NTLM Overview

本主题面向 IT 专业人员,描述 NTLM,功能方面的更改,并可为 Windows Server 提供到 Windows 身份验证和 NTLM 技术资源的链接。

功能描述

NTLM 身份验证是 Windows Msv1_0.dll 中包括的一系列身份验证协议。 NTLM 身份验证协议包括 LAN Manager 版本 1 和 2 以及 NTLM 版本 1 和 2。 NTLM 身份验证协议根据一种证明是服务器或域控制器的挑战/响应机制对用户和计算机进行身份验证,用户要知道该服务器和域控制器的与帐户关联的密码。 在使用 NTLM 协议时,每当需要新的访问令牌时,资源服务器必须执行以下操作之一来验证计算机或用户的身份:

  • 如果计算机或用户的帐户是域帐户,请联系域控制器的部门域认证服务来获取该帐户的域。

  • 如果该计算机或用户的帐户是本地帐户,请在本地帐户数据库中查找该帐户。

当前应用程序

NTLM 身份验证仍受支持,必须用于系统配置为工作组成员的 Windows 身份验证。 NTLM 身份验证还可用于非域控制器上的本地登录身份验证。 Kerberos 版本 5 身份验证是 Active Directory 环境的首选身份验证方法,但非 Microsoft 或 Microsoft 应用程序仍可以使用 NTLM。

在 IT 环境中减少 NTLM 协议的使用需要了解 NTLM 上的部署应用程序要求,以及配置计算环境以使用其他协议所需的策略和步骤。 添加了新工具和设置以帮助你了解如何使用 NTLM 以便有选择地限制 NTLM 流量。 有关如何在你的环境中分析和限制 NTLM 使用的信息,请参阅 NTLM 身份验证限制简介 以访问审核和限制 NTLM 使用指南。

新功能和更改的功能

面向 Windows Server 的 NTLM 功能无变更。

已删除或弃用的功能

面向 Windows Server 的 NTLM 功能无删除或弃用。

服务器管理器信息

NTLM 无法从服务器管理器进行配置。 你可以使用安全策略设置或组策略管理计算机系统之间的 NTLM 身份验证使用。 在域中,Kerberos 是默认身份验证协议。

下表列出了 NTLM 和其他 Windows 身份验证技术的相关资源。

内容类型 参考
产品评估 NTLM 身份验证限制简介

NTLM 身份验证的更改

规划 IT 基础结构威胁建模指南

威胁和对策:Windows Server 2003 和 Windows XP 中的安全设置

威胁和对策指南:Windows Server 2008 和 Windows Vista 中的安全设置

威胁和对策指南:Windows Server 2008 R2 和 Windows 7 中的安全设置

部署 针对身份验证的扩展保护

审核和限制 NTLM 使用指南

询问目录服务团队:NTLM 阻止和你:Windows 7 中的应用程序分析和审核方法

Windows 身份验证博客

为 NTLM 传递身份验证配置 MaxConcurrentAPI

开发 Microsoft NTLM (Windows)

[MS-NLMP]:NT LAN 管理器 (NTLM) 身份验证协议规范

[MS-NNTP]:NT LAN Manager (NTLM) 身份验证:网络新闻传输协议 (NNTP) 扩展

[MS-NTHT]:NTLM Over HTTP 协议规范

更新 CVE-2022-21857 的新 NTLM 直通身份验证保护