NTLM Authentication

پس از kerberos، دومین انتخاب برای پروتکل تشخیص هویت، NTLM است. دلیل اصلی پشتیبانی از NTLM سازگاری با کلاینت های قدیمی NT 4.0 و Windows 98/5 است. NTLM به طرز پر اهمیتی امنیت کمتری از Kerberos دارد و با انتشار Windows NT 4.0 Service Pack 4 نسخه NTLMv2 منتشر شد و قابلیت های امنیتی مختلفی از جمله ساخت Session Key های یکتا برای Connection های مختلف به وجود آمد. با توجه به آنکه NTML Authentication نسبت به Kerberos دارای نقاط ضعف شدیدی است، در اینجا با عمق کمی پرداخته می شود.

NTLM Authentication از یک مکانیسم چالش-پاسخ بهره می برد به این معنا که ابتدا در یک چالش از کاربر تقاضای اطلاعات خاصی می گردد و سپس کاربر پاسخ دریافت می کند. Windows Server 2008 متد های زیر را فراهم می آورد:

۱) Lan Manager یا به اختصار LM کمترین امنیت را به نسبت تمام گزینه ها دارد. از این گزینه فقط برای کلاینت هایی مورد استفاده قرار می گیرد که دارای سیستم عامل های Windows 98/5 هستند و امکان نصب Active Directory Client Extension وجود ندارد. برخی از نرم افزار های قدیمی ممکن است وابسته به این روش تشخیص هویت باشند. از آنجایی که کلمه عبور در این روش تبدیل به حروف بزرگ می شود و محدود به ۱۴ حرف است و همچنین از الگوریتم hash ضعیفی استفاده می شود، کمترین امنیت را فراهم می آورد.

۲) NTLMv1 فرم امن تری از LM است که برای کلاینت های Windows NT Service Pack 3 به قبل مورد استفاده قرار می گیرد. این فرم از یک روش رمزنگاری ۵۶ بیتی استفاده می کند.

۳) NTLMv2 این روش امن ترین فرم ممکن را فراهم می آورد و همچنین برای کلاینت های Windows 2000، Windows XP و Windows NT 4.0 Service Pack 4 می تواند مورد استفاده قرار گیرد. این روش از یک کانال امن برای تشخیص هویت بهره می برد و از یک روش رمزنگاری ۱۲۸ بیتی استفاده می کند.

Untitled

دامین کنترلر های Windows Server 2008 قادراند تمام سه فرم فوق را پاسخگو باشند. برای آنکه اطمینان حاصل کنید تنها پروتکل های امن تر می توانند جهت تشخیص هویت به کار گرفته شوند می توانید با تنظیم Group Policy به صورت زیر امنیت تشخیص هویت را ارتقا دهید. برای این منظور به مسیر زیر رفته و گزینه مطلوب را که شرح داده شده است تنظیم نمایید.

Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options

گزینه Network Security: Do Not Store LAN Manager Hash Value On Next Password Change

به صورت پیش فرض، این گزینه فعال است و توسط Default Domain Policy اعمال می گردد. زمانی که این گزینه فعال باشد، سرور در دفعه ی بعدی که کلمه عبور تغییر می کند، مقدار hash شده آن را برای LM نگه داری نمی کند.

هشدار: اگر مقادیر hash برای LM را نگه داری کنید، هر کسی که بتواند به AD DS Datastore دسترسی پیدا کند، می تواند، کلمه عبور را به دست آورد. اگر این گزینه برای نود های محدودی لازم است آن ها را به یک OU منتقل کنید و سپس آن گزینه را روی آن ها اعمال کنید. در صورتی که این گزینه را تغییر می دهید، لازم است کاربران را مجبور کنید کلمه عبور خود را تغییر دهند.

گزینه Network Security: LAN Manager Authentication Level

این گزینه معرف حداقل سطح امنیتی است که توسط تمام کلاینت ها در شبکه لازم است اعمال گردد. جدول زیر معرف تنظیمات است و به صورت پیش فرض سطح ۳ تنظیم شده است. توصیه می گردد از سطح ۴ یا ۵ استفاده گردد تا اطمینان حاصل کنید که دامین کنترلر به درخواست های LM را پاسخ نمی دهد.

سطح تنظیمات نتیجه
۰ ارسال پاسخ های LM و NTLM کلاینت ها از NTLMv2 Session Security هیچگاه استفاده نمی کنند و دامین کنترلر ها به تمام فرم ها پاسخ می دهند.
۱ ارسال پاسخ های LM و NTLM – استفاده از NTLMv2 با مذاکره (Negotiation) کلاینت ها از LM و NTLM در صورت امکان از  NTLMv2 Session Security استفاده می کنند و دامین کنترلر ها به تمام فرم ها پاسخ می دهند.
۲ ارسال NTLM فقط کلاینت ها از فقط NTLM و در صورت امکان از NTLMv2 Session Security استفاده می کنند و دامین کنترلر ها به تمام فرم ها پاسخ می دهند.
۳ ارسال NTLMv2 فقط کلاینت ها فقط از NTLMv2 Authentication استفاده می کنند. در صورت امکان از NTLMv2 Session Security استفاده می کنند  و دامین کنترلر ها به تمام فرم ها پاسخ می دهند.
۴ نپذیرفتن LM و ارسال NTLMv2 فقط کلاینت ها فقط از NTLMv2 Authentication استفاده می کنند. در صورت امکان از NTLMv2 Session Security استفاده می کنند و دامین کنترلر ها در خواست های LM را نمی پذیرند.
۵ نپذیرفتن NTLM، LM و ارسال NTLMv2 فقط کلاینت ها فقط از NTLMv2 Authentication استفاده می کنند. در صورت امکان از NTLMv2 Session Security استفاده می کنند و دامین کنترلر ها در خواست های LM و NTLM را نمی پذیرند. (فقط درخواست های NTLMv2 Authentication پذیرفته می شود.)