Ochrona poświadczeń NTLM systemu Windows przed zagrożeniami bezpieczeństwa typu Zero-Day

Ochrona poświadczeń NTLM systemu Windows przed zagrożeniami bezpieczeństwa typu Zero-Day

Starszy protokół uwierzytelniania NTLM (NT LAN Manager), mimo że nadal jest powszechny w urządzeniach z systemem Windows, stwarza poważne zagrożenia dla cyberbezpieczeństwa. Włączony domyślnie NTLM może stać się luką, potencjalnie ujawniając hasła systemowe podczas ataków malware. Atakujący często wykorzystują te słabości, stosując wyrafinowane techniki typu man-in-the-middle (MitM), co sprawia, że ​​użytkownicy muszą podejmować proaktywne kroki w celu zabezpieczenia swoich poświadczeń NTLM.

Zrozumienie zagrożeń NTLM

NTLM działa poprzez konwersję hasła do formatu haszowanego, umożliwiając weryfikację bez przesyłania rzeczywistego hasła przez sieć. Jednak ta metoda jest podatna na ataki. Jeśli złośliwe oprogramowanie zinfiltruje Twój system, Twoje hasło może zostać łatwo naruszone.

Podkreślając ostatnie luki, badacze bezpieczeństwa z Check Point szczegółowo opisali lukę „CVE-2025-24054”, która doprowadziła do trwających cyberzagrożeń ukierunkowanych na poufne dane, głównie w sektorach rządowym i korporacyjnym w Polsce i Rumunii. Atakujący stosują różne techniki, w tym ataki typu pass-the-hash (PtH), rainbow table i relay, głównie nakierowane na konta administracyjne wysokiego szczebla.

Chociaż ataki te są często skierowane na organizacje, poszczególni użytkownicy nie są odporni. Nawet prosta interakcja ze złośliwym plikiem może skutkować ujawnieniem hasła. Dlatego też niezwykle ważne jest, aby regularnie aktualizować system Windows; firma Microsoft wprowadziła aktualizację zabezpieczeń mającą na celu uniemożliwienie tego konkretnego typu exploita.

1. Wyłącz uwierzytelnianie NTLM za pomocą programu PowerShell

Aby wzmocnić swoją obronę przed zagrożeniami związanymi z NTLM, zacznij od wyłączenia uwierzytelniania NTLM za pomocą programu PowerShell. Wykonaj następujące kroki:

  1. Uruchom program PowerShell w trybie administratora.
  2. Wykonaj następujące polecenie, aby zablokować używanie protokołu NTLM przez SMB (Server Message Block):

Set-SMBClientConfiguration -BlockNTLM $true

Modyfikuj konfigurację klienta docelowego SMB w programie PowerShell, aby zapewnić ochronę przed atakami NTLM.

Potwierdź modyfikację, naciskając A, aby odpowiedzieć „tak”.Blokując NTLM przez SMB, znacznie zmniejszasz podatność na ataki PtH i relay, chociaż może to mieć wpływ na starsze urządzenia, które polegają na NTLM.

Jeśli występują problemy ze zgodnością, przywróć ustawienia za pomocą:

Set-SMBClientConfiguration -BlockNTLM $false

2. Przełącz się na NTLMv2 w Edytorze rejestru

Przejście ze starszego NTLM na bezpieczniejszy NTLMv2 jest kluczowe dla lepszego bezpieczeństwa. Zacznij od utworzenia kopii zapasowej rejestru i otwórz Edytor rejestru jako administrator. Przejdź do następującej ścieżki:

Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Klucz rejestru LSA (Lokalny Urząd Bezpieczeństwa) i

Znajdź lub utwórz wartość DWORD LmCompatibilityLevel. Ustaw ją na „3”, „4” lub „5”, aby upewnić się, że wysyłane są tylko odpowiedzi NTLMv2, skutecznie blokując NTLMv1.

Następnie dostosuj następującą ścieżkę rejestru:

COMPUTER\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters

Upewnij się, że RequireSecuritySignature DWORD jest ustawiony na „1”.Ta zmiana nakaże podpisywanie zabezpieczeń dla połączeń SMB, dodając kolejną warstwę ochrony przed kradzieżą danych uwierzytelniających.

3. Włącz ochronę w chmurze w zabezpieczeniach systemu Windows

Dla tych, którzy wolą nie modyfikować rejestru, wykorzystanie wbudowanej funkcji Zabezpieczenia systemu Windows może zapewnić znaczną ochronę przed zagrożeniami online. Dostęp do tej funkcji można uzyskać, przechodząc do Ochrona przed wirusami i zagrożeniami > Zarządzaj ustawieniami > Ochrona dostarczana w chmurze.

Włączanie ochrony dostarczanej w chmurze w zabezpieczeniach systemu Windows.

4. Badanie dodatkowych środków bezpieczeństwa

Oprócz powyższych kroków, rozważ poniższe dalsze zalecenia firmy Microsoft, aby wzmocnić swoje zabezpieczenia przed kradzieżą poświadczeń NTLM:

  • Unikaj podejrzanych linków: Wiele zagrożeń związanych z NTLM rozprzestrzenia się za pośrednictwem clickbaitów lub złośliwych linków. Nawet jeśli Windows Security oznaczy te zagrożenia, zachowaj ostrożność, aby ograniczyć narażenie.
  • Regularnie aktualizuj swój system: regularnie sprawdzaj dostępność aktualizacji systemu Windows i stosuj je, aby zabezpieczyć się przed nowo odkrytymi lukami w zabezpieczeniach.
  • Skorzystaj z uwierzytelniania wieloskładnikowego (MFA): Wdrożenie uwierzytelniania wieloskładnikowego może zapewnić dodatkową warstwę ochrony, znacznie utrudniając nieautoryzowany dostęp.
  • Kształć siebie i innych: świadomość metod socjotechnicznych i prób phishingu może pomóc w zapobieganiu przypadkowemu narażeniu się na ataki.

Podjęcie tych ważnych kroków znacznie zmniejszy ryzyko naruszenia poświadczeń Windows NTLM, zwiększając tym samym ogólne bezpieczeństwo systemu.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *