本主题面向 IT 专业人员,描述 NTLM 的功能以及功能变化,并提供链接到 Windows Server 的 Windows 身份验证和 NTLM 技术资源。
NTLM 身份验证是 Windows Msv1_0.dll 中包括的一系列身份验证协议。 NTLM 身份验证协议包括 LAN Manager 版本 1 和 2 以及 NTLM 版本 1 和 2。 NTLM 身份验证协议基于质询响应机制对用户和计算机进行身份验证,该机制向服务器或域控制器证明用户知道与帐户关联的密码。 在使用 NTLM 协议时,每当需要新的访问令牌时,资源服务器必须执行以下操作之一来验证计算机或用户的身份:
如果计算机或用户的帐户是域帐户,请联系域控制器的部门域认证服务来获取该帐户的域。
如果该计算机或用户的帐户是本地帐户,请在本地帐户数据库中查找该帐户。
当前应用程序
NTLM 身份验证仍受支持,必须用于系统配置为工作组成员的 Windows 身份验证。 NTLM 身份验证还可用于非域控制器上的本地登录身份验证。 Kerberos 版本 5 身份验证是 Active Directory 环境的首选身份验证方法,但非 Microsoft 或 Microsoft 应用程序仍可以使用 NTLM。
在 IT 环境中减少 NTLM 协议的使用需要了解 NTLM 上的部署应用程序要求,以及配置计算环境以使用其他协议所需的策略和步骤。 添加了新工具和设置以帮助你了解如何使用 NTLM 以便有选择地限制 NTLM 流量。 有关如何在环境中分析和限制 NTLM 使用情况的信息,请参阅 引入 NTLM 身份验证限制 以访问审核和限制 NTLM 使用指南。
相关内容
下表列出了 NTLM 和其他 Windows 身份验证技术的相关资源。
| 内容类型 | 参考 |
|---|---|
| 产品评估 | NTLM 用户身份验证 |
| 部署 | 用于身份验证的扩展保护 审核基于 Windows Server 的域控制器上的 NTLMv1 的使用 |
| 发展 | Microsoft NTLM (Windows) [MS-NLMP]: NT LAN 管理器 (NTLM) 身份验证协议规范 |
| 更新 | CVE-2022-21857 的新 NTLM 直通身份验证保护 |