Microsoftは6月3日(現地時間)、「NTLM」を非推奨機能とする事を発表しました(Neowin)。
Windowsクライアントの非推奨機能リストに追加された説明によると、「LANMAN、NTLMv1、NTLMv2を含むNTLM(New Technology Lan Manager)の全バージョンは、現在アクティブな機能開発が行なわれておらず、非推奨とされる」とのこと。
ただし、NTLMの使用は、Windows Serverの次期リリースや Windowsの次期リリースでも継続される予定でです。
Microsoftは、NTLMへの呼び出しは、Kerberosによる認証を試み、必要な場合にのみNTLMにフォールバックするNegotiateへの呼び出しに置き換えるべきだと説明しています。
Negotiateプロトコルの置き換えについて次のように説明されています。
In many cases, applications should be able to replace NTLM with Negotiate using a one-line change in their AcquireCredentialsHandle request to the SSPI. One known exception is for applications that have made hard assumptions about the maximum number of round trips needed to complete authentication. In most cases, Negotiate will add at least one additional round trip. Some scenarios may require additional configuration. For more information, see Kerberos authentication troubleshooting guidance.
多くの場合、アプリケーションは SSPI に対する AcquireCredentialsHandle リクエストを一行変更するだけで、NTLM を Negotiate に置き換えることができる。既知の例外として、認証を完了するために必要なラウンドトリップの最大回数について、厳密な仮定を行なっているアプリケーションがある。ほとんどの場合、Negotiate は少なくとも 1 ラウンドトリップを追加する。シナリオによっては、追加の設定が必要な場合もある。詳細については、Kerberos 認証のトラブルシューティングガイダンスを参照のこと。
NTLMは1993年のWindows NT 3.1から、KerberosはWindows 2000 Service Pack 4(SP4)から存在するユーザー認証の方式です。
