什么是 NTLM?
NTLM 是一種身份驗證協(xié)議,用于驗證 IT 系統(tǒng)中的用戶身份。它于 1993 年發(fā)布,后來于 1998 年通過 NTLMv2 進行了改進。NTLM 是較舊的 LM 協(xié)議的繼承者,該協(xié)議曾在 20 世紀 80 年代用于 Microsoft 的 LAN Manager 產(chǎn)品。那個時候,計算機網(wǎng)絡(luò)比較簡單,沒有連接到互聯(lián)網(wǎng)。主要問題是通過竊聽網(wǎng)絡(luò)登錄流量來竊取用戶密碼。為了減輕這種風險,NTLM 不會通過網(wǎng)絡(luò)發(fā)送用戶密碼。相反,它使用密碼哈希作為用戶了解密碼的證據(jù)
NTLM 如何工作?
以下是 NTLM 身份驗證工作原理的分步過程:
1. 客戶端請求:客戶端發(fā)送請求以訪問服務(wù)器上的網(wǎng)絡(luò)資源(例如,文件共享、Web 服務(wù)器)。
2.服務(wù)器質(zhì)詢:服務(wù)器以質(zhì)詢進行響應(yīng),這是客戶端在身份驗證過程中需要使用的隨機值。質(zhì)詢是每次身份驗證嘗試的唯一值。
3.客戶端響應(yīng) (NTLMv1):客戶端使用質(zhì)詢和以 NTLM 哈希格式哈希的用戶憑據(jù)(用戶名和密碼)生成 NTLMv1 響應(yīng)。NTLM 哈希是用戶密碼的單向哈希,這比以明文形式發(fā)送密碼更安全。該響應(yīng)被發(fā)送回服務(wù)器。
4.服務(wù)器驗證 (NTLMv1):服務(wù)器接收客戶端的響應(yīng),并使用存儲的用戶密碼的 NTLM 哈希來驗證響應(yīng)。如果響應(yīng)有效,服務(wù)器將授予對所請求資源的訪問權(quán)限。
5.客戶端響應(yīng) (NTLMv2):在 NTLM 的更安全變體中,客戶端可以使用 NTLMv2。在這種情況下,客戶端使用質(zhì)詢和附加數(shù)據(jù)(例如客戶端和服務(wù)器的時間戳)生成 NTLMv2 響應(yīng)。與 NTLMv1 相比,這使其更能抵抗某些類型的攻擊。
6.服務(wù)器驗證 (NTLMv2):如果客戶端使用 NTLMv2,服務(wù)器將使用存儲的用戶密碼 NTLM 哈希值和身份驗證請求中的其他數(shù)據(jù)來驗證響應(yīng)。
7.授予訪問權(quán)限:如果服務(wù)器驗證客戶端的響應(yīng)(NTLMv1 或 NTLMv2),則會授予對所請求網(wǎng)絡(luò)資源的訪問權(quán)限??蛻舳爽F(xiàn)在可以安全地訪問資源。
NTLM 和 Kerberos 之間的區(qū)別
Kerberos 是一種身份驗證協(xié)議,它取代 NTLM 成為 Windows 2000 及更高版本上的標準身份驗證工具。NTLM 和 Kerberos 之間的主要區(qū)別在于它們的身份驗證過程。NTLM 使用三次握手,而 Kerberos 使用由票證授予服務(wù)或密鑰分發(fā)中心組成的兩部分流程。另一個區(qū)別是 NTLM 中使用密碼散列,而 Kerberos 中使用加密。盡管 Kerberos 是默認身份驗證方法,但 NTLM 可以在身份驗證失敗時充當備份。
NTLM 身份驗證的問題
NTLM 身份驗證是一種過時且薄弱的協(xié)議,按照當今的標準來看并不安全。它容易受到各種攻擊,并且缺乏重要的安全功能,例如多因素身份驗證。該協(xié)議使用已知的哈希算法,無需加鹽,因此容易受到暴力攻擊。此外,NTLM 不支持現(xiàn)代加密方法,并且依賴于受損的 MD4 哈希函數(shù)??傮w而言,NTLM 很容易受到損害,應(yīng)該用 Kerberos 等更安全的協(xié)議替代。
NTLM 的優(yōu)點和挑戰(zhàn)
如前所述,NTLM 是一種過時的協(xié)議,因此與 Kerberos 等現(xiàn)代解決方案相比,其優(yōu)勢有限。然而,其避免不受保護的密碼傳輸?shù)淖畛跄康娜匀皇钦鎸嵉?。然而,依?NTLM 身份驗證有明顯的缺點,其中包括:
有限身份驗證:NTLM 依賴質(zhì)詢-響應(yīng)協(xié)議,不支持多重身份驗證 (MFA),后者通過使用多條信息進行用戶驗證來增強安全性。
安全漏洞:N??TLM 中簡單的密碼哈希使系統(tǒng)容易受到哈希傳遞和暴力攻擊等攻擊。
過時的加密技術(shù):NTLM 未能利用最新的加密技術(shù)來增強密碼安全性。
如何使用 NTLM 保護您的網(wǎng)絡(luò)?
