儘管傳統的 NTLM(NT LAN 管理器)驗證協定在 Windows 裝置中仍然很流行,但卻帶來了嚴重的網路安全風險。預設啟用的 NTLM 可能成為一個漏洞,在惡意軟體攻擊期間可能會暴露您的系統密碼。攻擊者經常使用複雜的中間人 (MitM) 技術來利用這些弱點,因此使用者採取主動措施保護其 NTLM 憑證至關重要。
了解 NTLM 威脅
NTLM 透過將您的密碼轉換為雜湊格式來運行,從而無需透過網路傳輸實際密碼即可進行驗證。然而,這種方法容易受到攻擊。如果惡意軟體侵入您的系統,您的密碼可能會很容易外洩。
Check Point 的安全研究人員強調了最近的漏洞,詳細描述了「CVE-2025-24054」漏洞,該漏洞導致持續的網路威脅,主要針對波蘭和羅馬尼亞政府和企業部門的敏感資料。攻擊者正在部署各種技術,包括傳遞哈希(PtH)、彩虹表和中繼攻擊,主要針對高階管理帳戶。
雖然這些攻擊通常針對組織,但個人使用者也無法倖免。即使與惡意檔案進行簡單的互動也可能導緻密碼外洩。因此,確保您的 Windows 系統定期更新至關重要;微軟推出了安全性更新,旨在阻止這種特殊類型的攻擊。
1.使用 PowerShell 停用 NTLM 驗證
為了加強對 NTLM 相關風險的防禦,首先透過 PowerShell 停用 NTLM 驗證。請依照以下步驟操作:
- 以管理員模式啟動 PowerShell。
- 執行以下命令來阻止透過 SMB(伺服器訊息區塊)使用 NTLM:
Set-SMBClientConfiguration -BlockNTLM $true
按“A”表示“是” ,確認修改。透過阻止 SMB 上的 NTLM,您可以顯著減少 PtH 和中繼攻擊的漏洞,儘管它可能會影響依賴 NTLM 的舊設備。
如果遇到相容性問題,請使用下列方法還原設定:
Set-SMBClientConfiguration -BlockNTLM $false
2.在登錄編輯器中切換到 NTLMv2
從較舊的 NTLM 過渡到更安全的 NTLMv2 對於提高安全性至關重要。首先備份您的註冊表並以管理員身份開啟註冊表編輯器。導航至以下路徑:
Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
找到或建立LmCompatibilityLevel DWORD 值。將其設為“3”、“4”或“5”以確保僅發送 NTLMv2 回應,從而有效阻止 NTLMv1。
接下來調整以下登錄路徑:
COMPUTER\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters
確保RequireSecuritySignature DWORD 設定為“1”。此調整將強制要求 SMB 連線進行安全簽名,從而增加另一層防止憑證盜竊的保護。
3.在 Windows 安全中心啟用雲端保護
對於不想修改註冊表的人來說,利用內建的 Windows 安全功能可以提供針對線上威脅的實質保護。透過導航至病毒和威脅防護>管理設定>雲端交付保護來存取此功能。
4.探索額外的安全措施
除了上述步驟之外,請考慮 Microsoft 的以下進一步建議,以增強對 NTLM 憑證竊取的防禦能力:
- 避免可疑連結:許多與 NTLM 相關的威脅會透過點擊誘餌或惡意連結傳播。即使 Windows 安全性中心標示了這些威脅,也請謹慎行事,以減輕暴露風險。
- 定期更新您的系統:持續檢查並套用 Windows 更新以防止新發現的漏洞。
- 利用多因素身份驗證 (MFA):實施 MFA 可以提供額外的保護層,使未經授權的存取變得更加困難。
- 教育自己和他人:了解社會工程策略和網路釣魚計畫有助於防止意外暴露。
採取這些關鍵步驟將大大降低 Windows NTLM 憑證外洩的可能性,從而增強整體系統安全性。
發佈留言