Аутентификация NTLM

Устаревший протокол Windows-аутентификации по схеме «вызов-ответ», подтверждающий пользователя по хешу пароля; по современным меркам считается слабым.

NTLM (NT LAN Manager) — семейство протоколов аутентификации Microsoft для Windows-сетей, появившихся до повсеместного распространения Kerberos. Протокол использует обмен «вызов-ответ» на основе NT-хеша пользователя и никогда не передаёт сам пароль. NTLM ещё применяется как резерв, когда Kerberos недоступен, или в сценариях рабочих групп, но уязвим к relay-атакам (NTLM Relay), pass-the-hash, брутфорсу слабых паролей и офлайн-крэкингу перехваченных хешей. Microsoft признаёт NTLM устаревшим, постепенно отключает NTLMv1 и снижает зависимость от NTLMv2 за счёт подписи SMB, channel binding, Extended Protection for Authentication и конфигураций «только Kerberos».

Примеры

Злоумышленник через подставной SMB-сервер собирает хеши NTLMv2 и взламывает их офлайн с помощью hashcat.

Relay NTLM через неподписанную SMB-сессию для аутентификации на контроллере домена.

Аутентификация NTLM

Примеры

Связанные термины

Kerberos

Active Directory