В сети Windows NT (новая технология) LAN Manager ( NTLM ) представляет собой набор протоколов безопасности Microsoft , предназначенных для обеспечения проверки подлинности, целостности и конфиденциальности пользователей. [1] [2] [3] NTLM является преемником протокола проверки подлинности в Microsoft LAN Manager (LANMAN), более раннем продукте Microsoft. Набор протоколов NTLM реализован в поставщике поддержки безопасности , который объединяет протокол аутентификации LAN Manager , протоколы сеансов NTLMv1, NTLMv2 и NTLM2 в одном пакете. Используются ли эти протоколы или могут ли они использоваться в системе, регулируемой групповой политикой .настройки, для которых разные версии Windows имеют разные настройки по умолчанию.
Пароли NTLM считаются слабыми, потому что их можно очень легко взломать на современном оборудовании. [4]
NTLM — это протокол проверки подлинности типа «запрос-ответ», который использует три сообщения для проверки подлинности клиента в среде, ориентированной на соединение (без установления соединения, аналогично), и четвертое дополнительное сообщение, если требуется целостность. [5] [6] [7] [8]
Протокол NTLM использует одно или оба из двух хешированных значений пароля, оба из которых также хранятся на сервере (или контроллере домена) и которые из-за отсутствия солей эквивалентны паролю , а это означает, что если вы получите хэш-значение с сервера , вы можете аутентифицироваться, не зная фактического пароля. Это хэш LM ( функция на основе DES , применяемая к первым 14 символам пароля, преобразованным в традиционную для языка 8-битную кодировку ПК) и хэш NT ( MD4 пароля Unicode UTF-16 с прямым порядком байтов ). ). Оба хеш-значения имеют размер 16 байт (128 бит). [12]
Протокол NTLM также использует одну из двух односторонних функций , в зависимости от версии NTLM; NT LanMan и NTLM версии 1 используют одностороннюю функцию LanMan на основе DES (LMOWF), а NTLMv2 использует одностороннюю функцию на основе NT MD4 (NTOWF). [12] [13]
Сервер аутентифицирует клиента, отправляя 8-байтовое случайное число, вызов. Клиент выполняет операцию, включающую вызов и секрет, совместно используемый клиентом и сервером, в частности, один из двух хэшей паролей, описанных выше. Клиент возвращает 24-байтовый результат вычисления. На самом деле, в NTLMv1 вычисления обычно производятся с использованием обоих хэшей и отправляются оба 24-байтных результата. Сервер проверяет, что клиент вычислил правильный результат, и на основании этого делает вывод о владении секретом и, следовательно, о подлинности клиента.