NTLM (NT LAN Manager)는 Windows NT 이후로 꽤 오랫동안 기본 Microsoft 인증 프로토콜로 사용되었습니다. Microsoft는 Windows 2000에서 보다 안전한 Kerberos 인증 프로토콜을 도입했지만 NTLM(일반적으로 NTLMv2)은 Windows 도메인 네트워크에서 인증에 여전히 널리 사용됩니다. 이 기사에서는 NTLMv1 및 NTLMv2 프로토콜을 비활성화하고 Active Directory 도메인에서 Kerberos를 사용하는 방법을 고려할 것입니다.
기본 NTLMv1 문제:
- 약한 암호화;
- 여러 도구(예:mimikatz)를 사용하여 추출할 수 있는 LSA 서비스의 메모리에 비밀번호 해시를 저장한 다음 해시를 추가 공격에 사용할 수 있습니다.
- 데이터 가로채기 공격 및 네트워크 리소스에 대한 무단 액세스를 초래하는 서버와 클라이언트 간의 상호 인증 부재(Responder와 같은 일부 도구는 네트워크를 통해 전송된 NTLM 데이터를 캡처하고 이를 사용하여 네트워크 리소스에 액세스할 수 있음)
- 및 기타 취약점.
그 중 일부는 다음 버전 NTLMv2에서 수정되었습니다. 보다 안전한 암호화 알고리즘을 사용하고 널리 사용되는 NTLM 공격을 방지할 수 있습니다. NTLMv1 및 LM 인증 프로토콜은 Windows 7/Windows Server 2008 R2부터 기본적으로 비활성화되어 있습니다.
NTLMv2를 강제 실행하도록 GPO 구성
도메인에서 NTLM 사용을 중지하는 것에 대해 생각했다면 우선 더 취약한 버전인 NTLMv1을 사용하고 있지 않은지 확인해야 합니다. . 네트워크에 NTLMv2(또는 Kerberos) 대신 NTLMv1 인증을 계속 사용하는 많은 레거시 장치 또는 서비스가 있을 수 있습니다. 따라서 완전히 비활성화하기 전에 이 문서의 NTLM 인증 이벤트 감사 섹션을 읽으십시오.
소형 오픈 소스 제품, 다른 네트워크 스캐너의 구형 모델(스캔을 공유 네트워크 폴더에 저장), 일부 NAS 장치 및 기타 구형 하드웨어, 소프트웨어 및 OS는 NTLMv1을 비활성화할 때 인증 문제가 있을 수 있습니다.먼저 도메인 관리자는 NTLM 및 LM 프로토콜이 도메인에서 인증에 사용되는 것이 금지되어 있는지 확인해야 합니다. 어떤 경우에는 공격자가 특수 요청을 사용하여 NTLM/LM 요청에 대한 응답을 받을 수 있기 때문입니다.
도메인(또는 로컬) 정책을 사용하여 선호하는 인증 유형을 설정할 수 있습니다. 그룹 정책 관리 편집기(gpmc.msc)를 열고 기본 도메인 정책을 편집합니다. GPO 섹션 컴퓨터 구성 -> 정책 -> Windows 설정 -> 보안 설정 -> 로컬 정책 -> 보안 옵션으로 이동합니다. 정책 네트워크 보안:LAN Manager 인증 수준을 찾습니다. .
정책 설정에는 6가지 옵션이 있습니다.
- LM 및 NTLM 응답 보내기
- LM 및 NTLM 응답 보내기 – 협상된 경우 NTLMv2 세션 보안 사용
- NTLM 응답만 보내기
- NTLMv2 응답만 전송,
- NTLMv2 응답만 보냅니다. LM을 거부합니다.
- NTLMv2 응답만 보냅니다. LM 및 NTLM을 거부합니다.
NTLM 인증을 사용하는 정책은 보안이 개선된 순서대로 제공됩니다. 기본적으로 Windows 7 이상 OS는 NTLMv2 응답만 보내기 옵션을 사용합니다. . 이 옵션이 활성화되면 클라이언트 컴퓨터는 NTLMv2 인증을 사용하지만 AD 도메인 컨트롤러는 LM, NTLM 및 NTLMv2 요청을 수락합니다.
