NTLM: как работает этот протокол?

Компьютерные сети подвержены кибератакам, если они не защищены от них должным образом. Сети защищаются путем запрета доступа каждого отдельного пользователя к общим данным и сервисам. Таким образом, только назначенный пользователь может получить доступ к сети. Защищенные входы должны быть интегрированы в закрытую сеть. Это требует установки определенных процедур безопасности. С помощью NT LAN Manager (NTLM) Windows представила свой собственный протокол аутентификации еще в 1993 году, но сейчас этот протокол считается в значительной степени устаревшим. Как работает аутентификация ntlm?

NTLM — это набор протоколов аутентификации, созданных компанией Microsoft. Первоначально NTLM был проприетарным протоколом, но позже стал доступен для использования в системах, не использующих Windows. Диспетчер локальной сети NT позволяет различным компьютерам и серверам проводить взаимную аутентификацию. Большинство сетей пытаются запретить доступ неавторизованным пользователям, что требует реализации процесса аутентификации.

Протокол требует от клиента аутентификации путем предоставления имени пользователя и соответствующего пароля. Это позволяет установить обмен данными между устройством пользователя и сервером. После того как учетные данные пользователя будут распознаны, сервер может проверить права доступа и разрешить пользователю вход.

NTLM использует протокол «вызов-ответ» для проверки подлинности пользователя сети. Для этого клиент и хост проходят несколько этапов:

1. Клиент отправляет имя пользователя на хост.
2. Хост отвечает случайным числом (т.е. вызовом).
3. Затем клиент генерирует хэшированное значение пароля из этого числа и пароля пользователя и отправляет его обратно в качестве ответа.
4. Хост знает пароль пользователя и генерирует хэшированное значение пароля, которое затем сравнивает с ответом клиента.
5. Если оба значения совпадают, подлинность клиента подтверждается, и доступ к сети предоставляется. Если значения не совпадают, клиенту будет отказано в доступе.

Информация частично передается в виде NTLM-флагов во время обмена между клиентом и хостом. Это коды длиной 4 байта. Флаги переговоров, которые иногда отличаются друг от друга всего на один байт, предоставляют информацию о состоянии процесса регистрации.

Протокол NTLM был разработан для соединения нескольких машин Windows друг с другом или с сервером. Протокол обеспечивает безопасность за счет контроля прав доступа клиентов. Windows использует NTLM в качестве процесса единой регистрации (SSO); пользователям достаточно один раз войти в систему, чтобы затем получить доступ к различным приложениям в домене.

NTLM в настоящее время считается устаревшим, и вместо него Microsoft использует Kerberos. Этот более новый протокол аутентификации является более безопасным. Однако NTLM все еще используется, особенно для поддержки старых служб. Если вы являетесь администратором большой сети, возможно, будет целесообразно прекратить использование протокола NTLM там, где в нем нет необходимости. Это поможет гарантировать, что ни один клиент не войдет в сеть непреднамеренно при его использовании, создавая тем самым потенциальную брешь в безопасности.

Одним из преимуществ является то, что аутентификация по протоколу NTLM не требует от пользователей отправлять пароли по сети без защиты. Передача пароля от клиента к серверу осуществляется только в виде хешированных значений, что обеспечивает высокий уровень безопасности. Однако хешированные значения имеют тот недостаток, что они эквивалентны паролю. Если передача будет перехвачена, то сама безопасность, которую обещает система, может быть нарушена. Пароли шифруются с помощью MD4. В настоящее время этот процесс считается небезопасным, так как эти хэшированные значения могут быть расшифрованы с относительно небольшими усилиями.

Еще одним недостатком является то, что NTLM не включает многофакторную аутентификацию (MFA). Рекомендуется применять несколько механизмов безопасности, особенно при обмене конфиденциальными данными. Протокол «вызов-ответ» в NTLM позволяет использовать только один метод аутентификации: имя пользователя и пароль.