Im Oktober 2023 hat Microsoft eine entscheidende Ankündigung, die den Anfang vom Ende für NTLM signalisierte, einschließlich aller Versionen. Diese Entscheidung, die im Juni 2024 bekräftigt wurde, unterstreicht das Engagement von Microsoft, Entwickler auf sicherere Protokolle umzustellen, wie z. B. Kerberos über den Negotiate-Mechanismus. Mit dem Abkündigungsprozess, der Anfang 2025 beginnen und bis 2027 abgeschlossen sein soll, endet die langjährige Herrschaft von NTLM.
Trotz seiner historischen Bedeutung stellt NTLM heute ein erhebliches Sicherheitsrisiko dar. Dieser Blog untersucht die kritischen Schwächen von NTLM, die Gründe für seinen anhaltenden Einsatz und den zwingenden Übergang zu sichereren Beglaubigung Protokolle. Das Verständnis dieser Elemente ist für Unternehmen unerlässlich, um ihre Systeme und Daten in einer sich entwickelnden digitalen Landschaft zu schützen.
Ankündigung von Microsoft
Microsoft kündigte im Oktober 2023 an seine Absicht, alle Versionen von NTLM, einschließlich LANMAN, NTLMv1 und NTLMv2, zu verwerfen. Diese Entscheidung wurde im Juni 2024 bekräftigt, wobei betont wurde, dass NTLM nicht mehr aktiv weiterentwickelt wird, und die Entwickler aufgefordert wurden, über den Negotiate-Mechanismus auf sicherere Protokolle wie Kerberos umzusteigen.
Der Abschreibungsprozess soll Anfang 2025 beginnen, mit schrittweisen Kürzungen der Unterstützung im Laufe des Jahres. Ab Mitte 2026 wird NTLM in Neuinstallationen der Microsoft-Betriebssysteme nicht mehr verfügbar sein (Die Möglichkeit, es in einigen erweiterten Einstellungen zu aktivieren, ist jedoch nicht verifiziert.) Die vollständige Abschaffung, einschließlich der Entfernung der Legacy-Unterstützung, wird voraussichtlich bis Ende 2027 abgeschlossen sein.
NTLM ist ein Sicherheitsrisiko
Heute birgt NTLM erhebliche Sicherheitsrisiken aufgrund veralteter kryptografischer Methoden und gut dokumentierter Schwachstellen. Außerdem fehlen NTLM moderne Sicherheitsfunktionen wie Multi-Faktor-Authentifizierung (MFA) und Serveridentitätsüberprüfung. Aufgrund dieser Schwachstellen können Angreifer NTLM ausnutzen und sich unbefugten Zugriff auf vertrauliche Ressourcen wie Datenbanken und interne Anwendungen verschaffen, was es zu einem großen Risiko macht.
Eine ältere Version von NTLM verwendete ein gemeinsames Geheimnis (Passwort) zur Authentifizierung über einen unverschlüsselten Kanal. Für einen neuen Benutzer gibt es kein Initialisierungsprotokoll; es ist so einfach wie „Bitte melden Sie Benutzer X mit Passwort Y an“.
Dies bedeutet, dass das Protokoll innerhalb der Nachrichten selbst alle Informationen austauscht, die ein Angreifer benötigt, um das Passwort potenziell mit einem Brute-Force-Angriff zu knacken.
Um die Mängel von NTLM zu beheben, wurde Salting in den Challenge-Response-Mechanismus von NTLMv2 integriert. Daher kann NTLMv2 als „teilweise gesalzen“ oder „Nonce-erweitert“ angesehen werden, was die Sicherheit während der Authentifizierung verbessert, aber die Speichersicherheit von Passwort-Hashes oder die Wiederverwendbarkeit von Hashes, wie bei Relay-Angriffen, nicht vollständig berücksichtigt. Insgesamt bietet NTLMv2 aufgrund seiner Fähigkeit, gehashte Passwörter wiederzuverwenden, keinen Schutz vor Relay-Angriffen.
