哎,聊到那个Windows的安全验证体系升级啦,老协议马上就要彻底退休咯。话说三十三年前,也就是1993年的时候,NTLM(New Technology LAN Manager)这个协议就开始用了,结果现在已经被微软给盯上了。就在当地时间1月30日,微软在官方博客上发了个公告,说以后Windows 11和Windows Server里要慢慢不给NTLM用了,全换成基于Kerberos标准的新东西。这NTLM呢,其实就是早期的网络验证技术,相当于大家互相比对口令那一套。虽然后来修修补补了不少次,但是它的安全底子太差,漏洞百出。尤其是那种中继攻击、哈希传递攻击什么的,只要密码被偷了,黑客就能伪装成合法用户去渗透数据,太危险了。最近爆出来的PetitPotam、ShadowCoerce这些漏洞,更把NTLM的局限性给暴露无遗。 相比之下,Kerberos就好多了,它是用一个叫“票据”的东西来验证身份。这个票据是有时间限制的加密文件,比直接对口令安全多了。微软这次换新协议,不仅是为了保护系统安全,更是要跟上“零信任”的大趋势,从被动防守变成主动防御。为了让大家顺利过渡,微软搞了个三年计划。第一阶段现在已经开始了,Windows Server 2025和Windows 11 24H2里已经有了增强型的NTLM审计工具。这个工具能帮企业查清楚系统里到底哪里还用着NTLM,为后面搬家做好准备。 第二阶段打算在2026年下半年开始。到时候会引入IAKerb(基于身份验证的Kerberos)还有本地密钥分发中心这些新技术。主要是解决域控制器访问受限、本地账户验证这些老问题。这些改动都是为了保证业务不停机。 第三阶段就是把网络级别的NTLM验证默认给关了。虽然管理员还能手动开后门,但系统主要会靠自己的机制来处理那些特少数兼容的情况。从33年的技术积淀到现在系统性的革新,这次升级不光是换个标准那么简单,更是全球网络安全发展的一个缩影。在现在这个数字时代又到处是威胁的时候,主动淘汰旧东西、拥抱新标准已经成了科技企业的必然选择了。 对于咱们企业用户来说啊,早点开始系统审计、制定迁移方案才是最实在的事。这也是给未来的数字安全防线做投资呢。就像行里常说的:“最危险的漏洞往往藏在最熟悉的老代码里。”这次和过去几十年的旧技术告别啊,说不定能迎来一个更值得信赖的数字身份验证新时代呢!