Hva er NTLM?
NTLM (New Technology LAN Manager) er en eldre autentiseringsprotokoll utviklet av Microsoft for Windows-miljøer. Protokollen bruker en "challenge-response"-mekanisme for å verifisere brukeres identitet uten å sende passord direkte over nettverket.
NTLM er kjent for å ha flere sikkerhetssvakheter og brukes i dag primært som fallback i situasjoner der Kerberos ikke kan benyttes.
NTLM bør fasees ut til fordel for Kerberos i moderne Windows-miljøer. Der NTLM må beholdes, bør SMB-signering aktiveres og trafikk begrenses strengt.
NTLM fungerer på denne måten:
- Brukeren sender brukernavn til serveren.
- Serveren sender en tilfeldig "challenge" (utfordring) til klienten.
- Klienten krypterer challenge-en med brukerens passordhash og returnerer denne responsen.
- Serveren sammenligner responsen med sin egen beregning av forventet hash.
Sicra og NTLM
Sicra hjelper organisasjoner med å implementere beste praksis for å forbedre sikkerhetsstillingen deres og fremtidens utfordringer.
Med hjelp kan angrepsflaten reduseres og følgende NTLM svakhetene håndteres:
- NTLM mangler gjensidig autentisering: Kun klienten autentiserer seg til serveren, ikke omvendt.
- Pass-the-hash-angrep: Angripere kan stjele NTLM-hasher og bruke dem direkte for tilgang uten å knekke passordet.
- Svake krypteringsalgoritmer: NTLMv1 bruker MD4/MD5, som er sårbare for brute force-angrep.
Tjenester
Les mer om "sikkerhetsrådgivning" her >
Relaterte ord: Autentisering, Beste praksis, Compliance, Cyber Kill Chain, Cybersikkerhet, Exploit kit, Hacking, SOC (Security Operations Center), Zero-day sårbarhet