我给你说个事儿,微软打算把用了三十年的NTLM协议给换了,这可是安全验证体系的一次大升级。他们决定以后的Windows 11和服务器版本都默认用Kerberos协议,IAK和IAKerb这些过渡技术也会在明年下半年给大伙用上。为啥非要换呢?因为现在网络攻击太复杂了,NTLM那种挑战应答的老机制已经不行了,老是被人偷凭证。像PetitPotam和ShadowCoerce这种漏洞,光打补丁根本拦不住。相比之下,Kerberos用第三方发票据的办法安全性高多了。 为了不让大家在过渡期出乱子,微软搞了个三年分三步走的计划。第一阶段就是先审计一下,看看大家现在的业务系统到底有多依赖NTLM。第二阶段要等到2026年下半年才动手,那时候主要解决域控制器连接这些问题。等到第三阶段的Windows Server版本出来了,就彻底把网络NTLM验证关了,以后就只认Kerberos了。 业内人都说,这可不是简单地换个协议,而是整个安全治理思路的转变。对于那些还在用Windows生态的企业来说,现在得赶紧开始做兼容性测试和架构评估了,不然业务肯定会断。这次升级不光是微软的事,还会带动整个行业在身份管理和访问控制上的技术进步。从1993年用到现在的技术换成了现代标准,微软这一步走得挺必要的,也算是给全球数字基建加了把劲儿。现在数字化和安全这两件事分不开了,只有靠前瞻性的技术布局和系统化的迁移策略,咱们才能建起那种既管用又抗造的网络防线。