引言
微软近日宣布了计划,将逐步淘汰 Windows 11 中的 NT LAN Manager (NTLM) 身份验证方法,并转向更强大的替代方案——Kerberos。这一决定旨在提升系统的安全性和身份验证能力。
加强 Kerberos 身份验证协议
微软表示,他们的重点是加强 Kerberos 身份验证协议,该协议自 2000 年以来一直是默认的身份验证方法,并减少对 NTLM 的依赖。Windows 11 的新功能将包括使用 Kerberos (IAKerb) 进行初始和直通身份验证,以及 Kerberos 的本地密钥分发中心 (KDC)。
IAKerb:跨网络拓扑的身份验证
IAKerb 是一个新的功能,它使客户端能够跨各种网络拓扑使用 Kerberos 进行身份验证。这样,无论用户所处的网络环境如何复杂,都可以通过 Kerberos 提供的强大身份验证功能进行安全访问。
Kerberos 的本地密钥分发中心
另一个功能是 Kerberos 的本地密钥分发中心 (KDC),它将 Kerberos 的支持扩展到本地帐户。这样,用户可以在本地使用 Kerberos 进行身份验证,而不仅限于网络域环境。
NTLM 与 Kerberos 的区别
NTLM 是在 20 世纪 90 年代首次推出的一套安全协议,旨在为用户提供身份验证、完整性和机密性。它是一种单点登录 (SSO) 工具,依赖于质询响应协议,通过验证用户所知道的与帐户关联的密码来实现身份认证。
然而,自 Windows 2000 发布以来,微软已经逐渐取代了 NTLM,采用了名为 Kerberos 的更强大的身份验证协议。Kerberos 使用基于票证授予服务或密钥分发中心的流程进行身份验证,同时利用加密技术来保障安全性。
与 NTLM 相比,Kerberos 具有更强的安全性,并且能够抵御中继攻击等常见的安全威胁。因此,微软决定逐步淘汰 NTLM,鼓励用户使用 Kerberos 来提升系统的安全性和可靠性。
结论
微软表示他们正在致力于解决其组件中的硬编码 NTLM 实例问题,并准备在 Windows 11 中禁用 NTLM。这些改变将默认启用,大多数情况下无需用户进行配置。然而,为了维持现有的兼容性,NTLM 仍将作为后备方案提供。
📮评论