NTLM (Nieuwe Technologie LAN Manager) is een reeks Microsoft-beveiligingsprotocollen die worden gebruikt voor authenticatie, integriteit en vertrouwelijkheid in Windows-omgevingen.
Wat is NTLM?
NTLM, oftewel New Technology LAN Manager, is een gepatenteerd Microsoft-authenticatieprotocol dat is ontworpen om gebruikers en computers in Windows-netwerken te authenticeren. Het werkt met een challenge-response-mechanisme, waarbij de client het wachtwoord van de gebruiker bewijst zonder het daadwerkelijk via het netwerk te versturen. Wanneer een gebruiker probeert toegang te krijgen tot een bron, server een uitdaging aan de klant voorlegt, die vervolgens versleutelt deze uitdaging met behulp van een hachee van het wachtwoord van de gebruiker en retourneert het resultaat.
De server voert dezelfde bewerking uit en vergelijkt de resultaten om de gebruiker te verifiรซren. NTLM werd geรฏntroduceerd als onderdeel van Windows NT en ondersteunt bericht integriteit en vertrouwelijkheid door middel van berichtondertekening en -verzegeling. Het mist echter moderne cryptografische beveiliging en wederzijdse authenticatie, waardoor het kwetsbaar is voor diverse aanvallen, zoals pass-the-hash- en replay-aanvallen. Als gevolg hiervan is het vervangen door Kerberos in Active Directory-omgevingen, maar blijft in gebruik voor legacy-systemen, niet-domeinscenario's, of wanneer interoperabiliteit met oudere software is vereist.
Belangrijkste kenmerken van NTLM
Hieronder vindt u de belangrijkste kenmerken van NTLM, elk afzonderlijk uitgebreid uitgelegd.
1. Challenge-Response-authenticatie
NTLM maakt gebruik van een challenge-response-mechanisme in plaats van het versturen van wachtwoorden via het netwerk. Wanneer een gebruiker probeert te authenticeren, server stuurt een willekeurige challenge. De client versleutelt deze challenge met een hash van het wachtwoord van de gebruiker en stuurt deze terug. server Voert vervolgens dezelfde bewerking uit en vergelijkt het resultaat om de identiteit te verifiรซren. Dit vermindert het risico op wachtwoordblootstelling tijdens transmissie.
2. Hash-gebaseerde inloggegevensopslag
NTLM slaat geen wachtwoorden in platte tekst op, maar gebruikt hashwaarden (meestal NT-hashes). Deze worden met behulp van een cryptografische hashfunctie afgeleid van het wachtwoord van de gebruiker. Hoewel dit veiliger is dan het opslaan van wachtwoorden in platte tekst, vormt het nog steeds een risico bij diefstal van de hashes, omdat ze kunnen worden hergebruikt in pass-the-hash-aanvallen.
3. Integriteit en vertrouwelijkheid van berichten
NTLM ondersteunt berichtondertekening (om de integriteit van berichten te verifiรซren) en berichtverzegeling (om de inhoud van berichten te versleutelen). Deze functies zijn ontworpen om te beschermen tegen manipulatie en afluisteren, maar zijn optioneel en worden niet altijd standaard afgedwongen.
4. Compatibiliteit met niet-domein- en legacy-systemen
NTLM wordt nog steeds veel gebruikt voor gebruikersauthenticatie op systemen die niet zijn gekoppeld aan een Active Directory-domein of wanneer Kerberos niet wordt ondersteund. Dit maakt het waardevol in gemengde omgevingen met oudere software of bij integraties van derden die afhankelijk zijn van NTLM.
5. Meerdere versies (LM, NTLMv1, NTLMv2)
Er zijn verschillende versies van NTLM met verschillende beveiligingsmogelijkheden. NTLMv1 en de oudere LAN Manager (LM) worden als onveilig beschouwd, terwijl NTLMv2 een verbeterde beveiliging biedt door sterkere hashing (HMAC-MD5) en betere afhandeling van challenge-reacties. Zelfs NTLMv2 is echter niet zo veilig als Kerberos.
6. Single Sign-On (SSO)-ondersteuning (beperkt)
NTLM ondersteunt een basisvorm van eenmalige aanmelding (SSO) in Windows-omgevingen. Zodra een gebruiker inlogt en is geauthenticeerd, kunnen zijn of haar inloggegevens opnieuw worden gebruikt voor toegang tot meerdere services binnen dezelfde sessieDit is echter beperkt vergeleken met de volledige ticketgebaseerde SSO-functionaliteit van Kerberos.
7. Geen wederzijdse authenticatie
NTLM authenticeert de client bij de server maar niet andersom. Dit gebrek aan wederzijdse authenticatie opent de deur naar man-in-het-midden (MitM) aanvallen, waarbij een aanvaller zich voordoet als een vertrouwde server.
