การบายพาส NTLMv1 ใน Active Directory: เจาะลึกเชิงเทคนิค

Silverfort ภาพ
11
สารบัญ

แบ่งปันโพสต์นี้:

หากคุณคิดว่าคุณได้บล็อค NTLMv1 ในองค์กรของคุณแล้ว โปรดคิดใหม่อีกครั้ง Silverfortทีมวิจัยของ 's เพิ่งค้นพบว่าผู้โจมตีหลีกเลี่ยงนโยบายกลุ่มที่ออกแบบมาเพื่อปิดใช้งาน NTLMv1 ทำให้การตรวจสอบสิทธิ์ที่ไม่ปลอดภัยยังคงดำเนินต่อไป Active Directory สภาพแวดล้อม

ผลการค้นพบที่สำคัญเหล่านี้เน้นย้ำถึงช่องว่างที่สำคัญ: แม้ว่าองค์กรต่างๆ เชื่อว่าพวกเขาได้รักษาความปลอดภัยระบบของตนแล้ว แต่ NTLMv1 ยังคงเป็นช่องทางลับที่ซ่อนไว้สำหรับการขโมยข้อมูลประจำตัว การเคลื่อนไหวด้านข้างและการเพิ่มสิทธิพิเศษ ด้วยมากกว่า 64% ของ Active Directory บัญชีที่ยังคงพิสูจน์ตัวตนด้วยโปรโตคอล NTLM แม้จะทราบจุดอ่อนแล้ว แต่ NTLMv1 ยังคงมีความเสี่ยงร้ายแรง

TL; DR 

  • ข่าว: Silverfortทีมวิจัยของเราค้นพบวิธีใหม่สำหรับผู้โจมตี ใช้ NTLMv1 ในการโจมตี แม้จะมีความพยายามในการปิดการใช้งานก็ตาม การใช้การกำหนดค่าที่ไม่ถูกต้องในแอปพลิเคชันภายในองค์กร ทำให้ผู้โจมตีสามารถข้ามผ่าน นโยบายกลุ่มได้รับการออกแบบมาเพื่อหยุด NTLMv1 การรับรองความถูกต้อง 
  • ทำไมมันเรื่อง: 64% จาก Active Directory บัญชีผู้ใช้ ตรวจสอบสิทธิ์กับ NTLM เป็นประจำ แม้ว่าจะทราบจุดอ่อนและ Microsoft ไม่สนับสนุนแล้วก็ตาม องค์กรหลายแห่งพยายามแก้ไขปัญหา NTLMv1 ด้วย Active Directory นโยบายกลุ่ม อย่างไรก็ตาม เราพบว่านโยบายนี้มีข้อบกพร่องและอนุญาตให้การยืนยันตัวตน NLTMv1 ยังคงอยู่ ทำให้เกิดความรู้สึกปลอดภัยที่ผิดพลาดและทำให้องค์กรตกอยู่ในความเสี่ยง ผู้โจมตีรู้ว่า NTLMv1 เป็นจุดอ่อน การรับรอง โปรโตคอลและแสวงหาแนวทางนี้อย่างจริงจังเพื่อใช้เป็นวิธีการเคลื่อนย้ายสิทธิ์ในแนวนอนหรือยกระดับสิทธิ์ 
  • ใครได้รับผลกระทบ: องค์กรใดก็ตามที่ใช้แอปพลิเคชันภายในองค์กรหรือจากบุคคลที่สาม และองค์กรที่ไม่ได้ใช้เครื่อง Windows อย่างเคร่งครัด ตัวอย่างเช่น หากคอมพิวเตอร์ Mac เชื่อมต่อกับแอปพลิเคชันของธนาคาร ก็อาจถูกบุกรุกได้  
  • ผลกระทบต่อองค์กร: ผู้โจมตีที่นั่งอยู่บนเครือข่ายสามารถมองเห็นการรับส่งข้อมูลของ NTLMv1 และเจาะข้อมูลประจำตัวของผู้ใช้แบบออฟไลน์ ทำให้เกิดการเคลื่อนตัวในแนวขวางและ การเพิ่มระดับสิทธิ์POC ของเราเลียนแบบแอปพลิเคชันโดยหลีกเลี่ยงการกั้นรั้ว และตรวจสอบว่าการกำหนดค่าผิดพลาดนี้เป็นประโยชน์ต่อผู้โจมตี
  • ผลการเปิดเผยข้อมูล: ในขณะที่ Microsoft Security Response Center (MSRC) ระบุว่า NTLMv1 การบายพาสไม่ใช่ช่องโหว่ พวกเขาใช้มาตรการเชิงรุกเพื่อเพิ่มความปลอดภัยด้วยการประกาศลบ NTLMv1 ออกอย่างสมบูรณ์ภายในสองเดือนนับจากการเปิดเผยของเรา โดยเริ่มจาก Windows 11 เวอร์ชัน 24H2 และ Windows Server 2025