Die Verbreitung von NTLM: Der letzte Widerstand einer Vermächtnis
Trotz seiner zahlreichen bekannten Schwachstellen hat sich NTLM wie ein alter Krieger behauptet, der sich weigert, in Rente zu gehen. Die Persistenz von NTLM ist kein Zufall. In den späten 1990er und frühen 2000er Jahren entstand eine Welle von Legacy-Anwendungen. Diese Anwendungen wurden oft auf die individuellen Bedürfnisse ihrer Organisationen zugeschnitten. Im Laufe der Zeit wurden viele dieser Anwendungen jedoch von ihren Entwicklern aufgegeben. Sie wurden nicht aktualisiert oder unterstützt, blieben jedoch für zahllose Unternehmen unverzichtbar.
NTLM mit seinem einfachen, aber robusten Authentifizierungsmechanismus wurde zur Lebensader für diese Legacy-Systeme. Es bot die Kompatibilität, die sie brauchten, um in einer modernen Welt zu funktionieren, die schon lange auf neuere, sicherere Protokolle wie Kerberos umgestiegen ist.
Für viele Organisationen war der Austausch dieser kritischen Systeme eine gewaltige Herausforderung. Die Migration zu modernen Authentifizierungsprotokollen war nicht nur eine technische Herausforderung, sondern auch ein kostspieliges und komplexes Unterfangen. Dies erforderte eine umfassende Überarbeitung der Infrastruktur und des Anwendungscodes. Mit der Entwicklung der Unternehmenslandschaft entwickelte sich auch die IT-Infrastruktur.
Neue Systeme wurden eingeführt und mit ihnen kam die Notwendigkeit, Vertrauensbeziehungen in einer Multi-Domain-Umgebung aufrechtzuerhalten. NTLM erwies sich trotz seines Alters als zuverlässige Brücke, die Betriebskontinuität und Verwaltungskomfort gewährleistete. Schrittweise Upgrades wurden zur Norm und NTLM wurde häufig als Fallback beibehalten – als Sicherheitsnetz für den Fall, dass es bei neuen Protokollen zu Problemen kam.
Sicherheitsanalysten wussten jedoch, dass die Schwächen von NTLM es zu einem bevorzugten Ziel für Angreifer machten. Dies lag daran, dass Pass-the-Hash-Angriffe, Relay-Angriffe und Brute-Force-Angriffe bei NTLM nur allzu bekannt sind. Diese Abhängigkeit von NTLM ist eine Überlebensgeschichte in einer sich schnell verändernden digitalen Welt, ein heikler Tanz zwischen Innovation und Vermächtnis.
Erwähnenswert ist dies jedoch NTLM ist strenggenommen kein Authentifizierungsprotokoll, sondern eher ein konzeptionelles Modell für die Entwicklung von Authentifizierungsmechanismen.. Seine Vielseitigkeit ermöglicht die Integration mit verschiedenen ergänzenden Protokollen wie SMB oder CIFS für die Dateifreigabe und RPC für den RDP-Zugriff, was es zu einem robusten und anpassungsfähigen Modell für die Authentifizierung macht.
Warum NTLM immer noch vorherrscht: Legacy-Kompatibilität, betriebliche Notwendigkeiten und Sicherheitsaspekte
Das Upgraden oder Neuschreiben von Legacy-Systemen ist mit hohen Kosten und Komplexitäten verbunden, was den Grund für die Persistenz von NTLM darstellt. Darüber hinaus wird NTLM trotz der Verfügbarkeit modernerer Authentifizierungsprotokolle weiterhin verwendet, da Infrastrukturupgrades schrittweise erfolgen und auf Nicht-Windows-Systeme und Drittanbieter angewiesen sind.
Nachfolgend finden Sie eine Liste einiger der wichtigsten Elemente:
Kompatibilität und Legacy-Systeme:
- Legacy-Systeme und -Anwendungen wurden für die Zusammenarbeit mit NTLM entwickelt.
- Das Neuschreiben oder Aktualisieren dieser Systeme kann kostspielig und komplex sein.