Hoe werkt NTLM?
NTLM maakt gebruik van een challenge-responsmechanisme waarmee een cliรซnt zijn identiteit kan bewijzen aan een server Zonder het daadwerkelijke wachtwoord te hoeven doorgeven. Dit is hoe het proces verloopt, meestal in drie stappen tijdens de authenticatie.
1. Onderhandelen
De klant initieert de communicatie door een Negotiate Message naar de klant te sturen. serverDit bericht bevat de ondersteunde NTLM-functies van de client en geeft aan dat deze NTLM wil gebruiken voor authenticatie.
2. Uitdaging
De server reageert met een Challenge Message, dat een willekeurig gegenereerde nonce (een eenmalig nummer) bevat, de zogenaamde "challenge". Deze nonce wordt gebruikt om replay-aanvallen te voorkomen.
3. Authenticeren
De cliรซnt neemt de server's uitdaging en gebruikt de wachtwoordhash van de gebruiker om een โโcryptografische respons te berekenen. Dit wordt de NTLM-respons genoemd en wordt teruggestuurd naar de server in een Authenticatiebericht, samen met de gebruikersnaam en andere metadata.
Waarvoor wordt NTLM gebruikt?
NTLM wordt gebruikt voor de authenticatie van gebruikers en computers in Windows-omgevingen, met name wanneer modernere protocollen zoals Kerberos niet beschikbaar of compatibel zijn. Het biedt systemen een manier om hun identiteit te verifiรซren en toegang te verlenen tot netwerkbronnen zonder dat er wachtwoorden in platte tekst hoeven te worden verzonden.
Veelvoorkomende use cases zijn:
- Toegang tot gedeelde mappen en printers op lokale of externe Windows-machines in werkgroepen of niet-domeinnetwerken.
- Authenticatie van externe gebruikers verbinding maken met oudere systemen of services die Kerberos niet ondersteunen.
- Fallback-authenticatie in Active Directory-domeinen wanneer Kerberos faalt (bijvoorbeeld als gevolg van DNS problemen of ontbrekende SPN's).
- Single sign-on (SSO) binnen intranetten met behulp van oudere Windows toepassingen of protocollen die afhankelijk zijn van NTLM.
- Integratie met Toepassingen van derden of apparaten die alleen NTLM-gebaseerde authenticatie ondersteunen (bijvoorbeeld sommige oudere NAS systemen, proxiesof web servers met behulp van NTLM-authenticatie via HTTP).
Hoe weet ik of NTLM nog steeds wordt gebruikt?
Om te bepalen of NTLM nog steeds in uw omgeving wordt gebruikt, kunt u het authenticatieverkeer controleren met tools zoals Microsoft Logboeken, met name door NTLM-auditing in te schakelen via Groepsbeleid (Netwerkbeveiliging: NTLM-instellingen beperken). Na configuratie worden NTLM-gerelateerde authenticatiepogingen geregistreerd onder beveiligingsgebeurtenis-ID's zoals 4624 (aanmelden) en 4776 (NTLM-authenticatie).
U kunt ook netwerkbewakingstools zoals Wireshark gebruiken om verkeer te controleren op NTLMSSP-berichten, die NTLM-onderhandeling aangeven. Daarnaast kunnen tools zoals Microsoft Defender for Identity of auditoplossingen van derden rapporten genereren over het gebruik van verouderde protocollen in uw netwerk. domein.
Het identificeren van NTLM-gebruik is essentieel voor het beoordelen van beveiligingsrisico's en het plannen van een migratie naar veiligere authenticatiemethoden, zoals Kerberos of moderne identiteitsprotocollen.
Moet ik NTLM uitschakelen?
Het uitschakelen van NTLM kan uw beveiliging aanzienlijk verbeteren, maar moet voorzichtig worden aangepakt en alleen nadat is vastgesteld dat het geen kritieke systemen zal verstoren. NTLM is een ouder protocol met bekende kwetsbaarheden, waaronder de kwetsbaarheid voor pass-the-hash-, relay- en man-in-the-middle-aanvallen. Als uw omgeving Kerberos of moderne authenticatiemethoden ondersteunt, verkleint het uitschakelen van NTLM het aanvalsoppervlak en zorgt het voor sterkere authenticatiepraktijken.
Veel oudere applicaties, apparaten en systemen (waaronder sommige bestandsshares, printers of services van derden) zijn echter mogelijk nog steeds afhankelijk van NTLM voor authenticatie. Voordat u NTLM uitschakelt, moet u het volgende doen:
- NTLM-gebruik controleren met behulp van Groepsbeleid en gebeurtenisregistratie.
- Afhankelijkheden identificeren op NTLM door het analyseren van aanmeldingsverkeer.
