#系统资讯 微软决定在 Windows 11 24H2 和 Windows Server 2025 版之后不再支持 NTLM 身份验证协议,企业和开发者都需要迁移到 Kerberos 或 Negotiate 协议。其中 NTLM 调用应该被 Negotiate 取代,该技术默认使用 Kerberos 验证,必要的时候回退 NTLM 确保兼容性。查看全文:https://ourl.co/104299
NTLM 即 Windows NT LAN Manager,这是微软在 1993 年基于 LM 推出的身份验证协议,包括 LANMAN、NTLMv1、NTLMv2 版,不过这些版本都已经停止活跃开发,主要还是提供安全更新。
2023 年 10 月微软就透露计划在后续彻底禁用 NTLM 协议,主要是该协议非常老旧并且不够安全,而现在微软更倾向于使用 Kerberos 或 Negotiate 协议。
现在微软已经决定 Windows 11 24H2 和 Windows Server 2025 是支持 NTLM 协议最后的版本 (Windows 11 LTSC 2024 应该也会支持),继续提供支持是因为要确保兼容性。
而再往后的版本将不再支持 NTLM 协议,对企业和开发者来说接下来要准备迁移协议,虽然新版本发布可能还需要好几年,不过对大型企业来说尽早准备迁移可以确保能够无缝衔接。
微软的建议是 NTLM 协议方面的调用应该被 Negotiate 取代,该协议将尝试使用 Kerberos 进行身份验证,并且会在必要的时候回退到 NTLM 协议上。
这有助于提高身份验证的安全性,主要是 Kerberos 等先进的协议在安全性能方面表现更好,而 NTLM 毕竟已经是很古老的协议了,除非必要否则不应该继续使用。
话说 Kerberos 虽说要比 NTLM 更先进,不过这个协议其实也很多年了,最初是在 Windows 2000 SP4 中推出的,现在也有二十多年历史了。