Che cos'è NTLM (nuova tecnologia LAN Manager)?

12 Giugno 2025

NTLM (Nuova Tecnologia) LAN Manager) è una suite di protocolli di sicurezza Microsoft utilizzati per autenticazione, integrità e riservatezza in ambienti Windows.

cos'è NTLM

Che cosa è NTLM?

NTLM, o New Technology LAN Manager, è un protocollo di autenticazione proprietario Microsoft progettato per autenticare utenti e computer nelle reti basate su Windows. Funziona utilizzando un meccanismo di sfida-risposta, in cui il client dimostra di conoscere la password dell'utente senza inviarla effettivamente in rete. Quando un utente tenta di accedere a una risorsa, il server lancia una sfida al cliente, che poi cripta questa sfida utilizzando un hash della password dell'utente e restituisce il risultato.

Migliori server esegue la stessa operazione e confronta i risultati per autenticare l'utente. NTLM è stato introdotto come parte di Windows NT e supporta la messaggistica interezza e riservatezza attraverso la firma e la sigillatura dei messaggi. Tuttavia, è privo di moderne protezioni crittografiche e di autenticazione reciproca, il che lo rende vulnerabile a vari attacchi, come gli attacchi pass-the-hash e replay. Di conseguenza, è stato sostituito da Kerberos negli ambienti Active Directory ma rimane in uso per sistemi legacy, scenari non di dominio o quando interoperabilità con software più datati è necessario.

Caratteristiche principali NTLM

Di seguito sono riportate le caratteristiche principali di NTLM, ciascuna spiegata in dettaglio.

1. Autenticazione sfida-risposta

NTLM utilizza un meccanismo di sfida-risposta invece di inviare password in rete. Quando un utente tenta di autenticarsi, server invia una sfida casuale. Il client crittografa questa sfida utilizzando un hash della password dell'utente e la invia indietro. server quindi esegue la stessa operazione e confronta il risultato per verificare l'identità. Ciò riduce il rischio di esposizione della password durante trasmissione.

2. Archiviazione delle credenziali basata su hash

NTLM non memorizza password in chiaro, ma utilizza valori hash (solitamente hash NT). Questi vengono derivati ​​dalla password dell'utente utilizzando una funzione hash crittografica. Sebbene questa soluzione sia più sicura rispetto alla memorizzazione delle password in chiaro, rappresenta comunque un rischio in caso di furto degli hash, poiché possono essere riutilizzati in attacchi "pass-the-hash".

3. Integrità e riservatezza del messaggio

NTLM supporta la firma dei messaggi (per verificarne l'integrità) e la sigillatura dei messaggi (per crittografarne il contenuto). Queste funzionalità sono progettate per proteggere da manomissioni e intercettazioni, sebbene siano opzionali e non sempre attivate di default.

4. Compatibilità con sistemi non di dominio e legacy

NTLM è ancora ampiamente utilizzato per l'autenticazione degli utenti su sistemi non appartenenti a un dominio Active Directory o quando Kerberos non è supportato. Questo lo rende prezioso in ambienti misti con software obsoleto o quando si gestiscono integrazioni di terze parti che si basano su NTLM.

5. Versioni multiple (LM, NTLMv1, NTLMv2)

Esistono diverse versioni di NTLM con diverse capacità di sicurezza. NTLMv1 e il precedente LAN Manager (LM) sono considerati insicuri, mentre NTLMv2 fornisce una sicurezza migliorata tramite un hashing più forte (HMAC-MD5) e una migliore gestione delle risposte alle sfide. Tuttavia, anche NTLMv2 non è sicuro quanto Kerberos.

6. Supporto Single Sign-On (SSO) (limitato)

NTLM supporta una forma base di Single Sign-On (SSO) in ambienti Windows. Una volta che un utente effettua l'accesso e viene autenticato, le sue credenziali possono essere riutilizzate per accedere a più servizi all'interno dello stesso SessioneTuttavia, questa funzionalità è limitata rispetto a quella completa di SSO basata su ticket di Kerberos.

7. Nessuna autenticazione reciproca

NTLM autentica il client al server ma non viceversa. Questa mancanza di autenticazione reciproca apre la porta a uomo nel mezzo (MitM) attacchi, in cui un aggressore impersona una persona fidata server.

