Benutzer-Werkzeuge
Dies ist eine alte Version des Dokuments!
NTLM (New Technology LAN Manager) ist eine Sammelbezeichnung von Sicherheitsprotokollen zur Authentifizierung von Microsoft. NTLM ist ein von Microsoft entwickeltes Authentifizierungsprotokoll, das in Windows-basierten Netzwerken verwendet wird. Es ermöglicht die Authentifizierung von Benutzern und Computerkonten in einem Windows-Domänenumfeld.
Siehe auch Kerberos
NTLM speichert Sessions als Hash welcher mit Mimikatz wie ein HTTP Cookie gestohlen werden kann.
NTLM ist Teil der Windows Authentifizierung in Active Directory, aber nicht die Default Methode.
Funktion
NTLM ist eine Art Challenge-Response Methode. Ein User logt sich ein und der Client berechnet einen NTLM Hash basierend auf dem Passwort und speichert dieses im RAM Speicher. Der Client sendet den Usernamen an den Server zu dem der User sich verbinden möchte, welcher üblicherweise mit einer Challenge antwortet (meißt ein random Wert). Der Client verschlüsselt diesen Challenge Wert mit dem berechneten NTLM Hash der im RAM gespeichert ist und schickt diese sog. Response zurück an den Server. Der Server sendet den Usernamen und die Challenge dann an den Domain Controller. Der schaut das Passwort nach, erzeugt ebenfalls einen NTLM Hash und vergleicht diesen. Wenn diese übereinstimmen gilt die Authentifizierung als erfolgreich.
Audit
Event IDs
- 4774 - An account was mapped for logon.
- 4775 - An account could not be mapped for logon.
- 4776 - The computer attempted to validate the credentials for an account.
- 4777 - The domain controller failed to validate the credentials for an account.
Get-WinEvent -LogName Security | Where-Object {$_.Id -eq 4774 -or $_.Id -eq 4775 -or $_.Id -eq 4776 -or $_.Id -eq 4777} | Select-Object Id,TimeCreated, Message | fl
Links
Seiten-Werkzeuge
