33年历史终结:微软Win11已启动NTLM三步走淘汰计划 重磅!服役33年的NTLM身份验证协议,要在Win11正式谢幕了! 微软这次下了决心,把用了三十多年的老旧验证机制彻底换掉,转向更安全的Kerberos标准,本质就是给Windows系统的身份验证体系换了一把更结实的锁。 就在1月30日微软正式对外官宣了这个计划,NTLM从1993年诞生开始,一直用最简单的对暗号方式确认身份,放在当年足够安全,但放到现在漏洞已经被扒得底朝天。 攻击者随便就能用中继攻击,逼企业的网络设备连上恶意服务器,直接接管整个Windows域;还能靠哈希传递攻击偷走用户的验证信息,在企业内网里横着走,偷取核心数据。 微软前前后后补了无数次补丁,但PetitPotam和ShadowCoerce这些漏洞还是能轻松绕开防御,老协议已经扛不住现在的攻击强度了。 而Kerberos就像给身份验证办了一张带有效期的官方票据,靠可信第三方做担保,每一次验证都要检查票据的真实性和有效期,比简单的对暗号难伪造太多。 微软怕直接停用搞崩企业业务,特意做了三步缓冲计划。 第一步先在Win11 24H2和Server2025里上线增强版审计工具,帮企业管理员摸清当前网络里哪些应用和服务还在依赖NTLM,把依赖关系查得明明白白,避免盲目一刀切搞瘫业务。 第二步等到2026下半年,上线IAKerb和本地密钥分发中心,专门解决域控制器连接受限、本地账户验证这些顽固问题,把对NTLM的硬依赖彻底拔掉。 第三步等前两步都落地,下一代Windows Server版本直接默认禁用NTLM,管理员虽然还能手动重新开启,但系统会优先用新机制处理旧版场景,慢慢把老协议彻底边缘化。 这次淘汰计划不是微软突然发难,而是被逼出来的安全升级,企业现在就得动起来,赶紧部署审计工具,把应用依赖图谱画清楚,先在非生产环境跑一遍禁用后的效果,别等最后手忙脚乱。 你们公司现在还在靠NTLM做验证吗?会不会担心升级的时候踩坑?来评论区聊聊吧!
