Inhaltsverzeichnis
NTLM-Authentifizierung – alles Wissenswerte zusammengefasst
Kerberos ist ein weit verbreiteter Authentifizierungsdienst, wenn es darum geht, Nutzer zu authentifizieren. Dieses Sicherheitsprotokoll, das in den 1980er Jahren entwickelt wurde, bestätigt die Legitimität verschiedener Dienstanfragen. Über die Jahre hat sich Kerberos als die bevorzugte Authentifizierungslösung für das Microsoft Windows Betriebssystem etabliert. Dennoch begegnen sowohl Nutzer als auch Administratoren gelegentlich der älteren NTLM-Authentifizierung.
Doch was ist die NTLM- Authentifizierung und warum wird sie teilweise noch verwendet? Auf diese Fragen und die grundsätzlichen Sicherheitsrisiken gehen wir in diesem Blogbeitrag ein.
Was ist die NTLM-Authentifizierung?
NTLM (NT LAN Manager) ist eine Gruppe von Microsoft-eigenen Authentifizierungsprotokollen, die sich durch einen Challenge/Response-Mechanismus auszeichnen. Dies ermöglicht es Benutzern und Computern, ihre Authentizität zu bestätigen, indem sie das zugehörige Passwort nachweisen, ohne es über das Netzwerk zu senden.
Das NTLM-Protokoll kam erstmals 1993 mit der Einführung von Windows NT 3.1 auf den Markt und löste das früher verwendete LM-Hash-Verfahren ab, das erhebliche Sicherheitsmängel aufwies. Nach weiteren Sicherheitsbedenken führte die Einführung von Windows NT 4.0 SP4 zur Entwicklung von NTLMv2, während die vorherige Version rückwirkend als NTLMv1 bezeichnet wurde.
NTLM-Authentifizierung – abgelöst durch Kerberos
Mit der Einführung von Windows 2000 wurde NTLM in Active Directory (AD)-Domänen durch Kerberos als das vorherrschende Standard-Authentifizierungsprotokoll abgelöst. Doch warum ist unverändert die NTLM-Authentifizierung in manchen Bereichen anzutreffen?
Windows unterstützt die NTLM-Authentifizierung weiterhin, um die Kompatibilität mit älterer Software zu gewährleisten. Einige dieser Anwendungen verwenden noch NTLMv2 oder sogar NTLMv1. Viele dieser Programme entstanden in den späten 1990er Jahren und den frühen 2000er Jahren. Häufig erhalten diese Anwendungen keinen Support mehr vom ursprünglichen Hersteller oder wurden als spezielle Lösungen maßgeschneidert für spezifische Unternehmensbedürfnisse entwickelt.
Diese Sicherheitsrisiken sind zu beachten
Obwohl NTLM keine Passwörter über das Netzwerk sendet und somit deren Abfangen verhindert, gilt NTLMv1 nach heutigen Sicherheitsstandards als sehr schwaches Authentifizierungsprotokoll. NTLMv2 ist zwar sicherer als seine Vorgängerversion, erreicht jedoch nicht die Sicherheitsebene von Kerberos, dem Nachfolgeprotokoll.
Ein kritischer Aspekt der NTLM-Authentifizierung ist der Passwort-Hash, der eine zentrale Rolle spielt. Gelangt ein Angreifer an den Benutzernamen und den dazugehörigen Kennwort-Hash, kann er die Authentifizierung ohne Kenntnis des eigentlichen Passwortes durchführen. Diese Methode, bekannt als “Pass the Hash”, ist seit über zwei Jahrzehnten bekannt. Zudem werden Kennwort-Hashes bei RDP-Verbindungen (Remote Desktop Protocol) während der gesamten Sitzung im Speicher behalten. Wird die Verbindung beendet, ohne sich abzumelden, verbleibt der Passwort-Hash noch eine Weile im Speicher.
Die Anfälligkeit von NTLM für Brute-Force-Angriffe resultiert auch aus der Verwendung eines Hash-Algorithmus ohne Salt. Ein Salt wäre eine zufällige Zeichenkette, die vor dem Hashen zu einem Passwort hinzugefügt wird, um selbst bei identischen Passwörtern unterschiedliche Hashes zu erzeugen. Die Nutzung von vorberechneten Hashes und Rainbow Tables kann bei unzureichender Passwortlänge und -komplexität zu erfolgreichen Brute-Force-Angriffen führen.
Kerberos vs. NTLM – die Unterschiede
Ein wesentlicher Unterschied zwischen NTLM und Kerberos liegt im Authentifizierungsablauf. Bei Kerberos erfolgt der Prozess in drei Stufen und nicht mehr nach dem zweistufigen Challenge/Response-Modell wie bei NTLM.
Außerdem unterscheidet sich Kerberos von NTLM durch seine kryptographischen Methoden. Statt einer Hashfunktion zur Erstellung von Passwort-Hashes verwendet Kerberos eine Verschlüsselungsfunktion.
Insgesamt gilt Kerberos als das sicherere Protokoll. Dennoch ist auch Kerberos nicht vollständig frei von Sicherheitsrisiken.
Weiterverwendung der NTLM-Authentifizierung – praktische Sicherheitstipps
Die Nutzung von NTLM im Netzwerk sollte so weit wie möglich reduziert oder ganz deaktiviert werden. Für Unternehmen, die NTLM aus Kompatibilitätsgründen weiterhin verwenden müssen, sind bestimmte Sicherheitsvorkehrungen essentiell.
Zunächst ist es wichtig, die SMB-Signierung auf allen Computern im Netzwerk zu aktivieren, um einfachere NTLM-Relay-Angriffe zu verhindern. Zudem ist NTLMv1 vollkommen unsicher und sollte über die Gruppenrichtlinien komplett blockiert werden.
Weiterhin ist es ratsam, die LDAP-Signierung und die LDAPS-Kanalbindung auf den Domänencontrollern zu aktivieren, um NTLM-Relay-Angriffe auf LDAP zu unterbinden. Es ist entscheidend, dass alle Webserver, einschließlich OWA und ADFS, so eingestellt werden, dass sie ausschließlich Anfragen akzeptieren, die durch Enhanced Protection for Authentication (EPA) abgesichert sind. Diese Maßnahme verstärkt den Schutz gegen NTLM-Relay-Angriffe auf Webservern erheblich.