Методы аутентификации в Windows-доменах

В доменной сети Windows для проверки учетных данных пользователей используются два метода аутентификации:

• Kerberos — современный и безопасный протокол, используемый по умолчанию.
• NetNTLM — устаревший механизм аутентификации, который сохраняется для обратной совместимости.

Разберём, как работают эти протоколы и какие у них особенности.

Kerberos Authentication

Kerberos — это основной протокол аутентификации в Windows-доменах. Он использует механизм билетов (tickets), которые позволяют пользователям повторно использовать свою аутентификацию без повторной передачи пароля.

Как работает Kerberos?

1. Аутентификация и получение Ticket Granting Ticket (TGT):
2. Пользователь вводит логин и пароль.
3. Хеш пароля используется для шифрования временной метки.
4. Этот зашифрованный запрос отправляется на Key Distribution Center (KDC), который обычно работает на контроллере домена.
5. KDC проверяет данные и отправляет пользователю TGT (Ticket Granting Ticket), который зашифрован с использованием пароля учетной записи krbtgt.
6. Запрос Ticket Granting Service (TGS):
7. Когда пользователь хочет подключиться к сервису (например, файловому серверу), он отправляет свой TGT на KDC вместе с указанием целевого сервиса.
8. KDC проверяет TGT и выдаёт TGS (Service Ticket), который позволяет подключаться к указанному сервису.
9. Доступ к сервису:
10. Пользователь отправляет TGS на сервер, к которому хочет подключиться.
11. Сервер проверяет билет и разрешает (или отклоняет) доступ.

Почему Kerberos безопасен?

• Пароли не передаются по сети, только зашифрованные билеты.
• Используется симметричное шифрование и механизмы защиты от повторных атак (replay attacks).
• Поддерживает одноразовые билеты, срок действия которых ограничен.

NetNTLM Authentication

NetNTLM — это устаревший протокол аутентификации, который использует механизм "вызов-ответ" (challenge-response). Он применяется в тех случаях, когда Kerberos недоступен (например, при использовании локальных учетных записей).

Как работает NetNTLM?

1. Клиент запрашивает аутентификацию у сервера.
2. Сервер отправляет случайное число (challenge).
3. Клиент использует свой NTLM-хеш и challenge для генерации ответа.
4. Сервер передаёт challenge и ответ на контроллер домена (DC).
5. Контроллер домена пересчитывает ответ на основе NTLM-хеша и сравнивает его с переданным клиентом.
6. Если ответы совпадают, аутентификация проходит успешно.

Проблемы NetNTLM:

• Уязвим к атакам Pass-the-Hash (злоумышленник может использовать NTLM-хеш без знания пароля).
• Можно выполнить Relay-атаку, подменяя сервер и перенаправляя учетные данные.
• Уязвим к Brute-force и взлому хешей.

Отключение NetNTLM

Рекомендуется отключить NetNTLM в доменной сети, если это возможно. В Windows Server можно запретить использование NTLM через Group Policy или в Local Security Policy (secpol.msc):

• Network security: Restrict NTLM: NTLM authentication in this domain → Deny all.

Заключение

Kerberos — это основной и безопасный протокол аутентификации в Windows-доменах, который использует билеты вместо передачи паролей. NetNTLM, напротив, является устаревшим и уязвимым, поэтому его следует отключать, если возможно.

Для защиты доменной сети рекомендуется:

✔ Использовать Kerberos вместо NetNTLM.

✔ Отключить NTLM-аутентификацию в групповых политиках.

✔ Контролировать сетевую активность на предмет NTLM Relay-атак.

Подписывайтесь на канал, где мы разберём атаки на аутентификацию и способы защиты от них!