原始發布日期: 2025 年 8 月 29 日
KB 編號:5066470
簡介
本文詳細說明 Windows 11 版本 24H2 和 Windows Server 2025 中最近和即將發生的變更,重點是封鎖 NTLMv1 衍生加密的稽核和最終強制執行。 這些變更是 Microsoft 逐步淘汰 NTLM 的更廣泛計劃的一部分。
背景
Microsoft已移除 NTLMv1 通訊協定 (請參閱 從 Windows 11 24H2 版和 2025 Windows Server 和更新版本移除的特性和功能) 。 不過,雖然移除 NTLMv1 通訊協定,但在某些情況下仍會存在 NTLMv1 密碼編譯的殘餘部分,例如在已加入網域的環境中使用 MS-CHAPv2 時。
Credential Guard 提供 NTLMv1 舊版密碼編譯和許多其他受攻擊面的完整保護,因此 Microsoft 強烈建議在符合 Credential Guard 的需求時部署和啟用。 即將進行的變更只會影響停用 Credential Guard 的裝置;如果裝置上已啟用 Windows Credential Guard,本文中概述的變更不會生效。
目標
隨著 NTLM 的棄用 (請參閱已 棄用的功能) 和移除 NTLMv1 通訊協定,Microsoft 正在努力使用 NTLMv1 衍生認證停用 NTLMv1。
預定變更
此更新包含兩個新變更,即新登錄機碼的引入和新的事件日誌。 如需這些變更的時間表,請參閱 首度推出變更 一節。
新的登錄機碼
引進了新的登錄機碼,可控制變更是處於 稽核 模式還是 強制模式。
|
登錄位置 |
HKEY_LOCAL_MACHINE\SYSTEM\currentcontrolset\control\lsa\msv1_0 |
|
值 |
封鎖 Ntlmv1SSO |
|
Type (類型) |
REG_DWORD |
|
資料 |
|
新的稽核功能
-
使用稽核 (預設) 設定時
事件記錄檔
Microsoft-Windows-NTLM/操作
事件類型
警告
事件來源
NTLM
事件識別碼
4024
事件文字
稽核嘗試使用 NTLMv1 衍生認證進行單一登入 目標伺服器:<domain_name> 提供的使用者:<user_name> 提供的網域:<domain_name> 客戶端進程的PID:<process_identifier> 用戶端進程名稱:<process_name> 用戶端進程的 LUID:<locally_unique_identifier> 用戶端進程的使用者身分識別:<user_name> 客戶端進程使用者身分的網域名稱:<domain_name> 機制 OID:<object_identifier> 如需詳細資訊,請參閱 https://go.microsoft.com/fwlink/?linkid=2321802。
-
使用強制設定時
事件記錄檔
Microsoft-Windows-NTLM/操作
事件類型
錯誤
事件來源
NTLM
事件識別碼
4025
事件文字
由於原則的原因,嘗試將 NTLMv1 衍生的認證用於單一 Sign-On 被封鎖。目標伺服器:<domain_name> 提供的使用者:<user_name> 提供的網域:<domain_name> 客戶端進程的PID:<process_identifier> 用戶端進程名稱:<process_name> 用戶端進程的 LUID:<locally_unique_identifier> 用戶端進程的使用者身分識別:<user_name> 客戶端進程使用者身分的網域名稱:<domain_name> 機制 OID:<object_identifier> 如需詳細資訊,請參閱 https://go.microsoft.com/fwlink/?linkid=2321802。
如需其他稽核增強功能的詳細資訊,請參閱 Windows 11 24H2 版和 Windows Server 2025 中的 NTLM 稽核增強功能概觀。
推出變更
在 2025 年 9 月及更新版本中,這些變更將以稽核模式推出至 Windows 11 版本 24H2 及更新版本的用戶端作業系統。 在此模式中,每當使用 NTLMv1 衍生認證時,都會記錄 事件標識碼:4024 ,但驗證會繼續運作。 該推出將在今年晚些時候達到 Windows Server 2025。
在 2026 年 10 月,如果 BlockNTLMv1SSO 登錄機碼尚未部署至裝置,Microsoft會將 BlockNTLMv1SSO 登錄機碼的預設值設定為 1 (強制執行) ,而不是 0 (稽核) 。
時間表
|
日期 |
變更 |
|
2025年8月下旬 |
在 Windows 11 版本 24H2 和更新版本用戶端上啟用的 NTLMv1 使用量稽核記錄。 |
|
2025 年 11 月 |
開始推出 Windows Server 2025 的變更。 |
|
2026 年 10 月 |
BlockNtlmv1SSO 登錄機碼的預設值會透過未來的 Windows 更新,從稽核模式 (0) 變更為強制模式 (1) ,以加強 NTLMv1 限制。 只有在尚未部署 BlockNtlmv1SSO 登錄機碼時,預設值的這項變更才會生效。 |
附註 這些日期是暫定的,可能會發生變化。
常見問題 (常見問題)
Microsoft 使用漸進式推出方法,在一段時間內散發版本更新,而不是一次全部散發。 這意味著用戶會在不同的時間收到更新,並且可能無法立即對所有用戶使用。
NTLMv1 衍生認證是由某些較高層級的通訊協定用於單一 Sign-On 目的;範例包括使用 MS-CHAPv2 驗證的 Wi-Fi、乙太網路和 VPN 部署。 與啟用 Credential Guard 時類似,這些通訊協定的單一 Sign-On 流程將無法運作,但手動輸入認證仍會繼續運作,即使在 強制 模式中也是如此。 如需詳細資訊和最佳做法,請參閱 使用 Credential Guard 時的考量和已知問題。
此更新與 Credential Guard 之間的唯一相似之處是針對 NTLMv1 衍生加密的使用者認證進行保護。 此更新不提供 Credential Guard 的廣泛且強大的保護;Microsoft 建議在所有支援的平臺上啟用 Credential Guard。
