什么是 NTLM?
NTLM 是一種身份驗證協(xié)議,用于驗證 IT 系統(tǒng)中的用戶身份。它于 1993 年發(fā)布,后來于 1998 年通過 NTLMv2 進行了改進。NTLM 是較舊的 LM 協(xié)議的繼承者,該協(xié)議曾在 20 世紀 80 年代用于 Microsoft 的 LAN Manager 產(chǎn)品。那個時候,計算機網(wǎng)絡(luò)比較簡單,沒有連接到互聯(lián)網(wǎng)。主要問題是通過竊聽網(wǎng)絡(luò)登錄流量來竊取用戶密碼。為了減輕這種風(fēng)險,NTLM 不會通過網(wǎng)絡(luò)發(fā)送用戶密碼。相反,它使用密碼哈希作為用戶了解密碼的證據(jù)。
NTLM 如何工作?
以下是 NTLM 身份驗證工作原理的分步過程:
1、客戶端請求:客戶端發(fā)送請求以訪問服務(wù)器上的網(wǎng)絡(luò)資源(例如,文件共享、Web 服務(wù)器)。
2、服務(wù)器質(zhì)詢:服務(wù)器以質(zhì)詢進行響應(yīng),這是客戶端在身份驗證過程中需要使用的隨機值。質(zhì)詢是每次身份驗證嘗試的唯一值。
3、客戶端響應(yīng) (NTLMv1):客戶端使用質(zhì)詢和以 NTLM 哈希格式哈希的用戶憑據(jù)(用戶名和密碼)生成 NTLMv1 響應(yīng)。NTLM 哈希是用戶密碼的單向哈希,這比以明文形式發(fā)送密碼更安全。該響應(yīng)被發(fā)送回服務(wù)器。
4、服務(wù)器驗證 (NTLMv1):服務(wù)器接收客戶端的響應(yīng),并使用存儲的用戶密碼的 NTLM 哈希來驗證響應(yīng)。如果響應(yīng)有效,服務(wù)器將授予對所請求資源的訪問權(quán)限。
5、客戶端響應(yīng) (NTLMv2):在 NTLM 的更安全變體中,客戶端可以使用 NTLMv2。在這種情況下,客戶端使用質(zhì)詢和附加數(shù)據(jù)(例如客戶端和服務(wù)器的時間戳)生成 NTLMv2 響應(yīng)。與 NTLMv1 相比,這使其更能抵抗某些類型的攻擊。
6、服務(wù)器驗證 (NTLMv2):如果客戶端使用 NTLMv2,服務(wù)器將使用存儲的用戶密碼 NTLM 哈希值和身份驗證請求中的其他數(shù)據(jù)來驗證響應(yīng)。
7、授予訪問權(quán)限:如果服務(wù)器驗證客戶端的響應(yīng)(NTLMv1 或 NTLMv2),則會授予對所請求網(wǎng)絡(luò)資源的訪問權(quán)限??蛻舳爽F(xiàn)在可以安全地訪問資源。
NTLM 和 Kerberos 之間的區(qū)別
Kerberos 是一種身份驗證協(xié)議,它取代 NTLM 成為 Windows 2000 及更高版本上的標準身份驗證工具。NTLM 和 Kerberos 之間的主要區(qū)別在于它們的身份驗證過程。NTLM 使用三次握手,而 Kerberos 使用由票證授予服務(wù)或密鑰分發(fā)中心組成的兩部分流程。另一個區(qū)別是 NTLM 中使用密碼散列,而 Kerberos 中使用加密。盡管 Kerberos 是默認身份驗證方法,但 NTLM 可以在身份驗證失敗時充當(dāng)備份。
NTLM 身份驗證的問題
