问题——身份验证“老协议”成为攻击链薄弱点。微软近日公布安全策略调整方向,明确将未来的 Windows 11 及 Windows Server 版本中,逐步减少并最终在网络环境下默认禁用 NTLM 身份验证。NTLM 诞生于上世纪90年代,长期是企业网络账户验证的重要机制之一。但在当前攻防对抗加剧的环境下,NTLM更容易被攻击者纳入渗透链条:攻击者可通过诱导或转发认证请求实施“中继”,或窃取哈希后进行“哈希传递”——从而模拟合法用户提升权限——继而在域内横向移动并获取敏感数据。对企业而言,一旦域认证环节被突破,往往意味着核心系统与数据将面临连锁风险。 原因——历史兼容与现实威胁叠加,推动体系升级。NTLM在早期计算环境中更强调易用与兼容,但其设计与当下零信任、最小权限等安全原则存在差距。尽管厂商持续修补并提供缓解措施,仍不断出现可绕过既有防护的利用方式,一些漏洞与工具链也让攻击成本更低、隐蔽性更强。相比之下,Kerberos作为更现代的认证协议,引入由可信第三方发放且具时效性的“票据”机制,在降低伪造风险与减少凭据滥用上更具优势,也更契合大型组织对统一身份、集中管控与审计追踪的需求。在远程办公普及、供应链关联加深的现实环境下,弱口令、凭据重用与凭据窃取的影响更易被放大,升级认证体系成为降低风险的关键环节。 影响——安全收益明确,但迁移成本与业务连续性需统筹。默认禁用 NTLM 将直接改变部分组织的认证路径,尤其是在存在遗留系统、老旧应用、特殊设备或“硬编码”调用的网络中。短期内,企业可能面临兼容性排查、应用改造、策略调整与运维培训等压力;处置不当还可能带来访问失败、服务中断或跨系统联动异常。中长期来看,一旦以 Kerberos 为核心的认证体系稳定运行,有望显著收敛基于 NTLM 的常见攻击面,降低域内凭据被滥用的概率,提升整体安全基线与合规水平,并倒逼组织逐步清理长期“带病运行”的老旧资产与配置。 对策——以“三步走”降低切换冲击,先摸清依赖再分段替换。微软提出的路线强调循序推进:第一阶段以“审计”为先,通过在有关版本中部署增强型 NTLM 审计能力,帮助管理员识别网络内哪些应用、服务和设备仍在调用 NTLM,形成可量化的依赖清单。该环节决定迁移能否平稳落地:只有把依赖关系、访问路径、调用频次和业务重要性梳理清楚,才能避免“一刀切”影响关键系统。第二阶段以“过渡”为重点,微软计划在 2026 年下半年引入 IAKerb、本地密钥分发中心等关键能力,旨在缓解域控制器连接受限、本地账户验证需求以及部分核心组件长期依赖等难点,为替代 NTLM 提供更可落地的技术路径。第三阶段进入“默认禁用”落地期,在下一代 Windows Server 主要版本中将网络 NTLM 设为默认关闭,同时保留策略手段供管理员在必要时有限启用,并通过系统机制尽可能覆盖遗留场景,推动组织完成从“勉强可用”到“安全优先”的迁移闭环。 前景——身份安全将从“补漏洞”转向“强机制”,企业需提前布局。随着攻击者越来越多地利用认证环节打通内网,身份与访问管理正成为安全投入的关键战场。此次调整表达出明确信号:操作系统与服务器平台将持续抬升默认安全基线,历史兼容将更多让位于风险控制。对各类组织而言,当前窗口期适合重点推进三件事:一是尽快启用审计能力并建立应用依赖图谱,明确“必须改、可以替、可下线”的清单;二是在非生产环境开展禁用 NTLM 的演练与回归测试,完善应急回退与分级放行策略;三是同步推进目录服务治理、权限收敛、分段隔离与日志监测,将认证升级与整体安全架构优化兼顾。可以预期,随着相关能力逐步完善,更多场景将完成对旧协议的替代,企业网络的“默认不可信”以及“可验证、可追溯”能力将深入增强。
从33年技术寿命的收尾到新一代安全标准的建立,微软此次协议升级既是技术迭代,也是对数字化时代安全需求的直接回应;这也提醒各类数字化参与者:在效率与安全之间,持续改进机制、及时更新体系,才能降低长期风险并支撑业务发展。最终——越早完成升级与治理的企业——越可能在未来的安全竞争中占据主动。