文章总结： 微软宣布将分阶段在Windows中默认禁用存在30余年的NTLM协议，以终结其固有的加密缺陷及重放攻击等安全风险。该过渡计划旨在推动企业迁移至更安全的Kerberos身份验证机制，同时保留NTLM以确保向后兼容性。微软建议组织立即部署审计、梳理应用依赖并在非生产环境测试禁用配置，以平稳完成安全升级。 综合评分： 83 文章分类： 漏洞预警,网络安全,安全建设,终端安全

微软将默认禁用NTLM协议，终结30年高危身份验证漏洞

FreeBuf

2026年2月4日 18:06 上海

微软正在加速淘汰NTLM（新技术局域网管理器）这一已在Windows系统中存在三十余年的传统身份验证协议。该公司宣布将在未来Windows版本中通过分阶段路线图逐步减少、限制并最终默认禁用NTLM，这标志着Windows身份验证安全体系的重要演进。

NTLM长期以来作为Kerberos不可用时的备用验证机制。但由于协议年代久远且存在固有加密缺陷，使其容易遭受重放攻击、中继攻击和哈希传递攻击等安全威胁。

Part01

三阶段过渡路线图确保平稳迁移

随着现代安全威胁不断演变，NTLM对这些攻击向量的脆弱性给企业环境带来重大风险。微软决定默认禁用NTLM，反映了采用更强大、基于Kerberos的身份验证机制以符合当代安全标准的必要性。

过渡过程采用三阶段方案以最大限度减少对组织的干扰：

值得注意的是，微软将为仅支持NTLM的传统场景提供内置支持，最大限度减少对使用旧系统或定制应用程序的组织造成影响。

Part02

迁移期间保持向后兼容性

微软强调，默认禁用NTLM并不意味着完全移除该协议。在过渡期间，NTLM仍将保留在操作系统中，必要时可通过策略重新启用，确保持续的向后兼容性。这种方案在实质性安全改进与实际组织需求之间取得了平衡。

微软建议各组织立即着手准备，包括部署增强型NTLM审计、梳理应用程序依赖关系以及将工作负载迁移至Kerberos。同时应在非生产环境中测试禁用NTLM的配置。微软鼓励企业联合身份认证、安全和应用程序负责人共同确保平稳过渡。

对于存在特殊NTLM依赖场景的组织，微软已设立ntlm@microsoft[.]com作为联系渠道。这种分阶段、协作式的过渡方案将使Windows迈向更安全、无密码的未来，同时为企业环境保留支持的迁移路径。

参考来源：

Microsoft to Disable NTLM by Default as a Step Towards More Secure Authentication

Microsoft to Disable NTLM by Default as a Step Towards More Secure Authentication

#

#

#

推荐阅读

电台讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《微软将默认禁用NTLM协议，终结30年高危身份验证漏洞》