微软最近推出了一个大动作,要把那个1993年就开始用的NTLM协议给淘汰掉,这可是个33年的老技术了。虽然微软一直在补补丁,像PetitPotam和ShadowCoerce这些漏洞还是能钻空子。现在微软觉得,不能老修修补补了,得把架构给重新搞一下。他们决定用IAKerb和Kerberos这样的新东西来代替NTLM。 为啥要换呢?因为NTLM这个老协议有大问题。以前大家都是用口令来验证身份的,服务器和客户端交换一下加密过的哈希值就算数了。但现在的黑客手段太厉害了,他们能把这些哈希值直接偷走,或者假装成服务器让你去验证,这样就把控制权抢走了。 跟NTLM比起来,Kerberos安全多了。它是用票据来验证的,还有时间限制,很难被破解。不过全球好多企业还在用NTLM呢,一下子全换掉肯定不行。所以微软分了三步来走:第一步是从2024年到2025年,先查清楚哪些地方还在用NTLM;第二步是2026年下半年搞技术攻坚;第三步就是把NTLM彻底关掉。 在2025年发布的Windows Server 2025和Windows 11 24H2版本里,微软已经装上了工具帮大家找NTLM的影子。等到2026年下半年,他们还要推IAKerb和本地密钥分发中心这些关键技术,把以前的遗留问题都给解决了。到时候再把新的Windows Server主要版本发出来,默认就禁用NTLM了,只有特殊情况才让管理员手动启用一下。 这不仅仅是产品升级这么简单了,这是全球数字安全生态的大换血啊。从33年的技术周期更替能看出来,咱们现在是从“修修补补”进入了“重新搭建架构”的时代了。对企业来说这既是机会也是挑战。现在数字经济和实体经济结合得这么紧密,基础软件要是不安全了,会影响到各行各业的发展韧性的。只有主动去拥抱新技术革新,规划好迁移的路数才行啊!