Come funziona NTLM?

come funziona NTLM

NTLM utilizza un meccanismo di sfida-risposta che consente a un client di dimostrare la propria identità a un server senza trasmettere la password effettiva. Ecco come si svolge il processo, in genere in tre fasi durante l'autenticazione.

1. Negoziare

Il cliente avvia la comunicazione inviando un messaggio di negoziazione al serverQuesto messaggio include le funzionalità NTLM supportate dal client e indica che desidera utilizzare NTLM per l'autenticazione.

2. Sfida

Migliori server risponde con un messaggio di sfida, che contiene un nonce generato casualmente (un numero monouso) chiamato "sfida". Questo nonce viene utilizzato per prevenire attacchi di replay.

3. Autenticarsi

Il cliente prende il servere utilizza l'hash della password dell'utente per calcolare una risposta crittografica. Questa è chiamata risposta NTLM e viene inviata al server in un messaggio di autenticazione, insieme al nome utente e ad altri metadati.

A cosa serve NTLM?

NTLM viene utilizzato per autenticare utenti e computer in ambienti Windows, in particolare quando protocolli più moderni come Kerberos non sono disponibili o compatibili. Fornisce ai sistemi un modo per verificare l'identità e concedere l'accesso alle risorse di rete senza dover trasmettere password in chiaro.

I casi d'uso comuni includono:

  • Accesso a cartelle e stampanti condivise su macchine Windows locali o remote in gruppi di lavoro o reti non di dominio.
  • Autenticazione degli utenti remoti connessione a sistemi o servizi legacy che non supportano Kerberos.
  • Autenticazione di fallback nei domini di Active Directory quando Kerberos fallisce (ad esempio, a causa di DNS problemi o SPN mancanti).
  • Single sign-on (SSO) nelle intranet utilizzando Windows più vecchio applicazioni o protocolli che si basano su NTLM.
  • Integrazione con Applicazioni di terze parti o dispositivi che supportano solo l'autenticazione basata su NTLM (ad esempio, alcuni vecchi NAS sistemi, proxy, o sito web servers utilizzando l'autenticazione NTLM su HTTP).

Come faccio a sapere se NTLM è ancora in uso?

Per determinare se NTLM è ancora in uso nel tuo ambiente, puoi monitorare il traffico di autenticazione utilizzando strumenti come il Visualizzatore eventi di Microsoft, in particolare abilitando il controllo NTLM tramite Criteri di gruppo (Sicurezza di rete: Limita impostazioni NTLM). Una volta configurati, i tentativi di autenticazione relativi a NTLM verranno registrati con ID evento di sicurezza come 4624 (accesso) e 4776 (Autenticazione NTLM).

È inoltre possibile utilizzare strumenti di monitoraggio della rete come Wireshark per ispezionare il traffico alla ricerca di messaggi NTLMSSP, che indicano la negoziazione NTLM. Inoltre, strumenti come Microsoft Defender for Identity o soluzioni di auditing di terze parti possono fornire report sull'utilizzo dei protocolli legacy in tutta la rete. dominio.

Identificare l'utilizzo di NTLM è essenziale per valutare i rischi per la sicurezza e pianificare una migrazione verso metodi di autenticazione più sicuri come Kerberos o protocolli di identità moderni.

Dovrei disattivare NTLM?

Disabilitare NTLM può migliorare significativamente la sicurezza, ma è consigliabile procedere con cautela e solo dopo aver verificato che non comprometterà i sistemi critici. NTLM è un protocollo obsoleto con vulnerabilità note, tra cui la suscettibilità ad attacchi pass-the-hash, relay e man-in-the-middle. Se l'ambiente supporta Kerberos o metodi di autenticazione moderni, disabilitare NTLM riduce la superficie di attacco e impone procedure di autenticazione più efficaci.

Tuttavia, molte applicazioni, dispositivi e sistemi legacy (incluse alcune condivisioni file, stampanti o servizi di terze parti) potrebbero ancora dipendere da NTLM per l'autenticazione. Prima di disabilitarlo, è necessario:

  • Verifica dell'utilizzo di NTLM utilizzando Criteri di gruppo e registrazione degli eventi.
  • Identificare le dipendenze su NTLM analizzando il traffico di accesso.
  • Configurazioni di sostituzione dei test, come Kerberos o l'autenticazione basata sui certificati.
  • Limitare gradualmente NTLM anziché disattivarlo del tutto, iniziando con policy come "Autenticazione NTLM in questo dominio" e definendole in base al sistema o all'utente.

