身份与访问
NTLM 认证
别称: NTLM, NT 局域网管理器
定义
一种基于挑战-响应的传统 Windows 认证协议,通过用户密码哈希证明身份,以现代标准衡量已被视为弱协议。
NTLM(NT LAN Manager)是微软为 Kerberos 普及之前的 Windows 网络设计的一组认证协议。它基于用户的 NT 哈希进行挑战-响应握手,密码从不在线上传输。尽管在 Kerberos 不可用或工作组场景中仍作为后备使用,NTLM 易受中继攻击(NTLM Relay)、传递哈希(pass-the-hash)、对弱口令的暴力破解,以及对捕获哈希的离线破解。微软将其归为传统协议,正逐步禁用 NTLMv1,并通过 SMB 签名、通道绑定、扩展认证保护(EPA)及仅 Kerberos 配置等手段降低对 NTLMv2 的依赖。
示例
- 攻击者通过恶意 SMB 服务器捕获 NTLMv2 哈希,使用 hashcat 进行离线破解。
- 通过未签名的 SMB 会话发起 NTLM 中继以向域控制器认证。