加入星计划,您可以享受以下权益:

  • 创作内容快速变现
  • 行业影响力扩散
  • 作品版权保护
  • 300W+ 专业用户
  • 1.5W+ 优质创作者
  • 5000+ 长期合作伙伴
立即加入

虹科分享 | NTLM身份验证:揭秘Windows网络安全的秘密武器

2023/09/25
3509
服务支持:
技术交流群

完成交易后在“购买成功”页面扫码入群,即可与技术大咖们分享疑惑和经验、收获成长和认同、领取优惠和红包等。

虚拟商品不可退

当前内容为数字版权作品,购买后不支持退换且无法转移使用。

加入交流群
扫码加入
获取工程师必备礼包
参与热点资讯讨论
  • 方案介绍
  • 相关文件
  • 推荐器件
  • 相关推荐
  • 电子产业图谱
申请入驻 产业图谱

什么是 NTLM?

NTLM 是一种身份验证协议,用于验证 IT 系统中的用户身份。它于 1993 年发布,后来于 1998 年通过 NTLMv2 进行了改进。NTLM 是较旧的 LM 协议的继承者,该协议曾在 20 世纪 80 年代用于 Microsoft 的 LAN Manager 产品。那个时候,计算机网络比较简单,没有连接到互联网。主要问题是通过窃听网络登录流量来窃取用户密码。为了减轻这种风险,NTLM 不会通过网络发送用户密码。相反,它使用密码哈希作为用户了解密码的证据

NTLM 如何工作?

以下是 NTLM 身份验证工作原理的分步过程:

1. 客户端请求:客户端发送请求以访问服务器上的网络资源(例如,文件共享、Web 服务器)。

2.服务器质询:服务器以质询进行响应,这是客户端在身份验证过程中需要使用的随机值。质询是每次身份验证尝试的唯一值。

3.客户端响应 (NTLMv1):客户端使用质询和以 NTLM 哈希格式哈希的用户凭据(用户名和密码)生成 NTLMv1 响应。NTLM 哈希是用户密码的单向哈希,这比以明文形式发送密码更安全。该响应被发送回服务器。

4.服务器验证 (NTLMv1):服务器接收客户端的响应,并使用存储的用户密码的 NTLM 哈希来验证响应。如果响应有效,服务器将授予对所请求资源的访问权限。

5.客户端响应 (NTLMv2):在 NTLM 的更安全变体中,客户端可以使用 NTLMv2。在这种情况下,客户端使用质询和附加数据(例如客户端和服务器的时间戳)生成 NTLMv2 响应。与 NTLMv1 相比,这使其更能抵抗某些类型的攻击。

6.服务器验证 (NTLMv2):如果客户端使用 NTLMv2,服务器将使用存储的用户密码 NTLM 哈希值和身份验证请求中的其他数据来验证响应。

7.授予访问权限:如果服务器验证客户端的响应(NTLMv1 或 NTLMv2),则会授予对所请求网络资源的访问权限。客户端现在可以安全地访问资源。

NTLM 和 Kerberos 之间的区别

Kerberos 是一种身份验证协议,它取代 NTLM 成为 Windows 2000 及更高版本上的标准身份验证工具。NTLM 和 Kerberos 之间的主要区别在于它们的身份验证过程。NTLM 使用三次握手,而 Kerberos 使用由票证授予服务或密钥分发中心组成的两部分流程。另一个区别是 NTLM 中使用密码散列,而 Kerberos 中使用加密。尽管 Kerberos 是默认身份验证方法,但 NTLM 可以在身份验证失败时充当备份。

NTLM 身份验证的问题

NTLM 身份验证是一种过时且薄弱的协议,按照当今的标准来看并不安全。它容易受到各种攻击,并且缺乏重要的安全功能,例如多因素身份验证。该协议使用已知的哈希算法,无需加盐,因此容易受到暴力攻击。此外,NTLM 不支持现代加密方法,并且依赖于受损的 MD4 哈希函数。总体而言,NTLM 很容易受到损害,应该用 Kerberos 等更安全的协议替代。

NTLM 的优点和挑战

如前所述,NTLM 是一种过时的协议,因此与 Kerberos 等现代解决方案相比,其优势有限。然而,其避免不受保护的密码传输的最初目的仍然是真实的。然而,依赖 NTLM 身份验证有明显的缺点,其中包括:

有限身份验证:NTLM 依赖质询-响应协议,不支持多重身份验证 (MFA),后者通过使用多条信息进行用户验证来增强安全性。

安全漏洞:N​​TLM 中简单的密码哈希使系统容易受到哈希传递和暴力攻击等攻击。

过时的加密技术:NTLM 未能利用最新的加密技术来增强密码安全性。

如何使用 NTLM 保护您的网络?

