Como desativar a autenticação NTLM em domínios Windows

Como desativar a autenticação NTLM em domínios Windows

Por

O protocolo NTLM (NT LAN Manager) foi introduzido pela Microsoft no Windows NT com o propósito básico de autenticação. No entanto, ao longo dos anos, a empresa se esforçou para melhorar a segurança de seus sistemas, implementando o protocolo Kerberos como uma alternativa mais robusta e segura.

Apesar disso, o NTLM ainda é amplamente utilizado em redes de domínios Windows. Neste post, mostramos como desativar a autenticação NTLM em um domínio Windows, os riscos envolvidos na sua utilização e os passos para configurar uma rede mais segura.

O que é o protocolo NTLM?

O que é o protocolo NTLM
NTLM é um protocolo de autenticação da Microsoft usado em redes Windows, substituído pelo Kerberos.

NTLM é um conjunto de protocolos de autenticação desenvolvidos pela Microsoft. Originalmente, ele foi projetado para ser utilizado em redes que não eram seguras, e dependia de métodos básicos de autenticação, como o uso de hashes de senha. Existem três versões principais do NTLM:

  1. LAN Manager (LANMAN): A versão mais antiga e menos segura.
  2. NTLMv1: Introduzida com o Windows NT, ainda insegura, mas com melhorias em relação ao LANMAN.
  3. NTLMv2: A versão mais segura do NTLM, que introduz um hash mais robusto e outras melhorias.

Embora o NTLMv2 seja uma versão mais segura, ainda é vulnerável a certos tipos de ataques, e é por isso que muitas organizações optam por desativá-lo em favor do Kerberos.

Por que desativar o NTLM?

Apesar das melhorias feitas com o NTLMv2, o protocolo continua sendo um ponto fraco em termos de segurança. Aqui estão algumas razões pelas quais você pode querer desativar a autenticação NTLM em sua rede de domínio Windows:

  1. Fraca criptografia: O NTLM usa algoritmos de criptografia que são considerados fracos pelos padrões modernos. Isso torna mais fácil para os atacantes comprometerem as credenciais de autenticação.
  2. Armazenamento inseguro de hashes de senha: O protocolo armazena hashes de senha no Serviço LSA (Local Security Authority). Esses hashes podem ser facilmente extraídos por atacantes usando ferramentas de hacking comuns.
  3. Falta de autenticação mútua: Ao contrário do Kerberos, o NTLM não oferece autenticação mútua entre cliente e servidor. Isso significa que um atacante pode interceptar ou falsificar comunicações, executando ataques como o “Pass-the-Hash” ou “Man-in-the-Middle”.
  4. Vulnerável a ataques de interceptação de dados: Como o NTLM não oferece criptografia de ponta a ponta, os dados transmitidos entre cliente e servidor podem ser interceptados, comprometendo a segurança da rede.

Dado o crescente número de ameaças de cibersegurança e a evolução das técnicas de ataque, é crucial reduzir a dependência do NTLM em redes modernas e migrar para soluções mais seguras, como o Kerberos.

Métodos para desativar o NTLM em domínios Windows

Existem duas maneiras principais de desativar o NTLM em domínios Windows: através do Editor de Política de Grupo Local e do Editor de Registro. Vamos discutir ambos os métodos em detalhes.

1. Desativar o NTLM pelo editor de Política de Grupo

O Editor de Política de Grupo Local permite configurar várias definições de segurança de maneira centralizada. Siga os passos abaixo para desativar a autenticação NTLM usando este método.

Passo 1: verifique a versão do NTLM

Antes de desativar o NTLM, é importante garantir que você não está usando a versão mais desprotegida, ou seja, o NTLMv1. Se sua rede ainda estiver usando o NTLMv1, ela estará muito mais vulnerável a ataques. Nesse caso, você pode configurá-la para utilizar apenas o NTLMv2, que é mais seguro.

Passo 2: abra o editor de Política de Grupo

  1. No menu Iniciar, digite “gpedit.msc” e pressione Enter. Isso abrirá o Editor de Política de Grupo Local.
  2. Navegue até o seguinte caminho:arduinoCopiar códigoConfiguração do Computador > Configurações do Windows > Configurações de Segurança > Políticas Locais > Opções de Segurança

Passo 3: configure a Política de Autenticação

  1. Na lista de opções de segurança, localize a política chamada Segurança de Rede: Nível de Autenticação do Gerenciador de LAN.
  2. Clique duas vezes nessa política para abrir suas propriedades.
  3. No campo de configuração, selecione Enviar apenas resposta NTLMv2. Recusar LM e NTLM.
  4. Clique em Aplicar e depois em OK para salvar as alterações.

Esse procedimento garante que sua rede Windows esteja configurada para utilizar apenas o NTLMv2 para autenticação e que as versões anteriores mais vulneráveis, como LM e NTLMv1, sejam recusadas.

2. Desativar o NTLM pelo Editor de Registro

Se você não tiver acesso ao Editor de Política de Grupo, ainda é possível desativar o NTLM usando o Editor de Registro. Esse método requer a modificação manual de certas chaves no Registro do Windows.

Passo 1: abra o Editor de Registro

  1. No menu Iniciar, digite “regedit” e pressione Enter para abrir o Editor de Registro.
  2. Navegue até o seguinte caminho no painel esquerdo:sqlCopiar códigoComputador\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lsa

Passo 2: modifique o Registro

  1. No painel direito, clique com o botão direito sobre a pasta Lsa, selecione Novo e depois Valor DWORD (32 bits).
  2. Nomeie o novo valor como LmCompatibilityLevel.
  3. Clique duas vezes no novo valor criado e, no campo Dados do Valor, insira o número 5. Isso corresponde à configuração Enviar apenas resposta NTLMv2. Recusar LM e NTLM.
  4. Clique em OK para salvar as alterações.

