微軟計畫關閉Windows 11中的NTLM

微軟上周透露，將逐漸減少於Windows 11中使用New Technology LAN Manager（NTLM）身分驗證安全協定的必要性，最終將於Windows 11中關閉NTLM。

NTLM是微軟於1990年代所推出的安全協定，是個基於挑戰與回應的身分驗證協定，讓Windows用戶可向遠端系統證明自己的身分。此一早期技術存在許多安全風險，微軟也在2000年以新的Kerberos作為Windows的預設身分驗證協定，但在某些無法使用Kerberos的場景時，仍可回歸至NTLM。

NTLM具備許多優勢，包括與網域控制器之間不需本地端網路連結，是使用本機帳戶時唯一支援的協定，在不知目標伺服器時也能運作等，而讓一些應用程式或服務直接硬編碼NTLM，而不使用其它較安全的協定。然而，隨著諸如ShadowCoerce或PetitPotam等各種可繞過NTLM之中繼攻擊的現身，微軟開始擴張Kerberos的能力，以讓它支援部分的NTLM特性，降低組織對NTLM的需求。

其中的IAKerb允許客戶在更為異質的網路拓撲中以Kerberos進行身分驗證，它利用Negotiate驗證擴充功能，並允許Windows驗證堆疊來代理Kerberos訊息。另也於本機電腦的安全帳戶管理員中建立了Kerberos的金鑰分配中心（Key Distribution Center，KDC），以讓使用者可以透過Kerberos來完成本機使用者帳號的遠端身分驗證。

此外，微軟也正修補既有Windows元件中硬編碼NTLM的實例，讓這些元件使用Negotiate協定，就可以Kerberos取代NTLM。

微軟表示，上述的所有變更都將成為Windows 11的預設值，在大多數的情況下不需要特別配置，而NTLM也會繼續成為Kerberos無法運作時的替代選項，以維持相容性。

除了新增Kerberos的功能，微軟亦延伸NTLM的管理控制能力，以讓管理人員得以更靈活地追蹤與封鎖環境中所使用的NTLM。

微軟的種種減少NTLM使用情境的措施，都是為了達到於Windows 11中關閉NTLM的最終目的，將採行資料驅動的作法並監控NTML的使用量，以決定何時才是關閉NTLM的安全時機。不過，就算於預設中關閉了NTLM，微軟亦會新增控制選項以讓組織於必要時啟用NTLM。