微软搞了个大动作,准备彻底换掉它用了快33年的NTLM协议。这回不是简单的修修补补,而是要动底层根基,让系统更安全。微软把1993年开始用的NTLM身份验证给淘汰了,未来的Windows 11和Windows Server,默认都用更安全的Kerberos协议。NTLM以前是个宝贝,靠挑战应答对暗号来干活。但现在的网络攻击太厉害了,像中继攻击、哈希传递攻击这种高级招数,NTLM挡不住。就算微软发了好多补丁,像PetitPotam这样的漏洞还是能绕过防线。反观Kerberos就不一样了,它有个第三方的KDC来管票证,用起来更健壮。 微软知道旧系统还在大量使用NTLM,突然换掉肯定会出岔子。所以他们定了个三年的路线图,慢慢过渡。第一阶段已经开始了,给最新的Windows Server 2025和Windows 11 24H2配了审计工具,帮管理员“摸家底”,看看哪些地方还在依赖NTLM。第二阶段定在2026年下半年启动,得用IAKerb和本地KDC这些新技术来解决硬骨头问题。等到第三阶段的时候,在下一代Windows Server的主要版本里,微软就要把NTLM默认关掉了。 这次变革挺彻底的,不仅是微软自己的事情,也影响到全球数不清的Windows设备。企业得赶紧跟上节奏,先从非生产环境开始测试验证。毕竟网络安全现在是国家战略的一部分了,微软这次动真格地升级底层软件架构,对构建一个清朗、可靠的数字空间有很大的示范作用。