微软将默认禁用NTLM协议,推动更安全的身份验证体系

📅 发布时间:2026/7/10 22:31:33 👁️ 浏览次数:
微软将默认禁用NTLM协议,推动更安全的身份验证体系
微软正在加速淘汰NTLM新技术局域网管理器这一已在Windows系统中存在三十余年的传统身份验证协议。该公司宣布将在未来Windows版本中通过分阶段路线图逐步减少、限制并最终默认禁用NTLM这标志着Windows身份验证安全体系的重要演进。NTLM长期以来作为Kerberos不可用时的备用验证机制。但由于协议年代久远且存在固有加密缺陷使其容易遭受重放攻击、中继攻击和哈希传递攻击等安全威胁。三阶段过渡路线图确保平稳迁移随着现代安全威胁不断演变NTLM对这些攻击向量的脆弱性给企业环境带来重大风险。微软决定默认禁用NTLM反映了采用更强大、基于Kerberos的身份验证机制以符合当代安全标准的必要性。过渡过程采用三阶段方案以最大限度减少对组织的干扰阶段时间节点核心目标具体措施第一阶段现已可用可视化与审计显示系统中NTLM的使用情况第二阶段2026年下半年减少NTLM使用在NTLM回退场景中启用Kerberos第三阶段未来Windows版本默认禁用默认关闭NTLM同时保留传统支持值得注意的是微软将为仅支持NTLM的传统场景提供内置支持最大限度减少对使用旧系统或定制应用程序的组织造成影响。迁移期间保持向后兼容性微软强调默认禁用NTLM并不意味着完全移除该协议。在过渡期间NTLM仍将保留在操作系统中必要时可通过策略重新启用确保持续的向后兼容性。这种方案在实质性安全改进与实际组织需求之间取得了平衡。微软建议各组织立即着手准备包括部署增强型NTLM审计、梳理应用程序依赖关系以及将工作负载迁移至Kerberos。同时应在非生产环境中测试禁用NTLM的配置。微软鼓励企业联合身份认证、安全和应用程序负责人共同确保平稳过渡。对于存在特殊NTLM依赖场景的组织微软已设立ntlmmicrosoft[.]com作为联系渠道。这种分阶段、协作式的过渡方案将使Windows迈向更安全、无密码的未来同时为企业环境保留支持的迁移路径。