Microsoft到 2024 年底在 Windows 11 中逐步淘汰 NTLM

　　Microsoft 已正式确认计划在 2024 年下半年逐步淘汰 Windows 11 中的 NT LAN Manager (NTLM)，并宣布了一系列新的安全措施以增强操作系统的保护。

　　该公司的声明强调，NTLM的退役长期以来一直是安全社区所期望的一步，因为它将加强用户身份验证。

　　2023 年 10 月宣布了用 Kerberos 替换 NTLM 进行身份验证的初步决定。NTLM 对加密方法(如 AES 或 SHA-256)的支持不足，使其容易受到攻击，尤其是 NTLM 中继攻击。

　　Windows 11 中的其他更改包括默认为新的消费者设备启用本地安全机构 (LSA) 保护，以及利用基于虚拟化的安全性 (VBS) 来保护 Windows Hello。

　　此外，还更新了保护用户不运行未签名应用程序的智能应用控制。该工具现在使用人工智能来确定应用程序的安全性并阻止未知或恶意程序。除了智能应用控制之外，还引入了新的可信签名系统，允许开发人员对其应用程序进行签名并简化证书签名过程。

　　其他重要的安全增强功能包括：

　　• Win32 应用程序隔离旨在通过在应用程序和操作系统之间创建安全边界来限制应用程序泄露时的损害。

　　• 通过要求显式用户批准来限制滥用管理权限。

　　• VBS enclave 供第三方开发人员创建可信计算环境。

　　• 2023 年 12 月推出的 Windows 保护打印模式 (WPP) 将成为默认打印模式，允许打印后台处理程序作为受限服务运行，从而大大降低其对攻击者的吸引力。

　　• 该公司还宣布，由于计算能力和密码分析的进步，它将不再信任RSA密钥小于2048位的TLS服务器身份验证证书。

　　新的安全功能还包括零信任域名系统 (ZTDNS)，这将帮助商业客户端通过域名限制 Windows 设备对已批准网络地址的访问。

　　这些改进是对Microsoft安全方法的批评的回应，这些方法允许中国黑客破坏Exchange Online。美国网络安全审查委员会(CSRB)最近的一份报告强调，需要重新评估公司的安全文化。