เมื่อไม่นานมานี้ เราได้จัดเว็บสัมมนาซึ่งฉันได้พาผู้เข้าร่วมสัมมนาศึกษาวิจัยอย่างละเอียดมากขึ้น โดยแสดงให้เห็นวิธีการลดการตรวจสอบสิทธิ์ NTLMv1 ในกรณีที่ไม่มีแพตช์ คุณสามารถรับชมเว็บสัมมนาออนไลน์นี้ได้ตามต้องการที่นี่

การสัมมนาผ่านเว็บแบบออนดีมานด์

การเปิดเผยช่องโหว่ NTLMv1: ความเสี่ยงและกลยุทธ์การบรรเทาผลกระทบใน Active Directory สิ่งแวดล้อม

ดูได้ที่นี่
ภาพหน้าจอ NTLM 1

บทสรุปและการบรรเทาผลกระทบ

แม้ว่าจะมีความสำคัญทางประวัติศาสตร์ แต่ NTLM ก็ยังถือเป็นภาระด้านความปลอดภัยที่สำคัญ เนื่องจากมีวิธีการเข้ารหัสที่ล้าสมัย จุดอ่อนที่ได้รับการบันทึกไว้เป็นอย่างดี และขาดคุณสมบัติด้านความปลอดภัยสมัยใหม่ (เช่น MFA ได้ทุกที่ และการตรวจสอบตัวตนเซิร์ฟเวอร์) ทำให้เป็นเป้าหมายที่น่าสนใจสำหรับผู้โจมตี แฮช NTLMv1 สามารถดักจับและนำไปใช้ได้ การรับรอง การโจมตีแบบรีเลย์หรือแม้กระทั่งการโจมตีแบบพจนานุกรม ทำให้ผู้โจมตีสามารถเข้าถึงระบบที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต ช่องโหว่ NTLM ใหม่ได้รับการเปิดเผยในช่วงไม่กี่เดือนที่ผ่านมา รวมถึงแบบ zero-day ด้วย เมื่อเร็ว ๆ นี้ ไซเบอร์สกายได้ค้นพบ ช่องโหว่ NTLM ที่ถูกผู้ก่อภัยคุกคามชาวรัสเซียใช้ประโยชน์เป็นส่วนหนึ่งของห่วงโซ่การโจมตีที่ส่งมอบโอเพนซอร์ส สปาร์คหนู มัลแวร์    

องค์กรจำนวนมากใช้กลไกนโยบายกลุ่มของ Microsoft อย่างจริงจังเพื่อ หยุด NTLMv1, เชื่อว่าสิ่งนี้จะช่วยปกป้องพวกเขาจากการตรวจสอบสิทธิ์ NTLMv1 ที่ไม่ปลอดภัย อย่างไรก็ตาม การวิจัยของเราแสดงให้เห็นว่าสามารถกำหนดค่าแอปพลิเคชันภายในองค์กรให้เปิดใช้งาน NTLMv1 ได้ โดยไม่กระทบต่อระดับการตรวจสอบสิทธิ์สูงสุดของ Group Policy LAN Manager ที่กำหนดไว้ Active Directoryองค์กรต่างๆ คิดว่าตนเองกำลังทำสิ่งที่ถูกต้องด้วยการกำหนดนโยบายกลุ่มนี้ แต่อย่างไรก็ตาม แอปพลิเคชันที่กำหนดค่าไม่ถูกต้องยังคงหลีกเลี่ยงนโยบายนี้อยู่ จนกว่าจะกำหนดค่าแอปพลิเคชันให้ตรวจสอบสิทธิ์ด้วย NTLMv1 ได้ ปัญหาจะยังคงอยู่    

