微软正推进一项面向Windows平台的安全策略调整：在未来发布的Windows与Windows Server版本中，默认关闭网络NTLM（NT LAN Manager）认证，并引导组织转向以Kerberos为基础的现代登录与认证机制。NTLM作为Windows网络环境的核心组件之一已沿用约30年，但微软目前将其定位为需要逐步退出默认路径的遗留协议。

默认禁用的原因：NTLM被视为高风险遗留协议

微软表示，NTLM已被归类为弃用协议。公司指出，该协议长期以来容易被攻击者用于凭证中继以及“哈希传递”等手法，从而在网络内进行横向移动。基于上述安全风险，微软计划在后续Windows版本中将网络NTLM认证设为默认禁用。

在替代方案上，微软强调将以Kerberos作为主要方向。微软称，基于Kerberos的机制能够支持现代认证标准，并更有效缓解与NTLM相关的“哈希传递”类攻击风险。微软将这一调整纳入其“默认安全”策略推进的一部分。

三阶段过渡：先审计、再治理、最终默认阻断

微软并未采取一次性切换方式，而是提出分阶段路线图，以降低对现有环境的影响。

第一阶段已推出，重点是增强审计能力。微软提供更强的审计工具，帮助IT团队识别Windows环境中仍在使用NTLM的位置，包括哪些应用与服务发起了NTLM调用。微软将这一阶段视为在关闭默认支持前梳理依赖关系的关键步骤。

第二阶段聚焦于处理最突出的NTLM相关问题，并为管理员提供更多控制与兼容性选项。微软将其描述为从“可见性建设”过渡到“默认阻断”的衔接阶段，目标是在进入最终阶段前尽可能修复或隔离剩余依赖。

第三阶段将带来默认行为变化：微软计划在下一代Windows Server版本及相关Windows客户端版本中，默认阻止网络NTLM认证，使系统以“默认安全状态”交付，即网络NTLM不再作为标准认证路径被默认提供。

时间节点：与Windows Server 2025、Windows 11 24H2及后续版本挂钩

微软将默认禁用网络NTLM的落地与具体平台版本绑定，表示相关变化预计将在今年下半年随Windows Server 2025或Windows 11 24H2及以后版本发布。微软同时提醒管理员为相关升级与默认策略变化提前做好准备，因为“默认安全姿态”将成为新部署环境的常态。

“默认安全”含义：并非移除，而是默认阻止、需显式启用

微软强调，此次调整并不等同于从系统中完全移除NTLM，而是将网络NTLM认证设为默认阻止；如确有需要，管理员仍可选择显式重新启用。微软借此表述强调默认行为已发生变化：系统不再“默默”支持遗留认证路径。

在微软的描述中，这一默认策略也意味着组织需要对仍然存在的NTLM使用进行更严格的管理：任何残留依赖应当被识别、记录，并在必要时进行隔离处理，同时推动向Kerberos及其他现代认证方式迁移，以在减少应用中断的同时降低风险。

管理与排查：审计工具与策略调整可用于验证迁移效果

微软称，IT团队面临的主要难点在于发现生产环境中仍潜伏的NTLM依赖。为此，微软已提供增强的NTLM审计能力，用于定位协议调用来源，并将其作为逐步退出旧协议默认支持的起点。

在运维层面，微软指出，启用或禁用NTLM的相关控制可立即生效，无需重启；用于跟踪NTLM使用情况的诊断日志设置也可用于验证策略调整后的效果。微软同时提到，当管理员通过策略控制哪些账户可使用NTLM访问资源时，上述“即时生效”的特性同样适用。