虹科分享 | NTLM身份驗(yàn)證：揭秘Windows網(wǎng)絡(luò)安全的秘密武器

什么是 NTLM？

NTLM 是一種身份驗(yàn)證協(xié)議，用于驗(yàn)證 IT 系統(tǒng)中的用戶(hù)身份。它于 1993 年發(fā)布，后來(lái)于 1998 年通過(guò) NTLMv2 進(jìn)行了改進(jìn)。NTLM 是較舊的 LM 協(xié)議的繼承者，該協(xié)議曾在 20 世紀(jì) 80 年代用于 Microsoft 的 LAN Manager 產(chǎn)品。那個(gè)時(shí)候，計(jì)算機(jī)網(wǎng)絡(luò)比較簡(jiǎn)單，沒(méi)有連接到互聯(lián)網(wǎng)。主要問(wèn)題是通過(guò)竊聽(tīng)網(wǎng)絡(luò)登錄流量來(lái)竊取用戶(hù)密碼。為了減輕這種風(fēng)險(xiǎn)，NTLM 不會(huì)通過(guò)網(wǎng)絡(luò)發(fā)送用戶(hù)密碼。相反，它使用密碼哈希作為用戶(hù)了解密碼的證據(jù)

NTLM 如何工作？

以下是 NTLM 身份驗(yàn)證工作原理的分步過(guò)程：

1. 客戶(hù)端請(qǐng)求：客戶(hù)端發(fā)送請(qǐng)求以訪問(wèn)服務(wù)器上的網(wǎng)絡(luò)資源（例如，文件共享、Web 服務(wù)器）。

2.服務(wù)器質(zhì)詢(xún)：服務(wù)器以質(zhì)詢(xún)進(jìn)行響應(yīng)，這是客戶(hù)端在身份驗(yàn)證過(guò)程中需要使用的隨機(jī)值。質(zhì)詢(xún)是每次身份驗(yàn)證嘗試的唯一值。

3.客戶(hù)端響應(yīng) (NTLMv1)：客戶(hù)端使用質(zhì)詢(xún)和以 NTLM 哈希格式哈希的用戶(hù)憑據(jù)（用戶(hù)名和密碼）生成 NTLMv1 響應(yīng)。NTLM 哈希是用戶(hù)密碼的單向哈希，這比以明文形式發(fā)送密碼更安全。該響應(yīng)被發(fā)送回服務(wù)器。

4.服務(wù)器驗(yàn)證 (NTLMv1)：服務(wù)器接收客戶(hù)端的響應(yīng)，并使用存儲(chǔ)的用戶(hù)密碼的 NTLM 哈希來(lái)驗(yàn)證響應(yīng)。如果響應(yīng)有效，服務(wù)器將授予對(duì)所請(qǐng)求資源的訪問(wèn)權(quán)限。

5.客戶(hù)端響應(yīng) (NTLMv2)：在 NTLM 的更安全變體中，客戶(hù)端可以使用 NTLMv2。在這種情況下，客戶(hù)端使用質(zhì)詢(xún)和附加數(shù)據(jù)（例如客戶(hù)端和服務(wù)器的時(shí)間戳）生成 NTLMv2 響應(yīng)。與 NTLMv1 相比，這使其更能抵抗某些類(lèi)型的攻擊。

6.服務(wù)器驗(yàn)證 (NTLMv2)：如果客戶(hù)端使用 NTLMv2，服務(wù)器將使用存儲(chǔ)的用戶(hù)密碼 NTLM 哈希值和身份驗(yàn)證請(qǐng)求中的其他數(shù)據(jù)來(lái)驗(yàn)證響應(yīng)。

7.授予訪問(wèn)權(quán)限：如果服務(wù)器驗(yàn)證客戶(hù)端的響應(yīng)（NTLMv1 或 NTLMv2），則會(huì)授予對(duì)所請(qǐng)求網(wǎng)絡(luò)資源的訪問(wèn)權(quán)限?？蛻?hù)端現(xiàn)在可以安全地訪問(wèn)資源。