At Silverfortเราพบเห็นความพยายามหลายครั้งในการพิสูจน์ตัวตนผ่าน NTLMv1 ในฐานลูกค้าของเรา เราทำงานอย่างใกล้ชิดกับลูกค้าของเราเพื่อจัดทำแผนที่และตรวจจับการใช้งาน NTLMv1 ใช้การฟันดาบตามความเสี่ยง เพื่อลดความเสี่ยงของการประนีประนอม หากไม่มีแพตช์สำหรับ NLTMv1 ธุรกิจที่เคยใช้ NTLMv1 มาก่อนควรพิจารณาสิ่งต่อไปนี้:  

  1. เปิดใช้งานบันทึกการตรวจสอบสำหรับการตรวจสอบสิทธิ์ NTLM ทั้งหมดในโดเมน
  2. การแมปแอปพลิเคชันทั้งหมดที่ใช้การตรวจสอบสิทธิ์ NTLM ในกรณีแรกหรือเป็นทางเลือกสำรอง
  3. การตรวจจับแอปพลิเคชันที่มีช่องโหว่ซึ่งร้องขอให้ไคลเอนต์ใช้ข้อความ NTLMv1
  4. การป้องกัน NTLM ทั้งหมดด้วยวิธีการตรวจสอบสิทธิ์ที่ทันสมัย

คำแนะนำในการกำจัด NTLM ออกจากสภาพแวดล้อมของคุณโดยสมบูรณ์

Windows 10 End of Life หมายความว่าการยืนยันตัวตนด้วย NTLM กำลังจะหมดไป อ่านวิธีการตรวจจับและกำจัดการใช้งาน NTLM ด้วยคู่มือทีละขั้นตอนนี้

อ่านตอนนี้

NTLMv1 คืออะไร และเหตุใดจึงเป็นปัญหา?

NTLM (NT LAN Manager) เป็นโปรโตคอลการตรวจสอบสิทธิ์แบบเก่าของ Microsoft ที่มีมาตั้งแต่ต้นทศวรรษ 1990 เดิมทีโปรโตคอลนี้ถูกออกแบบมาเพื่อตรวจสอบตัวตนของผู้ใช้ในเครือข่าย Windows และถึงแม้ว่าจะถูกแทนที่โดยส่วนใหญ่แล้ว Kerberos, มันยังคงอยู่ในหลาย ๆ Active Directory สภาพแวดล้อมอันเนื่องมาจากความเข้ากันได้แบบย้อนหลังและระบบเดิม

พื้นฐานของ NTLM

โปรโตคอลทำงานผ่านลำดับข้อความสามข้อความง่ายๆ:

  1. ต่อรอง – ไคลเอนต์แจ้งเซิร์ฟเวอร์ว่าต้องการใช้ NTLM สำหรับการตรวจสอบสิทธิ์
  2. ชาเลนจ์ ของคุณ – เซิร์ฟเวอร์ตอบกลับด้วยหมายเลขสุ่ม (ความท้าทาย) ที่ต้องเข้ารหัสโดยใช้ข้อมูลประจำตัวของผู้ใช้
  3. รับรองความถูกต้อง – ไคลเอนต์ส่งคำท้าที่เข้ารหัสกลับมา หากเซิร์ฟเวอร์ตรวจสอบความถูกต้องกับข้อมูลประจำตัวที่จัดเก็บไว้ ก็จะถือว่าได้รับอนุญาต
ภาพหน้าจอ NTLM 2

ปัญหาคือ NTLMv1 ซึ่งเป็นโปรโตคอลเวอร์ชันแรกนั้นไม่มีความปลอดภัยสูงเมื่อเทียบกับมาตรฐานปัจจุบัน โปรโตคอลนี้ใช้การเข้ารหัสแบบ DES ที่อ่อนแอ ใช้เพียงความท้าทาย 8 ไบต์ (ง่ายต่อการบรูทฟอร์ซ) และขาดการควบคุมความปลอดภัยสมัยใหม่ เช่น การป้องกัน MFA หรือการตรวจสอบความถูกต้องของเซิร์ฟเวอร์ จุดอ่อนเหล่านี้ทำให้การตรวจสอบสิทธิ์ NTLMv1 เป็นเป้าหมายหลักของผู้โจมตี ซึ่งสามารถสกัดกั้นแฮช ทำการโจมตีแบบรีเพลย์หรือรีเลย์ และยกระดับสิทธิ์ใน Active Directory.