为了增强安全性,由于众所周知的安全漏洞,组织应尽量减少 NTLM 的使用。但是,对于那些出于兼容性原因仍依赖 NTLM 的组织,提供以下建议:

实施 NTLM 缓解措施:为了防止 NTLM 中继攻击,有必要在所有相关服务器上启用服务器签名和身份验证扩展保护 (EPA)。

应用补丁:使用 Microsoft 提供的最新安全更新使系统保持最新状态,以确保提供最大程度的保护。

利用先进技术:采用先进的 NTLM 中继检测和预防技术,例如通道绑定,通过将 NTLM 会话绑定到底层传输通道来确保 NTLM 会话的完整性。

识别弱 NTLM 变体:某些 NTLM 客户端利用不发送消息完整性代码 (MIC) 的弱变体,从而增加了网络遭受 NTLM 中继攻击的脆弱性。识别并解决这些微弱的变化。

监控 NTLM 流量:通过密切监控网络中不安全的 NTLM 流量的使用情况来限制其使用。

消除 LM 响应:消除发送 Lan Manager (LM) 响应的客户端,并将组策略对象 (GPO) 网络安全配置为拒绝 LM 响应。

总之,NTLM 身份验证协议已经过时,并且存在一些使其不安全的弱点。这些弱点包括容易破解密码哈希以及容易遭受哈希传递攻击。NTLM 还缺乏相互身份验证和会话安全等现代安全功能,使其不适合当前的网络环境。它与其他身份验证协议的互操作性有限,并且在处理大规模身份验证请求时效率不高。组织应考虑迁移到更安全、更现代的身份验证协议(例如 Kerberos 或 OAuth),以提高安全性、互操作性和可扩展性。这将有助于保护敏感数据、降低风险并与现代技术集成。

虹科推荐

虹科数据安全与合规解决方案

虹科Lepide主要提供数据安全与合规性解决方案,旨在帮助组织保护其敏感数据、监控数据活动并满足合规性要求。以下是Lepide产品的一些关键特点和功能:

数据审计: 用于实时监控和审计整个IT基础设施,包括Windows文件服务器、Active Directory、Exchange、SQL Server、SharePoint等等。它可以帮助您追踪用户活动、检测潜在威胁、生成合规性报告和警报。

数据安全平台: 该平台集成了Lepide Auditor以及其他数据安全工具,为组织提供综合的数据安全解决方案。它包括数据分类、敏感数据发现、风险评估和数据流程分析。

数据分类: Lepide的数据分类工具帮助组织识别和分类其数据,以便更好地管理和保护敏感信息。

数据发现与保护: 该产品可以帮助您发现并防止敏感数据泄漏,包括监视和保护云中的数据。

合规性监控: Lepide Auditor支持多种合规性标准,包括HIPAA、GDPR、PCI DSS等等,并生成相应的合规性报告。

安全事件响应: 该产品提供实时警报,以帮助组织快速识别并响应潜在的安全威胁。

数据流程分析: 通过分析数据的流向,Lepide帮助组织识别潜在的风险和非法数据活动。

权限分析和管理: 该工具可帮助您审查和管理用户权限,以减少潜在的风险。

了解虹科网络安全更多技术干货/应用案例,欢迎前往【虹科网络安全】官方网站:https://haocst.com/

联系方式链接:https://tl-tx.dustess.com/SNt7XyP3X1

联系我们|Tel:13533491614

  • 虹科分享丨NTLM身份验证:揭秘Windows网络安全的秘密武器.docx

推荐器件

更多器件
器件型号 数量 器件厂商 器件描述 数据手册 ECAD模型 风险等级 参考价格 更多信息
LAN8742A-CZ 1 SMSC Ethernet Transceiver, 4 X 4 MM, 0.90 MM HEIGHT, HALOGEN FREE AND ROHS COMPLIANT, SQFN-24
$1.51 查看
KSZ8895RQXC 1 Microchip Technology Inc DATACOM, ETHERNET TRANSCEIVER

ECAD模型

下载ECAD模型
$5.09 查看
AD73311ARSZ 1 Analog Devices Inc Single-Channel, 3 V and 5 V Front-End Processor for General Purpose Applications Including Speech and Telephony

ECAD模型

下载ECAD模型
$10.72 查看

相关推荐

电子产业图谱

虹科是一家资源整合及技术服务落地供应商,与全球顶尖公司深度技术合作,专注于制造业、汽车、生物、医药、测试与测量、广播电视与媒体、通信、网络安全、光电等领域,为客户提供:智能自动化、工业物联网、智能感知、数字化+AR、光电、网络安全、测试测量、卫星与无线通信、医药环境监测与验证、生命科学、汽车电子、汽车维修诊断、云科技等解决方案。虹科始终致力于为行业客户提供创新及前端的产品和技术解决方案,为科技社会发展助力加码。