33年老协议谢幕!Win11 正式启动 NTLM 淘汰计划

📅 发布时间:2026/7/16 13:00:51 👁️ 浏览次数:
33年老协议谢幕!Win11 正式启动 NTLM 淘汰计划
个人主页杨利杰YJlio❄️个人专栏《Sysinternals实战教程》 《Windows PowerShell 实战》 《WINDOWS教程》 《IOS教程》《微信助手》 《锤子助手》 《Python》 《Kali Linux》《那些年未解决的Windows疑难杂症》让复杂的事情更简单让重复的工作自动化33年老协议谢幕Win11 正式启动 NTLM 淘汰计划4.1 阶段 1现在先把依赖点“照出来”4.2 阶段 22026 年下半年解决“硬依赖 NTLM”的场景4.3 阶段 3未来主版本默认禁用网络 NTLM5.1 盘点1~2 周把 NTLM 依赖“拉清单”5.2 修正2~6 周把 Kerberos 路跑通80%问题在基础设施5.3 隔离灰度先在“非生产”禁用验证5.4 固化上线形成长期安全基线参考资料# 1、我先给结论这次不是“升级”是“认证体系换代”这条消息的核心只有一句话未来 Windows 将进入“默认不再使用网络 NTLM”的安全基线系统会优先走 Kerberos 等更安全方案NTLM 不会立刻从系统中“消失”但会被默认阻断/不再自动使用。 (TECHCOMMUNITY.MICROSOFT.COM)对企业来说这意味着两件事必须马上做先摸清哪些系统/应用还在用 NTLM再迁移把“硬依赖 NTLM”的场景改到 Kerberos/新能力上# 2、为什么 NTLM 必须退役它已经是攻击“高频入口”NTLM 的问题不在“老”而在“它太容易被当作横向移动的通道”。常见风险点我只提你需要记住的三类够你在会议里拍板中继NTLM Relay把你的一次认证“转发”到别处攻击者借机接管域资源哈希传递Pass-the-Hash不需要明文密码拿到哈希就能模拟身份长期遗留依赖打印/文件共享/老 NAS/旧业务系统往往是“最后一公里”死活拔不掉一句话只要 NTLM 还在被频繁使用攻击面就会长期存在。(Windows Central)# 3、Kerberos 为什么更安全关键是“票据 第三方可信”我用最白话的方式解释 KerberosNTLM 更像“对暗号”Kerberos 更像“拿临时通行证票据进门”Kerberos 依赖 KDC 发放有时效的票据系统验证的是“票据是否可信、是否过期、是否匹配”伪造难度更高。(TECHCOMMUNITY.MICROSOFT.COM)我用一张图讲清流程业务服务器KDC(域控/票据中心)用户/客户端业务服务器KDC(域控/票据中心)用户/客户端申请 TGT(初始票据)返回 TGT申请 Service Ticket(访问某服务)返回 Service Ticket提交 Service Ticket认证通过/发放会话票据是“短命”的再叠加加密与时间戳机制整体抗攻击能力明显更强。# 4、微软“三阶段淘汰路线图”你该怎么跟进微软给了非常明确的三步走节奏我按“你该做什么”来翻译阶段1排查/审计阶段2补齐替代能力阶段3默认禁用网络NTLM4.1 阶段 1现在先把依赖点“照出来”Windows 11 24H2 与 Windows Server 2025 已增强 NTLM 审计能回答Who / Why / Where谁在用、为什么走 NTLM、在哪里发生。(support.microsoft.com)日志位置重点记住这个路径事件查看器 → Applications and Services Logs → Microsoft → Windows →NTLM → Operational(support.microsoft.com)我常用两条命令快速看最近日志桌面运维必备# 1) PowerShell 读取 NTLM Operational 日志最近50条Get-WinEvent-LogNameMicrosoft-Windows-NTLM/Operational-MaxEvents 50|Select-ObjectTimeCreated,Id,LevelDisplayName,Message|Format-List# 2) wevtutil 快速查看适合远程/脚本化wevtutil qeMicrosoft-Windows-NTLM/Operational/c:30/f:text同时建议把“仅审计”类策略先打开不影响业务只收集证据Network security: Restrict NTLM: Audit incoming NTLM traffic(learn.microsoft.com)4.2 阶段 22026 年下半年解决“硬依赖 NTLM”的场景微软计划提供IAKerb与Local KDC本地 KDC预发布用来处理域控不可达导致的回退本地账户认证不得不走 NTLM 的场景(TECHCOMMUNITY.MICROSOFT.COM)4.3 阶段 3未来主版本默认禁用网络 NTLM未来 Windows Server 主要版本中网络 NTLM 默认禁用需要时只能靠策略显式开启。