NTLMv2는 Kerberos 프로토콜이 작동하지 않거나 일부 작업(예:도메인에 가입된 컴퓨터에서 로컬 그룹 및 계정을 관리하는 경우) 또는 작업 그룹에서 작동하지 않는 경우 사용할 수 있습니다.정책 값을 가장 안전한 6 옵션으로 변경할 수 있습니다. “NTLMv2 응답만 보내기. LM 및 NTLM 거부 ". 도메인 컨트롤러에서 이 설정을 구성하면 모든 LM 및 NTLMv1 요청을 거부합니다.
레지스트리를 통해 NTLMv1을 비활성화할 수도 있습니다. 이를 수행하려면 이름이 LmCompatibilityLevel인 DWORD 매개변수를 만드십시오. 레지스트리 키 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa의 값 0-5 . 값 5는 "NTLMv2 응답만 보내기" 정책 옵션에 해당합니다. LM NTLM 거부”.
네트워크 보안:다음 비밀번호 변경 시 LAN Manager 해시 값을 저장하지 않음 정책은 동일한 GPO 섹션에서 활성화됩니다. Windows Vista/Windows Server 2008부터 기본적으로 활성화되어 있으며 LM 해시 생성을 방지합니다.
이 정책을 도메인 컨트롤러에 적용하는 것을 잊지 마십시오.
NTLMv1을 사용하고 있지 않은지 확인했다면 더 나아가 NTLMv2를 비활성화할 수 있습니다. NTLMv2 더 안전한 인증 프로토콜이지만 보안 면에서 Kerberos보다 훨씬 뒤떨어져 있습니다(NTLMv2에는 NTLMv1보다 취약성이 적지만 데이터를 캡처하고 재사용할 가능성이 있으며 지원하지 않습니다. 상호 인증).
NTLM 비활성화의 주요 위험은 NTLM 인증을 계속 사용할 수 있는 레거시 또는 잘못 구성된 응용 프로그램의 잠재적인 사용입니다. 이 경우 Kerberos로 전환하려면 특별한 방법으로 업데이트하거나 구성해야 합니다.
NTLM 인증 감사 로깅을 활성화하는 방법
도메인에서 NTLM을 완전히 비활성화하고 Kerberos로 전환하기 전에 도메인에 NTLM 인증이 필요하고 사용하는 앱이 남아 있지 않은지 확인하십시오.
NTLM 인증을 사용하는 계정 또는 앱을 추적하기 위해 GPO를 사용하는 모든 컴퓨터에서 감사 로깅 정책을 활성화할 수 있습니다. 컴퓨터 구성 -> Windows 설정 -> 보안 설정 -> 로컬 정책 -> 보안 옵션 섹션에서 네트워크 보안:NTLM 제한:이 도메인의 NTLM 인증 감사를 찾아 활성화합니다. 정책을 만들고 값을 모두 사용으로 설정합니다.
같은 방식으로 네트워크 보안:NTLM 제한:들어오는 NTLM 트래픽 감사 정책을 활성화합니다. 값을 도메인 계정에 대한 감사 사용으로 설정합니다.
이러한 정책을 활성화하면 NTLM 인증 사용 이벤트가 응용 프로그램 및 서비스 로그-> Microsoft -> Windows -> NTLM 에 나타납니다. 이벤트 뷰어 섹션
각 서버의 이벤트를 분석하거나 중앙 Windows 이벤트 로그 수집기로 수집할 수 있습니다.
이벤트 ID가 4624인 소스 Microsoft-Windows-Security-Auditing에서 이벤트를 검색해야 합니다. – “계정이 성공적으로 로그온되었습니다 ". "자세한 인증 정보의 정보를 참고하세요. " 부분. NTLM이 있는 경우 인증 패키지에서 값, NTLM 프로토콜이 이 사용자를 인증하는 데 사용되었습니다.
패키지 이름(NTLM만 해당) 값을 확인합니다. . 이 줄은 인증에 사용된 프로토콜(LM, NTLMv1 또는 NTLMv2)을 보여줍니다. 따라서 레거시 프로토콜을 사용하는 모든 서버/애플리케이션을 감지해야 합니다.
예를 들어 모든 도메인 컨트롤러에서 모든 NTLMv1 인증 이벤트를 검색하려면 다음 PowerShell 스크립트를 사용할 수 있습니다.
