NTLM Overview

适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016

本主题面向 IT 专业人员介绍了 NTLM、功能的任何更改,并提供指向Windows Server 2012和早期版本的Windows身份验证和 NTLM 的技术资源的链接。

功能描述

NTLM 身份验证是 Windows Msv1_0.dll 中包括的一系列身份验证协议。 NTLM 身份验证协议包括 LAN Manager 版本 1 和 2 以及 NTLM 版本 1 和 2。 NTLM 身份验证协议根据一种证明是服务器或域控制器的挑战/响应机制对用户和计算机进行身份验证,用户要知道该服务器和域控制器的与帐户关联的密码。 在使用 NTLM 协议时,每当需要新的访问令牌时,资源服务器必须执行以下操作之一来验证计算机或用户的身份:

  • 如果计算机或用户的帐户是域帐户,请联系域控制器的部门域认证服务来获取该帐户的域。

  • 如果该计算机或用户的帐户是本地帐户,请在本地帐户数据库中查找该帐户。

当前应用程序

NTLM 身份验证仍受支持,必须用于系统配置为工作组成员的 Windows 身份验证。 NTLM 身份验证还可用于非域控制器上的本地登录身份验证。 Kerberos 版本 5 身份验证是 Active Directory 环境的首选身份验证方法,但非 Microsoft 或 Microsoft 应用程序仍可以使用 NTLM。

在 IT 环境中减少 NTLM 协议的使用需要了解 NTLM 上的部署应用程序要求,以及配置计算环境以使用其他协议所需的策略和步骤。 添加了新工具和设置以帮助你了解如何使用 NTLM 以便有选择地限制 NTLM 流量。 有关如何在你的环境中分析和限制 NTLM 使用的信息,请参阅 NTLM 身份验证限制简介 以访问审核和限制 NTLM 使用指南。

新功能和更改的功能

WINDOWS SERVER 2012 NTLM 的功能没有变化。

已删除或弃用的功能

对于Windows Server 2012,NTLM 没有已删除或弃用的功能。

服务器管理器信息

NTLM 无法从服务器管理器进行配置。 你可以使用安全策略设置或组策略管理计算机系统之间的 NTLM 身份验证使用。 在域中,Kerberos 是默认身份验证协议。

下表列出了 NTLM 和其他 Windows 身份验证技术的相关资源。

内容类型 参考
产品评估 NTLM 身份验证限制简介

NTLM 身份验证的更改

规划 IT 基础结构威胁建模指南

威胁和对策:Windows Server 2003 和 Windows XP 中的安全设置

威胁和对策指南:Windows Server 2008 和 Windows Vista 中的安全设置

威胁和对策指南:Windows Server 2008 R2 和 Windows 7 中的安全设置

部署 身份验证的扩展保护

审核和限制 NTLM 使用指南

询问目录服务团队:NTLM 阻止和你:Windows 7 中的应用程序分析和审核方法

Windows 身份验证博客

为 NTLM 传递身份验证配置 MaxConcurrentAPI

开发 Microsoft NTLM (Windows)

[MS-NLMP]:NT LAN 管理器 (NTLM) 身份验证协议规范

[MS-NNTP]: NT LAN Manager (NTLM) 身份验证:网络新闻传输协议 (NNTP) 扩展

[MS-NTHT]:基于 HTTP 协议规范的 NTLM

故障排除 目前不可用
社区资源 “NTLM 瓶颈和 RPC运行时”还有生命力吗?