NTLM现代用法

Question

我知道Kerberos是最近在windows环境中使用的身份验证协议，NTLM仍然只支持互操作性。我想知道在非域环境下，如果我登录到我自己的pc在家里有windows 10，身份验证是由NTLM协议还是Kerberos进行的？

我还想知道现在的NTLM用例吗？

Answer 1

当您在Windows上为本地帐户在屏幕上输入密码时，它永远不会离开机器。这意味着NTLM (或Kerberos)协议从未被调用。域帐户是不同的。他们将尝试先验证缓存的登录验证器(强单向哈希)，然后尝试先尝试Kerberos，如果失败，则返回NTLM。

然而，更为复杂的是，Windows将身份验证协议捆绑到包中，这些包是为机器提供登录功能的东西，无论是本地帐户还是域帐户。所有登录都首先通过NTLM包，然后传递给例如Kerberos进行实际处理。

本地帐户使用NTLM包对本地用户进行身份验证。这个包知道密码、散列和用户元数据的存储位置。

因此，在本地用户登录期间不涉及任何协议。

Answer 2

https://superuser.com/questions/1340951/what-are-the-use-cases-of-ntlm-authentication-in-modern-windows-ad-domains回答了两个问题：

NTLM是用于工作组成员的计算机以及本地身份验证的...。有许多Kerberos无法工作的用例，例如通过IP访问资源、通过负载平衡器访问web流量(需要特殊的Kerb配置)、一些集群和SQL，这些都是跨林通信量。

因此，对于Active Directory，如果Kerberos在这里不工作，身份验证将返回到NTLM。因此，就像在微软世界中一样，它也是一个向后兼容的东西，所以如果没有新的东西存在/配置/安装的话，这些东西就可以工作。