Các phiên bản Windows khác nhau đã sử dụng Kerberos làm giao thức xác thực chính trong hơn 20 năm. Tuy nhiên, trong một số trường hợp nhất định, HĐH phải sử dụng một phương pháp khác, NTLM (NT LAN Manager). Hôm nay, Microsoft thông báo rằng họ đang mở rộng việc sử dụng Kerberos, với kế hoạch cuối cùng là loại bỏ hoàn toàn việc sử dụng NTLM.
Trong một bài đăng trên blog , Microsoft tuyên bố rằng NTLM tiếp tục được một số doanh nghiệp và tổ chức sử dụng để xác thực Windows vì nó "không yêu cầu kết nối mạng cục bộ với Bộ điều khiển miền". Nó cũng là "giao thức duy nhất được hỗ trợ khi sử dụng tài khoản cục bộ" và nó "hoạt động khi bạn không biết máy chủ mục tiêu là ai"
Microsoft thông báo rằng:
Vấn đề là mặc dù các doanh nghiệp có thể tắt NTLM để xác thực nhưng các ứng dụng và dịch vụ được kết nối cứng đó lại có thể gặp sự cố. Đó là lý do tại sao Microsoft đã bổ sung thêm hai tính năng xác thực mới cho Kerberos.
Một là Xác thực ban đầu và xác thực thông qua bằng Kerberos (IAKerb), điều này sẽ cho phép "một máy khách không có tầm nhìn trực tiếp tới Bộ điều khiển miền xác thực thông qua một máy chủ có tầm nhìn thẳng". Cái còn lại là Trung tâm phân phối khóa cục bộ (KDC) dành cho Kerberos, bổ sung hỗ trợ xác thực cho các tài khoản cục bộ.
Những thay đổi này đang được thực hiện để về lâu dài Kerberos sẽ là giao thức xác thực Windows duy nhất. Microsoft đã tuyên bố:
Sau khi quyết định được đưa ra, trước tiên Microsoft sẽ tắt NTLM theo mặc định, nhưng các doanh nghiệp sẽ có thể kích hoạt lại nó trong trường hợp họ gặp phải sự cố tương thích. Microsoft vẫn chưa công bố thời gian biểu cụ thể khi nào tất cả những điều này sẽ diễn ra.