O protocolo NTLM (NT LAN Manager) foi introduzido pela Microsoft no Windows NT com o propósito básico de autenticação. No entanto, ao longo dos anos, a empresa se esforçou para melhorar a segurança de seus sistemas, implementando o protocolo Kerberos como uma alternativa mais robusta e segura.

Apesar disso, o NTLM ainda é amplamente utilizado em redes de domínios Windows. Neste post, mostramos como desativar a autenticação NTLM em um domínio Windows, os riscos envolvidos na sua utilização e os passos para configurar uma rede mais segura.

O que é o protocolo NTLM?

O que é o protocolo NTLM
NTLM é um protocolo de autenticação da Microsoft usado em redes Windows, substituído pelo Kerberos.

NTLM é um conjunto de protocolos de autenticação desenvolvidos pela Microsoft. Originalmente, ele foi projetado para ser utilizado em redes que não eram seguras, e dependia de métodos básicos de autenticação, como o uso de hashes de senha. Existem três versões principais do NTLM:

  1. LAN Manager (LANMAN): A versão mais antiga e menos segura.
  2. NTLMv1: Introduzida com o Windows NT, ainda insegura, mas com melhorias em relação ao LANMAN.
  3. NTLMv2: A versão mais segura do NTLM, que introduz um hash mais robusto e outras melhorias.

Embora o NTLMv2 seja uma versão mais segura, ainda é vulnerável a certos tipos de ataques, e é por isso que muitas organizações optam por desativá-lo em favor do Kerberos.

Por que desativar o NTLM?

Apesar das melhorias feitas com o NTLMv2, o protocolo continua sendo um ponto fraco em termos de segurança. Aqui estão algumas razões pelas quais você pode querer desativar a autenticação NTLM em sua rede de domínio Windows:

  1. Fraca criptografia: O NTLM usa algoritmos de criptografia que são considerados fracos pelos padrões modernos. Isso torna mais fácil para os atacantes comprometerem as credenciais de autenticação.
  2. Armazenamento inseguro de hashes de senha: O protocolo armazena hashes de senha no Serviço LSA (Local Security Authority). Esses hashes podem ser facilmente extraídos por atacantes usando ferramentas de hacking comuns.
  3. Falta de autenticação mútua: Ao contrário do Kerberos, o NTLM não oferece autenticação mútua entre cliente e servidor. Isso significa que um atacante pode interceptar ou falsificar comunicações, executando ataques como o “Pass-the-Hash” ou “Man-in-the-Middle”.
  4. Vulnerável a ataques de interceptação de dados: Como o NTLM não oferece criptografia de ponta a ponta, os dados transmitidos entre cliente e servidor podem ser interceptados, comprometendo a segurança da rede.

Dado o crescente número de ameaças de cibersegurança e a evolução das técnicas de ataque, é crucial reduzir a dependência do NTLM em redes modernas e migrar para soluções mais seguras, como o Kerberos.

Métodos para desativar o NTLM em domínios Windows

Existem duas maneiras principais de desativar o NTLM em domínios Windows: através do Editor de Política de Grupo Local e do Editor de Registro. Vamos discutir ambos os métodos em detalhes.

1. Desativar o NTLM pelo editor de Política de Grupo

O Editor de Política de Grupo Local permite configurar várias definições de segurança de maneira centralizada. Siga os passos abaixo para desativar a autenticação NTLM usando este método.

Passo 1: verifique a versão do NTLM

Antes de desativar o NTLM, é importante garantir que você não está usando a versão mais desprotegida, ou seja, o NTLMv1. Se sua rede ainda estiver usando o NTLMv1, ela estará muito mais vulnerável a ataques. Nesse caso, você pode configurá-la para utilizar apenas o NTLMv2, que é mais seguro.

Passo 2: abra o editor de Política de Grupo

  1. No menu Iniciar, digite “gpedit.msc” e pressione Enter. Isso abrirá o Editor de Política de Grupo Local.
  2. Navegue até o seguinte caminho:arduinoCopiar códigoConfiguração do Computador > Configurações do Windows > Configurações de Segurança > Políticas Locais > Opções de Segurança

Passo 3: configure a Política de Autenticação

  1. Na lista de opções de segurança, localize a política chamada Segurança de Rede: Nível de Autenticação do Gerenciador de LAN.
  2. Clique duas vezes nessa política para abrir suas propriedades.
  3. No campo de configuração, selecione Enviar apenas resposta NTLMv2. Recusar LM e NTLM.
  4. Clique em Aplicar e depois em OK para salvar as alterações.

Esse procedimento garante que sua rede Windows esteja configurada para utilizar apenas o NTLMv2 para autenticação e que as versões anteriores mais vulneráveis, como LM e NTLMv1, sejam recusadas.

2. Desativar o NTLM pelo Editor de Registro

Se você não tiver acesso ao Editor de Política de Grupo, ainda é possível desativar o NTLM usando o Editor de Registro. Esse método requer a modificação manual de certas chaves no Registro do Windows.

