MBCDN

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen: cmake json opensearch winlogbeat
ntlm

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung 		Vorhergehende Überarbeitung
ntlm [2025/03/20 07:48]
jango [Links] 		ntlm [2025/03/29 20:26] (aktuell)
jango
Zeile 1: Zeile 1:
 NTLM (New Technology LAN Manager) ist eine Sammelbezeichnung von Sicherheitsprotokollen zur Authentifizierung von Microsoft. NTLM ist ein von Microsoft entwickeltes Authentifizierungsprotokoll, das in Windows-basierten Netzwerken verwendet wird. Es ermöglicht die Authentifizierung von Benutzern und Computerkonten in einem Windows-Domänenumfeld. NTLM (New Technology LAN Manager) ist eine Sammelbezeichnung von Sicherheitsprotokollen zur Authentifizierung von Microsoft. NTLM ist ein von Microsoft entwickeltes Authentifizierungsprotokoll, das in Windows-basierten Netzwerken verwendet wird. Es ermöglicht die Authentifizierung von Benutzern und Computerkonten in einem Windows-Domänenumfeld.
  
-Siehe auch [[Kerberos]]+<box red>NTLM gilt als unsicher ist aber aus Kompabilitätsgründen noch immer in Windows enthalten. Statt dessen sollte auf [[Kerberos]] umgestellt werden. Siehe [[IMPacket]], [[mimikatz|Mimikatz]]</box>
  
-NTLM speichert Sessions als Hash welcher mit [[mimikatz|Mimikatz]] wie ein [[http|HTTP]] [[cookie|Cookie]] gestohlen werden kann.+NTLM ist eine Art Challenge-Response Methode. Ein User logt sich ein und der Client berechnet einen NTLM Hash basierend auf dem Passwort und speichert dieses im RAM Speicher. Der Client sendet den Usernamen an den Server zu dem der User sich verbinden möchte, welcher üblicherweise mit einer Challenge antwortet (meißt ein random Wert). Der Client verschlüsselt diesen Challenge Wert mit dem berechneten NTLM Hash der im RAM gespeichert ist und schickt diese sog. Response zurück an den Server. Der Server sendet den Usernamen und die Challenge dann an den Domain Controller. Der schaut das Passwort nach, erzeugt ebenfalls einen NTLM Hash und vergleicht diesen. Wenn diese übereinstimmen gilt die Authentifizierung als erfolgreich.
  
-NTLM ist Teil der [[windows|Windows]] Authentifizierung in [[active_directory|Active Directory]], aber nicht die Default Methode. 
  
-=====Funktion=====+=====NTLMv1=====
  
-[[todo]]+NTLMv1 ist die ursprüngliche Version des NTLM-Protokolls und weist mehrere Sicherheitsmängel auf. Der Authentifizierungsprozess erfolgt wie folgt:
  
-NTLM ist eine Art Challenge-Response MethodeEin User logt sich ein und der Client berechnet einen NTLM Hash basierend auf dem Passwort und speichert dieses im RAM Speicher. Der Client sendet den Usernamen an den Server zu dem der User sich verbinden möchte, welcher üblicherweise mit einer Challenge antwortet (meißt ein random Wert). Der Client verschlüsselt diesen Challenge Wert mit dem berechneten NTLM Hash der im RAM gespeichert ist und schickt diese sog. Response zurück an den Server. Der Server sendet den Usernamen und die Challenge dann an den Domain Controller. Der schaut das Passwort nach, erzeugt ebenfalls einen NTLM Hash und vergleicht diesenWenn diese übereinstimmen gilt die Authentifizierung als erfolgreich.+  * Der Server sendet eine 8-Byte-Challenge an den Client. 
 +  * Der Client verwendet das NTLM-Hash-Passwort des Benutzers, um eine Antwort zu generieren. 
 +  * Diese Antwort wird mit einer LM- oder NT-Hash-Funktion verschlüsselt und zurückgesendet. 
 +  * Der Server vergleicht die Antwort mit der erwarteten Antwort. 
 + 
 +Sicherheitsprobleme von NTLMv1 
 + 
 +  * Schwache Hash-Funktion: NTLMv1 verwendet veraltete Hash-Algorithmen (MD4 für den NT-Hash, DES für die Verschlüsselung), die anfällig für Brute-Force- und Rainbow-Table-Angriffe sind. 
 +  * Kein Schutz gegen Replay-Angriffe: Da keine Sitzungsbindung existiert, kann eine aufgezeichnete Authentifizierungsantwort erneut verwendet werden. 
 +  * Kein Schutz vor Man-in-the-Middle-Angriffen (MITM): Ein Angreifer kann sich zwischen Client und Server platzieren und Daten manipulieren. 
 + 
 +=====NTLMv2===== 
 + 
 +NTLMv2 wurde entwickelt, um die Sicherheitsmängel von NTLMv1 zu beheben. Es bietet eine verbesserte Challenge-Response-Mechanik: 
 + 
 +  * Der Server sendet eine 8-Byte-Challenge an den Client. 
 +  * Der Client generiert eine Antwort mit: 
 +    * einem HMAC-MD5-Hash des Benutzerpassworts, 
 +    * einer zufälligen Client-Nonce, 
 +    * einem Zeitstempel, um Replay-Angriffe zu verhindern. 
 +  * Die Antwort wird an den Server gesendet. 
 +  * Der Server überprüft die Antwort mit seinem eigenen Hash. 
 + 
 +Verbesserungen von NTLMv2
  
 +  * Stärkere Verschlüsselung: HMAC-MD5 statt der unsicheren DES-Verschlüsselung.
 +  * Schutz vor Replay-Angriffen: Durch die Verwendung eines Zeitstempels wird verhindert, dass alte Authentifizierungsnachrichten wiederverwendet werden.
 +  * Bessere Sicherheit gegen Brute-Force-Angriffe: Längere und komplexere Hashes erschweren das Knacken von Passwörtern.
 =====Audit===== =====Audit=====
  
ntlm.1742453327.txt.gz · Zuletzt geändert: 2025/03/20 07:48 von jango

Seiten-Werkzeuge

Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: CC Attribution-NoDerivatives 4.0 International
CC Attribution-NoDerivatives 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki