微软希望最终在Windows 11中禁用NTLM身份验证，提高系统安全性

微软在一篇博客文章中表示，一些企业和组织继续使用 NTLM 进行 Windows身份验证，因为它“不需要与域控制器的本地网络连接”。 它也是“使用本地帐户时唯一支持的协议”，并且“当您不知道目标服务器是谁时可以使用”

微软表示：

问题是，虽然企业可以关闭 NTLM 进行身份验证，但那些硬连线的应用程序和服务可能会遇到问题。 这也是微软向 Kerberos 添加两个新的身份验证功能的原因。

一种是使用 Kerberos (IAKerb) 进行初始和直通身份验证，这将允许“没有域控制器视线的客户端通过有视线的服务器进行身份验证”。 另一个是 Kerberos 的本地密钥分发中心 (KDC)，它增加了对本地帐户的身份验证支持。

正在进行这些更改，以便从长远来看，Kerberos 将成为唯一的 Windows 身份验证协议。 微软表示：

一旦做出决定，微软将首先默认禁用 NTLM，但企业可以重新启用它，以防遇到兼容性问题。 微软尚未公布这一切何时发生的具体时间表。