Ngày phát hành ban đầu: Ngày 29 tháng 8 năm 2025
ID KB: 5066470
Giới thiệu
Bài viết này nêu chi tiết các thay đổi gần đây và sắp tới trong Windows 11, phiên bản 24H2 và Windows Server 2025, tập trung vào kiểm tra và thực thi việc chặn mã hóa xuất phát từ NTLMv1. Những thay đổi này là một phần trong sáng kiến rộng hơn của Microsoft nhằm loại bỏ NTLM.
Bối cảnh
Microsoft đã loại bỏ giao thức NTLMv1 (xem Xóa tính năng và chức năng) khỏi Windows 11, phiên bản 24H2 và Windows Server 2025 trở lên. Tuy nhiên, trong khi giao thức NTLMv1 bị loại bỏ, các phần còn lại của mã hóa NTLMv1 vẫn còn hiện diện trong một số kịch bản, chẳng hạn như khi sử dụng MS-CHAPv2 trong môi trường tham gia miền.
Credential Guard cung cấp khả năng bảo vệ hoàn toàn cho cả mã hóa kế thừa NTLMv1 và nhiều bề mặt tấn công khác, do đó Microsoft khuyên bạn nên triển khai và bật nếu đáp ứng các yêu cầu của Credential Guard. Các thay đổi sắp tới chỉ ảnh hưởng đến các thiết bị bị tắt Credential guard; nếu Windows Credential Guard được bật trên thiết bị, các thay đổi được nêu trong bài viết này không có hiệu lực.
Mục tiêu
Với việc ngừng dùng NTLM (xem Các tính năng bị ngừng phát triển) và việc loại bỏ giao thức NTLMv1, Microsoft đang nỗ lực để hoàn thiện việc vô hiệu hóa NTLMv1 bằng cách tắt bằng cách sử dụng thông tin xác thực có nguồn gốc NTLMv1.
Các thay đổi sắp tới
Hai thay đổi mới, việc giới thiệu một khóa đăng ký mới và nhật ký sự kiện mới, được bao gồm trong bản cập nhật này. Để biết đường thời gian của những thay đổi này, hãy xem phần Triển khai các thay đổi.
Khóa đăng ký mới
Một khóa đăng ký mới được giới thiệu, gating cho dù những thay đổi đang ở chế độ kiểm tra hoặc bắt buộc chế độ.
|
Vị trí đăng ký |
HKEY_LOCAL_MACHINE\SYSTEM\currentcontrolset\control\lsa\msv1_0 |
|
Giá trị |
BlockNtlmv1SSO |
|
Type |
REG_DWORD |
|
Data |
|
Khả năng kiểm tra mới
-
Khi sử dụng thiết đặt Kiểm tra (mặc định)
Nhật ký Sự kiện
Microsoft-Windows-NTLM/Vận hành
Loại Sự kiện
Cảnh báo
Nguồn Sự kiện
NTLM
ID Sự kiện
4024
Văn bản Sự kiện
Kiểm tra nỗ lực sử dụng thông tin xác thực xuất phát từ NTLMv1 cho Đăng nhập Đơn Máy chủ mục tiêu: <domain_name> Người dùng được cung cấp: <user_name> Miền được cung cấp: <domain_name> PID của quy trình máy khách: <process_identifier> Tên quy trình của máy khách: <process_name> LUID quy trình của khách hàng: <locally_unique_identifier> Danh tính người dùng của quy trình máy khách: <user_name> Tên miền của danh tính người dùng trong quy trình máy khách: <domain_name> Cơ chế OID: <object_identifier> Để biết thêm thông tin, hãy https://go.microsoft.com/fwlink/?linkid=2321802.
