随着网络安全风险不断上升,微软近日宣布一项重要调整:将在未来的操作系统版本中逐步淘汰已使用33年的NTLM身份验证协议;这个决定意味着微软将默认安全继续前移,也说明传统验证机制在当前环境下的风险已难以忽视。NTLM全称新技术局域网管理器,诞生于1993年,是微软早期的身份验证方案。其机制相对简单,类似双方“对暗号”确认身份。但在今天更复杂的网络条件下,这种设计暴露出明显短板,成为攻击者反复利用的入口。 当前,围绕NTLM的攻击手法不断出现。其中较常见的是NTLM中继攻击,攻击者可诱导设备向恶意服务器发起身份验证,从而提升权限,甚至接管整个Windows域。另一类高风险手段是“哈希传递”攻击:通过窃取NTLM哈希值伪装成合法用户,进而获取敏感数据并在网络内横向移动。尽管微软持续发布补丁缓解有关问题,但PetitPotam、ShadowCoerce等新漏洞仍可能绕过既有防护,反映出NTLM在协议层面存在先天缺陷,修补空间有限。 相比之下,Kerberos作为更现代的身份验证标准,整体安全性更高。它通过可信第三方机制发放具有时效性的“票据”,降低凭证被复用和伪造的可能,从设计上更适配当下的企业网络环境。 为确保切换过程可控,微软提出三阶段推进方案。第一阶段已启动:在Windows Server 2025与Windows 11 24H2中提供增强型NTLM审计工具,帮助管理员识别仍依赖NTLM的应用与服务。通过排查依赖关系,组织可据此制定迁移顺序与替代方案,降低因直接停用导致的业务中断风险。 第二阶段计划在2026年下半年推进。微软将引入IAKerb、本地密钥分发中心等关键能力,用于减少对NTLM的刚性依赖,重点解决域控制器连接受限、本地账户验证需求,以及部分核心组件中协议“硬编码”等长期问题,为替换提供更可落地的路径。 第三阶段将在下一代Windows Server主要版本中实现“默认禁用网络NTLM身份验证”。管理员仍可通过策略手动启用,但系统将更多依靠内置机制兼容旧场景,NTLM也将从默认与主流验证方式中逐步退出。 对企业用户来说,这既是一次迁移压力,也是一次提升窗口。企业应尽快启用审计工具,梳理业务系统对NTLM的依赖范围,形成明确的替换清单与时间表。同时,需要补齐团队对Kerberos原理与配置的理解,避免在权限、委派、时间同步等关键环节出现配置偏差。准备充分的组织更可能平稳完成切换;准备不足则可能在升级窗口期面临不可预期的中断风险。 从更宏观的角度看,微软的选择也契合全球安全治理方向:在威胁持续演化的背景下,企业与公共部门正在加速淘汰旧机制,转向更现代、更可审计、默认更安全的体系。主动完成底层安全能力更新,不仅能降低单点协议风险,也有助于提升整体信息系统的安全韧性。
身份认证看似发生在“登录的一瞬间”,却是网络安全的第一道关口;淘汰老旧协议、提升默认安全,是对攻防现实变化的直接回应。对企业而言,关键不在于是否“被动跟随”,而在于能否借此完成面向未来的基础能力升级:摸清资产与依赖,减少例外与兼容包袱,统一认证体系,强化审计与可追溯性,让安全从临时补丁走向长期、体系化建设。