33年老协议谢幕!Win11 正式启动 NTLM 淘汰计划
33年老协议谢幕!Win11 正式启动 NTLM 淘汰计划
- 4.1 阶段 1(现在):先把依赖点“照出来”
- 4.2 阶段 2(2026 年下半年):解决“硬依赖 NTLM”的场景
- 4.3 阶段 3(未来主版本):默认禁用网络 NTLM
- 5.1 盘点(1~2 周):把 NTLM 依赖“拉清单”
- 5.2 修正(2~6 周):把 Kerberos 路跑通(80%问题在基础设施)
- 5.3 隔离(灰度):先在“非生产”禁用验证
- 5.4 固化(上线):形成长期安全基线
- 参考资料
# 1、我先给结论:这次不是“升级”,是“认证体系换代”
这条消息的核心只有一句话:
- 未来 Windows 将进入“默认不再使用网络 NTLM”的安全基线,系统会优先走 Kerberos 等更安全方案;NTLM 不会立刻从系统中“消失”,但会被默认阻断/不再自动使用。 (TECHCOMMUNITY.MICROSOFT.COM)
对企业来说,这意味着两件事必须马上做:
- 先摸清:哪些系统/应用还在用 NTLM
- 再迁移:把“硬依赖 NTLM”的场景改到 Kerberos/新能力上
# 2、为什么 NTLM 必须退役?它已经是攻击“高频入口”
NTLM 的问题不在“老”,而在“它太容易被当作横向移动的通道”。
常见风险点我只提你需要记住的三类(够你在会议里拍板):
- 中继(NTLM Relay):把你的一次认证“转发”到别处,攻击者借机接管域资源
- 哈希传递(Pass-the-Hash):不需要明文密码,拿到哈希就能模拟身份
- 长期遗留依赖:打印/文件共享/老 NAS/旧业务系统,往往是“最后一公里”死活拔不掉
一句话:只要 NTLM 还在被频繁使用,攻击面就会长期存在。(Windows Central)
# 3、Kerberos 为什么更安全?关键是“票据 + 第三方可信”
我用最白话的方式解释 Kerberos:
- NTLM 更像“对暗号”
- Kerberos 更像“拿临时通行证(票据)进门”
Kerberos 依赖 KDC 发放有时效的票据,系统验证的是“票据是否可信、是否过期、是否匹配”,伪造难度更高。(TECHCOMMUNITY.MICROSOFT.COM)
我用一张图讲清流程:
票据是“短命”的,再叠加加密与时间戳机制,整体抗攻击能力明显更强。
# 4、微软“三阶段淘汰路线图”:你该怎么跟进
微软给了非常明确的三步走节奏(我按“你该做什么”来翻译):
4.1 阶段 1(现在):先把依赖点“照出来”
Windows 11 24H2 与 Windows Server 2025 已增强 NTLM 审计,能回答Who / Why / Where(谁在用、为什么走 NTLM、在哪里发生)。(support.microsoft.com)
日志位置(重点记住这个路径):
事件查看器 → Applications and Services Logs → Microsoft → Windows →NTLM → Operational(support.microsoft.com)
我常用两条命令快速看最近日志(桌面运维必备):
# 1) PowerShell 读取 NTLM Operational 日志(最近50条)Get-WinEvent-LogName"Microsoft-Windows-NTLM/Operational"-MaxEvents 50|Select-ObjectTimeCreated,Id,LevelDisplayName,Message|Format-List# 2) wevtutil 快速查看(适合远程/脚本化)wevtutil qe"Microsoft-Windows-NTLM/Operational"/c:30/f:text同时建议把“仅审计”类策略先打开(不影响业务,只收集证据):
- Network security: Restrict NTLM: Audit incoming NTLM traffic(learn.microsoft.com)
4.2 阶段 2(2026 年下半年):解决“硬依赖 NTLM”的场景
微软计划提供IAKerb与Local KDC(本地 KDC,预发布),用来处理:
- 域控不可达导致的回退
- 本地账户认证不得不走 NTLM 的场景
(TECHCOMMUNITY.MICROSOFT.COM)
4.3 阶段 3(未来主版本):默认禁用网络 NTLM
未来 Windows Server 主要版本中,网络 NTLM 默认禁用,需要时只能靠策略显式开启。(BleepingComputer)
# 5、我给企业/桌面运维的“可落地迁移清单”(照着做就行)
我把迁移拆成 4 张表的思路(你写 SOP/汇报都非常好用):