- Einige Nicht-Windows-Systeme und -Anwendungen basieren immer noch auf NTLM.
- Organisationen aktualisieren ihre IT-Infrastruktur häufig schrittweise.
Sicherheitskontrollen und Anbietersupport:
- Bestimmte Drittanbieter unterstützen möglicherweise nur NTLM.
- Organisationen erweitern NTLM mit Sicherheitskontrollen wie MFA und Überwachung.
- NTLM wird in bestimmten Fällen, beispielsweise beim Remote-Zugriff, verwendet.
- Die Aufrechterhaltung der Betriebskontinuität ist häufig wichtiger als die Einführung neuer Technologien.
Herausforderungen bei der Kennwortsynchronisierung und SaaS-Risiken verstehen
Auf der Serverseite werden Kennwort-Hashes sicher in der Datei NTDS.dit auf jedem Domänencontroller (DC) gespeichert. Diese Hashes sind jedoch anfällig für DCSync-Angriffe, eine ausgeklügelte Technik, bei der sich Schadsoftware als legitimer DC ausgibt.
Mithilfe dieser Technik können Angreifer den DC dazu verleiten, seine Datenbank mit Kennwort-Hashes mit betrügerischer Software wie Mimikatz zu synchronisieren.
Auf diese Weise kann der Angreifer einen vollständigen Satz von Anmeldeinformations-Hashes vom Domänencontroller abgreifen, den er dann für die Domänenübernahme verwenden kann.
Dies ist besonders gefährlich für SaaS-Umgebungen, die mit lokalen Systemen synchronisiert werden. Active Directory (AD) über Cloud Identity Provider (IdPs) wie Azure AD. Gestohlene Hashes können zur Authentifizierung bei SaaS-Anwendungen verwendet werden, ohne Passwörter zu knacken, indem die synchronisierte AD-Integration genutzt wird. Dies ermöglicht unbefugten Zugriff auf kritische Geschäftsdaten und -dienste in der Cloud.
Angreifer können sich seitlich innerhalb der Cloud-Umgebung bewegen, zusätzliche Konten kompromittieren und auf vertrauliche Informationen zugreifen. Wenn Administratoranmeldeinformationen erlangt werden, können sie die Erstellung von Hintertüren auslösen, Sicherheitseinstellungen ändern und dauerhaften Zugriff aufrechterhalten. Dies unterstreicht die Notwendigkeit von MFA, kontinuierlicher Überwachung und Einhaltung des Prinzips der geringstes Privileg.
Aufdecken von NTLM-Schwachstellen: Erstzugriff, Lateral Movement und Bedrohungsexposition
In diesem Abschnitt werden die kritischen Phasen einer Gefährdung behandelt. Unter anderem wird erläutert, wie Angreifer während des ersten Zugriffs und in der Phase nach der Ausnutzung der Schwachstellen von NTLM häufig Schwachstellen ausnutzen, um sich einen Halt zu verschaffen, ihre Privilegien zu erhöhen und sich seitlich auszubreiten. Dadurch wird das Risiko einer umfassenden Netzwerkkompromittierung erhöht.
Erster Zugriff: Angreifer verschaffen sich oft durch Phishing oder das Ausnutzen von Softwareschwachstellen Zugriff. Sobald sie sich Zugang verschafft haben, nutzen sie NTLM-Schwachstellen aus, um sich Zugang zum Netzwerk zu verschaffen.
Exposition nach der Ausbeutung: Nach der Ausnutzung von NTLM-Schwachstellen können Angreifer ihren Zugriff aufrechterhalten und erweitern. Dies könnte eine weitere Ausweitung der Berechtigungen und eine seitliche Bewegung innerhalb des Netzwerks beinhalten, was den Schaden vergrößert.
Böswilliger Zugriff: Laterale Bewegung
Seitliche Bewegung: Mit NTLM können Sie den Hash auf anderen, privilegierteren Maschinen wiederverwenden oder erneut abspielen, bis Sie die Domänendominanz erlangen. Kali Linux ist standardmäßig (Hacker-)fähig und mit Metasploit Exploits können verwendet werden, um dies zu erreichen.
