吳明宜由於安全性問題頻傳,微軟正式宣佈將在接下來的 Windows 版本中,預設關閉擁有 30 年歷史的老牌驗證協定。
NTLM (NT LAN Manager) 是微軟於 1993 年在 Windows NT 3.1 中加入的驗證協定,用以取代更早期的 LM (LAN Manager) 協定。儘管從 Windows 2000 開始,Kerberos 已經取代 NTLM 成為連網裝置的主流技術,但 NTLM 仍多半作為舊版 Windows 機器的預設協定;即便在較新的電腦上,當 Kerberos 無法使用時,NTLM 依然是備用的替代方案。
然而,使用 NTLM 存在顯著的安全風險。自推出以來,NTLM 經常遭到中繼攻擊 (Relay Attacks),攻擊者強迫受害網路裝置連向惡意伺服器進行驗證以提升權限,進而取得整個 Windows 網域控制權。儘管如此,NTLM 仍廣泛應用於 Windows 伺服器上,這讓攻擊者得以濫用諸如 PetitPotam 、 ShadowsCoerce 、ÐFSCoerce 、 RemotePotatoo 等漏洞,繞過 NTLM 的防護機制並入侵企業網路。
此外,NTLM 也深受「雜湊傳遞 (pass-the-hash)」攻擊所害。攻擊者可利用漏洞或惡意程式竊取目標系統的 NTLM 雜湊,冒充合法使用者,使其得以竊取敏感資料,並在企業內部網路進行橫向移動。
微軟本週說明,預計在下一個 Windows Server 及相關的 Windows 用戶端版本中預設關閉 NTLM,以全面提升 Windows 系統的防護能力。微軟同時公佈了三階段移轉計畫:
第一階段:Windows 11 24H2 及 Windows Server 2025 將加入進階稽核工具,讓管理員得以清楚檢視哪個 IP 、哪台電腦及哪個使用者仍在使用 NTLM 。
第二階段:預計從 2026 年下半年開始,微軟將提供包括 IAKerb 和 Local Key Distribution Center 等新功能,解決可能觸發 NTLM 的情境需求。
第三階段:微軟將預設關閉網路 NTLM 。雖然暫時不會完全從 Windows 移除支援,但未來只有在管理員明確重新啟用的情況下,才能使用 NTLM 。
微軟強調,預設關閉 NTLM 並非將其從 Windows 中完全移除,而是讓 Windows 優先使用更新、更安全的 Kerberos 驗證,並預設封鎖網路 NTLM 驗證,不再自動使用它。同時,微軟將推出新功能如本地 KDC 和 IAKerb (pre-release) 來協助舊式應用程式運作。
事實上,微軟早在 2010 年後便呼籲開發人員在其 App 中停用 NTLM,建議管理員關閉 NTLM 或設定伺服器以 Active Directory Certificate Services (AD CS) 封鎖 NTLM,以避免相關攻擊。微軟於 2023 年 10 月首次宣佈將棄用 NTLM,並於 2024 年 7 月正式宣佈在 Windows 及 Windows Server 上讓 NTLM 退役,呼籲開發人員儘速轉向 Kerberos 或交涉驗證以避免潛在問題。