(BleepingComputer)# 5、我给企业/桌面运维的“可落地迁移清单”照着做就行我把迁移拆成 4 张表的思路你写 SOP/汇报都非常好用5.1 盘点1~2 周把 NTLM 依赖“拉清单”从 NTLM Operational 日志导出应用/进程/账号/目标服务器/IP业务系统分级必须保留/可改造/可替换依赖类型标注SMB/打印/HTTP/数据库/第三方设备NAS等5.2 修正2~6 周把 Kerberos 路跑通80%问题在基础设施重点检查四件事我现场排障经常就卡这里DNS解析是否正确、是否存在旧记录时间客户端/服务器/域控时间是否一致Kerberos 对时间敏感SPN服务是否有正确 SPN服务账户权限与委派是否合理时间检查命令w32tm/query/status5.3 隔离灰度先在“非生产”禁用验证建议做法稳先选一个业务影响小的成员服务器做试点只改“Incoming NTLM”避免对外部未知系统造成连锁反应观察 1~2 周修完再扩大范围策略项先审计再阻断Audit incoming NTLM traffic只记录不阻断(learn.microsoft.com)Incoming NTLM traffic开始阻断(learn.microsoft.com)5.4 固化上线形成长期安全基线统一 GPO 基线、纳入变更流程日志集中化SIEM/日志平台对“必须 NTLM 的遗留系统”加隔离网段/访问控制/最小权限# 6、最容易踩坑的三类场景我建议你优先排查我建议你优先盯这三类命中率最高打印/扫描/老 MFP驱动/认证方式老常常只会 NTLM文件共享/NAS老 NAS 或 SMB 配置不完整Kerberos 跑不起来旧系统/旧中间件老 .NET/老 Web 服务/老 ERP 集成模块我的经验不要急着“全域一键禁用”先审计把名单拉出来否则就是事故。# 7、总结我建议你今天就做这 3 件事开审计把 NTLM Operational 日志跑起来拿到 Who/Why/Where (support.microsoft.com)画依赖图按系统分级明确哪些能改、哪些要替换做灰度禁用先从小范围试点验证无业务中断再扩大一句话收尾NTLM 的退场是确定的差别只在你是“主动迁移”还是“被动中断”。(TECHCOMMUNITY.MICROSOFT.COM)参考资料Microsoft Tech Community官方Advancing Windows security: Disabling NTLM by default https://techcommunity.microsoft.com/blog/windows-itpro-blog/advancing-windows-security-disabling-ntlm-by-default/4489526 Microsoft Support官方Overview of NTLM auditing enhancements in Windows 11 24H2 and Windows Server 2025 https://support.microsoft.com/en-us/topic/overview-of-ntlm-auditing-enhancements-in-windows-11-version-24h2-and-windows-server-2025-b7ead732-6fc5-46a3-a943-27a4571d9e7b Microsoft Learn官方Network security: Restrict NTLMAudit/Incoming https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/network-security-restrict-ntlm-audit-incoming-ntlm-traffic https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/network-security-restrict-ntlm-incoming-ntlm-traffic BleepingComputer报道Microsoft to disable NTLM by default in future Windows releases https://www.bleepingcomputer.com/news/microsoft/microsoft-to-disable-ntlm-by-default-in-future-windows-releases/⬆️ 返回顶部