应用对象
Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2025

原始发布日期: 2025 年 8 月 29 日

KB ID:5066470

简介

本文详细介绍了 Windows 11 版本 24H2 和 2025 Windows Server 中的最新和即将发生的更改,重点介绍阻止 NTLMv1 派生加密的审核和最终实施。 这些更改是Microsoft逐步淘汰 NTLM 的更广泛举措的一部分。

背景信息

Microsoft已删除 NTLMv1 协议 (请参阅从 Windows 11 版本 24H2 和 Windows Server 2025 及更高版本中删除了特性和功能) 。 但是,虽然删除了 NTLMv1 协议,但在某些情况下(例如,在已加入域的环境中使用 MS-CHAPv2 时),NTLMv1 加密的剩余部分仍然存在。

Credential Guard 提供对 NTLMv1 旧式加密和许多其他攻击面的完全保护,因此,如果满足 Credential Guard 的要求,Microsoft强烈建议其部署和启用。 即将进行的更改仅影响禁用凭据防护的设备;如果在设备上启用了 Windows Credential Guard,则本文中所述的更改不会生效。

目标

随着 NTLM 的弃用 (请参阅弃 用的功能) 和 NTLMv1 协议的删除,Microsoft正在努力通过使用 NTLMv1 派生凭据禁用 NTLMv1。

即将推出的更改

此更新包含两个新更改,即引入新的注册表项和新的事件日志。 有关这些更改的时间线,请参阅推出更改部分。

新建注册表项

引入了新的注册表项,用于检查更改是处于 “审核 ”模式还是 “强制”模式。

注册表位置

HKEY_LOCAL_MACHINE\SYSTEM\currentcontrolset\control\lsa\msv1_0

BlockNtlmv1SSO

类型

REG_DWORD

数据

  • 0 (默认) - 审核为登录用户生成 NTLMv1 凭据的请求,但允许成功。 生成警告事件。 此设置也称为 “审核模式”。

  • 1 - 阻止为登录用户生成 NTLMv1 凭据的请求。 生成错误事件。 此设置也称为 强制模式

新的审核功能

  • 使用审核 (默认) 设置时

    事件日志

    Microsoft-Windows-NTLM/Operational

    事件类型

    警告

    事件源

    NTLM

    事件 ID

    4024

    事件文本

    审核尝试使用 NTLMv1 派生凭据进行单一登录 目标服务器:<domain_name> 提供的用户:<user_name> 提供的域:<domain_name> 客户端进程的 PID:<process_identifier> 客户端进程名称:<process_name> 客户端进程的 LUID:<locally_unique_identifier> 客户端进程的用户标识:<user_name> 客户端进程用户标识的域名:<domain_name> 机制 OID:<object_identifier> 有关详细信息,请参阅 https://go.microsoft.com/fwlink/?linkid=2321802。

  • 使用“强制设置”时

    事件日志

    Microsoft-Windows-NTLM/Operational

    事件类型

    错误

    事件源

    NTLM

    事件 ID

    4025

    事件文本

    由于策略原因,尝试对单 Sign-On 使用 NTLMv1 派生凭据的尝试被阻止。目标服务器:<domain_name> 提供的用户:<user_name> 提供的域:<domain_name> 客户端进程的 PID:<process_identifier> 客户端进程名称:<process_name> 客户端进程的 LUID:<locally_unique_identifier> 客户端进程的用户标识:<user_name> 客户端进程用户标识的域名:<domain_name> 机制 OID:<object_identifier> 有关详细信息,请参阅 https://go.microsoft.com/fwlink/?linkid=2321802。

有关其他审核增强功能的详细信息,请参阅 Windows 11、版本 24H2 和 Windows Server 2025 中的 NTLM 审核增强功能概述

推出更改

在 2025 年 9 月及更高版本的更新中,这些更改将推出到审核模式下Windows 11版本 24H2 及更高版本的客户端 OS。 在此模式下,每当使用 NTLMv1 派生凭据时,都会记录 事件 ID:4024 ,但身份验证将继续有效。 推出计划将于今年晚些时候Windows Server 2025年推出。

2026 年 10 月,如果 BlockNTLMv1SSO 注册表项尚未部署到设备,Microsoft会将 BlockNTLMv1SSO 注册表项的默认值设置为 1 (强制) 而不是 0 (审核) 。

日程表

日期

更改

2025 年 8 月下旬

在 Windows 11 版本 24H2 和更新的客户端上启用的 NTLMv1 使用情况的审核日志。

2025 年 11 月

开始推出对 Windows Server 2025 的更改。

2026 年 10 月

BlockNtlmv1SSO 注册表项的默认值从审核模式 (0) 更改为强制模式 (1) ,以增强 NTLMv1 限制。 仅当 尚未部署 BlockNtlmv1SSO 注册表项时,默认值中的此更改才会生效。

注意 这些日期为暂定日期,随时可能更改。

常见问题 (FAQ)

Microsoft使用逐步推出方法在一段时间内分发发布更新,而不是一次性分发所有更新。 这意味着用户在不同的时间接收更新,并且可能不会立即可供所有用户使用。

某些更高级别的协议使用 NTLMv1 派生的凭据以实现单一 Sign-On 目的;示例包括使用 MS-CHAPv2 身份验证的 Wi-Fi、以太网和 VPN 部署。 与启用 Credential Guard 时类似,这些协议的单个 Sign-On 流不起作用,但即使在 “强制” 模式下,手动输入凭据也会继续工作。 有关详细信息和最佳做法,请参阅 使用 Credential Guard 时的注意事项和已知问题

此更新与 Credential Guard 之间的唯一相似之处是保护用户凭据免受 NTLMv1 派生加密的保护。 此更新不提供 Credential Guard 的广泛且可靠的保护;Microsoft建议在所有受支持的平台上启用 Credential Guard。

订阅 RSS 源

需要更多帮助?

需要更多选项?

了解订阅权益、浏览培训课程、了解如何保护设备等。

Microsoft 365 订阅权益

Microsoft 365 培训

Microsoft 安全性

辅助功能中心