微软官方宣布放弃NTLM协议 禁用NTLM认证协议

微软近日更新了官方支持文档，宣布停止开发包括LANMAN、NTLMv1和NTLMv2在内的所有NTLM版本，并已经完全废弃该身份认证协议。根据微软安全官方博客的最新消息，在下一个年度更新和Windows Server更新中，用户可以继续使用NTLM协议，但后续调用NTLM将替代调用Negotiate，并优先使用Kerberos进行身份验证。

微软为实现这一目标主要进行了两项重要工作：首先是在Windows 11系统中引入了IAKerb和本地KDC，以扩展Kerberos的应用场景。其次是对现有Windows组件中内置的NTLM硬编码组件进行了修复，转而使用Negotiate协议，并通过迁移到Negotiate协议来支持本地和域账户使用IAKerb和LocalKDC验证。

NTLM是一种基于挑战/响应模型认证用户和计算机的身份认证协议，使用挑战/响应模型来证实客户端的身份，在Windows NT系列产品中被广泛使用。然而，随着技术的发展以及安全性要求的提高，微软决定不再开发并废弃该身份认证协议。

相关阅读：

《微软计划在Win11中禁用NTLM身份验证协议》

《微软计划下半年在Win11中弃用NTLM身份验证协议》