Zum Beispiel in der Zieldatenleck von 2013Angreifer nutzten gestohlene Anmeldeinformationen, um sich seitlich im Netzwerk zu bewegen und auf sensible Systeme und Kundendaten zuzugreifen. Dieser Angriff legte Millionen von Kreditkarten- und persönlichen Daten offen und verdeutlichte die Gefahren von Pass-the-Hash-Angriffen. Angreifer nutzten erfasste NTLM-Hashes, um sich zu authentifizieren und sich zwischen Systemen innerhalb des Netzwerks zu bewegen, um der Erkennung zu entgehen und auf sensible Ressourcen zuzugreifen. Ein weiteres Beispiel ist der berüchtigte WannaCry Ransomware-Angriff.
Angreifer nutzten eine bekannte Schwachstelle im SMB-Protokoll, um die Malware zu verbreiten. Dazu gehörte auch die Ausnutzung von Schwächen bei der NTLM-Authentifizierung, um sich seitlich durch betroffene Netzwerke zu bewegen. Dadurch konnten sie die Ransomware, was zu weitreichenden Störungen führte.
Gefährdung durch NTLM aufgedeckt
Der nächste Abschnitt befasst sich eingehend mit der Bedrohungslage durch NTLM und zeigt, wie Angreifer gespeicherte und übertragene Hashes ausnutzen und so zu erheblichen Sicherheitsverletzungen in Netzwerken führen können.
Im Speicher gespeicherte NTLM-Hashes
Die Schwachstellen von NTLM zeigen sich insbesondere in der Art und Weise, wie es Hashes verarbeitet und überträgt. Dadurch wird es zu einem bevorzugten Ziel für Angreifer, die die Netzwerksicherheit durch Speicherextraktion, Netzwerkabfang und Pass-the-Hash-Angriffe gefährden möchten.
NTLM-Hashes werden im Speicher authentifizierter Maschinen gespeichert. Angreifer können Tools wie Mimikatz verwenden, um diese Hashes aus dem Maschinenspeicher zu extrahieren, sodass sie sich als Benutzer ausgeben können, ohne deren tatsächliche Passwörter zu benötigen. Sobald Angreifer die NTLM-Hashes extrahiert haben, können sie einen Pass-the-Hash-Angriff durchführen.
Dabei wird der Hash zur Authentifizierung gegenüber anderen Systemen im Netzwerk verwendet, wodurch diesen effektiv der gleiche Zugriff gewährt wird wie dem ursprünglichen Benutzer. Dies kann zu einer groß angelegten Kompromittierung des Netzwerks führen, wenn Konten mit höheren Berechtigungen ins Visier genommen werden.
Über das Netzwerk gesendete NTLM-Hashes
Bei der NTLM-Authentifizierung werden Hashes über das Netzwerk gesendet, wodurch sie anfällig für Abfangmanöver sind. Mithilfe von Netzwerk-Sniffing-Tools können Angreifer diese Hashes erfassen und Man-in-the-Middle-Angriffe durchführen, um Zugriff darauf zu erhalten. Wenn Angreifer diese Hashes erfolgreich abfangen, können sie sie verwenden, um ihre Berechtigungen zu erhöhen, indem sie sich bei zusätzlichen Computern authentifizieren und Tools wie LSADUMP verwenden, um weitere Anmeldeinformationen zu extrahieren.
NTLS verfügt im Vergleich zu Kerberos über mehrere Authentifizierungen
NTLM-Authentifizierung: Jedes Mal, wenn ein Benutzer auf eine andere Ressource zugreift, sendet NTLM die gehashten Anmeldeinformationen über das Netzwerk. Diese wiederholte Übertragung von Hashes bietet Angreifern mehr Möglichkeiten, diese abzufangen und zu missbrauchen.
Da Hashes auf jedem Rechner gespeichert werden, sind sie per Design im gesamten Netzwerk verteilt.
