Muchos administradores de sistemas se hacen esta pregunta cuando quieren mejorar la seguridad de sus redes. Más bien se la hacen después de haber pasado una auditoría 🙂 Si es tu caso, entra aquí y entérate en 1 minuto si estás en peligro.
NTLM es un protocolo de autenticación que se basa en el intercambio de hashes de contraseñas entre el cliente y el servidor, lo que lo hace vulnerable a ataques de fuerza bruta o de reenvío. Este protocolo representa uno de los objetivos más codiciados por los ciberdelincuentes y es importante que sepas si tu organización está en peligro.
Hay varias formas de hacer saber si estás usando NTLM. SI buscas en Google la mayoría de los sitios web te indicarán que actives la auditoría para después recuperar eventos con inicios de sesión con NTLM. Pero en esta entrada te propongo otra solución mucho más rápida: consiste en ver las sesiones abiertas y comprobar que todas sean con Kerberos.
¡Ojo! las sesiones locales siempre son con NTLM aunque al final de la entrada te muestro cómo desactivarlo también.
BUSCANDO SESIONES NTLM
Para ver las sesiones abiertas y el tipo de autenticación que han usado puedes lanzar el siguiente comando en tu servidor:
klist sessionsUn ejemplo para que puedas ver un servidor vulnerable con NTLM sería algo así:
Como puedes ver casi todas las sesiones son Kerberos, pero en la 5 podemos ver un equipo conectado por NTLM. Lo que indica que NTLM está activado.
DESACTIVAR NTLM
Aquí te presento dos soluciones y deberás escoger en función a tu infraestructura: forzar el uso de NTLMv2 o forzar el uso de Kerberos.
Microsoft recomienda usar Kerberos, pero si no es posible la recomendación es usar NTLMv2.
Antes de dar el paso he de advertirte que no todas las infraestructuras soportan quitar la autenticación por NTLM. Si tu organización tiene máquinas muy antiguas, como por ejemplo un ordenador con Windows 98, has de saber que la máquina ya no podrá volver a conectar con el dominio ni con los recursos compartidos de tu red.
Haz solo este cambio después de haber estudiado a fondo tu infraestructura y que sepas con certeza que el cambio no afectará al core de tu negocio.
No obstante y para tu tranquilidad, que sepas que la marcha atrás es rápida e inmediata por lo que, si algo sale mal, puedes volver atrás en segundos 🙂
FORZAR EL USO DE NTLMv2 vía group policy management (gpo)
Dicho lo cual para forzar el uso de NTLMv2 se puede hacer mediante directivas. Abre el gpmc.msc y ve a tu dominio y edita el Default Domain Policy. Después ve a Directivas > Configuración de Windows > Directivas locales > Opciones de seguridad > Seguridad de red: nivel de autenticación de LAN Manager
En esta directiva te aparecerás 6 opciones. Selecciona «Enviar solo respuesta NTLMv2 y rechazar LM y NTLM». De esta forma forzarás el uso de NTLMv2.
desactivar ntlm Y forzar el uso de kerberos
Si después de haberlo estudiado puedes usar Kerberos, entonces desactiva NTLM definitivamente. Recuerda que esta opción es la recomendada por Microsoft.
Para ello, desde la misma ruta que antes, busca la siguiente directiva «Seguridad de red: restringir NTLM: autenticación NTLM en este dominio»:
Finalmente seleccionamos la opción Denegar todo.
Y ya estaría. O casi, porque con esto consigues que no haya autenticación en la red NTLM, pero la autenticación local (dentro del propio servidor) sigue siendo NTLM.
Si quieres restringirlo también puedes hacerlo con las directivas:
Tecnógrafos 