NTLM 和 Kerberos 之間的區(qū)別

Kerberos 是一種身份驗(yàn)證協(xié)議，它取代 NTLM 成為 Windows 2000 及更高版本上的標(biāo)準(zhǔn)身份驗(yàn)證工具。NTLM 和 Kerberos 之間的主要區(qū)別在于它們的身份驗(yàn)證過(guò)程。NTLM 使用三次握手，而 Kerberos 使用由票證授予服務(wù)或密鑰分發(fā)中心組成的兩部分流程。另一個(gè)區(qū)別是 NTLM 中使用密碼散列，而 Kerberos 中使用加密。盡管 Kerberos 是默認(rèn)身份驗(yàn)證方法，但 NTLM 可以在身份驗(yàn)證失敗時(shí)充當(dāng)備份。

NTLM 身份驗(yàn)證的問(wèn)題

NTLM 身份驗(yàn)證是一種過(guò)時(shí)且薄弱的協(xié)議，按照當(dāng)今的標(biāo)準(zhǔn)來(lái)看并不安全。它容易受到各種攻擊，并且缺乏重要的安全功能，例如多因素身份驗(yàn)證。該協(xié)議使用已知的哈希算法，無(wú)需加鹽，因此容易受到暴力攻擊。此外，NTLM 不支持現(xiàn)代加密方法，并且依賴(lài)于受損的 MD4 哈希函數(shù)?？傮w而言，NTLM 很容易受到損害，應(yīng)該用 Kerberos 等更安全的協(xié)議替代。

NTLM 的優(yōu)點(diǎn)和挑戰(zhàn)

如前所述，NTLM 是一種過(guò)時(shí)的協(xié)議，因此與 Kerberos 等現(xiàn)代解決方案相比，其優(yōu)勢(shì)有限。然而，其避免不受保護(hù)的密碼傳輸?shù)淖畛跄康娜匀皇钦鎸?shí)的。然而，依賴(lài) NTLM 身份驗(yàn)證有明顯的缺點(diǎn)，其中包括：

有限身份驗(yàn)證：NTLM 依賴(lài)質(zhì)詢(xún)-響應(yīng)協(xié)議，不支持多重身份驗(yàn)證 (MFA)，后者通過(guò)使用多條信息進(jìn)行用戶(hù)驗(yàn)證來(lái)增強(qiáng)安全性。

安全漏洞：N??TLM 中簡(jiǎn)單的密碼哈希使系統(tǒng)容易受到哈希傳遞和暴力攻擊等攻擊。

過(guò)時(shí)的加密技術(shù)：NTLM 未能利用最新的加密技術(shù)來(lái)增強(qiáng)密碼安全性。

如何使用 NTLM 保護(hù)您的網(wǎng)絡(luò)？

為了增強(qiáng)安全性，由于眾所周知的安全漏洞，組織應(yīng)盡量減少 NTLM 的使用。但是，對(duì)于那些出于兼容性原因仍依賴(lài) NTLM 的組織，提供以下建議：

實(shí)施 NTLM 緩解措施：為了防止 NTLM 中繼攻擊，有必要在所有相關(guān)服務(wù)器上啟用服務(wù)器簽名和身份驗(yàn)證擴(kuò)展保護(hù) (EPA)。

應(yīng)用補(bǔ)?。菏褂?Microsoft 提供的最新安全更新使系統(tǒng)保持最新?tīng)顟B(tài)，以確保提供最大程度的保護(hù)。

利用先進(jìn)技術(shù)：采用先進(jìn)的 NTLM 中繼檢測(cè)和預(yù)防技術(shù)，例如通道綁定，通過(guò)將 NTLM 會(huì)話綁定到底層傳輸通道來(lái)確保 NTLM 會(huì)話的完整性。

識(shí)別弱 NTLM 變體：某些 NTLM 客戶(hù)端利用不發(fā)送消息完整性代碼 (MIC) 的弱變體，從而增加了網(wǎng)絡(luò)遭受 NTLM 中繼攻擊的脆弱性。識(shí)別并解決這些微弱的變化。

監(jiān)控 NTLM 流量：通過(guò)密切監(jiān)控網(wǎng)絡(luò)中不安全的 NTLM 流量的使用情況來(lái)限制其使用。

消除 LM 響應(yīng)：消除發(fā)送 Lan Manager (LM) 響應(yīng)的客戶(hù)端，并將組策略對(duì)象 (GPO) 網(wǎng)絡(luò)安全配置為拒絕 LM 響應(yīng)。

