¿Qué es la “autenticación NTLM” en Windows 10?
En esta publicación, vamos a discutir sobre “Cómo deshabilitar la autenticación NTLM en Windows 10”. Se le guiará con sencillos pasos para hacerlo. Comencemos la discusión.
Autenticación NTLM en Windows 10: NTLM significa New Technology LAN Manager. Es un paquete de protocolos de seguridad que ofrece Microsoft para autenticar la identidad de los usuarios y proteger la integridad y confidencialidad de su actividad. Esta tecnología se basa en el protocolo de desafío-respuesta para confirmar al usuario sin que él envíe una contraseña.
NTLM autentica a los usuarios mediante un mecanismo de desafío-respuesta. Este proceso consta de tres mensajes, incluido el mensaje de negociación del cliente, el mensaje de desafío del servidor y el mensaje de autenticación del cliente. Sin embargo, debido a vulnerabilidades conocidas, NTLM permanece ampliamente implementado incluso en sistemas nuevos para mantener la compatibilidad con clientes y servidores heredados.
NLTM todavía es compatible con Microsoft, ha sido reemplazado por “Kerberos” como el protocolo de autenticación predeterminado en Windows 2000 y los dominios de Active Directory (AD) subsiguientes. Si no lo sabe, “Kerberos” es el protocolo de autenticación que reemplazó a NTLM como las herramientas de autenticación predeterminadas / estándar en Windows versión 2000 y posteriores. La principal diferencia entre el protocolo “Kerberos” y el protocolo “NTLM” es si las contraseñas están cifradas o cifradas. NTLM se basa en “Hash de contraseñas”, función unidireccional que produce una cadena de texto en un archivo de entrada, mientras que “Kerberos” se basa en el cifrado, funciones bidireccionales que codifican y desbloquean información mediante claves de cifrado y descifrado.
Además, NTLM se basa en un protocolo de enlace de tres vías entre el cliente y el servidor para autenticar al usuario, mientras que Kerberos se basa en un proceso bidireccional que proporciona un servicio de rejilla de tickets o un centro de distribución de claves. El protocolo NTLM estaba sujeto a varios riesgos de seguridad y errores de seguridad conocidos o problemas relacionados con el hash y el procesamiento de contraseñas.
El protocolo NLTM almacena la contraseña en el servidor y el controlador de dominio no está “salado”. Significa que no puede agregar ninguna cadena aleatoria de caracteres a la contraseña hash para evitar más técnicas de descifrado. Esta vulnerabilidad podría permitir a los atacantes o ciberdelincuentes intentar descifrar la contraseña a través de múltiples intentos de inicio de sesión y, debido a una contraseña débil o común, podrían tener éxito en acceder a la cuenta.
Problema con el protocolo NTLM:
- El hash de la contraseña almacenada en la memoria del servicio LSA se puede extraer fácilmente utilizando diferentes herramientas como mimikatz, y luego la contraseña hash se puede utilizar para más ataques
- Las contraseñas débiles o comunes son otra razón del problema del protocolo NTLM
- La ausencia de autenticación mutua entre el servidor y el cliente que resulta en ataques de interceptación de datos y acceso no autorizado a los recursos de la red.
- Otras vulnerabilidades o problemas de NTLM.
¿Cómo deshabilitar la autenticación NTLM de Windows 10 usando el Editor de administración de políticas de grupo?
En primer lugar, el administrador del dominio debe asegurarse de que no se permita el uso de los protocolos NTLM y LM para la autenticación en el dominio. Puede establecer el tipo de autenticación preferido mediante la política de dominio (o local).
Paso 1: Presione las teclas “Windows + R” en el teclado, escriba “gpmc.msc” en el cuadro de diálogo “Ejecutar” abierto y presione el botón “Aceptar” para abrir el “Editor de administración de políticas de grupo”
Paso 2: Vaya a “Configuraciones de la computadora -> Políticas -> Configuración de Windows -> Configuración de seguridad -> Políticas locales -> Opciones de seguridad”
Paso 3: busque la política “Seguridad de red: nivel de autenticación de LAN Manager” y haga doble clic en ella
Paso 4: seleccione “Enviar solo respuesta NTLMv2”. Rechazar la opción LM y NTLM ‘en la sección / menú desplegable’ Enviar respuestas LM y NTLM ‘para rechazar todas las solicitudes LM y NTLM.
¿Cómo deshabilitar la autenticación NTLM de Windows 10 usando el Editor del registro?
Paso 1: Presione las teclas “Windows + R” en el teclado, escriba “regedit” en el cuadro de diálogo “Ejecutar” abierto y presione el botón “Aceptar” para abrir el “Editor del registro”
Paso 2: navega a la siguiente ruta
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa
Paso 3: Ahora, haga clic derecho en el espacio vacío en el panel derecho y seleccione “Nuevo> DWORD” y asígnele el nombre “lmCompatibilityLevel”, establezca su valor en “0 a 5” y presione el botón “Aceptar” para guardar
Paso 4: Aquí, opción 5 Como los datos de valor corresponden a “Enviar solo respuesta NTLM, rechazar LM y NTLM”. Aplicar los cambios.
¿Cómo habilitar el registro de auditoría de autenticación NTLM?
Debe asegurarse de que no queden aplicaciones en el dominio que requieran y usen NTLM, antes de deshabilitar NTLM completamente en el dominio y cambiar al protocolo “Kerbeors”.
Paso 1: Abra el “Editor de administración de políticas de grupo” utilizando los métodos anteriores y vaya a “Configuraciones de la computadora -> Políticas -> Configuración de Windows -> Configuración de seguridad -> Políticas locales -> Ruta de opciones de seguridad”
Paso 2: busque y habilite la política “Seguridad de red: restringir NTLM: auditar la autenticación NTLM en este dominio” y establezca su valor en “Habilitar todo”
Paso 3: Repita el mismo paso para habilitar “Seguridad de red: Restringir NTLM: Auditar el tráfico NTLM entrante” política
¿Cómo verificar los eventos del uso de la autenticación NTLM?
Puede ver que la autenticación NTLM aparece en los registros de aplicaciones y servicios.
Paso 1: vaya a “Registros de servicios” y vaya a “Microsoft> Windows”
Paso 2: tome la sección NTLM del Visor de eventos. Ahora, puede analizar los eventos en cada servidor o recopilarlos en el recopilador de registros de eventos de Windows central.
Paso 3: averigüe las aplicaciones que usan NTLM en el dominio y debe cambiarlas para usar “Kerberos” posiblemente usando SPN.
¿Cómo restringir NTLM en el dominio de Active Directory por completo?
La autenticación sin NTLM funcionará de manera diferente para cada aplicación en nuestro dominio, podemos agregar cuentas de usuario al grupo Doman de “usuarios protegidos”. Una vez verificado, puede desactivar completamente la autenticación NTLM en su dominio de Windows.
Conclusión
Estoy seguro de que este artículo lo ayudó a deshabilitar la autenticación NTLM en Windows 10 con varios pasos / métodos sencillos. Puede leer y seguir nuestras instrucciones para hacerlo. Si el artículo realmente te ayudó, puedes compartir la publicación con otros para ayudarlos. Eso es todo. Para cualquier sugerencia o consulta, escriba en el cuadro de comentarios a continuación.