微软公司在这次升级计划中,决定把1993年推出的NTLM协议逐步淘汰。这次改变的原因是数字化发展让网络安全形势变得更加严峻,所以他们决定在Windows 11和Server版本里默认关闭NTLM,转而使用更安全的Kerberos协议。NTLM协议主要是基于挑战/应答模式来进行身份验证,曾在Windows域内的身份验证中起到关键作用。不过,随着网络攻击技术的提升,NTLM的局限性也越来越明显。它容易遭受中继攻击和哈希传递攻击等高级威胁。这次变革不仅仅是功能更新,而是对操作系统底层安全架构的一次大改动。相比于NTLM,Kerberos协议更现代、更健壮。Kerberos的核心机制是利用第三方密钥分发中心KDC来颁发具有时间限制的服务票据。这种集中式的验证方式大大增加了攻击者伪造或窃取凭证的难度。微软打算在2026年下半年启动技术攻坚与依赖解耦阶段,引入IAKerb和Local KDC等技术。这个阶段的目标是解决那些难以迁移的场景,比如域控制器网络访问受限、本地账户验证需求,以及对NTLM协议硬编码依赖的遗留系统。为了让广大企业和机构有足够的时间准备过渡,微软制定了三年期分阶段策略。第一阶段已启动,微软在最新版本中内置了增强型NTLM审计工具,帮助管理员摸清家底、识别依赖关系。最终,在下一代Server版本中,默认禁用网络级别的NTLM身份验证功能。管理员虽然可能还能通过组策略手动重新启用NTLM协议,但微软希望整个生态系统彻底告别它。这次决策超越了简单修补漏洞的范畴,致力于从根源上加固数字门禁系统。对于广大企业和机构来说,这既是一次挑战也是一个机会推动应用现代化。微软的这次升级计划对全球数以亿计的Windows设备和承载其运营的公共服务都有深远影响。为了确保平稳过渡并筑牢网络安全防线,积极响应微软路线图是关键之举。