Stellen Sie sich eine Benutzerin namens Alice vor, die auf mehrere Netzwerkressourcen wie einen Dateiserver, einen E-Mail-Server und einen Drucker zugreifen muss. Für jede Zugriffsanfragesendet Alices Workstation ihre gehashten Anmeldeinformationen über das Netzwerk an den jeweiligen Server. Ein Angreifer, der ein Netzwerk-Sniffing-Tool verwendet, kann diese Hashes während der Übertragung abfangen. Mit genügend abgefangenen Hashes kann der Angreifer einen Pass-the-Hash-Angriff durchführen, um durch Wiedergeben der abgefangenen Hashes unbefugten Zugriff auf andere Systeme zu erhalten.
Kerberos-Authentifizierung: Kerberos hingegen verwendet einen Ticket-basierten Authentifizierungsmechanismus, der wiederholte Authentifizierungsanforderungen minimiert und das Risiko des Abfangens von Anmeldeinformationen erheblich reduziert. Bei Kerberos authentifiziert sich der Benutzer einmal beim Key Distribution Center (KDC) und erhält ein Ticket Granting Ticket (TGT). Dieses TGT wird dann verwendet, um Servicetickets für den Zugriff auf verschiedene Ressourcen anzufordern, ohne die Anmeldeinformationen des Benutzers erneut über das Netzwerk zu senden.
Bekämpfung von NTLM-Angriffen: Allgemeine Strategien und proaktive Maßnahmen
Der Zweck des folgenden Abschnitts besteht darin, Techniken zu untersuchen, die sich auf Zugang zu Anmeldeinformationen, beginnend mit dem Dumping der im Speicher abgelegten Hashes.
Wenn sich ein Benutzer bei einem Dienst anmeldet oder authentifiziert, werden seine Anmeldeinformationen gehasht und diese Hashes im Speicher des Systems gespeichert. Angreifer verwenden häufig Tools wie Mimikatz, um NTLM-Hashes aus dem Speicher eines Computers zu extrahieren. Sobald diese Hashes erlangt wurden, können sie in Pass-the-Hash-Angriffen genutzt werden, um unbefugten Zugriff auf andere Systeme innerhalb des Netzwerks zu erlangen.
Angreifer beginnen normalerweise damit, ein System mit ausreichenden Berechtigungen zu kompromittieren, um auf den Speicher des Local Security Authority Subsystem Service (LSASS) zuzugreifen, in dem NTLM-Hashes gespeichert sind. Beispiel für extrahierte NTLM- und SHA1-Hashes mit Mimikatz.
Aus dem Netzwerkverkehr: Responder
In einem Netzwerk, in dem NTLM-Authentifizierung verwendet wird, stellen Tools wie Responder eine erhebliche Bedrohung dar, da sie NTLM-Hashes aus dem Netzwerkverkehr erfassen können, indem sie Netzwerkdienstantworten fälschen. Stellen Sie sich ein Szenario vor, in dem ein Angreifer namens Bob dasselbe Netzwerksegment infiltriert wie Alice, eine Netzwerkadministratorin. Bob richtet Responder auf seinem Laptop ein, um die Netzwerkschnittstelle abzuhören und Antworten auf NetBIOS Name Service (NBT-NS), LLMNR und mDNS-Anfragen zu fälschen.
Während Alices Workstation Netzwerkanfragen zur Auflösung von Hostnamen sendet, Der Responder fängt diese Anfragen ab und gibt sich als legitimer Netzwerkdienst aus. Wenn Alices Computer sich beim gefälschten Dienst authentifiziert, sendet dieser ihr einen NTLM-Hash, den Responder abfängt. Beispielsweise könnte Responder einen abgefangenen NTLMv2-Hash wie alice::CONTOSO:1122334455667788:9988776655443322:0101000000000000800000… anzeigen.
Mit diesem Hash kann Bob mithilfe von Tools wie Hashcat einen Offline-Brute-Force-Angriff durchführen, um Alices Passwort zu knacken. Noch effizienter ist es jedoch, den erfassten Hash direkt in einem Pass-the-Hash-Angriff zu verwenden, um sich unbefugten Zugriff auf andere Systeme im Netzwerk zu verschaffen, indem er sich als Alice authentifiziert.
