什么是 NTLM?
NTLM 是一種身份驗(yàn)證協(xié)議,用于驗(yàn)證 IT 系統(tǒng)中的用戶(hù)身份。它于 1993 年發(fā)布,后來(lái)于 1998 年通過(guò) NTLMv2 進(jìn)行了改進(jìn)。NTLM 是較舊的 LM 協(xié)議的繼承者,該協(xié)議曾在 20 世紀(jì) 80 年代用于 Microsoft 的 LAN Manager 產(chǎn)品。那個(gè)時(shí)候,計(jì)算機(jī)網(wǎng)絡(luò)比較簡(jiǎn)單,沒(méi)有連接到互聯(lián)網(wǎng)。主要問(wèn)題是通過(guò)竊聽(tīng)網(wǎng)絡(luò)登錄流量來(lái)竊取用戶(hù)密碼。為了減輕這種風(fēng)險(xiǎn),NTLM 不會(huì)通過(guò)網(wǎng)絡(luò)發(fā)送用戶(hù)密碼。相反,它使用密碼哈希作為用戶(hù)了解密碼的證據(jù)
NTLM 如何工作?
以下是 NTLM 身份驗(yàn)證工作原理的分步過(guò)程:
1. 客戶(hù)端請(qǐng)求:客戶(hù)端發(fā)送請(qǐng)求以訪問(wèn)服務(wù)器上的網(wǎng)絡(luò)資源(例如,文件共享、Web 服務(wù)器)。
2.服務(wù)器質(zhì)詢(xún):服務(wù)器以質(zhì)詢(xún)進(jìn)行響應(yīng),這是客戶(hù)端在身份驗(yàn)證過(guò)程中需要使用的隨機(jī)值。質(zhì)詢(xún)是每次身份驗(yàn)證嘗試的唯一值。
3.客戶(hù)端響應(yīng) (NTLMv1):客戶(hù)端使用質(zhì)詢(xún)和以 NTLM 哈希格式哈希的用戶(hù)憑據(jù)(用戶(hù)名和密碼)生成 NTLMv1 響應(yīng)。NTLM 哈希是用戶(hù)密碼的單向哈希,這比以明文形式發(fā)送密碼更安全。該響應(yīng)被發(fā)送回服務(wù)器。
4.服務(wù)器驗(yàn)證 (NTLMv1):服務(wù)器接收客戶(hù)端的響應(yīng),并使用存儲(chǔ)的用戶(hù)密碼的 NTLM 哈希來(lái)驗(yàn)證響應(yīng)。如果響應(yīng)有效,服務(wù)器將授予對(duì)所請(qǐng)求資源的訪問(wèn)權(quán)限。
5.客戶(hù)端響應(yīng) (NTLMv2):在 NTLM 的更安全變體中,客戶(hù)端可以使用 NTLMv2。在這種情況下,客戶(hù)端使用質(zhì)詢(xún)和附加數(shù)據(jù)(例如客戶(hù)端和服務(wù)器的時(shí)間戳)生成 NTLMv2 響應(yīng)。與 NTLMv1 相比,這使其更能抵抗某些類(lèi)型的攻擊。
6.服務(wù)器驗(yàn)證 (NTLMv2):如果客戶(hù)端使用 NTLMv2,服務(wù)器將使用存儲(chǔ)的用戶(hù)密碼 NTLM 哈希值和身份驗(yàn)證請(qǐng)求中的其他數(shù)據(jù)來(lái)驗(yàn)證響應(yīng)。
7.授予訪問(wèn)權(quán)限:如果服務(wù)器驗(yàn)證客戶(hù)端的響應(yīng)(NTLMv1 或 NTLMv2),則會(huì)授予對(duì)所請(qǐng)求網(wǎng)絡(luò)資源的訪問(wèn)權(quán)限??蛻?hù)端現(xiàn)在可以安全地訪問(wèn)資源。
NTLM 和 Kerberos 之間的區(qū)別
