怎样保护网络远离微软NTLM协议中的安全漏洞?
发布时间:2022-05-24 10:06:39 所属栏目:安全 来源:互联网
导读:微软的NTLM(NT LAN Manager)是一种较旧且现已过时的安全协议,用于对Windows域中的用户登录信息进行身份验证。虽然微软早已将NTLM换成Kerberos、作为Active Directory的默认验证方法,但该公司仍然支持这种旧协议,同时建议客户改而采用Kerberos。 微软已开
|
微软的NTLM(NT LAN Manager)是一种较旧且现已过时的安全协议,用于对Windows域中的用户登录信息进行身份验证。虽然微软早已将NTLM换成Kerberos、作为Active Directory的默认验证方法,但该公司仍然支持这种旧协议,同时建议客户改而采用Kerberos。 微软已开发了几个修复程序来防止NTLM转发攻击,但攻击者可以通过以下三个逻辑漏洞找到绕过它们的方法: 消息完整性代码(MIC)字段试图防止攻击者篡改NTLM消息。然而Preempt的研究人员发现,攻击者可以删除MIC保护机制,并更改NTLM验证使用的某些字段。 SMB会话签名可防止攻击者转发NTLM身份验证消息,以此建立SMB会话和DCE/RPC会话。但Preempt发现攻击者可以将NTLM身份验证请求转发到域中的任何一台服务器(包括域控制器),并创建签名会话以便在远程计算机上执行代码。如果转发的身份验证含有特权用户的登录信息,整个域可能岌岌可危。 增强的身份验证保护(EPA)可防止攻击者将NTLM消息转发到TLS会话。但是Preempt发现攻击者可以篡改NTLM消息,以生成合法的通道绑定信息。然后这类攻击者可以使用用户的登录信息,连接到域中的Web服务器,从而得以通过转发到Outlook Web Access服务器或通过转发到(ADFS)Active Directory Federation Services服务器以连接到云资源,读取用户的电子邮件。 周二微软将发布两个补丁,试图堵住NTLM中这些最新的安全漏洞。除了敦促企业组织给高危系统打上这些新的补丁外,Preempt还给出了其他建议。 补丁 确保给所有工作站和服务器打上了微软的最新补丁。寻找微软在6月11日星期二的CVE-2019-1040和CVE-2019-1019补丁。据Preempt声称,光打补丁本身并不够,它还建议在配置方面进行几处调整。 配置 实施SMB签名机制。想防止攻击者发起较简单的NTLM转发攻击,请在所有联网计算机上启用SMB签名机制。 阻止NTLMv1。由于NTLMv1被认为不安全,Preempt建议企业组织通过适当的组策略设置完全阻止它。 实施LDAP/S签名机制。想防止LDAP中的NTLM转发,请对域控制器实施LDAP签名和LDAPS通道绑定机制。 实施EPA。想防止Web服务器上的NTLM转发,请加固所有Web服务器(OWA和ADFS),只接受采用EPA的请求。 (编辑:应用网_丽江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330468号