保护 Windows NTLM 凭据免受零日安全威胁

保护 Windows NTLM 凭据免受零日安全威胁

传统的 NTLM(NT LAN 管理器)身份验证协议虽然在 Windows 设备中仍然普遍存在,但却带来了严重的网络安全风险。默认情况下启用的 NTLM 可能会成为漏洞,在恶意软件攻击期间可能泄露您的系统密码。攻击者通常会利用这些漏洞,使用复杂的中间人 (MitM) 技术,因此用户必须主动采取措施保护其 NTLM 凭据。

了解 NTLM 威胁

NTLM 的工作原理是将您的密码转换为散列格式,这样无需通过网络传输实际密码即可进行验证。然而,这种方法容易受到攻击。如果恶意软件入侵您的系统,您的密码很容易被盗用。

Check Point 的安全研究人员重点介绍了近期出现的漏洞,并详细描述了“CVE-2025-24054”漏洞。该漏洞导致波兰和罗马尼亚政府及企业部门的敏感数据受到持续的网络威胁。攻击者正在部署各种攻击技术,包括哈希传递 (PtH)、彩虹表攻击和中继攻击,主要针对高级管理帐户。

虽然这些攻击通常针对组织,但个人用户也难免受到影响。即使是与恶意文件的简单交互也可能导致密码泄露。因此,确保 Windows 系统定期更新至关重要;微软已推出安全更新,旨在阻止此类攻击。

1.使用 PowerShell 禁用 NTLM 身份验证

为了加强对 NTLM 相关风险的防御,首先通过 PowerShell 禁用 NTLM 身份验证。请遵循以下步骤:

  1. 以管理员模式启动 PowerShell。
  2. 执行以下命令来阻止通过 SMB(服务器消息块)使用 NTLM:

Set-SMBClientConfiguration -BlockNTLM $true

在 PowerShell 中修改目标 SMB 客户端配置以防止 NTLM 攻击。

按“A”键确认修改。通过阻止 SMB 上的 NTLM,您可以显著降低 PtH 和中继攻击的漏洞,尽管这可能会影响依赖 NTLM 的旧设备。

如果遇到兼容性问题,请使用以下方法恢复设置:

Set-SMBClientConfiguration -BlockNTLM $false

2.在注册表编辑器中切换到 NTLMv2

从旧版 NTLM 过渡到更安全的 NTLMv2 对于提高安全性至关重要。首先备份注册表,然后以管理员身份打开注册表编辑器。导航到以下路径:

Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Lsa(本地安全机构)注册表项和

找到或创建LmCompatibilityLevel DWORD 值。将其设置为“3”、“4”或“5”,以确保仅发送 NTLMv2 响应,从而有效阻止 NTLMv1。

接下来调整以下注册表路径:

COMPUTER\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters

确保RequireSecuritySignature DWORD 设置为“1”。此调整将强制 SMB 连接的安全签名,从而增加另一层保护,防止凭证被盗。

3.在 Windows 安全中心启用云保护

对于不想修改注册表的用户,利用内置的 Windows 安全功能可以提供强大的在线威胁防护。访问此功能的方法是:前往“病毒和威胁防护” > “管理设置” > “云保护”

在 Windows 安全中启用云交付保护。

4.探索额外的安全措施

除了上述步骤之外,请考虑 Microsoft 的以下进一步建议,以增强对 NTLM 凭据盗窃的防御能力:

  • 避免可疑链接:许多与 NTLM 相关的威胁通过点击诱饵或恶意链接传播。即使 Windows 安全中心已标记这些威胁,也请谨慎操作,以降低暴露风险。
  • 定期更新您的系统:持续检查并应用 Windows 更新以防止新发现的漏洞。
  • 利用多因素身份验证 (MFA):实施 MFA 可以提供额外的保护层,使未经授权的访问变得更加困难。
  • 教育自己和他人:了解社会工程策略和网络钓鱼计划有助于防止意外暴露。

采取这些关键步骤将大大降低 Windows NTLM 凭据被泄露的可能性,从而增强整体系统安全性。

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注