แม้ว่าจะไม่ได้รับความนิยมอีกต่อไปแล้ว แต่ NTLMv1 ยังคงใช้งานอยู่เนื่องจากแอปพลิเคชันภายในองค์กร ไคลเอนต์ที่ไม่ใช่ Windows และระบบภายในองค์กรจำนวนมากยังคงต้องพึ่งพา NTLMv1 ซึ่งทำให้องค์กรเสี่ยงต่อการถูกโจมตี

บทความ

ปลอดภัยแม้จะมีมรดก: คู่มือของผู้นำ IAM ในการควบคุมความเสี่ยงด้านข้อมูลประจำตัว

อ่านตอนนี้

ความแตกต่างระหว่าง NTLMv1 และ NTLMv2 คืออะไร?

เพื่อแก้ไขจุดอ่อนของ NTLMv1 Microsoft จึงได้เปิดตัว NTLMv2 ซึ่งมีการปรับปรุงหลายประการ:

  • การเข้ารหัสที่แข็งแกร่งขึ้น – NTLMv2 แทนที่ DES ด้วย RC4 ทำให้การโจมตีแบบบรูทฟอร์ซยากขึ้น
  • ความท้าทายของลูกค้า – เพิ่มความท้าทายแบบสุ่มครั้งที่สองจากไคลเอนต์ เพิ่มเอนโทรปีและความปลอดภัย
  • คู่เอวี – แนะนำข้อมูลเซสชันเพิ่มเติม (เช่น แหล่งที่มา จุดหมายปลายทาง และ SPN) เพื่อสร้างคีย์เซสชันเฉพาะ ลดความเสี่ยงของการโจมตีแบบเล่นซ้ำหรือรีเลย์
ภาพหน้าจอ NTLM 3

แม้ว่า NTLMv2 จะมีความปลอดภัยมากกว่า NTLMv1 อย่างมาก แต่ก็ยังคงเป็นโปรโตคอลเก่า ขาดการรองรับ MFA แบบเนทีฟและการป้องกันตัวตนที่ทันสมัย ​​ซึ่งหมายความว่าองค์กรต่างๆ ควรย้ายไปยังโปรโตคอลการตรวจสอบสิทธิ์ที่ทันสมัย ​​เช่น Kerberos เพื่อให้ได้รับการปกป้องที่แข็งแกร่งยิ่งขึ้น

Silverfort การวิจัย: การหลีกเลี่ยง NTLMv1 ใน Active Directory

กลไกนโยบายกลุ่มของ Microsoft ออกแบบมาเพื่อปิดใช้งานการตรวจสอบสิทธิ์ NTLMv1 การตั้งค่าคีย์รีจิสทรี LMCompatibilityLevel ช่วยให้ผู้ดูแลระบบคาดหวังให้ตัวควบคุมโดเมนปฏิเสธการรับส่งข้อมูล NTLMv1 และต้องใช้ NTLMv2 หรือ Kerberos แทน ซึ่งในทางทฤษฎีแล้ว การทำเช่นนี้น่าจะช่วยกำจัด NTLMv1 ออกไปได้ Active Directory สภาพแวดล้อม

ภาพหน้าจอ NTLM 4

แต่ Silverfortทีมวิจัยของ 's ค้นพบว่าการป้องกันนี้ไม่ได้สมบูรณ์แบบ ในระหว่างการวิเคราะห์ เราพบข้อบกพร่องที่ทำให้แอปพลิเคชันสามารถข้ามนโยบายกลุ่มและส่งคำขอการตรวจสอบสิทธิ์ NTLMv1 ต่อไปได้ สิ่งนี้สร้างจุดบอดที่อันตราย: องค์กรอาจเชื่อว่าได้บล็อก NTLMv1 ไปแล้ว แต่ในความเป็นจริงแล้วยังคงบล็อกอยู่ ส่งผลให้ Active Directory เสี่ยงต่อการถูกขโมยข้อมูลประจำตัว การเคลื่อนไหวทางด้านข้าง และการเพิ่มสิทธิพิเศษ