NTLM 身份驗證是一種過時且薄弱的協(xié)議,按照當(dāng)今的標準來看并不安全。它容易受到各種攻擊,并且缺乏重要的安全功能,例如多因素身份驗證。該協(xié)議使用已知的哈希算法,無需加鹽,因此容易受到暴力攻擊。此外,NTLM 不支持現(xiàn)代加密方法,并且依賴于受損的 MD4 哈希函數(shù)??傮w而言,NTLM 很容易受到損害,應(yīng)該用 Kerberos 等更安全的協(xié)議替代。
NTLM 的優(yōu)點和挑戰(zhàn)
如前所述,NTLM 是一種過時的協(xié)議,因此與 Kerberos 等現(xiàn)代解決方案相比,其優(yōu)勢有限。然而,其避免不受保護的密碼傳輸的最初目的仍然是真實的。然而,依賴 NTLM 身份驗證有明顯的缺點,其中包括:
有限身份驗證:NTLM 依賴質(zhì)詢-響應(yīng)協(xié)議,不支持多重身份驗證 (MFA),后者通過使用多條信息進行用戶驗證來增強安全性。
安全漏洞:NTLM 中簡單的密碼哈希使系統(tǒng)容易受到哈希傳遞和暴力攻擊等攻擊。
過時的加密技術(shù):NTLM 未能利用最新的加密技術(shù)來增強密碼安全性。
如何使用 NTLM 保護您的網(wǎng)絡(luò)?
為了增強安全性,由于眾所周知的安全漏洞,組織應(yīng)盡量減少 NTLM 的使用。但是,對于那些出于兼容性原因仍依賴 NTLM 的組織,提供以下建議:
實施 NTLM 緩解措施:為了防止 NTLM 中繼攻擊,有必要在所有相關(guān)服務(wù)器上啟用服務(wù)器簽名和身份驗證擴展保護 (EPA)。
應(yīng)用補?。?/strong>使用 Microsoft 提供的最新安全更新使系統(tǒng)保持最新狀態(tài),以確保提供最大程度的保護。
利用先進技術(shù):采用先進的 NTLM 中繼檢測和預(yù)防技術(shù),例如通道綁定,通過將 NTLM 會話綁定到底層傳輸通道來確保 NTLM 會話的完整性。
識別弱 NTLM 變體:某些 NTLM 客戶端利用不發(fā)送消息完整性代碼 (MIC) 的弱變體,從而增加了網(wǎng)絡(luò)遭受 NTLM 中繼攻擊的脆弱性。識別并解決這些微弱的變化。
監(jiān)控 NTLM 流量:通過密切監(jiān)控網(wǎng)絡(luò)中不安全的 NTLM 流量的使用情況來限制其使用。
消除 LM 響應(yīng):消除發(fā)送 Lan Manager (LM) 響應(yīng)的客戶端,并將組策略對象 (GPO) 網(wǎng)絡(luò)安全配置為拒絕 LM 響應(yīng)。
總之,NTLM 身份驗證協(xié)議已經(jīng)過時,并且存在一些使其不安全的弱點。這些弱點包括容易破解密碼以及容易遭受傳遞攻擊。NTLM 還缺乏相互身份驗證和會話安全等現(xiàn)代安全功能,使其不適合當(dāng)前的網(wǎng)絡(luò)環(huán)境。它與其他身份驗證協(xié)議的互操作性有限,并且在處理大規(guī)模身份驗證請求時效率不高。組織應(yīng)考慮遷移到更安全、更現(xiàn)代的身份驗證協(xié)議(例如 Kerberos 或 OAuth),以提高安全性、互操作性和可擴展性。這將有助于保護敏感數(shù)據(jù)、降低風(fēng)險并與現(xiàn)代技術(shù)集成。
-
WINDOWS
+關(guān)注
關(guān)注
3文章
3509瀏覽量
88205 -
網(wǎng)絡(luò)安全
+關(guān)注
關(guān)注
10文章
3085瀏覽量
59465 -
身份驗證
+關(guān)注
關(guān)注
0文章
22瀏覽量
10160
發(fā)布評論請先 登錄
相關(guān)推薦
評論