随着网络攻击手段不断升级,传统身份验证协议的安全漏洞日益凸显。微软近日宣布,将后续Windows 11与Windows Server产品中推动默认禁用NTLM(新技术局域网管理器)协议,逐步以Kerberos作为主要认证机制。 NTLM协议诞生于上世纪90年代,长期承担企业局域网与域环境中的身份验证任务。然而其基于挑战—响应的设计机制已难以应对当今对强认证、防重放、防冒用的安全需求,成为攻击链条中的薄弱环节。 从技术角度看,NTLM面临两类核心威胁。一是"中继"攻击,攻击者诱导受害设备向恶意端点发起身份验证,将合法认证过程转发至攻击者控制的环境,进而获取更高权限甚至控制域内资源。二是"哈希传递"攻击,攻击者获取NTLM哈希值后,无需明文口令即可模拟用户身份,在网络中横向移动并接近关键数据与核心系统。尽管厂商与安全社区持续修补加固,但围绕旧协议的变种攻击与绕过方式仍不断出现,涉及的漏洞也曾在多起安全事件中充当"突破口"。 相比之下,Kerberos依托可信第三方发放具备时效性的"票据",在防伪造、减少凭证复用各上具有更成熟的机制基础,符合企业对身份体系"最小信任、可追溯、可管控"的建设方向。 对政企机构而言,默认禁用NTLM将带来双重影响。一方面,安全基线有望明显提高,域环境中凭证被转发与复用的风险将大幅降低,有助于减少勒索软件与内网渗透等典型攻击的成功率。另一方面,历史遗留系统、老旧应用与部分设备可能仍依赖NTLM认证,贸然切换可能引发访问失败、服务中断、权限异常等连锁反应,影响业务连续性。多域、多森林、混合身份与跨网络边界的复杂环境中,认证路径更为多样,任何仓促切换都可能导致问题难以定位、恢复成本上升。 为降低迁移风险,微软提出分阶段推进方案。第一阶段重点是"摸底排查",在新版本中提供增强型NTLM审计能力,帮助管理员识别网络中仍使用NTLM的应用、服务与调用来源,形成可量化的依赖清单。企业应建立完整的资产与认证流量视图,明确哪些系统必须保留、哪些可以替换、哪些可通过配置改造迁移到Kerberos或更高强度机制。 第二阶段侧重"攻坚替代",通过引入相关功能组件以覆盖域控制器连接受限、本地账户验证等特殊场景,减少系统对旧协议的依赖,为难以迁移的应用提供过渡空间。 第三阶段将禁用策略推向默认化,在下一代Windows Server主要版本中把网络NTLM认证置于非默认选项。必要时管理员仍可通过策略临时启用,以保障特定场景下的兼容性与应急恢复。 从实施角度看,组织应尽快形成"三张清单、两类验证"。"三张清单"包括应用与服务对NTLM的依赖清单、关键业务与高风险系统的优先级清单、替代与改造路线图清单。"两类验证"包括在非生产环境开展禁用NTLM后的功能回归测试与权限一致性校验,在生产环境开展分批灰度切换与监测告警联动。对跨部门协作要求较高的机构,还需完善变更管理机制,将身份认证迁移纳入年度安全规划与IT治理流程,确保业务方、运维方与安全方共同评估风险与实施窗口。 业内普遍认为,推动淘汰旧认证协议是操作系统安全策略从"事后修补"转向"体系升级"的重要一步。随着零信任理念与身份安全建设加速推进,身份认证将更强调强制加密、可审计、可分级授权与持续验证。未来一段时间,"兼容性与安全性如何平衡"的议题仍将持续。一上,遗留系统改造成本客观存;另一上,攻击者往往优先选择薄弱环节,继续依赖旧协议意味着为对手保留可被规模化利用的入口。可以预见,随着产品策略逐步收紧,行业将加快更新替换节奏,安全投入也将更多向身份与访问管理、统一审计与自动化响应倾斜。
微软此次淘汰NTLM协议的决策,不仅是技术标准的更新换代,更是对数字经济时代安全挑战的积极回应。在全球网络安全形势日益复杂的背景下,该变革或将推动整个行业加速向更安全、更可靠的身份验证体系迈进。对企业而言,及早规划、主动适应这一变化,将是确保业务连续性和数据安全的关键。