การเจาะลึกทางเทคนิค: วิธีการทำงานของการบายพาส NTLMv1

การบังคับใช้นโยบาย NTLM ขึ้นอยู่กับ โปรโตคอลระยะไกล Netlogon (MS-NRPC)ซึ่งเซิร์ฟเวอร์แอปพลิเคชันใช้เพื่อตรวจสอบข้อความ NTLM กับตัวควบคุมโดเมน โครงสร้างหลักในกระบวนการนี้ ข้อมูลประจำตัวการเข้าสู่ระบบ NETLOGON, ประกอบด้วยฟิลด์ที่เรียกว่า การควบคุมพารามิเตอร์.

ภาพหน้าจอ NTLM 5

ภายในฟิลด์นี้มีแฟล็กที่อนุญาตการตรวจสอบสิทธิ์ NTLMv1 อย่างชัดเจน แม้ว่าจะมีการกำหนดค่านโยบายกลุ่มให้บล็อกไว้ก็ตาม กล่าวอีกนัยหนึ่ง การควบคุมจะแข็งแกร่งเท่ากับแอปพลิเคชันที่ยอมรับการควบคุมนั้นเท่านั้น

เพื่อทดสอบสิ่งนี้ เราได้สร้างแอปพลิเคชันพิสูจน์แนวคิดที่จำลองบริการที่เป็นอันตรายหรือตั้งค่าไม่ถูกต้อง ด้วยการตั้งค่าแฟล็ก ParameterControl เราจึงสามารถบังคับใช้การตรวจสอบสิทธิ์ NTLMv1 ได้สำเร็จ ตัวควบคุมโดเมนยอมรับการตรวจสอบสิทธิ์นี้ แม้ว่านโยบายกลุ่มจะถูกกำหนดค่าให้ไม่อนุญาตให้ใช้ NTLMv1 ก็ตาม

ภาพหน้าจอ NTLM 6

ซึ่งหมายความว่าแอปพลิเคชันใดๆ ไม่ว่าจะโดยไม่ได้ตั้งใจหรือโดยการออกแบบ ก็ยังสามารถส่งทราฟฟิก NTLMv1 ได้ ทำให้องค์กรมีความเสี่ยงต่อการตรวจสอบสิทธิ์ที่ซ่อนอยู่ ผู้โจมตีที่สามารถระบุแอปพลิเคชันดังกล่าวได้สามารถใช้ประโยชน์จากแอปพลิเคชันเหล่านี้เพื่อสกัดกั้นข้อมูลประจำตัว ทำการโจมตีแบบรีเพลย์หรือรีเลย์ และโจมตีแบบข้ามแพลตฟอร์ม Active Directory.

คำตอบของ Microsoft

เมื่อเราเปิดเผยผลการตรวจสอบของเราต่อศูนย์ตอบสนองด้านความปลอดภัย (MSRC) ของ Microsoft พวกเขายืนยันพฤติกรรมดังกล่าว แต่ไม่ได้ระบุว่าเป็นช่องโหว่ด้านความปลอดภัย Microsoft จึงดำเนินการเชิงรุกโดยประกาศยกเลิก NTLMv1 อย่างสมบูรณ์ เริ่มต้นด้วย Windows 11 เวอร์ชัน 24H2 และ 2025 Windows ServerNTLMv1 จะไม่ได้รับการสนับสนุนอีกต่อไป

การตัดสินใจที่เด็ดขาดนี้ตอกย้ำถึงความร้ายแรงของความเสี่ยง อย่างไรก็ตาม จนกว่าจะถึงตอนนั้น องค์กรต่างๆ ยังคงมีความเสี่ยงหากใช้นโยบายกลุ่มเพียงอย่างเดียวเพื่อบล็อก NTLMv1 พวกเขาจำเป็นต้องตรวจจับและลดการใช้งาน NTLMv1 เชิงรุกเพื่อให้แน่ใจว่าผู้โจมตีจะไม่สามารถใช้ประโยชน์จากจุดอ่อนด้านการตรวจสอบสิทธิ์นี้ได้

