微软希望最终在Windows 11中禁用NTLM身份验证，提高系统安全性

20 多年来，各种版本的 Windows 一直使用 Kerberos 作为其主要身份验证协议。 但是，在某些情况下，操作系统必须使用另一种方法，NTLM（NT LAN Manager）。 今天，微软宣布正在扩大 Kerberos 的使用，并计划最终完全放弃 NTLM 的使用。

微软在一篇博客文章中表示，一些企业和组织继续使用 NTLM 进行 Windows身份验证，因为它“不需要与域控制器的本地网络连接”。 它也是“使用本地帐户时唯一支持的协议”，并且“当您不知道目标服务器是谁时可以使用”

微软表示：

问题是，虽然企业可以关闭 NTLM 进行身份验证，但那些硬连线的应用程序和服务可能会遇到问题。 这也是微软向 Kerberos 添加两个新的身份验证功能的原因。

一种是使用 Kerberos (IAKerb) 进行初始和直通身份验证，这将允许“没有域控制器视线的客户端通过有视线的服务器进行身份验证”。 另一个是 Kerberos 的本地密钥分发中心 (KDC)，它增加了对本地帐户的身份验证支持。

正在进行这些更改，以便从长远来看，Kerberos 将成为唯一的 Windows 身份验证协议。 微软表示：

一旦做出决定，微软将首先默认禁用 NTLM，但企业可以重新启用它，以防遇到兼容性问题。 微软尚未公布这一切何时发生的具体时间表。