文章总结： 微软宣布分阶段淘汰易受攻击的NTLM协议，计划2026年下半年减少使用并在未来版本默认禁用，转而采用更安全的Kerberos机制。企业应立即部署审计以识别依赖关系，将工作负载迁移至Kerberos，并在非生产环境测试禁用配置，尽管NTLM仍可手动启用以确保兼容性。 综合评分： 80 文章分类： 漏洞预警,网络安全,终端安全,安全运营

微软将默认禁用 NTLM 身份验证，以提升身份验证的安全性

原创

ZM ZM

暗镜

2026年2月5日 12:00 北京

Windows 正在加速淘汰 NTLM（新技术局域网管理器）这种已存在三十多年的传统身份验证协议。

该公司宣布了一项分阶段的路线图，将在即将发布的 Windows 版本中逐步减少、限制并最终默认禁用 NTLM，这标志着 Windows 身份验证安全性的重大发展。

当 Kerberos 不可用时，NTLM 长期以来一直被用作备用身份验证机制。

然而，该协议年代久远且存在固有的加密缺陷，使其容易受到重放攻击、中继攻击和哈希传递攻击。

随着现代安全威胁的不断演变，NTLM 对这些攻击途径的脆弱性给企业环境带来了重大风险。

微软决定默认禁用 NTLM，这反映出需要采用更强大的、基于Kerberos 的身份验证机制，以符合当代安全标准。

过渡过程遵循三阶段方法，旨在最大限度地减少对组织的干扰。

| 阶段 | 时间线 | 重点关注 | 细节 | | — | — | — | — | | 第一阶段 | 现已上市 | 可视性和审计 | 显示 NTLM 在各个系统中的使用情况。 | | 第二阶段 | 2026年下半年 | 减少 NTLM 使用 | 在 NTLM 回退情况下启用 Kerberos。 | | 第三阶段 | 未来 Windows 版本 | 默认禁用 | NTLM 默认关闭，并支持旧版身份验证。 |

重要的是，微软将提供内置支持，以处理仅支持旧版 NTLM 身份验证的场景，从而最大限度地减少对拥有旧系统或自定义应用程序的组织的应用中断。

该公司强调，默认禁用 NTLM 并不意味着完全移除。

NTLM 将保留在操作系统中，如有必要，可通过策略重新启用，从而确保过渡期间的向后兼容性。

这种方法既能有效提升安全性，又能满足组织的实际需求。

各组织现在就应该开始着手准备，部署增强型 NTLM 审计、映射应用程序依赖关系，并将工作负载迁移到 Kerberos。

在非生产环境中测试禁用 NTLM 的配置。微软鼓励企业与身份、安全和应用程序负责人沟通，以确保平稳过渡。

对于面临特殊 NTLM 依赖场景的组织，微软已将 ntlm@microsoft[.]com 指定为联系点。

这种分阶段的协作方式使 Windows 能够朝着更安全、无密码的未来发展，同时保持对企业环境的支持性迁移途径。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM ZM《微软将默认禁用 NTLM 身份验证，以提升身份验证的安全性》