Hola, como hemos visto en la publicacion Windows 11 Insider Preview Build 25951 hoy vamos a entrar un poco mas en detalle de la utilizacion del NTLM.
Con la llegada de protocolos de autenticaci?n m?s seguros, como Kerberos, han aumentado las solicitudes de la industria sobre la capacidad de gestionar mejor el protocolo NTLM en sus entornos. Reducir el uso del protocolo NTLM en un entorno de TI requiere tanto el conocimiento de los requisitos de las aplicaciones implementadas en NTLM como las estrategias y pasos necesarios para configurar entornos inform?ticos para utilizar otros protocolos. Se han agregado nuevas herramientas y configuraciones para ayudarlo a descubrir c?mo se usa NTLM para restringir selectivamente el tr?fico NTLM.
En esta seria de notas veremos como c?mo recopilar y analizar eventos utilizando la funcionalidad que se encuentra en el entorno operativo Windows. No entraremos en detalle sobre an?lisis y recopilaci?n de eventos.
C?mo funciona NTLM
El proveedor de soporte de seguridad (SSP) NTLM incluye varios protocolos de autenticaci?n: LAN Manager, NTLM versi?n 1 (NTLMv1) y NTLM versi?n 2 (NTLMv2). Estos protocolos autentican a usuarios y computadoras bas?ndose en un mecanismo de desaf?o/respuesta que demuestra a un servidor o controlador de dominio que un usuario conoce la contrase?a asociada con una cuenta. Cuando se utiliza el protocolo NTLM, un servidor de recursos debe realizar una de las siguientes acciones para verificar la identidad de una computadora o usuario cada vez que se necesita un nuevo token de acceso:
- P?ngase en contacto con un servicio de autenticaci?n de dominio en el controlador de dominio para el dominio de la cuenta de la computadora o del usuario, si la cuenta es una cuenta de dominio.
- Busque la cuenta de la computadora o del usuario en la base de datos de cuentas local, si la cuenta es una cuenta local.
La autenticaci?n NTLM a?n es compatible y debe usarse para la autenticaci?n de Windows con sistemas configurados como miembro de un grupo de trabajo. La autenticaci?n NTLM tambi?n se utiliza para la autenticaci?n de inicio de sesi?n local en controladores que no son de dominio. La autenticaci?n Kerberos versi?n 5 es el m?todo de autenticaci?n preferido para entornos Active Directory, pero es posible que una aplicaci?n que no sea de Microsoft o Microsoft a?n use NTLM.
Las credenciales NTLM constan de un nombre de dominio o nombre de servidor de grupo de trabajo, un nombre de usuario e informaci?n derivada de la contrase?a del usuario. Estos datos generalmente se obtienen mediante el inicio de sesi?n interactivo y posteriormente se almacenan como un hash sin enviar la contrase?a del usuario a trav?s de la red. En cambio, el usuario que solicita la autenticaci?n debe demostrar que conoce la contrase?a calculando la respuesta en funci?n del desaf?o recibido del servidor.
Los sistemas operativos del servidor Windows y del cliente Windows admiten NTLM SSP, msv1_0.dll, para compatibilidad de autenticaci?n entre sistemas y aplicaciones. La autenticaci?n NTLM es el protocolo de autenticaci?n predeterminado para entornos de grupos de trabajo y aplicaciones que no son de Microsoft. El NTLM SSP se puede utilizar para lo siguiente:
- Servicios de impresi?n
- Acceso a archivos mediante CIFS/SMB
- Servicios seguros basados en RPC/DCOM
Comprender los problemas y riesgos del uso de NTLM
El protocolo Kerberos se promovi? en Windows Server 2003 y Windows XP como un protocolo de autenticaci?n m?s s?lido que utiliza autenticaci?n mutua en lugar del m?todo de desaf?o/respuesta de NTLM. NTLM tiene las siguientes vulnerabilidades:
- Sin autenticaci?n de servidor.
- Criptograf?a m?s d?bil.
- Rendimiento m?s lento (en comparaci?n con el protocolo Kerberos) en conexiones repetidas al mismo servidor.
- Se requiere NTLM cuando la autenticaci?n del servidor no es posible, como cuando se requiere una direcci?n IP del servidor.