Der Zweck des folgenden Abschnitts besteht darin, Techniken zu untersuchen, die sich auf seitliche Bewegungen beziehen:
Nutzung seitlicher Bewegungen Erfasste Hashes
Pass-the-Hash: PtH-Angriffe nutzen inhärente Schwächen der NTLM-Authentifizierung aus. Angreifer verwenden erfasste NTLM-Hashes, um sich bei anderen Maschinen zu authentifizieren, ohne das Klartextkennwort zu benötigen.
Aus dem vorherigen Szenario: Durch Ausführen eines Befehls wie pth-winexe -U 'CONTOSO\alice%1122334455667788:9988776655443322' //target-server cmd – mithilfe des PTH-Toolkits kann Bob als Alice eine Eingabeaufforderung auf einem Zielserver öffnen und muss kein Klartextkennwort eingeben. Dies kann mithilfe verschiedener Tools erfolgen, die die NTLM-Hash-Authentifizierung unterstützen, z. B. pth-winexe oder pth-smbclient.
NTLM-Relais: Bei einem NTLM-Relay-Angriff wird eine NTLM-Authentifizierungsanforderung eines Benutzers abgefangen und an einen Zielserver weitergeleitet, um unbefugten Zugriff zu erhalten. Der Angreifer erfasst den NTLM-Hash und verwendet ihn, um sich bei einem anderen System als legitimer Benutzer zu authentifizieren, wobei er Vertrauensbeziehungen innerhalb des Netzwerks ausnutzt.
Er verwendet ein Tool wie ntlmrelayx, um den erfassten NTLM-Hash an einen anderen Server im Netzwerk weiterzuleiten, der der NTLM-Authentifizierung vertraut. Dieser Server, der nichts von der Abfangaktion weiß, verarbeitet die Authentifizierung, als stamme sie tatsächlich vom ursprünglichen Benutzer.
Entschlüsseltes Passwort verwenden
Direkte Anmeldung –> Vor Ort: Entschlüsselte NTLM-Passwörter ermöglichen es Angreifern, Sicherheitsmaßnahmen zu umgehen und direkten Zugriff auf lokale Systeme zu erhalten. Angreifer können mit Tools wie Mimikatz NTLM-Hashes von kompromittierten Maschinen extrahieren und entschlüsseln.
Auf diese Weise entschlüsselte Passwörter können für direkte Anmeldungen über Remote Desktop Protocol (RDP) oder Secure Shell (SSH) verwendet werden. Dadurch ist eine seitliche Bewegung durch das Netzwerk mit legitimen Anmeldeinformationen möglich, wodurch MFA effektiv umgangen wird – vorausgesetzt, es ist nur bei der ersten Anmeldung aktiviert.
Direkter Login –> SaaS: In Umgebungen, in denen NTLM-Passwörter zwischen lokalen Systemen und SaaS-Anwendungen synchronisiert werden, stellen entschlüsselte Passwörter eine erhebliche Bedrohung dar. Auf Cloud-Dienste wie Office 365, Salesforce und Google Workspace kann mit diesen Anmeldeinformationen zugegriffen werden. Dies erweitert die Angriffsfläche über das Unternehmensnetzwerk hinaus auf Cloud-Ressourcen, was die potenziellen Auswirkungen des Verstoßes erhöht. Wenn Angreifer beispielsweise das NTLM-Passwort eines Administrators aus der lokalen Umgebung entschlüsseln, können sie mit denselben Berechtigungen auf die Cloud-Dienste der Organisation zugreifen.
Dies unterstreicht die Notwendigkeit robuster Verschlüsselungsverfahren, strenger Zugriffskontrollen und MFA für alle Dienste zum Schutz vor der Gefährdung von NTLM-Anmeldeinformationen.
