什么是 NTLM？

NTLM 是一種身份驗證協議，用于驗證 IT 系統中的用戶身份。它于 1993 年發(fā)布，后來于 1998 年通過 NTLMv2 進行了改進。NTLM 是較舊的 LM 協議的繼承者，該協議曾在 20 世紀 80 年代用于 Microsoft 的 LAN Manager 產品。那個時候，計算機網絡比較簡單，沒有連接到互聯網。主要問題是通過竊聽網絡登錄流量來竊取用戶密碼。為了減輕這種風險，NTLM 不會通過網絡發(fā)送用戶密碼。相反，它使用密碼哈希作為用戶了解密碼的證據

NTLM 如何工作？

以下是 NTLM 身份驗證工作原理的分步過程：

1. 客戶端請求：客戶端發(fā)送請求以訪問服務器上的網絡資源（例如，文件共享、Web 服務器）。

2.服務器質詢：服務器以質詢進行響應，這是客戶端在身份驗證過程中需要使用的隨機值。質詢是每次身份驗證嘗試的唯一值。

3.客戶端響應 (NTLMv1)：客戶端使用質詢和以 NTLM 哈希格式哈希的用戶憑據（用戶名和密碼）生成 NTLMv1 響應。NTLM 哈希是用戶密碼的單向哈希，這比以明文形式發(fā)送密碼更安全。該響應被發(fā)送回服務器。

4.服務器驗證 (NTLMv1)：服務器接收客戶端的響應，并使用存儲的用戶密碼的 NTLM 哈希來驗證響應。如果響應有效，服務器將授予對所請求資源的訪問權限。

5.客戶端響應 (NTLMv2)：在 NTLM 的更安全變體中，客戶端可以使用 NTLMv2。在這種情況下，客戶端使用質詢和附加數據（例如客戶端和服務器的時間戳）生成 NTLMv2 響應。與 NTLMv1 相比，這使其更能抵抗某些類型的攻擊。

6.服務器驗證 (NTLMv2)：如果客戶端使用 NTLMv2，服務器將使用存儲的用戶密碼 NTLM 哈希值和身份驗證請求中的其他數據來驗證響應。

7.授予訪問權限：如果服務器驗證客戶端的響應（NTLMv1 或 NTLMv2），則會授予對所請求網絡資源的訪問權限?？蛻舳爽F在可以安全地訪問資源。

NTLM 和 Kerberos 之間的區(qū)別

Kerberos 是一種身份驗證協議，它取代 NTLM 成為 Windows 2000 及更高版本上的標準身份驗證工具。NTLM 和 Kerberos 之間的主要區(qū)別在于它們的身份驗證過程。NTLM 使用三次握手，而 Kerberos 使用由票證授予服務或密鑰分發(fā)中心組成的兩部分流程。另一個區(qū)別是 NTLM 中使用密碼散列，而 Kerberos 中使用加密。盡管 Kerberos 是默認身份驗證方法，但 NTLM 可以在身份驗證失敗時充當備份。

NTLM 身份驗證的問題

NTLM 身份驗證是一種過時且薄弱的協議，按照當今的標準來看并不安全。它容易受到各種攻擊，并且缺乏重要的安全功能，例如多因素身份驗證。該協議使用已知的哈希算法，無需加鹽，因此容易受到暴力攻擊。此外，NTLM 不支持現代加密方法，并且依賴于受損的 MD4 哈希函數?？傮w而言，NTLM 很容易受到損害，應該用 Kerberos 等更安全的協議替代。

NTLM 的優(yōu)點和挑戰(zhàn)

如前所述，NTLM 是一種過時的協議，因此與 Kerberos 等現代解決方案相比，其優(yōu)勢有限。然而，其避免不受保護的密碼傳輸的最初目的仍然是真實的。然而，依賴 NTLM 身份驗證有明顯的缺點，其中包括：