總之，NTLM 身份驗(yàn)證協(xié)議已經(jīng)過(guò)時(shí)，并且存在一些使其不安全的弱點(diǎn)。這些弱點(diǎn)包括容易破解密碼哈希以及容易遭受哈希傳遞攻擊。NTLM 還缺乏相互身份驗(yàn)證和會(huì)話安全等現(xiàn)代安全功能，使其不適合當(dāng)前的網(wǎng)絡(luò)環(huán)境。它與其他身份驗(yàn)證協(xié)議的互操作性有限，并且在處理大規(guī)模身份驗(yàn)證請(qǐng)求時(shí)效率不高。組織應(yīng)考慮遷移到更安全、更現(xiàn)代的身份驗(yàn)證協(xié)議（例如 Kerberos 或 OAuth），以提高安全性、互操作性和可擴(kuò)展性。這將有助于保護(hù)敏感數(shù)據(jù)、降低風(fēng)險(xiǎn)并與現(xiàn)代技術(shù)集成。

虹科推薦

虹科數(shù)據(jù)安全與合規(guī)解決方案

虹科Lepide主要提供數(shù)據(jù)安全與合規(guī)性解決方案，旨在幫助組織保護(hù)其敏感數(shù)據(jù)、監(jiān)控?cái)?shù)據(jù)活動(dòng)并滿(mǎn)足合規(guī)性要求。以下是Lepide產(chǎn)品的一些關(guān)鍵特點(diǎn)和功能：

數(shù)據(jù)審計(jì)： 用于實(shí)時(shí)監(jiān)控和審計(jì)整個(gè)IT基礎(chǔ)設(shè)施，包括Windows文件服務(wù)器、Active Directory、Exchange、SQL Server、SharePoint等等。它可以幫助您追蹤用戶(hù)活動(dòng)、檢測(cè)潛在威脅、生成合規(guī)性報(bào)告和警報(bào)。

數(shù)據(jù)安全平臺(tái)： 該平臺(tái)集成了Lepide Auditor以及其他數(shù)據(jù)安全工具，為組織提供綜合的數(shù)據(jù)安全解決方案。它包括數(shù)據(jù)分類(lèi)、敏感數(shù)據(jù)發(fā)現(xiàn)、風(fēng)險(xiǎn)評(píng)估和數(shù)據(jù)流程分析。

數(shù)據(jù)分類(lèi)： Lepide的數(shù)據(jù)分類(lèi)工具幫助組織識(shí)別和分類(lèi)其數(shù)據(jù)，以便更好地管理和保護(hù)敏感信息。

數(shù)據(jù)發(fā)現(xiàn)與保護(hù)： 該產(chǎn)品可以幫助您發(fā)現(xiàn)并防止敏感數(shù)據(jù)泄漏，包括監(jiān)視和保護(hù)云中的數(shù)據(jù)。

合規(guī)性監(jiān)控： Lepide Auditor支持多種合規(guī)性標(biāo)準(zhǔn)，包括HIPAA、GDPR、PCI DSS等等，并生成相應(yīng)的合規(guī)性報(bào)告。

安全事件響應(yīng)： 該產(chǎn)品提供實(shí)時(shí)警報(bào)，以幫助組織快速識(shí)別并響應(yīng)潛在的安全威脅。

數(shù)據(jù)流程分析： 通過(guò)分析數(shù)據(jù)的流向，Lepide幫助組織識(shí)別潛在的風(fēng)險(xiǎn)和非法數(shù)據(jù)活動(dòng)。

權(quán)限分析和管理： 該工具可幫助您審查和管理用戶(hù)權(quán)限，以減少潛在的風(fēng)險(xiǎn)。

了解虹科網(wǎng)絡(luò)安全更多技術(shù)干貨/應(yīng)用案例，歡迎前往【虹科網(wǎng)絡(luò)安全】官方網(wǎng)站：https://haocst.com/

聯(lián)系方式鏈接：https://tl-tx.dustess.com/SNt7XyP3X1

聯(lián)系我們|Tel：13533491614