Microsoft иска да премахне NTLM от Windows 11. След това операционната система трябва напълно да премине към Kerberos като протокол за удостоверяване, с нови резервни методи, в случай че Kerberos не работи правилно. Kerberos ще бъде добавен, така че да работи и локално в бъдеще.
Microsoft пише В публикация в блог Той иска да се отърве от NT Lan Manager или NTLM в дългосрочен план. Microsoft казва, че в момента няма конкретен план за това. Първоначално компанията планира да добави повече опции за управление на NTLM, които ще позволят на системните администратори да следят колко често се използва NTLM. Например регистрационните файлове стават по-подробни и на администраторите се дава възможност да разположат NTLM по-конкретно за всеки потребител или да настроят специфични правила за изключения.
Не само служителите, но и Microsoft също иска да получи повече от тези прозрения. Компанията казва, че използва „подход, управляван от данни“, за да определи „кога е безопасно да деактивирате използването на NTLM“. В бъдеще протоколът трябва да бъде деактивиран по подразбиране, но според Microsoft остава опция за повторното му активиране. Microsoft препоръчва на администраторите и разработчиците да определят къде все още използват NTLM. Компанията казва, че това може да бъде вградено и в приложения и разработчиците също трябва да обърнат внимание на това. Microsoft ще направи това и за Windows 11; Тези компоненти са заменени от динамичен компонент, който основно обработва Kerberos.
NT Lan Manager е протокол за удостоверяване в Windows, но не се използва като стандарт от години. Kerberos има тази роля от 2000 г., но NTLM има много предимства, с които Kerberos не може да се справи. Основната причина е, че NTLM е единственият поддържан протокол за локални акаунти, но NTLM също така не изисква локална връзка с домейн контролер. В случаите, когато тези връзки са единствените опции, Windows все още автоматично прибягва до NTLM.
Microsoft казва, че ще има алтернативи на тези процеси в Windows 11. Една от тези алтернативи е IAKerb, което означава Initial and Passive Authentication Using Kerberos. Това позволява на клиент без връзка с домейн контролер да продължи да установява такава връзка чрез извършване на ръкостискане на Windows. Ще има и локален център за разпространение на ключове Kerberos, от който може да се извършва отдалечено удостоверяване.
„Удобен за хипстър органайзер. Мислител. Комуникатор. Печелен с награди уеб нинджа. Типичен геймър. Зъл гуру на зомбитата. Фен на бирата.“