Aufgrund der Einwegnatur von NTLM-Hashes ist es nicht möglich, Klartextkennwörter aus NTLM-Hashes direkt zu entschlüsseln. Es ist möglich, diese Hashes mithilfe von Techniken wie Rainbow Tables oder Brute-Force-Angriffen mit Tools wie Hashcat auszunutzen.
Von der Erfassung des Zugangs zu Anmeldeinformationen bis zur Lateral Movement
Stellen Sie sich folgendes Szenario vor: Bob, ein erfahrener Angreifer, beschließt, die Abhängigkeit eines Unternehmens von NTLM zur Netzwerkauthentifizierung auszunutzen. Er richtet seinen Laptop im selben Netzwerksegment ein und konfiguriert den Responder so, dass er NTLM-Authentifizierungsanforderungen erfasst, indem er auf der Netzwerkschnittstelle lauscht. Wenn Mitarbeiter wie Alice versuchen, auf Netzwerkressourcen zuzugreifen, fängt Responder diese Anfragen ab und erfasst ihre NTLM-Hashes.
Mit diesen Hashes in der Hand, Bob verwendet ntlmrelayx, um sie an einen hochwertigen Zielserver weiterzuleiten an der IP-Adresse 192.168.1.10. Durch Ausführen von ntlmrelayx.py -t smb://192.168.1.10 leitet Bob den erfassten Hash von Alice effektiv an den Server weiter, der die Authentifizierung naiv akzeptiert und ihm Zugriff gewährt, als wäre er Alice. Dadurch kann Bob die Dateifreigaben des Servers erkunden und möglicherweise vertrauliche Informationen extrahieren, was das erhebliche Risiko veranschaulicht, das von NTLM-Relay-Angriffen in einer ungeschützten Netzwerkumgebung ausgeht.
Einblick in die NTLM-Nutzung gewinnen
Um sich vor allen Angriffen zu schützen, die NTLM nutzen können, müssen Unternehmen zunächst Einblick gewinnen, wo und wie NTLM in ihren Netzwerken eingesetzt wird. Dazu gehört die Identifizierung aller Systeme und Anwendungen, die zur Authentifizierung auf NTLM angewiesen sind. Regelmäßige Netzwerkprüfungen und Überwachungstools können dabei helfen, diese Transparenz zu erreichen.
Silverfort verbessert die Sichtbarkeit von NTLM durch die Integration seiner Plattform zur Überwachung und zum Schutz aller Authentifizierungen innerhalb der Umgebung einer Organisation. Auf diese Weise Silverfort bietet Echtzeit-Transparenz und Risikoanalyse der NTLM-Authentifizierung, sodass Unternehmen potenzielle Bedrohungen wirksam erkennen und eindämmen können. SilverfortDie KI-gesteuerte Risikoanalyse-Engine von überwacht kontinuierlich Zugriffsversuche und erstellt detaillierte Verhaltens-Baselines für jeden Benutzer. Dies hilft bei der Identifizierung anomaler Aktivitäten und potenzieller Risiken im Zusammenhang mit NTLM-Authentifizierungen.
Reduzierung der Abhängigkeit von NTLM: Es sollten Anstrengungen unternommen werden, um die Nutzung von NTLM auf das absolute Minimum zu reduzieren. Der Übergang zu sichereren Authentifizierungsprotokollen wie Kerberos oder modernen Cloud-basierten Authentifizierungsmechanismen kann die mit NTLM verbundenen Risiken mindern. Microsoft empfiehlt die Verwendung des Negotiate-Protokolls, das Kerberos priorisiert und nur bei Bedarf auf NTLM zurückgreift.
Verbessern Sie die Sicherheit Ihres Unternehmens, indem Sie klare Einblicke in die NTLM-Nutzung gewinnen und gleichzeitig ermitteln, wo NTLM verwendet wird. Ergreifen Sie Maßnahmen, um die Abhängigkeit von NTLM durch die Umstellung auf sicherere Authentifizierungsprotokolle zu minimieren.
Ist NTLM eine Angriffsfläche, die Sie angehen möchten? Vereinbaren Sie einen Termin mit einem unserer Experten Hier .