Kerberos 是一種身份驗(yàn)證協(xié)議,它取代 NTLM 成為 Windows 2000 及更高版本上的標(biāo)準(zhǔn)身份驗(yàn)證工具。NTLM 和 Kerberos 之間的主要區(qū)別在于它們的身份驗(yàn)證過(guò)程。NTLM 使用三次握手,而 Kerberos 使用由票證授予服務(wù)或密鑰分發(fā)中心組成的兩部分流程。另一個(gè)區(qū)別是 NTLM 中使用密碼散列,而 Kerberos 中使用加密。盡管 Kerberos 是默認(rèn)身份驗(yàn)證方法,但 NTLM 可以在身份驗(yàn)證失敗時(shí)充當(dāng)備份。
NTLM 身份驗(yàn)證的問(wèn)題
NTLM 身份驗(yàn)證是一種過(guò)時(shí)且薄弱的協(xié)議,按照當(dāng)今的標(biāo)準(zhǔn)來(lái)看并不安全。它容易受到各種攻擊,并且缺乏重要的安全功能,例如多因素身份驗(yàn)證。該協(xié)議使用已知的哈希算法,無(wú)需加鹽,因此容易受到暴力攻擊。此外,NTLM 不支持現(xiàn)代加密方法,并且依賴(lài)于受損的 MD4 哈希函數(shù)??傮w而言,NTLM 很容易受到損害,應(yīng)該用 Kerberos 等更安全的協(xié)議替代。
NTLM 的優(yōu)點(diǎn)和挑戰(zhàn)
如前所述,NTLM 是一種過(guò)時(shí)的協(xié)議,因此與 Kerberos 等現(xiàn)代解決方案相比,其優(yōu)勢(shì)有限。然而,其避免不受保護(hù)的密碼傳輸?shù)淖畛跄康娜匀皇钦鎸?shí)的。然而,依賴(lài) NTLM 身份驗(yàn)證有明顯的缺點(diǎn),其中包括:
有限身份驗(yàn)證:NTLM 依賴(lài)質(zhì)詢(xún)-響應(yīng)協(xié)議,不支持多重身份驗(yàn)證 (MFA),后者通過(guò)使用多條信息進(jìn)行用戶(hù)驗(yàn)證來(lái)增強(qiáng)安全性。
安全漏洞:N??TLM 中簡(jiǎn)單的密碼哈希使系統(tǒng)容易受到哈希傳遞和暴力攻擊等攻擊。
過(guò)時(shí)的加密技術(shù):NTLM 未能利用最新的加密技術(shù)來(lái)增強(qiáng)密碼安全性。
如何使用 NTLM 保護(hù)您的網(wǎng)絡(luò)?
為了增強(qiáng)安全性,由于眾所周知的安全漏洞,組織應(yīng)盡量減少 NTLM 的使用。但是,對(duì)于那些出于兼容性原因仍依賴(lài) NTLM 的組織,提供以下建議:
實(shí)施 NTLM 緩解措施:為了防止 NTLM 中繼攻擊,有必要在所有相關(guān)服務(wù)器上啟用服務(wù)器簽名和身份驗(yàn)證擴(kuò)展保護(hù) (EPA)。
應(yīng)用補(bǔ)?。菏褂?Microsoft 提供的最新安全更新使系統(tǒng)保持最新?tīng)顟B(tài),以確保提供最大程度的保護(hù)。
利用先進(jìn)技術(shù):采用先進(jìn)的 NTLM 中繼檢測(cè)和預(yù)防技術(shù),例如通道綁定,通過(guò)將 NTLM 會(huì)話綁定到底層傳輸通道來(lái)確保 NTLM 會(huì)話的完整性。
識(shí)別弱 NTLM 變體:某些 NTLM 客戶(hù)端利用不發(fā)送消息完整性代碼 (MIC) 的弱變體,從而增加了網(wǎng)絡(luò)遭受 NTLM 中繼攻擊的脆弱性。識(shí)別并解決這些微弱的變化。
監(jiān)控 NTLM 流量:通過(guò)密切監(jiān)控網(wǎng)絡(luò)中不安全的 NTLM 流量的使用情況來(lái)限制其使用。
消除 LM 響應(yīng):消除發(fā)送 Lan Manager (LM) 響應(yīng)的客戶(hù)端,并將組策略對(duì)象 (GPO) 網(wǎng)絡(luò)安全配置為拒絕 LM 響應(yīng)。