Após seguir esses passos, o NTLM será desativado em sua rede de domínio, utilizando apenas o NTLMv2 como método de fallback caso o Kerberos falhe.

Alternativa ao NTLM: Kerberos

Alternativa ao NTLM_ Kerberos
Kerberos é uma alternativa segura ao NTLM, oferecendo autenticação mútua e criptografia forte para redes.

O protocolo Kerberos é amplamente considerado mais seguro que o NTLM. Ele utiliza criptografia simétrica, autenticação mútua e é menos suscetível a ataques de interceptação ou falsificação de identidades. Por isso, o Kerberos é a escolha recomendada para autenticação em redes Windows modernas.

Algumas das principais vantagens do Kerberos incluem:

  1. Autenticação Mútua: O Kerberos garante que tanto o cliente quanto o servidor se autentiquem mutuamente, prevenindo ataques como o “Man-in-the-Middle”.
  2. Criptografia mais forte: O Kerberos usa criptografia AES, que é muito mais robusta do que os algoritmos usados pelo NTLM.
  3. Desempenho Melhorado: Embora o Kerberos seja mais seguro, ele também é mais eficiente, uma vez que utiliza um sistema de “tickets” para autenticação, minimizando a necessidade de autenticação repetitiva em sessões subsequentes.
  4. Suporte Nativo em Windows: O Kerberos é o protocolo de autenticação padrão em domínios Windows modernos, o que facilita sua implementação em infraestruturas existentes.

Vale a pena desativar o NTLM?

Desativar o NTLM em domínios Windows é uma medida de segurança recomendada para proteger sua rede contra ataques comuns que exploram as vulnerabilidades desse protocolo. Embora o NTLMv2 ofereça uma camada de proteção melhor do que suas versões anteriores, ele ainda é inferior ao protocolo Kerberos, que deve ser priorizado sempre que possível.

Se você gerencia uma rede de domínio Windows, seguir as etapas descritas para desativar o NTLM pode melhorar significativamente a segurança geral do seu ambiente.

Perguntas frequentes sobre o NTLM

O NTLM (NT LAN Manager) é um protocolo de autenticação desenvolvido pela Microsoft e amplamente utilizado em redes Windows, principalmente em ambientes legados. Com o avanço da tecnologia e o surgimento de protocolos mais seguros, como o Kerberos, o NTLM se tornou uma solução cada vez mais obsoleta e suscetível a diversas vulnerabilidades.

No entanto, ainda é comum encontrá-lo em muitos sistemas, o que levanta diversas dúvidas sobre sua segurança, funcionamento e melhores práticas. A seguir, respondemos algumas das perguntas mais frequentes sobre o NTLM para ajudar a esclarecer esses pontos.

1. O que é NTLM?

NTLM (NT LAN Manager) é um protocolo de autenticação desenvolvido pela Microsoft para redes Windows. Ele autentica usuários e dispositivos em uma rede e utiliza hashes de senha para verificar as identidades.

2. Qual a diferença entre NTLMv1 e NTLMv2?

NTLMv1 é a versão mais antiga e menos segura, utilizando algoritmos de criptografia mais fracos. NTLMv2 é uma versão aprimorada, com hashes mais fortes e melhorias na segurança, mas ainda é considerado vulnerável em relação ao protocolo Kerberos.

3. Por que o NTLM é considerado inseguro?

O NTLM é vulnerável a ataques como “Pass-the-Hash” e “Man-in-the-Middle”, pois armazena hashes de senha de forma que pode ser extraído por atacantes. Além disso, a falta de autenticação mútua torna o protocolo suscetível a interceptações de dados.

4. Quando devo desativar o NTLM?

Você deve desativar o NTLM em ambientes onde a segurança é uma prioridade, especialmente se o Kerberos pode ser usado como alternativa. Desativá-lo ajuda a prevenir ataques que exploram suas vulnerabilidades.

5. Como posso desativar o NTLM em um domínio Windows?

Você pode desativar o NTLM pelo Editor de Política de Grupo ou Editor de Registro, configurando o sistema para usar apenas NTLMv2 ou substituindo-o pelo protocolo Kerberos.

6. NTLM ainda é usado nas versões atuais do Windows?

Sim, o NTLM ainda é suportado em versões atuais do Windows, mas a Microsoft o considera um protocolo obsoleto e recomenda substituí-lo pelo Kerberos sempre que possível.

7. O que é Kerberos e por que ele é melhor que o NTLM?

Kerberos é um protocolo de autenticação mais seguro que o NTLM. Ele oferece autenticação mútua, criptografia mais forte e um sistema de tickets, o que o torna mais eficiente e seguro.

8. Posso usar NTLM e Kerberos simultaneamente?

Sim, em muitas redes Windows, o Kerberos é o protocolo de autenticação principal, mas o NTLM é mantido como fallback para compatibilidade com dispositivos ou aplicativos legados.

9. O NTLMv1 ainda é usado?

Embora NTLMv1 ainda possa ser encontrado em algumas redes legadas, seu uso é altamente desencorajado devido à sua vulnerabilidade. A maioria das redes modernas usa NTLMv2 ou Kerberos.

10. Quais são os ataques mais comuns que afetam o NTLM?

Os ataques mais comuns incluem “Pass-the-Hash”, onde um atacante usa hashes de senha para acessar sistemas, e ataques “Man-in-the-Middle”, que envolvem interceptação de comunicação entre cliente e servidor.

Veja outras soluções de problemas do Windows e outros sistemas:

Deixe um comentário