Passo 1: abra o Editor de Registro

  1. No menu Iniciar, digite “regedit” e pressione Enter para abrir o Editor de Registro.
  2. Navegue até o seguinte caminho no painel esquerdo:sqlCopiar códigoComputador\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lsa

Passo 2: modifique o Registro

  1. No painel direito, clique com o botão direito sobre a pasta Lsa, selecione Novo e depois Valor DWORD (32 bits).
  2. Nomeie o novo valor como LmCompatibilityLevel.
  3. Clique duas vezes no novo valor criado e, no campo Dados do Valor, insira o número 5. Isso corresponde à configuração Enviar apenas resposta NTLMv2. Recusar LM e NTLM.
  4. Clique em OK para salvar as alterações.

Após seguir esses passos, o NTLM será desativado em sua rede de domínio, utilizando apenas o NTLMv2 como método de fallback caso o Kerberos falhe.

Alternativa ao NTLM: Kerberos

Alternativa ao NTLM_ Kerberos
Kerberos é uma alternativa segura ao NTLM, oferecendo autenticação mútua e criptografia forte para redes.

O protocolo Kerberos é amplamente considerado mais seguro que o NTLM. Ele utiliza criptografia simétrica, autenticação mútua e é menos suscetível a ataques de interceptação ou falsificação de identidades. Por isso, o Kerberos é a escolha recomendada para autenticação em redes Windows modernas.

Algumas das principais vantagens do Kerberos incluem:

  1. Autenticação Mútua: O Kerberos garante que tanto o cliente quanto o servidor se autentiquem mutuamente, prevenindo ataques como o “Man-in-the-Middle”.
  2. Criptografia mais forte: O Kerberos usa criptografia AES, que é muito mais robusta do que os algoritmos usados pelo NTLM.
  3. Desempenho Melhorado: Embora o Kerberos seja mais seguro, ele também é mais eficiente, uma vez que utiliza um sistema de “tickets” para autenticação, minimizando a necessidade de autenticação repetitiva em sessões subsequentes.
  4. Suporte Nativo em Windows: O Kerberos é o protocolo de autenticação padrão em domínios Windows modernos, o que facilita sua implementação em infraestruturas existentes.

Vale a pena desativar o NTLM?

Desativar o NTLM em domínios Windows é uma medida de segurança recomendada para proteger sua rede contra ataques comuns que exploram as vulnerabilidades desse protocolo. Embora o NTLMv2 ofereça uma camada de proteção melhor do que suas versões anteriores, ele ainda é inferior ao protocolo Kerberos, que deve ser priorizado sempre que possível.

Se você gerencia uma rede de domínio Windows, seguir as etapas descritas para desativar o NTLM pode melhorar significativamente a segurança geral do seu ambiente.

Perguntas frequentes sobre o NTLM

O NTLM (NT LAN Manager) é um protocolo de autenticação desenvolvido pela Microsoft e amplamente utilizado em redes Windows, principalmente em ambientes legados. Com o avanço da tecnologia e o surgimento de protocolos mais seguros, como o Kerberos, o NTLM se tornou uma solução cada vez mais obsoleta e suscetível a diversas vulnerabilidades.

No entanto, ainda é comum encontrá-lo em muitos sistemas, o que levanta diversas dúvidas sobre sua segurança, funcionamento e melhores práticas. A seguir, respondemos algumas das perguntas mais frequentes sobre o NTLM para ajudar a esclarecer esses pontos.

1. O que é NTLM?

NTLM (NT LAN Manager) é um protocolo de autenticação desenvolvido pela Microsoft para redes Windows. Ele autentica usuários e dispositivos em uma rede e utiliza hashes de senha para verificar as identidades.

2. Qual a diferença entre NTLMv1 e NTLMv2?

NTLMv1 é a versão mais antiga e menos segura, utilizando algoritmos de criptografia mais fracos. NTLMv2 é uma versão aprimorada, com hashes mais fortes e melhorias na segurança, mas ainda é considerado vulnerável em relação ao protocolo Kerberos.

3. Por que o NTLM é considerado inseguro?

O NTLM é vulnerável a ataques como “Pass-the-Hash” e “Man-in-the-Middle”, pois armazena hashes de senha de forma que pode ser extraído por atacantes. Além disso, a falta de autenticação mútua torna o protocolo suscetível a interceptações de dados.

4. Quando devo desativar o NTLM?

Você deve desativar o NTLM em ambientes onde a segurança é uma prioridade, especialmente se o Kerberos pode ser usado como alternativa. Desativá-lo ajuda a prevenir ataques que exploram suas vulnerabilidades.

5. Como posso desativar o NTLM em um domínio Windows?

Você pode desativar o NTLM pelo Editor de Política de Grupo ou Editor de Registro, configurando o sistema para usar apenas NTLMv2 ou substituindo-o pelo protocolo Kerberos.

