微软公司给NTLM这种老身份验证协议敲了个钉。他们打算把NTLM给逐渐停掉,让Windows系统不再默认用它。这次大动作是为了跟上数字时代的脚步,毕竟网络安全威胁越来越多,必须得给技术基础设施换个新皮。你说NTLM这东西有多老?它是1993年跟着Windows NT出来的,一晃眼都服务了三十多年了。可现在网络攻击技术也进化了,NTLM这种基于挑战-应答的老套路显得越来越脆弱。就像最近曝光的PetitPotam还有ShadowCoerce这两个漏洞,哪怕微软一直在修补丁,也架不住攻击者总能找到空子钻。 所以微软决定换个更稳当的方案,也就是用Kerberos。这协议厉害的地方在于它有个中央密钥分发中心管着,还给票据加了时间戳防重放攻击。其实Kerberos已经在企业里流行很久了,这次微软全面转向它,算是把大家伙儿的安全标准统一了。当然也不能一下子就把NTLM砍断了,那样太急眼容易出事。微软特意制定了三年的过渡期来缓冲。 这过渡分三步走:第一步是查家底。微软在Windows Server 2025和Windows 11 24H2里加了个审计工具,专门帮管理员扫描系统里还有哪些地方在用NTLM。这就像画了一张技术依赖图,知道了谁在拖后腿。 第二步是硬骨头攻坚。计划是在2026年下半年启动,微软要推IAKerb还有本地密钥分发中心这些新功能。这些东西就是为了对付那些用NTLM用习惯了、或者是硬件上已经把NTLM写死了的情况。 等到第三步也就是2026年下半年以后,只要技术准备妥当了,微软就把Windows Server新版本里的NTLM默认给关了。哪怕有些特别情况你想手动再开回去也行,但系统设计上会更优先让你用Kerberos这种新协议。 总之这就是一次对安全地基的大改造。从修修补补变成了重塑整个架构。对那些全球上百万的企业来说,这既是个挑战也是个机会。咱们得趁现在还没完全乱套的时候赶紧行动起来。网络安全的路还长着呢,但淘汰掉那些旧东西、把基础夯实好,肯定是通向更安全未来的必经之路。