$ADDCs = Get-ADDomainController -filter
$Now = Get-Date
$Yesterday = $Now.AddDays(-1)
$NewOutputFile = "c:\Events\$($Yesterday.ToString('yyyyddMM'))_AD_NTLMv1_events.log"
function GetEvents($DC){
Write-Host "Searching log on " $DC.HostName
$Events = Get-EventLog "Security" -After $Yesterday.Date -Before $Now.Date -ComputerName $DC.HostName -Message "*V1*" -instanceid 4624
foreach($Event in $Events){
Write-Host $DC.HostName $Event.EventID $Event.TimeGenerated
Out-File -FilePath $NewOutputFile -InputObject "$($Event.EventID), $($Event.MachineName), $($Event.TimeGenerated), $($Event.ReplacementStrings),($Event.message)" -Append
}
}
foreach($DC in $ADDCs){GetEvents($DC)}
도메인에서 NTLM을 사용하는 사용자 및 응용 프로그램을 찾은 후 Kerberos(SPN 사용 가능)를 사용하도록 전환해 보십시오. 일부 응용 프로그램은 Kerberos 인증을 사용하도록 약간 재구성해야 합니다(IIS의 Kerberos 인증, Kerberos 인증을 위해 다른 브라우저를 구성하는 방법 문서 참조). 내 경험에 따르면 대규모 상용 제품도 여전히 Kerberos 대신 NTLM을 사용하고 있으며 일부 제품은 업데이트나 구성 변경이 필요합니다. NTLM 인증을 사용하는 앱을 감지하는 것이 중요하며 이제 이 소프트웨어와 장치를 식별할 수 있는 적절한 방법이 생겼습니다.
Kerberos 인증을 위해 IP 주소 대신 서버의 DNS 이름을 사용해야 합니다. 리소스에 연결할 때 IP 주소를 지정하면 NTLM 인증이 사용됩니다.Kerberos를 사용할 수 없는 앱은 예외에 추가될 수 있습니다. 이렇게 하면 도메인 수준에서 비활성화된 경우에도 NTLM 인증을 사용할 수 있습니다. 이를 수행하려면 네트워크 보안:NTLM 제한:이 도메인에서 NTLM 인증에 대한 서버 예외 추가 정책이 사용됩니다. NTLM 인증을 사용할 수 있는 서버의 이름도 예외 목록에 추가합니다. 이상적으로는 이 예외 목록이 비어 있어야 합니다. 와일드카드 *를 사용할 수 있습니다. .
Active Directory 도메인에서 NTLM을 완전히 제한하는 방법
NTLM을 사용하지 않는 인증이 도메인의 다른 앱에 대해 작동하는 방식을 확인하려면 "보호된 사용자" 도메인 그룹에 사용자 계정을 추가할 수 있습니다(Windows Server 2012 R2부터 사용 가능). 이 보안 그룹의 구성원은 Kerberos를 사용해서만 인증할 수 있습니다(NTLM, 다이제스트 인증 또는 CredSSP는 허용되지 않음). 따라서 Kerberos 사용자 인증이 다른 앱에서 올바르게 작동하는지 확인할 수 있습니다.
그런 다음 네트워크 보안:NTLM 제한:이 도메인의 NTLM 인증 을 사용하여 Active Directory 도메인에서 NTLM을 완전히 비활성화할 수 있습니다. 정책.
정책에는 5가지 옵션이 있습니다.
- 비활성화: 정책이 비활성화됨(도메인에서 NTLM 인증이 허용됨)
- 도메인 서버에 대한 도메인 계정 거부: 도메인 컨트롤러가 도메인 계정의 모든 서버에 대한 NTLM 인증 시도를 거부하고 "NTLM이 차단되었습니다" 오류가 나타납니다.
- 도메인 계정 거부: 도메인 컨트롤러가 모든 도메인 계정에 대한 NTLM 인증 시도를 방지하고 "NTLM이 차단되었습니다" 오류가 나타납니다.
- 도메인 서버 거부: 서버 이름이 "네트워크 보안:NTLM 제한:이 도메인의 NTLM 인증에 대한 서버 예외 추가" 정책의 예외 목록에 있지 않은 한 모든 서버에 대해 NTLM 인증 요청이 금지됩니다.
- 모두 거부: 도메인 컨트롤러는 모든 도메인 서버 및 계정에 대한 모든 NTLM 요청을 차단합니다.
Active Directory 보안을 더욱 향상시키려면 Mimikatz 스타일 공격에 대한 완화, 권한 있는 관리자 계정 보안, TCP/IP를 통해 LLMNR 및 NetBIOS를 비활성화하는 방법이라는 문서를 읽는 것이 좋습니다.