微软终于决定将古老的NTLM身份验证协议添加到不推荐使用的功能列表中.
这一声明意味着那些拖着脚转到更安全的地方的管理员必须开始制定计划.
所有版本的NTLM(NT Lan Manager)的活跃功能开发现在已经停止,尽管该协议将持续一段时间.
微软表示:“在Windows Server的下一个版本和Windows的下一个年度版本中,NTLM的使用将继续有效.
”,“对NTLM的调用应该被协商的调用所取代,它将尝试使用Kerberos进行身份验证,只有在必要时才会使用NTLM.
”,NTLM的迹象已经出现有一段时间了.
微软在2023年10月的评估中直言不讳,尽管它承认仍有一些事情不能用Kerberos完成.
声明说:“我们的最终目标是彻底消除使用NTLM的需要.
”这是因为该公司在2024年4月的安全更新中打破了一些用户的身份验证协议.
在域控制器上安装更新后,NTLM流量可能会突然激增.
尽管Microsoft在5月14日的更新中解决了该问题,但该事件将提醒受影响的组织将其NTLM的使用编目.
正如REG读者所知,NTLM最早出现在1993年的Windows NT 3.1中.这是一个基本的挑战和响应系统,用户通过密码证明自己是谁.
它不需要到域控制器的本地连接,即使在目标服务器未知的情况下也可以工作.
然而,它的许多漏洞,包括一些相当弱的加密,使其成为攻击者的目标.
,NTLM的相对便利性导致它被硬编码到几个应用程序中,包括一些Windows组件.
Microsoft在2000年使Kerberos成为默认的Windows身份验证协议,但在无法使用Kerberos的情况下,操作系统仍可以退回到NTLM.
此后,Microsoft一直在努力消除或缓解这些情况,包括处理硬编码为使用NTLM的Windows组件.
该公司表示:“我们正在采取数据驱动的方法,并监测NTLM使用量的减少,以确定何时禁用它是安全的.
”该协议被添加到不建议使用的功能列表中,这意味着时间很快就会到来.®.