總之,NTLM 身份驗(yàn)證協(xié)議已經(jīng)過(guò)時(shí),并且存在一些使其不安全的弱點(diǎn)。這些弱點(diǎn)包括容易破解密碼哈希以及容易遭受哈希傳遞攻擊。NTLM 還缺乏相互身份驗(yàn)證和會(huì)話安全等現(xiàn)代安全功能,使其不適合當(dāng)前的網(wǎng)絡(luò)環(huán)境。它與其他身份驗(yàn)證協(xié)議的互操作性有限,并且在處理大規(guī)模身份驗(yàn)證請(qǐng)求時(shí)效率不高。組織應(yīng)考慮遷移到更安全、更現(xiàn)代的身份驗(yàn)證協(xié)議(例如 Kerberos 或 OAuth),以提高安全性、互操作性和可擴(kuò)展性。這將有助于保護(hù)敏感數(shù)據(jù)、降低風(fēng)險(xiǎn)并與現(xiàn)代技術(shù)集成。
虹科推薦
虹科數(shù)據(jù)安全與合規(guī)解決方案
虹科Lepide主要提供數(shù)據(jù)安全與合規(guī)性解決方案,旨在幫助組織保護(hù)其敏感數(shù)據(jù)、監(jiān)控?cái)?shù)據(jù)活動(dòng)并滿足合規(guī)性要求。以下是Lepide產(chǎn)品的一些關(guān)鍵特點(diǎn)和功能:
數(shù)據(jù)審計(jì): 用于實(shí)時(shí)監(jiān)控和審計(jì)整個(gè)IT基礎(chǔ)設(shè)施,包括Windows文件服務(wù)器、Active Directory、Exchange、SQL Server、SharePoint等等。它可以幫助您追蹤用戶(hù)活動(dòng)、檢測(cè)潛在威脅、生成合規(guī)性報(bào)告和警報(bào)。
數(shù)據(jù)安全平臺(tái): 該平臺(tái)集成了Lepide Auditor以及其他數(shù)據(jù)安全工具,為組織提供綜合的數(shù)據(jù)安全解決方案。它包括數(shù)據(jù)分類(lèi)、敏感數(shù)據(jù)發(fā)現(xiàn)、風(fēng)險(xiǎn)評(píng)估和數(shù)據(jù)流程分析。
數(shù)據(jù)分類(lèi): Lepide的數(shù)據(jù)分類(lèi)工具幫助組織識(shí)別和分類(lèi)其數(shù)據(jù),以便更好地管理和保護(hù)敏感信息。
數(shù)據(jù)發(fā)現(xiàn)與保護(hù): 該產(chǎn)品可以幫助您發(fā)現(xiàn)并防止敏感數(shù)據(jù)泄漏,包括監(jiān)視和保護(hù)云中的數(shù)據(jù)。
合規(guī)性監(jiān)控: Lepide Auditor支持多種合規(guī)性標(biāo)準(zhǔn),包括HIPAA、GDPR、PCI DSS等等,并生成相應(yīng)的合規(guī)性報(bào)告。
安全事件響應(yīng): 該產(chǎn)品提供實(shí)時(shí)警報(bào),以幫助組織快速識(shí)別并響應(yīng)潛在的安全威脅。
數(shù)據(jù)流程分析: 通過(guò)分析數(shù)據(jù)的流向,Lepide幫助組織識(shí)別潛在的風(fēng)險(xiǎn)和非法數(shù)據(jù)活動(dòng)。
權(quán)限分析和管理: 該工具可幫助您審查和管理用戶(hù)權(quán)限,以減少潛在的風(fēng)險(xiǎn)。
了解虹科網(wǎng)絡(luò)安全更多技術(shù)干貨/應(yīng)用案例,歡迎前往【虹科網(wǎng)絡(luò)安全】官方網(wǎng)站:https://haocst.com/
聯(lián)系方式鏈接:https://tl-tx.dustess.com/SNt7XyP3X1
聯(lián)系我們|Tel:13533491614