用NTLM进行Windows身份验证的原因,特别是因为它“无需与域控制器的本地网络连接”。此外,微软指出NTLM“是在使用本地帐户时唯一支持的协议”,并在“你不知道目标服务器是谁时仍然有效”。
然而,随着科技的飞速发展,微软着力推动更为安全、可扩展的身份验证协议Kerberos。Kerberos以其提供的更强安全性和更高可扩展性而成为Windows中的首选默认协议。微软强调,虽然一些应用程序和服务因其特定优点而硬编码了NTLM,但这种情况正在改变。
微软引入了两个创新的身份验证功能,以进一步巩固Kerberos在Windows生态系统中的地位。首先是初始和透传身份验证(IAKerb),允许“没有对域控制器进行直接连接的客户端通过具有直接连接视线的服务器进行身份验证”。其次是Kerberos的本地密钥分发中心(KDC),为本地帐户提供了身份验证支持,使其更具灵活性和全面性。
这些举措旨在逐步将Kerberos打造成为长期内唯一的Windows身份验证协议。微软明确表示:“减少NTLM的使用最终将导致在Windows 11中将其禁用。我们正在采取基于数据的方法,并监控NTLM使用的减少,以确定何时可以安全地禁用它。”
当微软最终决定禁用NTLM时,将首先默认禁用,但企业仍将拥有重新启用的权利,以应对潜在的兼容性问题。微软目前尚未公布具体的时间表,但这一决定标志着Windows身份验证的一个里程碑式的演进,朝着更加安全和现代化的方向迈出了坚实的一步。
