NTLM là gì? Cách Giảm Rủi Ro Bảo Mật Khi Sử Dụng NTLM

NTLM là gì?

NTLM (New Technology LAN Manager) là một giao thức bảo mật được phát triển bởi Microsoft, đươc dùng để xác thực danh tính người dùng và bảo mật hoạt động của mạng trong hệ thống Windows. Giao thức này được phát triển vào những năm 1993 lâu đời và có các phiên bản cải tiến sau này như NTLMv2.

NTLM đã từng là giao thức xác thực danh tính hiệu quả vào thời điểm đó khi mà Kerberos chưa ra đời. Mặc dù được đánh giá còn tồn tại nhiều lỗ hổng trong thời đại ngày nay nhưng nó vẫn được Microsoft hỗ trợ, được sử dụng trong trường hợp Kerberos không khả dụng.

Cách thức hoạt động của giao thức NTLM

Xác thực NTLM thường hoạt động theo quy trình sau:

Bước 1: Yêu cầu của máy khách: Người dùng (máy khách) gửi yêu cầu truy cập mạng trên máy chủ với thông tin đăng nhập và mật khẩu của họ.

Bước 2: Máy chủ tạo Challenge: Máy chủ sẽ xác thực và phản hồi bằng một Challenge đến máy khách, đây là chuỗi ký tự ngẫu nhiên duy nhất cho mỗi lần xác thực.

Bước 3: Máy khách phản hồi: Máy khách nhận được chuỗi Challenge và sử dụng mật khẩu của người dùng để mã hóa Challenge. Sau đó gửi kết quả lại cho máy chủ. NTLM sử dụng hàm băm mật khẩu của người dùng để mã hóa Challenge, trong NTLMv2, các thuật toán băm mạnh hơn được sử dụng để tăng cường bảo mật.

Bước 4: Quyền truy cập được cấp: Máy chủ sẽ so sánh phản hồi nhận được từ máy khách với giá trị đã có từ cơ sở dữ liệu của mình. Nếu giá trị đó khớp với giá trị đã có, máy chủ sẽ xác thực người dùng và cấp quyền truy cập cho máy khách vào tài nguyên mạng được yêu cầu, người dùng có thể truy cập vào mạng một cách an toàn. Nếu không khớp, truy cập sẽ bị từ chối.

Lợi ích và thách thức của NTLM

Lợi ích của giao thức NTLM

• NTLM dễ dàng cấu hình và thiết lập
• NTLM được hỗ trợ bởi nhiều hệ thống và ứng dụng cũ, bao gồm các phiên bản Windows cũ hơn
• Mỗi yêu cầu có thể được xác thực độc lập mà không cần dựa vào trạng thái phiên.
• Cho phép các dịch vụ xác thực người dùng mà không cần nhập lại mật khẩu khi họ đã đăng nhập vào hệ thống.

Các thách thức mà NTLM phải đối mặt

• Bảo mật kém: NTLM dễ bị tấn công mạng như tấn công pass-the-hash và brute-force do nó chỉ sử dụng hàm băng mật khẩu đơn giản, không hỗ trợ mã hóa mạnh mẽ như Kerberos sử dụng.
• Xác thực hạn chế: NTLM dựa trên giao thức thử thách – phần hồi và không hỗ trợ xác thực đối xứng, xác thực đa yếu tố MFA nên tạo cơ hội cho các cuộc tấn công giả mạo máy chủ.
• Mở rộng hạn chế: NTML không phù hợp với các môi trường lớn và đa miền bởi nó thiếu khả năng quản lý bảo mật và xác thực mở rộng.
• Hạn chế trong bảo mật hiện đại: NTLM đã trở nên lỗi thời bởi công nghệ bảo mật của nó không còn phù hợp trong bối cảnh hiện đại, khi mà các phương pháp bảo mật tiên tiến ra đời như Xác thực đa yếu tố MFA, mã hóa dữ liệu. Khiến nó dễ bị tấn công hơn trong môi trường đòi hỏi bảo mật cao.

Chính vì những hạn chế này của NTLM trong việc bảo mật, nên Microsoft đã sử dụng Kerberos thay thế cho NTLM.

Bạn có thể tham khảo thêm những thế mạnh trong bảo mật của Kerberos tại: https://lanit.com.vn/giao-thuc-kerberos-la-gi.html

Cách để giảm rủi ro bảo mật khi sử dụng NTLM

Để giảm rủi ro bảo mật trong hệ thống mạng khi sử dụng giao thức NTLM, nhất là trong môi trường yêu cầu cao về mức độ bảo mật, bạn có thể sử dụng các cách sau:

• Sử dụng NTLMv2: NTLMv2 có mức độ bảo mật cao, nhờ sử dụng hàm băm mạnh hơn và có nhiều cải tiến về bảo vệ giao thức. Bạn cũng có thể cấu hình hệ thống để chỉ chấp nhận NTLMv2 thay vì NTLMv1.
• Vô hiệu hóa NTLM nếu sử dụng Kerberos: Với các môi trường hỗ trợ Kerberos, bạn nên tắt NTLM để buộc các máy khách và máy chủ chỉ sử dụng Kerberos, giao thức bảo mật và hiệu quả hơn.
• Giới hạn việc sử dụng NTLM: Nếu bạn chỉ sử dụng NTLM cho một số ứng dụng không hỗ trợ Kerberos, bạn hãy giới hạn NTLM chỉ cho các ứng dụng hoặc máy chủ cụ thể thay vì toàn bộ mạng.
• Bật tính năng giám sát NTLM: Để theo dõi các hoạt động liên quan đến NTLM, để phát hiện các hành vi bất thường, tấn công mạng tiềm ẩn.
• Sử Dụng Group Policy để hạn chế NTLM: Sử dụng Group Policy để cấu hình các thiết lập bảo mật hạn chế NTLM. Giúp bảo vệ tài khoản người dùng khỏi bị tấn công.
• Sử dụng tường lửa và Lọc IP: Để giới hạn truy cập vào các tài nguyên, chỉ cho các IP đáng tin cậy, giảm khả năng bị tấn công thông qua NTLM.
• Câp nhật bảo mật thường xuyên: Đảm bảo hệ thống và phần mềm đều được cập nhật mới nhất để giảm lỗ hổng tiềm ẩn trong NTLM
• Thiết lập MFA: Bạn có thể kết hợp NTLM với xác thực đa yếu tố MFA để tăng cường bảo mật.

Lời kết

Trên đây LANIT đã chia sẻ chi tiết về NTLM – giao thức xác thực danh tính và bảo mật mạng trong hệ thống Windows. Tuy giao thức này đã lỗi thời do các phương pháp bảo mật không còn phù hợp và kém an toàn hơn so với các giao thức khác như Kerberos nhưng nó vẫn có được sử dụng ở một số ứng dụng cũ. Microsoft đã dần thay thế Kerberos thay cho NTLM trong hệ thống của họ.

Nếu bạn còn thắc mắc nào khác hoặc cần tư vấn về các giải pháp bảo mật mạng khi thuê VPS giá rẻ tại LANIT, liên hệ ngay chúng tôi để được hỗ trợ sớm nhất nhé!