- Test vervangende configuraties, zoals Kerberos of certificaatgebaseerde authenticatie.
- Beperk NTLM geleidelijk in plaats van het volledig uit te schakelen, kunt u beginnen met beleid zoals 'NTLM-authenticatie in dit domein' en deze afbakenen per systeem of gebruiker.
Hoe NTLM beveiligen of elimineren?
Om NTLM in uw omgeving te beveiligen of te elimineren, volgt u een gestructureerde aanpak die auditing, beleidshandhaving en vervanging door veiligere protocollen omvat. Zo werkt het:
1. NTLM-gebruik controleren
Begin met het identificeren van waar en hoe NTLM wordt gebruikt:
- NTLM-controle inschakelen via Groepsbeleid:
Computerconfiguratie โ Beleid โ Windows-instellingen โ Beveiligingsinstellingen โ Lokaal beleid โ Beveiligingsopties โ Netwerkbeveiliging: NTLM beperken. - Logboeken van Event Viewer bekijken (ID's zoals 4624, 4776) om NTLM-authenticatiepogingen te vinden.
- Gebruik Microsoft Defender voor identiteit, Azure ATPof tools van derden voor gecentraliseerde analyse.
2. Implementeer restrictieve NTLM-beleidsmaatregelen
Verscherp geleidelijk het NTLM-gebruik met GPO-instellingen:
- Stel NTLM beperken in om binnenkomend NTLM-verkeer te controleren en het gebruik bij te houden.
- Pas NTLM beperken toe in dit domein om NTLM in verschillende scopes toe te staan, te weigeren of te controleren.
- Gebruik de instelling LMCompatibilityLevel om alleen NTLMv2 of Kerberos af te dwingen.
3. Migreren naar Kerberos of moderne authenticatie
Zorg ervoor dat systemen zo zijn geconfigureerd dat ze Kerberos gebruiken, waar mogelijk:
- Configureer Service Principal Names (SPN's) correct voor Kerberos.
- Zorg voor een correcte DNS-resolutie, tijdsynchronisatie en domeinvertrouwensrelaties.
- Voor apps die Kerberos niet kunnen gebruiken, kunt u overwegen deze te vervangen of bij te werken met moderne alternatieven die Kerberos ondersteunen. SAML, OAuth of certificaatgebaseerde authenticatie.
4. Beveilig NTLM als het niet kan worden geรซlimineerd
Als oudere systemen NTLM vereisen:
- Dwing NTLMv2 alleen af โโdoor LMCompatibilityLevel = 5 in te stellen.
- Schakel het ondertekenen en verzegelen van berichten in als bescherming tegen manipulatie.
- Beperk het gebruik van NTLM door firewall regels of segmentatie om oude systemen te isoleren.
- Gebruik Privileged Access Workstations (PAW's) en just-in-time (JIT)-toegang voor accounts die via NTLM moeten worden geverifieerd.
5. Test en elimineer NTLM
Na audit en beleidsafstemming:
- Test nieuwe authenticatieconfiguraties in een lab- of testomgeving.
- Voer NTLM-beperkingen geleidelijk in productie.
- Controleer logboeken en feedback van gebruikers op fouten en herstel deze indien nodig.
Wat zijn de voordelen en uitdagingen van NTLM?
NTLM biedt basisauthenticatiefunctionaliteit die eenvoudig te implementeren is en compatibel is met oudere systemen. Dit maakt het nuttig in bepaalde omgevingen waar moderne protocollen zoals Kerberos niet worden ondersteund. Het verouderde ontwerp brengt echter aanzienlijke beveiligingsuitdagingen met zich mee, waaronder zwakke cryptografische beveiliging en kwetsbaarheid voor diverse aanvallen.
Het is essentieel om zowel de voordelen als de uitdagingen van NTLM te begrijpen, zodat u weloverwogen beslissingen kunt nemen over het gebruik en de mogelijke vervanging ervan.
NTLM-voordelen
Hieronder staan โโenkele van de belangrijkste voordelen:
- Legacy-compatibiliteitNTLM ondersteunt oudere Windows-systemen en -toepassingen die Kerberos niet herkennen of ondersteunen, waardoor het handig is voor het handhaven van achterwaartse compatibiliteit.
- Geen afhankelijkheid van domeincontrollersIn tegenstelling tot Kerberos heeft NTLM geen verbinding met een Key Distribution Center (KDC) nodig, waardoor het in een standalone- of niet-verbonden scenario kan functioneren.
- Eenvoudige implementatieNTLM is relatief eenvoudig te configureren en te gebruiken en vereist slechts minimale installatie. Hierdoor is het geschikt voor snelle implementaties of omgevingen met beperkte administratieve middelen.
- Basis single sign-onNTLM maakt beperkte SSO-mogelijkheden binnen een enkele sessie mogelijk, waardoor gebruikers toegang kunnen krijgen tot meerdere bronnen zonder herhaaldelijke verificatieverzoeken.
