微軟將在未來Windows版本預設關閉NTLM功能

微軟上周宣布，將在未來Windows版本中預設關閉不安全的NTLM（NT LAN Manager）協定。微軟也將同時啟動三階段退場措施，並說會有新工具協助舊式應用。

NTLM是微軟於1990年代加入Windows NT作業系統的身份驗證協定，用於Windows網路和單機身分驗證，在不發送明文密碼的情況下驗證使用者。近二十年來因安全性風險，如遭受重送攻擊，微軟改推更安全的Kerberos取代，並建議用戶停用NTLM。微軟於2023年宣布將逐漸淡化Windows 11使用NTLM的重要性。

微軟於2024年6月宣布將NTLM相關版本，包括LANMAN、NTLM v1/v2列為退役。退役功能還是能作用，但微軟不再更新，也不再開發新功能，且可能在未來某個版本中移除。且微軟警告企業環境持續使用NTLM可能面臨安全風險，包括沒有伺服器驗證、易遭到重放（replay）/中繼（relay）/傳遞雜湊（pass-the-hash）攻擊、弱加密，以及診斷資料及透明度不足等風險。

微軟表示，現在到了NTLM由退役轉到預設關閉階段，公司在未來的Windows版本中預設關閉這功能。不過微軟強調，預設關閉NTLM不是完全從Windows移除。而是Windows會優先使用更安全的Kerberos驗證，預設封鎖網路NTLM驗證，不再自動使用它。但對舊式應用，微軟將推出新功能幫助解決不能用NTLM的困境。說明如下。

微軟從即日啟動三階段退場措施。從現在起到2026年年中為第一階段，微軟在Windows 11 24H2及Server 2025以後版本提供新的強化NTLM稽核功能，可幫助管理員知道誰、為什麼或哪裏（包括電腦名稱和電腦IP）還在使用NTLM，而不是用更安全的Kerberos等新式驗證通訊協定。啟用路徑為[應用程式和服務記錄] 事件檢視器 > Microsoft下找到，> Windows > NTLM > Operational。

2026年年中到下一版Windows Server推出前為第二階段。微軟將關閉NTLM，但將在今年下半為Windows 11 24H2及Server 2025以上版本推出新功能協助停用NTLM，包括IAKerb、本機KDC（Key Distribution Center）、並升級核心Windows元件，由程式寫死（hardcoded）NTLM轉為交涉Kerberos。

第三階段中，將預設關閉網路NTLM功能，只有新的政策控制中，由管理員明白重新啟動才能使用NTLM。在大部份情況下，Windows用戶端及伺服器都將預設不使用NTLM。為免應用程式出問題，僅允許內建處理NTLM支援。