微软在 Windows 11 中引入 Kerberos 以增强安全性

关键要点

• 微软确认将用 Kerberos 取代 NT LAN Manager 以强化身份验证和安全措施。
• Windows 11 将支持以 Kerberos 进行初始和透传认证，提升网络拓扑中的验证能力。
• 设备将获得本地密钥分发中心的功能，支持本地帐户的 Kerberos 验证。
• NTLM 的硬编码实例正在被处理，以便在过渡到 Kerberos 时确保系统兼容性。

在加强防范中继攻击和未授权网络访问的努力中，微软确认将在 Windows 11中使用替换 NT LAN Manager， 报道称。运行 Windows 11 的设备很快将更新为支持以 Kerberos 进行初始和透传认证的新功能，这将允许针对各种网络拓扑进行
Kerberos 认证。此外，微软还将在本地提供 Kerberos 的密钥分发中心，这将使得本地帐户能够获得 Kerberos 支持。

微软正致力于解决许多硬编码的 NTLM 实例，以便在完全停用 NTLM 之前推进 Kerberos的使用。微软企业与安全高级产品管理负责人马修·帕尔科（MatthewPalko）表示：“所有这些更改将默认启用，且大多数情况下无需进行额外配置。同时，NTLM 仍将可用，以保留现有的兼容性。”

进一步的思考

随着网络安全威胁的不断演化，用更安全的协议取代旧有体系是确保计算环境安全的关键一步。Kerberos的引入不仅有助于提升防范能力，还能改善用户体验，因为许多更改将无需用户手动配置。接下来的更新将是 IT 管理者及普通用户需要注意的重要趋势。