- TerugvalauthenticatiemechanismeIn gemengde of verkeerd geconfigureerde omgevingen waar Kerberos faalt (bijvoorbeeld DNS- of tijdsynchronisatieproblemen), kan NTLM dienen als een backup om de toegang te behouden.
NTLM-uitdagingen
Hieronder staan โโde belangrijkste uitdagingen van NTLM:
- Zwakke cryptografieNTLM maakt gebruik van verouderde hash-algoritmen (zoals MD4 in NT-hashes), die kwetsbaar zijn voor brute-force en woordenboekaanvallen.
- Vatbaarheid voor diefstal van inloggegevensAanvallers kunnen NTLM misbruiken voor pass-the-hash-, relay- of replay-aanvallen om zich voor te doen als gebruikers zonder dat ze hun wachtwoord in platte tekst nodig hebben.
- Geen wederzijdse authenticatieNTLM authenticeert de client alleen bij de serverwaardoor het kwetsbaar is voor man-in-the-middle-aanvallen waarbij een kwaadwillende zich voordoet als een vertrouwde server.
- Gebrek aan schaalbaarheidNTLM ondersteunt geen delegatie of ticketing zoals Kerberos, waardoor het gebruik ervan in complexe bedrijfsomgevingen met meerdere services en identiteitsniveaus wordt beperkt.
- Moeilijk te monitoren en te controlerenNTLM-authenticatieverkeer kan in grote omgevingen lastig te volgen zijn en voortdurend gebruik ervan kan onopgemerkt blijven, waardoor er verborgen beveiligingsrisico's ontstaan.
- Onverenigbaar met moderne veiligheidsnormenNTLM biedt geen ondersteuning voor multi-factor authenticatie (MFA), voorwaardelijke toegang en andere geavanceerde identiteitsbeveiligingen die in moderne protocollen voorkomen.
NTLM versus Kerberos
Hier is een vergelijking van NTLM en Kerberos in een gestructureerde tabel:
| Kenmerk | NTLM (Nieuwe Technologie LAN Manager) | Kerberos |
| Authenticatiemodel | Uitdaging-respons (cliรซnt en server). | Op tickets gebaseerd (client, Key Distribution Center en server). |
| Wederzijdse authenticatie | Nee, alleen de client wordt geauthenticeerd. | Ja, zowel cliรซnt als server zijn geauthenticeerd. |
| Beheer van inloggegevens | Is afhankelijk van wachtwoordhashes. | Maakt gebruik van gecodeerde tickets met tijdelijke sessiesleutels. |
| Versleutelingskracht | Zwak (gebruikt MD4 en HMAC-MD5). | Sterker (gebruikt AES of RC4 met moderne encryptiestandaarden). |
| Schaalbaarheid | Slecht; ondersteunt geen delegatie of SSO tussen meerdere services. | Hoog; ondersteunt delegering en schaalbare SSO. |
| Afhankelijkheid van tijdsynchronisatie | Niet verplicht. | Vereist; is afhankelijk van de nauwkeurige tijd voor de validatie van de vervaldatum van het ticket. |
| Domeinvereiste | Werkt in domein- en niet-domein- (werkgroep-)omgevingen. | Vereist Active Directory of gelijkwaardige KDC. |
| Kwetsbaarheid voor aanvallen | Gevoelig voor pass-the-hash-, replay- en relay-aanvallen. | Bestendiger, maar kan worden beรฏnvloed als de configuratie niet veilig is. |
| Loggen en controleren | Beperkt zicht en controle. | Betere controle en gecentraliseerd beheer. |
| Moderne ondersteuning | Verouderd in moderne beveiligingsframeworks. | Standaard voor moderne Windows-authenticatie. |
Is NTLM hetzelfde als Windows-authenticatie?
Nee, NTLM is niet hetzelfde als Windows-verificatie, maar het is een van de protocollen die worden gebruikt binnen Windows-verificatie.
Windows-verificatie is een bredere term die verwijst naar de set mechanismen die Windows gebruikt om gebruikers en services in een Windows-omgeving te verifiรซren. Dit omvat meerdere authenticatieprotocollen zoals NTLM, Kerberos en soms certificaat- of tokengebaseerde methoden.
NTLM wordt voornamelijk gebruikt voor achterwaartse compatibiliteit en in situaties waarin Kerberos niet beschikbaar is, zoals in werkgroepomgevingen of wanneer systemen geen deel uitmaken van een domein. Kerberos daarentegen is het geprefereerde en veiligere protocol voor domeingebaseerde authenticatie in moderne Windows-netwerken. Hoewel NTLM deel kan uitmaken van Windows-authenticatie, zijn ze dus niet synoniem.
