把NTLM这一用了30多年的老身份验证协议换掉,微软最近开始了行动。这事之所以要动真格,全是因为全球的数字化转型搞得热火朝天,网络威胁也变得越来越吓人。作为核心软件的底层安全,要是再不升级,那肯定是不行的。就在大家都还没反应过来的时候,微软公司突然发了通告,说要在未来的Windows系统里把NTLM给淘汰掉,让大家默认用更安全的Kerberos协议。虽然NTLM早在1993年就诞生了,以前在局域网里帮过大忙,但随着技术飞速发展,它那套“对暗号”的工作方式已经被证明不靠谱了。现在的黑客太狡猾了,老是用中继攻击或者哈希传递这些手段来骗系统跟他们做认证,结果就是系统权限被偷跑、敏感数据被带走。微软虽然一直在打补丁堵漏洞,但一些新花样还是能钻空子进去。 跟NTLM比起来,Kerberos可是个现代派的身份验证体系。它给大家发的是有时间限制的票据,还得通过一个叫KDC的可信第三方来盖章。这种机制太难伪造了,能把中间人攻击之类的坏事儿都挡在外面。既然大家都已经在用Kerberos了,微软这次下决心全面换掉NTLM,其实也是顺应潮流、让整个生态变得更结实的一步大棋。考虑到现在全世界的企业IT环境里都有大量老代码还在用NTLM撑着,微软也没想一下子就把它完全废掉。他们这次定了个三年的过渡计划,步子迈得挺稳。 眼下的第一阶段就是先把账算清楚。Windows Server 2025和Windows 11 24H2这两个版本里都有了增强版的审计工具。企业管理员可以用它们去仔细扫描自己的网络和应用程序,看看到底哪些地方还在死死咬住NTLM不放。把这些依赖关系图画清楚是迁移成功的第一步,这样接下来才能想办法替代它们而不搞乱生意。 到了2026年下半年的第二阶段就是干活的时候了。这时候微软会推出一些关键功能去解决那些最难啃的硬骨头。比如那种连不上域控制器、或者还得用本地账户验证的特殊环境怎么办?微软搞了个叫IAKerb的技术专门来对付这种情况。还有那种老系统里硬编码了NTLM协议的核心代码也不好办?新的本地KDC功能就提供了一条过渡的路,让大家慢慢把对NTLM的强制性依赖给去掉。 等前两阶段铺垫好了,第三阶段就是最后一刻了。微软打算在Windows Server的下一个大版本里直接把基于网络的NTLM默认禁用掉。以后系统主要靠Kerberos来处理所有的验证请求。虽然为了兼容极个别老古董还能手动把NTLM给开回来,但微软已经明确说了,默认的安全状态就是彻底不用这玩意儿了。 这事儿绝不是随便换个协议那么简单。它反映出在这个网络安全危机天天来的时代里,大公司得主动加固数字世界的防线才行。这次跨越30多年的大迭代逼着全世界的企业、机构甚至政府部门都得提前准备起来,好好看看自己的IT基础设施有没有问题。对于整个信息技术圈子来说,这既是一次大家一起提升安全能力的升级运动,也是为了建一个更让人信得过、更稳固的未来打下的基础。 虽说微软给了个三年的缓冲期动作宜早不宜迟。积极拥抱这次改变不光是为了提升自己的防御水平,更是为了跟着技术的规矩走、让数字经济能稳稳当当地继续发展下去。