微软宣布,在未来版本的 Windows 中将默认禁用旧版身份验证协议 NT Lan Manager 。该公司建议组织改用现代替代方案,例如 Kerberos 。在此淘汰的第一阶段,微软已从 Windows Server 2025 和 Windows 11 24H2 中完全删除了 NTLM 版本 1 。仍在使用的 NTLM 版本 2 在这些版本中被标记为 “过时” 。系统管理员还可以阻止 SMB 连接的 NTLM 。 SMB 是一种网络协议,用于在计算机之间共享文件、打印机和其他网络资源。
为了简化过渡,微软对多项服务进行了安全改进。例如,在 Exchange Server 2019 CU14 和最新的 Windows Server 2025 中默认启用身份验证扩展保护。此措施可防止所谓的 “NTLM 中继” 攻击,在这种攻击中,攻击者会拦截和滥用身份验证数据。 NTLM 的逐步淘汰是微软安全未来计划的一部分,该计划旨在加强 Windows 系统的默认安全性。该公司建议组织映射其对 NTLM 的依赖并制定迁移策略。
https://msrc.microsoft.com/blog/2024/12/mitigating-ntlm-relay-attacks-by-default/