6. NTLM ainda é usado nas versões atuais do Windows?

Sim, o NTLM ainda é suportado em versões atuais do Windows, mas a Microsoft o considera um protocolo obsoleto e recomenda substituí-lo pelo Kerberos sempre que possível.

7. O que é Kerberos e por que ele é melhor que o NTLM?

Kerberos é um protocolo de autenticação mais seguro que o NTLM. Ele oferece autenticação mútua, criptografia mais forte e um sistema de tickets, o que o torna mais eficiente e seguro.

8. Posso usar NTLM e Kerberos simultaneamente?

Sim, em muitas redes Windows, o Kerberos é o protocolo de autenticação principal, mas o NTLM é mantido como fallback para compatibilidade com dispositivos ou aplicativos legados.

9. O NTLMv1 ainda é usado?

Embora NTLMv1 ainda possa ser encontrado em algumas redes legadas, seu uso é altamente desencorajado devido à sua vulnerabilidade. A maioria das redes modernas usa NTLMv2 ou Kerberos.

10. Quais são os ataques mais comuns que afetam o NTLM?

Os ataques mais comuns incluem “Pass-the-Hash”, onde um atacante usa hashes de senha para acessar sistemas, e ataques “Man-in-the-Middle”, que envolvem interceptação de comunicação entre cliente e servidor.

Veja outras soluções de problemas do Windows e outros sistemas:

Como habilitar_desabilitar o histórico de arquivos no Ubuntu
Tutoriais | Perguntas Frequentes (FAQ)

Como habilitar/desabilitar o histórico de arquivos no Ubuntu

ByAntónio César de Andrade

Neste post, vamos ensinar a como habilitar ou desabilitar o histórico de arquivos no Ubuntu Linux. A função de histórico de arquivos permite que o sistema registre os arquivos e pastas recentemente abertos, facilitando o acesso rápido a eles. No entanto, para muitos, essa funcionalidade pode representar um problema de privacidade, especialmente quando se compartilha…

Como executar o ipconfig no Mac através do terminal
Tutoriais | Perguntas Frequentes (FAQ)

Como executar o ipconfig no Mac através do terminal?

ByAntónio César de Andrade

O Terminal do macOS é um mistério para muitos usuários de Mac. Para a maioria, essa ferramenta passa despercebida, e a ideia de abri-la e digitar comandos pode parecer intimidadora. No entanto, saber usá-lo pode fornecer informações muito úteis sobre o seu Mac e permitir que você execute rapidamente tarefas importantes. Entre essas tarefas, está…

Como mudar a tecla de ação do Copilot no Windows 11
Tutoriais | Perguntas Frequentes (FAQ)

Como mudar a tecla de ação do Copilot no Windows 11?

ByAntónio César de Andrade

No Windows 11, a Microsoft introduziu uma tecla dedicada ao Copilot em alguns dispositivos, como o Surface Pro. Originalmente, essa tecla foi criada para lançar o aplicativo Copilot, que atua como um assistente digital com Inteligência Artificial. No entanto, a Microsoft mudou sua abordagem em relação à integração do Copilot no sistema operacional, tornando-o um…

Qual é a melhor Linux distro para quem busca privacidade
Tutoriais | Perguntas Frequentes (FAQ)

Qual é a melhor Linux distro para quem busca privacidade?

ByAntónio César de Andrade

Os sistemas operacionais Linux são amplamente considerados melhores para privacidade e segurança do que seus equivalentes Windows e Mac. Um dos motivos para isso é que o Linux é open-source, o que significa que qualquer um pode revisar o código, tornando-o menos propenso a ocultar backdoors para desenvolvedores, agências governamentais ou outras entidades.Assim, o Linux…

Por que minhas músicas não sincronizam com meu iPhone
Tutoriais | Perguntas Frequentes (FAQ)

Por que minhas músicas não sincronizam com meu iPhone?

ByAntónio César de Andrade

Para amantes de música, poucos problemas são tão frustrantes quanto descobrir que as playlists preferidas não apareceram no iPhone como esperado, especialmente quando o aparelho deveria estar sincronizando automaticamente. Se você está enfrentando esse problema, há alguns motivos comuns que podem explicar por que sua biblioteca de músicas não está sincronizando com o seu iPhone….

Copilot não funciona no navegador Edge_ como resolver
Tutoriais | Perguntas Frequentes (FAQ)

Copilot não funciona no navegador Edge: como resolver?

ByAntónio César de Andrade

O Copilot é um assistente de inteligência artificial integrado ao Windows 11 e também disponível no Microsoft Edge. Esse recurso permite que os usuários obtenham respostas geradas por IA ao buscar informações no Bing, através de uma aba especial dedicada ao Copilot. No entanto, alguns usuários têm enfrentado problemas com essa funcionalidade, recebendo uma mensagem…

antonio-cesar-150x150
António César de Andrade

Apaixonado por tecnologia e inovação, traz notícias do seguimento que atua com paixão há mais de 15 anos.