5 月 23 日消息,根據(jù)微軟安全官方博客消息,為了響應(yīng)安全社區(qū)的強(qiáng)烈要求,計(jì)劃在 2024 年下半年的 Windows 11 中棄用 NT LAN Manager(NTLM)。
據(jù)IT之家先前的消息,微軟去年 10 月 12 日的官方新聞稿就提出,新一輪過(guò)渡計(jì)劃,棄用 NTLM 身份認(rèn)證方式,讓更多企業(yè)和用戶過(guò)渡使用 Kerberos 并且為關(guān)閉 NTLM 身份認(rèn)證,但硬連線(hardwired)的應(yīng)用程序和服務(wù)可能出現(xiàn)問(wèn)題的企業(yè),提供了包括 IAKerb 和 KDC 兩個(gè)身份驗(yàn)證功能。
據(jù)悉微軟為實(shí)現(xiàn)這一目標(biāo)主要進(jìn)行了兩項(xiàng)重要工作:
-
一方面是擴(kuò)展 Kerberos 的應(yīng)用場(chǎng)景。在 Windows 11 系統(tǒng)中,為 Kerberos 引入了 IAKerb 和本地 KDC,分別實(shí)現(xiàn)了在多樣化的網(wǎng)絡(luò)拓?fù)洵h(huán)境和本地賬戶環(huán)境中使用 Kerberos 進(jìn)行身份驗(yàn)證。
-
另一方面修復(fù)了現(xiàn)有 Windows 組件中內(nèi)置的 NTLM 硬編碼組件。將這些組件轉(zhuǎn)而使用 Negotiate 協(xié)議,以便可以使用 Kerberos 代替 NTLM。通過(guò)遷移到 Negotiate 協(xié)議,這些組件服務(wù)將能夠支持本地和域賬戶使用 IAKerb 和 LocalKDC 驗(yàn)證。
IT之家注:NTLM 是一個(gè)微軟專用協(xié)議,它基于挑戰(zhàn) / 響應(yīng)模型認(rèn)證用戶和計(jì)算機(jī),使用挑戰(zhàn) / 響應(yīng)模型來(lái)證實(shí)客戶端的身份,而不需要在網(wǎng)絡(luò)上發(fā)送口令或散列的口令,是所有 Windows NT 系列產(chǎn)品都使用的認(rèn)證方式。
Kerberos 是一種通過(guò)密鑰系統(tǒng)為客戶機(jī) / 服務(wù)器應(yīng)用程序提供認(rèn)證服務(wù)的網(wǎng)絡(luò)認(rèn)證協(xié)議。該認(rèn)證過(guò)程的實(shí)現(xiàn)不依賴于主機(jī)操作系統(tǒng)的認(rèn)證,無(wú)需基于主機(jī)地址的信任,不要求網(wǎng)絡(luò)上所有主機(jī)的物理安全,是通過(guò)傳統(tǒng)的密碼技術(shù)(如:共享密鑰)執(zhí)行認(rèn)證服務(wù)的。