ทรัพยากรฟรี

แผนงานในการปิดแอปพลิเคชันที่ใช้ NTLM

คู่มือดาวน์โหลดได้นี้ให้แผนงานย่อยๆ เกี่ยวกับสิ่งที่ต้องทำเมื่อคุณพร้อมที่จะปิดแอปพลิเคชันที่ใช้ NTLM ทั้งหมด

อ่านตอนนี้

ความเสี่ยงด้านความปลอดภัยของการตรวจสอบสิทธิ์ NTLMv1

แม้ว่า Microsoft จะไม่สนับสนุน NTLMv1 แต่ก็ยังคงมีความเสี่ยงร้ายแรงในปัจจุบัน Active Directory สภาพแวดล้อม ผู้โจมตีจะสแกนเครือข่ายเพื่อหาทราฟฟิก NTLMv1 อย่างจริงจัง เนื่องจากเป็นช่องทางเข้าที่ง่ายสำหรับ:

  • การโจรกรรมข้อมูลประจำตัว – แฮช NTLMv1 สามารถดักจับและถอดรหัสแบบออฟไลน์ได้
  • การโจมตีแบบรีเพลย์และรีเลย์ – ข้อความ NTLMv1 ที่ถูกสกัดกั้นสามารถนำมาใช้ซ้ำเพื่อปลอมตัวเป็นผู้ใช้ในบริการที่แตกต่างกันได้
  • การเคลื่อนไหวด้านข้างและการเพิ่มสิทธิพิเศษ – เมื่อผู้โจมตีเริ่มยึดพื้นที่ได้แล้ว พวกเขาสามารถเคลื่อนที่ข้ามระบบและเพิ่มสิทธิ์ของตนภายใน AD ได้

แม้ว่าองค์กรต่างๆ จะเชื่อว่าได้บล็อก NTLMv1 ผ่านนโยบายกลุ่มแล้ว แต่โปรโตคอลก็ยังคงทำงานอย่างซ่อนเร้น แอปพลิเคชันต่างๆ ยังคงสามารถร้องขอการตรวจสอบสิทธิ์ NTLMv1 ได้ และตัวควบคุมโดเมนอาจอนุมัติได้ภายใต้เงื่อนไขบางประการ ไคลเอ็นต์ Windows ที่มี LMCompatibilityLevel 3 ขึ้นไปจะไม่สร้างการตอบสนอง NTLMv1 แต่ไคลเอ็นต์ที่ไม่ใช่ Windows ยังคงไม่ได้รับการป้องกัน ในทางปฏิบัติ นั่นหมายความว่าหลายสภาพแวดล้อมยังคงมีการรับส่งข้อมูล NTLMv1 อยู่ แม้ว่าผู้ดูแลระบบจะสันนิษฐานว่าถูกกำจัดไปแล้วก็ตาม

การคงอยู่เช่นนี้ทำให้การพิสูจน์ว่า NTLMv1 ถูกลบออกอย่างสมบูรณ์เป็นเรื่องยากยิ่ง ส่งผลให้หลายองค์กรมีความรู้สึกปลอดภัยแบบผิดๆ ขณะที่ผู้โจมตียังคงใช้ประโยชน์จากการตรวจสอบสิทธิ์ที่อ่อนแอเหล่านี้เพื่อเจาะระบบ Active Directory.

วิธีบรรเทาและกำจัด NTLMv1

จนกว่า Microsoft จะลบ NTLMv1 ออกอย่างสมบูรณ์ องค์กรต่างๆ จำเป็นต้องดำเนินมาตรการเชิงรุกเพื่อตรวจจับและควบคุมการใช้งาน การพึ่งพานโยบายกลุ่มเพียงอย่างเดียวนั้นไม่เพียงพอ การกำหนดค่าที่ผิดพลาดที่ซ่อนอยู่และไคลเอ็นต์ที่ไม่ใช่ Windows ยังคงสามารถสร้างทราฟฟิก NTLMv1 ได้

นี่คือการดำเนินการสำคัญที่องค์กรทุกแห่งควรดำเนินการ:

  1. เปิดใช้งานบันทึกการตรวจสอบสำหรับการตรวจสอบสิทธิ์ NTLM ทั้งหมด ทั่วทั้งโดเมนเพื่อสร้างการมองเห็นที่ครบถ้วน
  2. แมปแอปพลิเคชันทั้งหมดที่ใช้ NTLM เป็นวิธีการหลักหรือเป็นทางเลือก รวมถึงระบบภายในองค์กรและระบบภายในองค์กร
  3. ตรวจจับแอปพลิเคชันที่มีช่องโหว่ที่ยังคงร้องขอข้อความ NTLMv1โดยเฉพาะจากไคลเอนต์ที่ไม่ใช่ Windows
  4. บังคับใช้การคุ้มครองสมัยใหม่ เช่น MFA และการควบคุมการเข้าถึงตามความเสี่ยงในการตรวจสอบสิทธิ์ NTLM ทั้งหมดเพื่อป้องกันผู้โจมตีจากการใช้ประโยชน์จากโปรโตคอลที่อ่อนแอ

Silverfort's ความปลอดภัยของข้อมูลประจำตัว แพลตฟอร์มช่วยให้องค์กรดำเนินการตามขั้นตอนเหล่านี้ได้โดยการตรวจจับปริมาณการรับส่งข้อมูล NTLMv1 แบบเรียลไทม์และใช้การควบคุมแบบปรับตัว ด้วย Silverfortทีมงานรักษาความปลอดภัยอาจมีการตรวจสอบสิทธิ์ที่มีความเสี่ยง ปกป้องบัญชีบริการและบังคับใช้การตรวจสอบความถูกต้องแบบทันสมัยโดยไม่รบกวนการดำเนินธุรกิจ

ต้องการเรียนรู้เพิ่มเติมหรือไม่? ชมเว็บสัมมนาตามต้องการของเรา

หากคุณต้องการเจาะลึกรายละเอียดเกี่ยวกับการวิจัยนี้ ลองดูเว็บสัมมนาแบบออนดีมานด์นี้ซึ่งเราจะแนะนำวิธีการหลีกเลี่ยง NTLMv1 และแสดงวิธีปฏิบัติเพื่อลดการตรวจสอบสิทธิ์ NTLMv1 โดยไม่ต้องมีแพทช์

การสัมมนาผ่านเว็บแบบออนดีมานด์

การเปิดเผยช่องโหว่ NTLMv1: ความเสี่ยงและกลยุทธ์การบรรเทาผลกระทบใน Active Directory สิ่งแวดล้อม

Roy-Akerman-Headshot-2.jpg

รอย เอเคอร์แมน

รองประธานฝ่ายกลยุทธ์ความปลอดภัยด้านข้อมูลประจำตัว

โรงเรียนมัธยมดอร์เซกัล

ดอร์ ซีกัล

หัวหน้าทีมวิจัยด้านความปลอดภัย

โยด ดวีร์ เอชเอส

ยูอาด ดวีร์

ผู้จัดการฝ่ายการตลาดผลิตภัณฑ์อาวุโส

ดูได้ที่นี่

เรากล้าที่จะผลักดันการรักษาความปลอดภัยข้อมูลประจำตัวไปไกลยิ่งขึ้น

ค้นพบสิ่งที่เป็นไปได้

ตั้งค่าการสาธิตเพื่อดู Silverfort แพลตฟอร์มการรักษาความปลอดภัยข้อมูลประจำตัวในการดำเนินการ

รับการสาธิต
ฮีโร่ใหม่ (1)

Silverfort เข้าซื้อกิจการ Fabrix Security

มอบการรักษาความปลอดภัยข้อมูลประจำตัวแบบอัตโนมัติในระหว่างการทำงาน

เป็นผู้บุกเบิกเครื่องมือควบคุมการเข้าถึงแบบเรียลไทม์อัตโนมัติเป็นครั้งแรก ซึ่งออกแบบมาเพื่อปกป้องข้อมูลประจำตัวของมนุษย์ เครื่องจักร และตัวแทนทั้งหมด โดยใช้บริบทเชิงลึกและความเร็วของ AI

อ่านเรื่องราวฉบับเต็มได้ที่นี่