Come proteggere o eliminare NTLM?

come proteggere NTLM

Per proteggere o eliminare NTLM dal tuo ambiente, segui un approccio strutturato che includa auditing, applicazione delle policy e sostituzione con protocolli più sicuri. Ecco come:

1. Verifica dell'utilizzo di NTLM

Iniziamo identificando dove e come viene utilizzato NTLM:

  • Abilitare l'audit NTLM tramite Criteri di gruppo:
    Configurazione computer → Criteri → Impostazioni di Windows → Impostazioni di sicurezza → Criteri locali → Opzioni di sicurezza → Sicurezza di rete: limita NTLM.
  • Esaminare i registri del Visualizzatore eventi (ID come 4624, 4776) per trovare tentativi di autenticazione NTLM.
  • Usa il Microsoft Defender per Identity, ATP azzurro, o strumenti di terze parti per analisi centralizzate.

2. Implementare politiche NTLM restrittive

Restringere gradualmente l'utilizzo di NTLM con le impostazioni GPO:

  • Imposta Limita NTLM per controllare il traffico NTLM in entrata e monitorarne l'utilizzo.
  • Applica Limita NTLM in questo dominio per consentire, negare o controllare NTLM in ambiti diversi.
  • Utilizzare l'impostazione LMCompatibilityLevel per applicare solo NTLMv2 o Kerberos.

3. Migrare a Kerberos o all'autenticazione moderna

Assicurarsi che i sistemi siano configurati per utilizzare Kerberos ove possibile:

  • Configurare correttamente i nomi principali del servizio (SPN) per Kerberos.
  • Garantire la corretta risoluzione DNS, la sincronizzazione oraria e le relazioni di trust del dominio.
  • Per le app che non possono utilizzare Kerberos, prendi in considerazione la possibilità di sostituirle o aggiornarle con alternative moderne che le supportino SAML, OAuth o autenticazione basata su certificato.

4. Proteggere NTLM se non può essere eliminato

Se i sistemi legacy richiedono NTLM:

  • Applicare NTLMv2 solo impostando LMCompatibilityLevel = 5.
  • Abilitare la firma e la sigillatura dei messaggi per proteggerli da manomissioni.
  • Limitare l'uso di NTLM tramite firewall regole o segmentazione per isolare i sistemi legacy.
  • Utilizzare le postazioni di lavoro con accesso privilegiato (PAW) e l'accesso just-in-time (JIT) per gli account che devono autenticarsi tramite NTLM.

5. Testare ed eliminare gradualmente NTLM

Dopo l'audit e la messa a punto delle policy:

  • Testare nuove configurazioni di autenticazione in un ambiente di laboratorio o di staging.
  • Implementare gradualmente le restrizioni NTLM in produzione.
  • Monitorare i registri e il feedback degli utenti per individuare eventuali interruzioni e intervenire se necessario.

Quali sono i vantaggi e le sfide della NTLM?

NTLM offre funzionalità di autenticazione di base facili da implementare e compatibili con i sistemi legacy, rendendolo utile in ambienti in cui protocolli moderni come Kerberos non sono supportati. Tuttavia, il suo design obsoleto presenta notevoli sfide per la sicurezza, tra cui deboli protezioni crittografiche e vulnerabilità a vari attacchi.

Comprendere sia i vantaggi che le sfide della NTLM è essenziale per prendere decisioni informate sul suo utilizzo e sulla sua possibile sostituzione.

Vantaggi NTLM

Di seguito sono riportati alcuni dei principali vantaggi:

  • Compatibilità legacyNTLM supporta i vecchi sistemi Windows e le applicazioni che non riconoscono o non supportano Kerberos, rendendolo utile per mantenere la compatibilità con le versioni precedenti.
  • Nessuna dipendenza dai controller di dominioA differenza di Kerberos, NTLM non richiede una connessione a un Key Distribution Center (KDC), il che ne consente il funzionamento in scenari autonomi o disconnessi.
  • Implementazione sempliceNTLM è relativamente facile da configurare e utilizzare: richiede una configurazione minima e questo lo rende adatto a distribuzioni rapide o ad ambienti con risorse amministrative limitate.
  • Single Sign-On di baseNTLM consente funzionalità SSO limitate all'interno di una singola sessione, consentendo agli utenti di accedere a più risorse senza ripetute richieste di autenticazione.
  • Meccanismo di autenticazione di fallbackIn ambienti misti o non configurati correttamente in cui Kerberos fallisce (ad esempio, problemi di DNS o di sincronizzazione oraria), NTLM può fungere da backup per mantenere l'accesso.

