Windows 11 和 Windows Server 2025 中棄用 NTLM 協議
去年 12 月,微軟宣佈在 Windows 11 24H2 和 Windows Server 2025 中逐步淘汰 NT LAN Manager (NTLM) 協定。這項重大舉措表明 NTLM 已停止積極開發,支持力度將逐漸減弱,最終將被移除。鑑於該協議在當今安全環境下的脆弱性,微軟強烈建議過渡到更現代的身份驗證方法,例如 Kerberos。
NTLMv1 刪除與指導文章
作為此次過渡的一部分,NTLMv1 已從 Windows 11 24H2 和 Windows Server 2025 中被淘汰。作為回應,微軟發布了一系列指導文件,旨在幫助 IT 專業人員和系統管理員適應這些變化。
7月,一篇詳細介紹NTLM審計修改的支援文章發布。此審計功能對於識別組織內部NTLM的使用至關重要,同時也承認一些實體仍然依賴這種傳統的身份驗證方法。此類工具的可用性對於管理所涉及的安全隱患至關重要。
配置說明
本指南進一步探討了管理員如何透過兩個新的群組原則來設定 NTLM 設定:用於用戶端和伺服器設定的「NTLM 增強日誌記錄」以及用於全面網域日誌記錄的「記錄增強網域範圍的 NTLM 日誌」 。
欲了解更多信息,您可以訪問 Microsoft 網站上KB5064479下的完整支援文章。
Credential Guard 的新註冊表項
除了審計指南之外,微軟還引入了有關 Credential Guard 審計和執行的新註冊表項的詳細資訊。此功能利用基於虛擬化的安全性 (VBS),在保護憑證免遭盜竊方面發揮著至關重要的作用,從而保護 NTLM 密碼雜湊。
註冊表項資訊
| 註冊表位置 | HKLM\SYSTEM\currentcontrolset\control\lsa\msv1_0 |
|---|---|
| 價值 | BlockNtlmv1SSO |
| 類型 | REG_DWORD |
| 數據 |
|
變更推出時間表
微軟也概述了實施這些變更的時間表:
| 日期 | 改變 |
|---|---|
| 2025年8月下旬 | 在 Windows 11 版本 24H2 或更新的用戶端上啟動 NTLMv1 使用情況的審核日誌。 |
| 2025年11月 | Windows Server 2025 的變更開始推出。 |
| 2026年10月 | BlockNtlmv1SSO登錄項目的預設設定將透過未來的 Windows 更新從審核模式 (0)切換為強制模式 (1),從而提升對 NTLMv1 的限制。此變更僅在未使用BlockNtlmv1SSO登錄項目的情況下才會實施。 |
如需更多見解,請參閱Microsoft 官方平台上 KB5066470 下的支援文章。
發佈留言