NTLM
ברשתות מחשבים מבוססות Microsoft Windows, NTLM (NT LAN Manager) הוא פרוטוקול אימות מסוג אתגר-מענה. כאשר משתמש בדומיין מסויים מבצע תהליך אימות למכונת דומיין מרוחקת בשימוש בפרוטוקול ה-NTLM, השרת שולח למשתמש אתגר באמצעות בקשת NTLM_CHALLENGE. המשתמש אז צריך להצפין את האתגר באמצעות hash קריפטוגרפי של סיסמתו (שנקרא NT hash) ולשלוח אותו אל השרת באמצעות הודעת NTLM_AUTHENTICATE. מכיוון שהשרת אינו מאחסן בתוכו את סיסמאות המשתמשים, הוא צריך לאמת את שם המשתמש והסיסמה באמצעות Domain Controller. פעולה זאת נעשית באמצעות שליחת בקשת NETLOGON אל ה-Domain Controller באמצעות ערוץ מאובטח. הודעה זאת כוללת חלקים של בקשת ה-NTLM_AUTHENTICATE שנשלחה את השרת. ה-Domain Controller מאמת את האתגר והמענה של ה-NTLM ושולח הודעה שמראה האם ניסיון האימות הצליח או נכשל.
ה-Domain Controller גם מצרף מפתח session שבו התקשורת תוצפן/תיחתם, אם יש צורך בהצפנת/חתימת ה-session. מכיוון שמפתח ה-session מחושב על בסיס הסיסמה של החשבון המאומת, הלקוח מחשב אותה באופן עצמאי. על מנת למנוע מחשבונות לקבל מפתחות session שאינם מיועדים אליהם, יש לבצע תהליכי אימות על ה-Domain Controllers.[1]
הערות שוליים
- ^ מרינה סימקוב וירון זינר, איך הצלחנו לעקוף את כל מנגנוני ההגנה כנגד מתקפת NTLM Relay, באתר אוגוסט 2019
