微軟啟動NTLM淘汰計畫，分三階段推動Windows轉向Kerberos

微軟宣布採用三階段策略，逐步淘汰新技術區域網路管理員（NTLM）協定，目標是將 Windows 環境全面轉移至更安全的 Kerberos 驗證機制。

這項計畫已在兩年多前預告。由於 NTLM 容易遭受中繼攻擊，讓攻擊者有機會未經授權存取網路資源，NTLM 於 2024 年 6 月正式宣告棄用，不再接收更新。

NTLM 存在多重安全弱點

微軟技術專案經理 Mariam Gewida 指出，NTLM 最初是為了提供使用者驗證、完整性與機密性而設計的安全協定。然而隨著資安威脅演進，現今的安全標準已有所提升。NTLM 使用弱加密技術，容易遭受重播攻擊和中間人攻擊。

儘管已宣告棄用，微軟發現企業環境中仍普遍使用 NTLM。原因包括舊有系統相依性、網路限制，或應用程式邏輯無法支援 Kerberos 等現代協定。這讓組織持續暴露於重播、中繼和傳遞雜湊等攻擊風險中。

三階段淘汰策略

為了安全地推動轉移，微軟規劃了三階段策略，最終將 NTLM 設定為預設停用。

第一階段（現已推出）著重建立可見性與控管能力。透過強化的 NTLM 稽核功能，協助管理者了解 NTLM 仍被使用的位置與原因。

第二階段（預計 2026 年下半年推出）將處理遷移障礙，推出 IAKerb 和本地金鑰發佈中心（Local KDC）等功能，並更新 Windows 核心元件以優先採用 Kerberos 驗證。

第三階段將在下一版 Windows Server 及對應的 Windows 用戶端中預設停用 NTLM。若需重新啟用，必須透過新的政策控制機制明確設定。

邁向無密碼的未來

微軟將此次轉型定位為邁向無密碼、抗網路釣魚未來的重要一步。仰賴 NTLM 的組織需要進行稽核、盤點相依性、遷移至 Kerberos、在非正式環境測試停用 NTLM 的配置，並啟用 Kerberos 升級。

Gewida 強調，預設停用 NTLM 並非完全從 Windows 移除 NTLM，而是讓 Windows 以安全為預設的狀態交付。網路 NTLM 驗證將被封鎖且不再自動使用，作業系統會優先採用更安全的 Kerberos 替代方案。同時，透過即將推出的 Local KDC 和 IAKerb 等新功能，處理常見的舊有情境。

本文轉載自 TheHackerNews。