Windows NT LAN Manager (NTLM), to protokół uwierzytelniania typu wyzwanie-odpowiedź używany do uwierzytelniania klienta w zasobach w domenie Active Directory. Gdy klient żąda dostępu do usługi skojarzonej z domeną, usługa wysyła wyzwanie do klienta, wymagając od klienta wykonania operacji matematycznej przy użyciu swojego tokena uwierzytelniania, a następnie zwrócenia wyniku tej operacji do usługi. Usługa może zweryfikować wynik lub wysłać go do kontrolera domeny (DC) w celu sprawdzenia. Jeśli usługa lub DC potwierdzą, że odpowiedź klienta jest poprawna, usługa umożliwia dostęp do klienta.
NT LAN Manager jest typem logowania pojedynczego (SSO), ponieważ umożliwia użytkownikowi podanie podstawowego składnika uwierzytelniania tylko raz, podczas logowania.
Pakiet protokołów NT LAN Manager jest zaimplementowany w Security Support Provider (SSP), interfejsie API Win32 używanym przez systemy Microsoft Windows do wykonywania różnych operacji związanych z bezpieczeństwem, takich jak uwierzytelnianie. Pakiet protokołów NTLM zawiera protokół uwierzytelniania LAN Manager, protokoły NTLMv1, NTLMv2 i NTLM2 Session.
NT LAN Manager jest szeroko wdrażany, nawet w nowych systemach, w celu zachowania zgodności ze starszymi systemami, ale nie jest już zalecany do użytku przez firmę Microsoft, ponieważ NT LAN Manager nie obsługuje obecnych metod kryptograficznych, takich jak AES lub SHA-256. Microsoft przyjął Kerberos jako preferowany protokół uwierzytelniania dla Windows 2000 i kolejnych domen Active Directory.
CZY NT LAN MANAGER JEST BEZPIECZNY?
NT LAN Manager jest ogólnie uważany za niepewny, ponieważ wykorzystuje przestarzałą kryptografię, która jest podatna na kilka rodzajów ataków. NT LAN Manager jest również podatny na ataki typu pass-the-hash i ataki brute-force.
DO CZEGO NADAL SŁUŻY NTLM?
NT LAN Manager jest używany w miejscach, w których wymagana jest kompatybilność wsteczna. Firma Microsoft nie zaleca NTLM dla nowych wdrożeń.
CO TO JEST PROXY NTLM?
NTLM Proxy to oprogramowanie proxy, które umożliwia użytkownikom uwierzytelnianie za pomocą protokołu NTLM.
CZY NT LAN MANAGER KORZYSTA Z PROTOKOŁU KERBEROS?
NT LAN Manager został zastąpiony przez Kerberos. Firma Microsoft dodała skrót NTLM do swojej implementacji protokołu Kerberos, aby poprawić interoperacyjność. Ta decyzja projektowa umożliwia oszukanie kontrolerów domeny w celu wystawienia napastnikowi biletu Kerberos, jeśli znany jest skrót NTLM.
Microsoft przyjął Kerberos jako preferowany protokół uwierzytelniania dla Windows 2000 i kolejnych domen Active Directory.
