微软公司近期启动了一个大动作,要给操作系统底层的安全机制来次彻底的升级。在这个网络安全威胁花样翻新、大家都忙着数字化的大环境下,咱们用的那些老技术实在是有些跟不上趟了。微软这回公布了个重要的计划,说以后Windows 11和Windows Server里面,那个叫NTLM的协议不再默认支持了。这NTLM可是个老资格了,它是上世纪九十年代初的产物,像在暗号一样互相确认身份,现在这招在复杂的网络里早就不灵了。 微软这次决定换成Kerberos这个新协议,这也是有备而来。NTLM太容易被人利用了,黑客能搞什么“中继攻击”,把系统骗到恶意服务器上去验证身份,拿到权限后整个网络都得遭殃。它还能通过哈希值传递来偷凭证、渗透内网拿数据。虽然微软一直在打补丁补漏洞,但总有新的空子被钻出来。 相比之下,Kerberos就安全多了。它像是现实中的票据核验模式,由可信的第三方发个有时间限制的电子票据,验证起来特别严。这么一换就是从那种容易被偷看的静态验证变成了动态的、有期限的强验证。不过呢,NTLM用了三十年了,早就扎进了全球无数企业的IT血脉里去了。 要是一下子全砍掉肯定不行,容易搞出兼容性问题让业务停摆。所以微软没那么激进,而是打算分三步走慢慢来:第一步是先去摸清家底(已经开始做了),用增强型的审计工具帮管理员把还在用NTLM的应用程序、服务和设备都找出来。第二步是解决那些硬骨头问题(计划2026年下半年推进),微软准备推IAKerb这些新功能来破解那些必须用本地账户验证或者把NTLM硬编码进去的遗留系统。第三步是彻底禁用NTLM(等到下一代Windows Server的主要版本里实施),以后系统默认就不用NTLM了。 这次升级可不是单纯换个技术那么简单,是告别旧时代、拥抱新时代的标志性动作。咱们都得跟着变一变了。对于全球那么多Windows用户来说,现在就得赶紧动起来去做内部评估、规划路线图、在测试环境里验证效果。只有厂家和用户一块使劲儿把这个槛跨过去,才能把升级带来的阵痛降到最低,一起筑牢数字世界的安全基石。