為了增強安全性,由于眾所周知的安全漏洞,組織應(yīng)盡量減少 NTLM 的使用。但是,對于那些出于兼容性原因仍依賴 NTLM 的組織,提供以下建議:
實施 NTLM 緩解措施:為了防止 NTLM 中繼攻擊,有必要在所有相關(guān)服務(wù)器上啟用服務(wù)器簽名和身份驗證擴展保護 (EPA)。
應(yīng)用補?。菏褂?Microsoft 提供的最新安全更新使系統(tǒng)保持最新狀態(tài),以確保提供最大程度的保護。
利用先進技術(shù):采用先進的 NTLM 中繼檢測和預(yù)防技術(shù),例如通道綁定,通過將 NTLM 會話綁定到底層傳輸通道來確保 NTLM 會話的完整性。
識別弱 NTLM 變體:某些 NTLM 客戶端利用不發(fā)送消息完整性代碼 (MIC) 的弱變體,從而增加了網(wǎng)絡(luò)遭受 NTLM 中繼攻擊的脆弱性。識別并解決這些微弱的變化。
監(jiān)控 NTLM 流量:通過密切監(jiān)控網(wǎng)絡(luò)中不安全的 NTLM 流量的使用情況來限制其使用。
消除 LM 響應(yīng):消除發(fā)送 Lan Manager (LM) 響應(yīng)的客戶端,并將組策略對象 (GPO) 網(wǎng)絡(luò)安全配置為拒絕 LM 響應(yīng)。
總之,NTLM 身份驗證協(xié)議已經(jīng)過時,并且存在一些使其不安全的弱點。這些弱點包括容易破解密碼哈希以及容易遭受哈希傳遞攻擊。NTLM 還缺乏相互身份驗證和會話安全等現(xiàn)代安全功能,使其不適合當前的網(wǎng)絡(luò)環(huán)境。它與其他身份驗證協(xié)議的互操作性有限,并且在處理大規(guī)模身份驗證請求時效率不高。組織應(yīng)考慮遷移到更安全、更現(xiàn)代的身份驗證協(xié)議(例如 Kerberos 或 OAuth),以提高安全性、互操作性和可擴展性。這將有助于保護敏感數(shù)據(jù)、降低風險并與現(xiàn)代技術(shù)集成。
虹科推薦
虹科數(shù)據(jù)安全與合規(guī)解決方案
虹科Lepide主要提供數(shù)據(jù)安全與合規(guī)性解決方案,旨在幫助組織保護其敏感數(shù)據(jù)、監(jiān)控數(shù)據(jù)活動并滿足合規(guī)性要求。以下是Lepide產(chǎn)品的一些關(guān)鍵特點和功能:
數(shù)據(jù)審計: 用于實時監(jiān)控和審計整個IT基礎(chǔ)設(shè)施,包括Windows文件服務(wù)器、Active Directory、Exchange、SQL Server、SharePoint等等。它可以幫助您追蹤用戶活動、檢測潛在威脅、生成合規(guī)性報告和警報。
數(shù)據(jù)安全平臺: 該平臺集成了Lepide Auditor以及其他數(shù)據(jù)安全工具,為組織提供綜合的數(shù)據(jù)安全解決方案。它包括數(shù)據(jù)分類、敏感數(shù)據(jù)發(fā)現(xiàn)、風險評估和數(shù)據(jù)流程分析。
數(shù)據(jù)分類: Lepide的數(shù)據(jù)分類工具幫助組織識別和分類其數(shù)據(jù),以便更好地管理和保護敏感信息。
數(shù)據(jù)發(fā)現(xiàn)與保護: 該產(chǎn)品可以幫助您發(fā)現(xiàn)并防止敏感數(shù)據(jù)泄漏,包括監(jiān)視和保護云中的數(shù)據(jù)。
合規(guī)性監(jiān)控: Lepide Auditor支持多種合規(guī)性標準,包括HIPAA、GDPR、PCI DSS等等,并生成相應(yīng)的合規(guī)性報告。
安全事件響應(yīng): 該產(chǎn)品提供實時警報,以幫助組織快速識別并響應(yīng)潛在的安全威脅。
數(shù)據(jù)流程分析: 通過分析數(shù)據(jù)的流向,Lepide幫助組織識別潛在的風險和非法數(shù)據(jù)活動。
權(quán)限分析和管理: 該工具可幫助您審查和管理用戶權(quán)限,以減少潛在的風險。
了解虹科網(wǎng)絡(luò)安全更多技術(shù)干貨/應(yīng)用案例,歡迎前往【虹科網(wǎng)絡(luò)安全】官方網(wǎng)站:https://haocst.com/
聯(lián)系方式鏈接:https://tl-tx.dustess.com/SNt7XyP3X1
聯(lián)系我們|Tel:13533491614