Sfide NTLM

Di seguito sono riportate le principali sfide dell'NTLM:

  • Crittografia deboleNTLM utilizza algoritmi di hashing obsoleti (come MD4 negli hash NT), che sono vulnerabili a forza bruta e attacchi a dizionario.
  • Suscettibilità al furto di credenzialiGli aggressori possono sfruttare NTLM in attacchi pass-the-hash, relay o replay per impersonare gli utenti senza aver bisogno delle loro password in chiaro.
  • Nessuna autenticazione reciproca. NTLM autentica solo il client al server, rendendolo vulnerabile agli attacchi man-in-the-middle in cui un attore malintenzionato impersona un utente affidabile server.
  • Mancanza di modulabilità NTLM non supporta la delega o il ticketing come Kerberos, il che ne limita l'utilizzo in ambienti aziendali complessi con più servizi e livelli di identità.
  • Difficile da monitorare e controllareIl traffico di autenticazione NTLM può essere difficile da tracciare in ambienti di grandi dimensioni e il suo utilizzo continuato potrebbe passare inosservato, creando rischi nascosti per la sicurezza.
  • Incompatibile con gli standard di sicurezza moderni. NTLM non supporta autenticazione a più fattori (MFA), accesso condizionale e altre protezioni avanzate dell'identità presenti nei protocolli moderni.

NTLM contro Kerberos

Ecco un confronto tra NTLM e Kerberos in una tabella strutturata:

CaratteristicaNTLM (Gestore LAN di nuove tecnologie)Kerberos
Modello di autenticazioneSfida-risposta (cliente e server).Basato su ticket (client, Key Distribution Center e server).
Autenticazione reciprocaNo, solo il client è autenticato.Sì, sia il client che server sono autenticati.
Gestione delle credenzialiSi basa sugli hash delle password.Utilizza ticket crittografati con chiavi di sessione temporanee.
Forza di crittografiaDebole (utilizza MD4 e HMAC-MD5).Più potente (utilizza AES o RC4 con standard di crittografia moderni).
ScalabilitàScarso; non supporta la delega o l'SSO su più servizi.Alto; supporta la delega e l'SSO scalabile.
Dipendenza dalla sincronizzazione orariaNon richiesto.Obbligatorio; si basa sull'orario esatto per la convalida della scadenza del biglietto.
Requisito di dominioFunziona in ambienti di dominio e non di dominio (gruppi di lavoro).Richiede Active Directory o KDC equivalente.
Vulnerabilità agli attacchiSensibile agli attacchi pass-the-hash, replay e relay.Più resistente, ma può essere compromesso se non configurato in modo sicuro.
Registrazione e controlloVisibilità e controllo limitati.Migliore controllo e gestione centralizzata.
Supporto modernoObsoleto nei moderni framework di sicurezza.Standard per l'autenticazione moderna di Windows.

NTLM è la stessa cosa dell'autenticazione di Windows?

No, NTLM non è la stessa cosa dell'autenticazione di Windows, ma è uno dei protocolli utilizzati entro Autenticazione di Windows.

Autenticazione di Windows è un termine più ampio che si riferisce all'insieme di meccanismi utilizzati da Windows per autenticare utenti e servizi in un ambiente Windows. Include diversi protocolli di autenticazione come NTLM, Kerberos e talvolta metodi basati su certificati o token.

NTLM viene utilizzato principalmente per la compatibilità con le versioni precedenti e in situazioni in cui Kerberos non è disponibile, come in ambienti di gruppo di lavoro o quando i sistemi non fanno parte di un dominio. Al contrario, Kerberos è il protocollo preferito e più sicuro per l'autenticazione basata su dominio nelle moderne reti Windows. Pertanto, sebbene NTLM possa essere parte dell'autenticazione di Windows, i due non sono sinonimi.

Anastasia
Spasojevic
Anastazija è una scrittrice di contenuti esperta con conoscenza e passione per cloud informatica, informatica e sicurezza online. A phoenixNAP, si concentra sulla risposta a domande scottanti su come garantire la robustezza e la sicurezza dei dati per tutti i partecipanti al panorama digitale.