
Starszy protokół uwierzytelniania NTLM (NT LAN Manager), mimo że nadal jest powszechny w urządzeniach z systemem Windows, stwarza poważne zagrożenia dla cyberbezpieczeństwa. Włączony domyślnie NTLM może stać się luką, potencjalnie ujawniając hasła systemowe podczas ataków malware. Atakujący często wykorzystują te słabości, stosując wyrafinowane techniki typu man-in-the-middle (MitM), co sprawia, że użytkownicy muszą podejmować proaktywne kroki w celu zabezpieczenia swoich poświadczeń NTLM.
Zrozumienie zagrożeń NTLM
NTLM działa poprzez konwersję hasła do formatu haszowanego, umożliwiając weryfikację bez przesyłania rzeczywistego hasła przez sieć. Jednak ta metoda jest podatna na ataki. Jeśli złośliwe oprogramowanie zinfiltruje Twój system, Twoje hasło może zostać łatwo naruszone.
Podkreślając ostatnie luki, badacze bezpieczeństwa z Check Point szczegółowo opisali lukę „CVE-2025-24054”, która doprowadziła do trwających cyberzagrożeń ukierunkowanych na poufne dane, głównie w sektorach rządowym i korporacyjnym w Polsce i Rumunii. Atakujący stosują różne techniki, w tym ataki typu pass-the-hash (PtH), rainbow table i relay, głównie nakierowane na konta administracyjne wysokiego szczebla.
Chociaż ataki te są często skierowane na organizacje, poszczególni użytkownicy nie są odporni. Nawet prosta interakcja ze złośliwym plikiem może skutkować ujawnieniem hasła. Dlatego też niezwykle ważne jest, aby regularnie aktualizować system Windows; firma Microsoft wprowadziła aktualizację zabezpieczeń mającą na celu uniemożliwienie tego konkretnego typu exploita.
1. Wyłącz uwierzytelnianie NTLM za pomocą programu PowerShell
Aby wzmocnić swoją obronę przed zagrożeniami związanymi z NTLM, zacznij od wyłączenia uwierzytelniania NTLM za pomocą programu PowerShell. Wykonaj następujące kroki:
- Uruchom program PowerShell w trybie administratora.
- Wykonaj następujące polecenie, aby zablokować używanie protokołu NTLM przez SMB (Server Message Block):
Set-SMBClientConfiguration -BlockNTLM $true

Potwierdź modyfikację, naciskając A, aby odpowiedzieć „tak”.Blokując NTLM przez SMB, znacznie zmniejszasz podatność na ataki PtH i relay, chociaż może to mieć wpływ na starsze urządzenia, które polegają na NTLM.
Jeśli występują problemy ze zgodnością, przywróć ustawienia za pomocą:
Set-SMBClientConfiguration -BlockNTLM $false
2. Przełącz się na NTLMv2 w Edytorze rejestru
Przejście ze starszego NTLM na bezpieczniejszy NTLMv2 jest kluczowe dla lepszego bezpieczeństwa. Zacznij od utworzenia kopii zapasowej rejestru i otwórz Edytor rejestru jako administrator. Przejdź do następującej ścieżki:
Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Znajdź lub utwórz wartość DWORD LmCompatibilityLevel. Ustaw ją na „3”, „4” lub „5”, aby upewnić się, że wysyłane są tylko odpowiedzi NTLMv2, skutecznie blokując NTLMv1.
Następnie dostosuj następującą ścieżkę rejestru:
COMPUTER\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters
Upewnij się, że RequireSecuritySignature DWORD jest ustawiony na „1”.Ta zmiana nakaże podpisywanie zabezpieczeń dla połączeń SMB, dodając kolejną warstwę ochrony przed kradzieżą danych uwierzytelniających.
3. Włącz ochronę w chmurze w zabezpieczeniach systemu Windows
Dla tych, którzy wolą nie modyfikować rejestru, wykorzystanie wbudowanej funkcji Zabezpieczenia systemu Windows może zapewnić znaczną ochronę przed zagrożeniami online. Dostęp do tej funkcji można uzyskać, przechodząc do Ochrona przed wirusami i zagrożeniami > Zarządzaj ustawieniami > Ochrona dostarczana w chmurze.

4. Badanie dodatkowych środków bezpieczeństwa
Oprócz powyższych kroków, rozważ poniższe dalsze zalecenia firmy Microsoft, aby wzmocnić swoje zabezpieczenia przed kradzieżą poświadczeń NTLM:
- Unikaj podejrzanych linków: Wiele zagrożeń związanych z NTLM rozprzestrzenia się za pośrednictwem clickbaitów lub złośliwych linków. Nawet jeśli Windows Security oznaczy te zagrożenia, zachowaj ostrożność, aby ograniczyć narażenie.
- Regularnie aktualizuj swój system: regularnie sprawdzaj dostępność aktualizacji systemu Windows i stosuj je, aby zabezpieczyć się przed nowo odkrytymi lukami w zabezpieczeniach.
- Skorzystaj z uwierzytelniania wieloskładnikowego (MFA): Wdrożenie uwierzytelniania wieloskładnikowego może zapewnić dodatkową warstwę ochrony, znacznie utrudniając nieautoryzowany dostęp.
- Kształć siebie i innych: świadomość metod socjotechnicznych i prób phishingu może pomóc w zapobieganiu przypadkowemu narażeniu się na ataki.
Podjęcie tych ważnych kroków znacznie zmniejszy ryzyko naruszenia poświadczeń Windows NTLM, zwiększając tym samym ogólne bezpieczeństwo systemu.
Dodaj komentarz