微軟公司近期對支持文檔進(jìn)行了更新，公布了一項重要的安全策略調(diào)整。從Windows 11的24H2版本和Windows Server 2025版本開始，微軟將正式移除NTLMv1認(rèn)證方式，這意味著在未來的Windows客戶端和服務(wù)器版本中，NTLMv1將不再被支持。

早在2023年10月，微軟就曾宣布了一項過渡計劃，旨在逐步淘汰NTLM身份認(rèn)證，并推動企業(yè)和用戶轉(zhuǎn)向Kerberos認(rèn)證方式。Kerberos作為一種更為安全的認(rèn)證協(xié)議，受到了廣泛的認(rèn)可和應(yīng)用。

為了實現(xiàn)這一過渡，微軟采取了多項關(guān)鍵措施。一方面，他們積極擴(kuò)展Kerberos的應(yīng)用場景，特別是在Windows 11系統(tǒng)中，引入了IAKerb和本地KDC，使得Kerberos能夠在多樣化的網(wǎng)絡(luò)拓?fù)洵h(huán)境和本地賬戶環(huán)境中進(jìn)行身份驗證，大大提升了系統(tǒng)的安全性和靈活性。

另一方面，微軟對現(xiàn)有的Windows組件進(jìn)行了全面的優(yōu)化和升級。他們修復(fù)了那些內(nèi)置了NTLM硬編碼的組件，將這些組件的認(rèn)證方式轉(zhuǎn)變?yōu)镹egotiate協(xié)議。通過這一轉(zhuǎn)變，這些組件服務(wù)不僅能夠支持Kerberos認(rèn)證，還能在本地和域賬戶環(huán)境中使用IAKerb和LocalKDC進(jìn)行驗證，從而實現(xiàn)了與NTLM的無縫對接和替代。

NTLM是微軟開發(fā)的一種專用協(xié)議，它基于挑戰(zhàn)/響應(yīng)模型來認(rèn)證用戶和計算機(jī)。通過這種模型，客戶端的身份可以得到驗證，而無需在網(wǎng)絡(luò)上發(fā)送口令或散列的口令。然而，隨著技術(shù)的發(fā)展和安全需求的提升，NTLMv1已經(jīng)逐漸顯露出其局限性，微軟此次的決策無疑是對這些挑戰(zhàn)的積極回應(yīng)。

微軟還提供了詳細(xì)的遷移指南和支持，幫助企業(yè)順利過渡到Kerberos認(rèn)證方式。他們鼓勵企業(yè)盡早制定遷移計劃，并充分利用微軟提供的資源和工具，以確保遷移過程的順利進(jìn)行。