20 多年來，各種版本的Windows 一直使用Kerberos 作為其主要身份驗證協定。但是，在某些情況下，作業系統必須使用另一種方​​法，NTLM（NT LAN Manager）。今天，微軟宣布正在擴大Kerberos 的使用，並計劃最終完全放棄NTLM 的使用。

微軟在一篇部落格文章中表示，一些企業和組織繼續使用NTLM 進行Windows身份驗證，因為它「不需要與網域控制器的本機網路連接」。它也是“使用本機帳戶時唯一支援的協定”，並且“當您不知道目標伺服器是誰時可以使用”微軟表示：

這些好處導致一些應用程式和服務硬編碼NTLM 的使用，而不是嘗試使用其他更現代的身份驗證協定（如Kerberos）。Kerberos 提供了更好的安全保證，並且比NTLM 更具可擴展性，這就是為什麼它現在成為Windows 中首選預設協定的原因。

問題是，雖然企業可以關閉NTLM 進行身份驗證，但那些硬連線的應用程式和服務可能會遇到問題。這也是微軟為Kerberos 增加兩個新的身份驗證功能的原因。一種是使用Kerberos (IAKerb) 進行初始和直通身份驗證，這將允許「沒有網域控制器視線的用戶端透過有視線的伺服器進行身份驗證」。另一個是Kerberos 的本機金鑰分發中心(KDC)，它增加了對本機帳戶的身份驗證支援。正在進行這些更改，以便從長遠來看，Kerberos 將成為唯一的Windows 驗證協定。微軟表示：

減少NTLM 的使用最終將導致它在Windows 11 中被停用。我們正在採用資料驅動的方法並監控NTLM 使用的減少情況，以確定何時可以安全地停用它。

一旦做出決定，微軟將首先預設禁用NTLM，但企業可以重新啟用它，以防遇到相容性問題。微軟尚未公佈這一切何時發生的具體時間表。