-
Khi sử dụng cài đặt Bắt buộc
Nhật ký Sự kiện
Microsoft-Windows-NTLM/Vận hành
Loại Sự kiện
Lỗi
Nguồn Sự kiện
NTLM
ID Sự kiện
4025
Văn bản Sự kiện
Cố gắng sử dụng thông tin xác thực xuất phát từ NTLMv1 cho single Sign-On bị chặn do chính sách.Máy chủ mục tiêu: <domain_name> Người dùng được cung cấp: <user_name> Miền được cung cấp: <domain_name> PID của quy trình máy khách: <process_identifier> Tên quy trình của máy khách: <process_name> LUID quy trình của khách hàng: <locally_unique_identifier> Danh tính người dùng của quy trình máy khách: <user_name> Tên miền của danh tính người dùng trong quy trình máy khách: <domain_name> Cơ chế OID: <object_identifier> Để biết thêm thông tin, hãy https://go.microsoft.com/fwlink/?linkid=2321802.
Để biết thêm thông tin về các cải tiến kiểm tra khác, hãy xem Tổng quan về cải tiến kiểm tra NTLM trong Windows 11, phiên bản 24H2 và Windows Server 2025.
Triển khai các thay đổi
Trong tháng 9 năm 2025 và các bản cập nhật mới hơn, các thay đổi sẽ được triển khai cho Windows 11, phiên bản 24H2 và HĐH máy khách mới hơn ở chế độ Kiểm tra. Trong chế độ này, ID Sự kiện: 4024 sẽ được ghi nhật ký bất cứ khi nào thông tin xác thực có nguồn gốc NTLMv1 được sử dụng nhưng quá trình xác thực sẽ tiếp tục hoạt động. Việc triển khai sẽ đạt Windows Server đến năm 2025 vào cuối năm.
Vào tháng 10 năm 2026, Microsoft sẽ đặt giá trị mặc định của khóa đăng ký BlockNTLMv1SSO thành 1 (Thựcthi) thay vì 0 (Kiểm tra) nếu khóa đăng ký BlockNTLMv1SSO chưa được triển khai cho thiết bị.
Timeline
|
Ngày |
Thay đổi |
|
Cuối tháng 8 năm 2025 |
Nhật ký kiểm tra cho việc sử dụng NTLMv1 được bật Windows 11, phiên bản 24H2 và máy khách mới hơn. |
|
Tháng 11 năm 2025 |
Bắt đầu triển khai các thay đổi Windows Server 2025. |
|
Tháng 10 năm 2026 |
Giá trị mặc định của khóa đăng ký BlockNtlmv1SSO được thay đổi từ chế độ Kiểm tra (0) sang chế độ Bắt buộc (1) thông qua bản cập nhật Windows trong tương lai, tăng cường các hạn chế NTLMv1. Thay đổi mặc định này chỉ có hiệu lực nếu khóa đăng ký BlockNtlmv1SSO chưa được triển khai. |
Ghi chú Các ngày này do dự và có thể thay đổi.
Câu hỏi thường gặp (Câu hỏi thường gặp)
Microsoft sử dụng phương pháp triển khai dần để phân phối bản cập nhật bản phát hành trong một khoảng thời gian, thay vì tất cả cùng một lúc. Điều này có nghĩa là người dùng nhận được các bản cập nhật vào các thời điểm khác nhau và bản cập nhật có thể không sẵn dùng ngay lập tức cho tất cả người dùng.
Thông tin xác thực có nguồn gốc NTLMv1 được sử dụng bởi một số giao thức cấp cao hơn cho các mục Sign-On đơn; ví dụ bao gồm triển khai Wi-Fi, Ethernet và VPN bằng cách sử dụng xác MS-CHAPv2 thực mới. Tương tự như khi credential Guard được bật, các dòng Sign-On Single Sign-On cho các giao thức này sẽ không hoạt động nhưng việc nhập thông tin xác thực theo cách thủ công sẽ tiếp tục hoạt động ngay cả trong chế độ Bắt buộc . Để biết thêm thông tin và biện pháp tốt nhất, hãy xem Những điều cần cân nhắc và sự cố đã biết khi sử dụng Credential Guard.
Điểm giống nhau duy nhất giữa bản cập nhật này và Credential Guard là các tùy chọn bảo vệ xung quanh thông tin xác thực người dùng từ mã hóa có gốc NTLMv1. Bản cập nhật này không cung cấp khả năng bảo vệ rộng và mạnh mẽ của Credential Guard; Microsoft khuyên bạn nên bật Credential Guard trên tất cả các nền tảng được hỗ trợ.