有限身份驗證：NTLM 依賴質詢-響應協議，不支持多重身份驗證 (MFA)，后者通過使用多條信息進行用戶驗證來增強安全性。

安全漏洞：N??TLM 中簡單的密碼哈希使系統容易受到哈希傳遞和暴力攻擊等攻擊。

過時的加密技術：NTLM 未能利用最新的加密技術來增強密碼安全性。

如何使用 NTLM 保護您的網絡？

為了增強安全性，由于眾所周知的安全漏洞，組織應盡量減少 NTLM 的使用。但是，對于那些出于兼容性原因仍依賴 NTLM 的組織，提供以下建議：

實施 NTLM 緩解措施：為了防止 NTLM 中繼攻擊，有必要在所有相關服務器上啟用服務器簽名和身份驗證擴展保護 (EPA)。

應用補?。菏褂?Microsoft 提供的最新安全更新使系統保持最新狀態(tài)，以確保提供最大程度的保護。

利用先進技術：采用先進的 NTLM 中繼檢測和預防技術，例如通道綁定，通過將 NTLM 會話綁定到底層傳輸通道來確保 NTLM 會話的完整性。

識別弱 NTLM 變體：某些 NTLM 客戶端利用不發(fā)送消息完整性代碼 (MIC) 的弱變體，從而增加了網絡遭受 NTLM 中繼攻擊的脆弱性。識別并解決這些微弱的變化。

監(jiān)控 NTLM 流量：通過密切監(jiān)控網絡中不安全的 NTLM 流量的使用情況來限制其使用。

消除 LM 響應：消除發(fā)送 Lan Manager (LM) 響應的客戶端，并將組策略對象 (GPO) 網絡安全配置為拒絕 LM 響應。

總之，NTLM 身份驗證協議已經過時，并且存在一些使其不安全的弱點。這些弱點包括容易破解密碼哈希以及容易遭受哈希傳遞攻擊。NTLM 還缺乏相互身份驗證和會話安全等現代安全功能，使其不適合當前的網絡環(huán)境。它與其他身份驗證協議的互操作性有限，并且在處理大規(guī)模身份驗證請求時效率不高。組織應考慮遷移到更安全、更現代的身份驗證協議（例如 Kerberos 或 OAuth），以提高安全性、互操作性和可擴展性。這將有助于保護敏感數據、降低風險并與現代技術集成。

虹科推薦

虹科數據安全與合規(guī)解決方案

虹科Lepide主要提供數據安全與合規(guī)性解決方案，旨在幫助組織保護其敏感數據、監(jiān)控數據活動并滿足合規(guī)性要求。以下是Lepide產品的一些關鍵特點和功能：

數據審計： 用于實時監(jiān)控和審計整個IT基礎設施，包括Windows文件服務器、Active Directory、Exchange、SQL Server、SharePoint等等。它可以幫助您追蹤用戶活動、檢測潛在威脅、生成合規(guī)性報告和警報。

數據安全平臺： 該平臺集成了Lepide Auditor以及其他數據安全工具，為組織提供綜合的數據安全解決方案。它包括數據分類、敏感數據發(fā)現、風險評估和數據流程分析。

數據分類： Lepide的數據分類工具幫助組織識別和分類其數據，以便更好地管理和保護敏感信息。

數據發(fā)現與保護： 該產品可以幫助您發(fā)現并防止敏感數據泄漏，包括監(jiān)視和保護云中的數據。

合規(guī)性監(jiān)控： Lepide Auditor支持多種合規(guī)性標準，包括HIPAA、GDPR、PCI DSS等等，并生成相應的合規(guī)性報告。

安全事件響應： 該產品提供實時警報，以幫助組織快速識別并響應潛在的安全威脅。

數據流程分析： 通過分析數據的流向，Lepide幫助組織識別潛在的風險和非法數據活動。

權限分析和管理： 該工具可幫助您審查和管理用戶權限，以減少潛在的風險。

了解虹科網絡安全更多技術干貨/應用案例，歡迎前往【虹科網絡安全】官方網站：https://haocst.com/

聯系方式鏈接：https://tl-tx.dustess.com/SNt7XyP3X1

聯系我們|Tel：13533491614