5.1 盘点(1~2 周):把 NTLM 依赖“拉清单”
- 从 NTLM Operational 日志导出:应用/进程/账号/目标服务器/IP
- 业务系统分级:必须保留/可改造/可替换
- 依赖类型标注:SMB/打印/HTTP/数据库/第三方设备(NAS等)
5.2 修正(2~6 周):把 Kerberos 路跑通(80%问题在基础设施)
重点检查四件事(我现场排障经常就卡这里):
- DNS:解析是否正确、是否存在旧记录
- 时间:客户端/服务器/域控时间是否一致(Kerberos 对时间敏感)
- SPN:服务是否有正确 SPN
- 服务账户:权限与委派是否合理
时间检查命令:
w32tm/query/status5.3 隔离(灰度):先在“非生产”禁用验证
建议做法(稳):
- 先选一个业务影响小的成员服务器做试点
- 只改“Incoming NTLM”(避免对外部未知系统造成连锁反应)
- 观察 1~2 周,修完再扩大范围
策略项(先审计再阻断):
- Audit incoming NTLM traffic(只记录不阻断)(learn.microsoft.com)
- Incoming NTLM traffic(开始阻断)(learn.microsoft.com)
5.4 固化(上线):形成长期安全基线
- 统一 GPO 基线、纳入变更流程
- 日志集中化(SIEM/日志平台)
- 对“必须 NTLM 的遗留系统”加隔离网段/访问控制/最小权限
# 6、最容易踩坑的三类场景(我建议你优先排查)
我建议你优先盯这三类(命中率最高):
- 打印/扫描/老 MFP:驱动/认证方式老,常常只会 NTLM
- 文件共享/NAS:老 NAS 或 SMB 配置不完整,Kerberos 跑不起来
- 旧系统/旧中间件:老 .NET/老 Web 服务/老 ERP 集成模块
我的经验:不要急着“全域一键禁用”,先审计把名单拉出来,否则就是事故。
# 7、总结:我建议你今天就做这 3 件事
- 开审计:把 NTLM Operational 日志跑起来,拿到 Who/Why/Where (support.microsoft.com)
- 画依赖图:按系统分级,明确哪些能改、哪些要替换
- 做灰度禁用:先从小范围试点,验证无业务中断再扩大
一句话收尾:NTLM 的退场是确定的,差别只在你是“主动迁移”,还是“被动中断”。(TECHCOMMUNITY.MICROSOFT.COM)
参考资料
Microsoft Tech Community(官方):Advancing Windows security: Disabling NTLM by default https://techcommunity.microsoft.com/blog/windows-itpro-blog/advancing-windows-security-disabling-ntlm-by-default/4489526 Microsoft Support(官方):Overview of NTLM auditing enhancements in Windows 11 24H2 and Windows Server 2025 https://support.microsoft.com/en-us/topic/overview-of-ntlm-auditing-enhancements-in-windows-11-version-24h2-and-windows-server-2025-b7ead732-6fc5-46a3-a943-27a4571d9e7b Microsoft Learn(官方):Network security: Restrict NTLM(Audit/Incoming) https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/network-security-restrict-ntlm-audit-incoming-ntlm-traffic https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/network-security-restrict-ntlm-incoming-ntlm-traffic BleepingComputer(报道):Microsoft to disable NTLM by default in future Windows releases https://www.bleepingcomputer.com/news/microsoft/microsoft-to-disable-ntlm-by-default-in-future-windows-releases/⬆️ 返回顶部