微軟正式啟動 NTLM 淘汰計畫：33 年身份驗證協議的終結與企業防禦轉型

微軟（Microsoft）近期宣布了一項重大的安全性決策：將在未來的 Windows 版本中預設禁用擁有 33 年歷史的 NTLM（New Technology LAN Manager）身份驗證協議。這項決策標誌著 Windows 身份驗證體系正全面轉向更現代、安全性更高的 Kerberos 標準。對於 IT 架構師與資安工程師而言，這不僅是單一協議的更換，更是一場涉及企業內部基礎設施、遺留系統（Legacy Systems）與防禦策略的深層演進 (Freebuf)。

為什麼必須放棄 NTLM？固有缺陷與現代威脅

NTLM 誕生於 1993 年，雖然在過去數十年間作為 Kerberos 無法運作時的備援機制發揮了重要作用，但其老舊的加密機制在現代網路威脅面前已顯得力不從心。攻擊者常利用 NTLM 的架構缺陷發動以下幾類致命攻擊：

NTLM 中繼攻擊（NTLM Relay Attacks）： 攻擊者攔截身份驗證請求並將其轉發至另一台目標伺服器，藉此獲取未經授權的存取權限。儘管微軟多次修補，但如 PetitPotam 和 ShadowCoerce 等漏洞證明了其防禦機制的脆弱性 (iThome)。
哈希傳遞攻擊（Pass-the-Hash）： 攻擊者無需知道用戶密碼，只需竊取 NTLM 哈希值即可模擬用戶身份，在內網中進行橫向移動。
弱加密強度： 與 Kerberos 相比，NTLM 的挑戰/響應機制缺乏相互認證（Mutual Authentication），且容易受到離線暴力破解攻擊。

微軟的三階段過渡路線圖

為了將業務中斷的風險降至最低，微軟制定了詳盡的「三步走」淘汰計劃。這讓組織有足夠的時間進行審計與遷移 (iThome, Freebuf)：

第一階段：可視化與審計（現已啟動）

微軟已在 Windows Server 2025 與 Windows 11 版本 24H2 中部署了增強型 NTLM 審計工具。此階段的核心目標是讓管理員能夠精確識別網路中哪些應用程式、服務或服務帳戶仍在使用 NTLM。透過分析事件日誌，IT 團隊可以建立完整的依賴關係圖，避免在後續階段因盲目禁用而導致關鍵服務癱瘓。

第二階段：減少 NTLM 依賴（預計 2026 年下半年）

微軟將引入 IAKerb 與 本地金鑰分發中心（Local KDC） 等新技術。這些功能的目的是擴展 Kerberos 的適用場景，解決以往必須回退（Fallback）到 NTLM 的痛點，例如：

跨防火牆邊界的網域控制器連接受限場景。
本地帳戶（Local Accounts）的身份驗證。
硬編碼協議的遺留組件。

這將使 Kerberos 能夠處理原本由 NTLM 壟斷的本地化驗證需求 (iThome)。

第三階段：預設禁用（未來 Windows 版本）

在最後階段，微軟將在下一代 Windows Server 主要版本中預設關閉網路 NTLM 身份驗證。雖然管理員仍可透過組策略（GPO）手動重新啟用以支持極少數的遺留場景，但系統預設將處於高安全性狀態。這將強制推動企業邁向無密碼（Passwordless）與現代化的身份管理環境 (Freebuf)。

技術實踐：IT 工程師應如何應對？

對於負責企業 IT 架構的人員，建議立即採取以下行動以確保平穩遷移：

1. 部署增強型審計策略

在網域控制器與關鍵伺服器上啟用 NTLM 審計日誌。管理員應關注以下事件路徑：

📂 收合（點我收起）

Applications and Services Logs > Microsoft > Windows > NTLM > Operational

透過分析這些日誌，可以找出哪些舊版應用程式（如 RDP 閘道、舊型印表機掃描至資料夾功能）仍在呼叫 NTLM (Reddit)。

2. 處理 RDP 與遠端存取問題

根據社群實踐經驗，禁用 NTLM 最常導致 RDP（遠端桌面協議）連接失敗。這是因為許多 RDP 部署依賴 NTLM 進行初始握手。工程師應確保網域環境已正確配置 Kerberos 委派，並將 RDP 客戶端更新至支援現代驗證的版本 (Reddit)。

3. 推動應用程式現代化

與軟體供應商聯繫，確認其產品是否支援 Kerberos 或現代驗證協議（如 SAML, OIDC）。對於自研程式，應檢視原始碼中是否硬編碼了 NTLM 呼叫，並將其遷移至 Windows 身份驗證服務（SSPI）提供的 Kerberos 介面。

結論：邁向更安全的身份體系

禁用 NTLM 是數位身份安全演進的必然過程。雖然對於擁有大量遺留系統的大型企業而言，這是一項耗時且具挑戰性的工程，但隨著微軟提供 IAKerb 等替代技術，遷移的技術門檻已大幅降低。資安主管應將此視為強化內網防禦、對抗勒索軟體橫向移動的關鍵契機。

MITRE ATT&CK 對應

T1557.001 – Adversary-in-the-Middle: LLMNR/NBT-NS Poisoning and SMB Relay (利用 NTLM 進行中繼攻擊)
T1550.002 – Use Alternate Authentication Material: Pass the Hash (利用 NTLM 哈希進行身份偽裝)
T1208 – Kerberoasting (雖然是針對 Kerberos，但通常是禁用 NTLM 後需關注的下一個攻擊面)