NTLM: Microsofts Erbsünde und wie Admins damit sinnvoll umgehen (heise security Webinar-Aufzeichnung)
In dieser Webinar-Aufzeichnung von Frank Ully erwarten Sie spannende Themenschwerpunkte wie:
- Funktionsweise und Schwächen der Versionen von NTLM
- Wo kommt das immer noch zum Einsatz und warum?
- NET-NTLM versus Kerberos
- Konkrete Angriffe erklärt und demonstriert: Attacker-in-the-Middle, Relaying, Coercion usw.
- Mitigations wie Abschalten von NTLM, SMB- und LDAP-Signing sowie deren Probleme
- Maßnahmenliste zur Härtung des AD
Webinar "NTLM: Microsofts Erbsünde und wie Admins damit sinnvoll umgehen", im heise shop als Aufzeichnung der Live-Veranstaltung aus Oktober 2024.
Active Directory (AD) ist das Herzstück der meisten Unternehmensnetzwerke und bei dessen Authentifizierung spielt neben Kerberos das Protokoll Net-NTLNM immer noch eine Hauptrolle. Doch das 30 Jahre alte Protokoll ist anfällig für viele Angriffe und deshalb bei konkreten Sicherheitsvorfällen oftmals ein entscheidender Faktor. Auch wenn Microsoft bereits das Ende von Net-NTLM (kurz NTLM) angekündigt hat, wird das auch auf Jahre hinaus noch so bleiben. Deshalb müssen Admins verstehen, wo es (immer noch) zum Einsatz kommt, was das für ihre Security bedeutet und wie sie die daraus resultierenden Gefahren möglichst gering halten.
Dieses zweistündige heise security Webinar erklärt die konzeptionellen Schwächen von NTLM, warum diese auch weiterhin ein Problem darstellen, wie Angreifer das konkret ausnutzen und stellt schließlich Konzepte vor, sich schrittweise von diesen Problemen zu befreien. Sie erfahren dabei, wie das Authentifizierungsprotokoll Net-NTLM unter der Haube funktioniert. Anhand von praktischen Demonstrationen und Fallbeispielen zeigt der Referent Frank Ully dann, auf welche Arten sich Angreifer im AD nicht nur in die Kommunikation einschleusen (AitM), sondern gezielt Anmeldeversuche von Benutzern und Systemen erzwingen (Coercion) – und welche verheerenden Auswirkungen Relaying gegen unterschiedliche Ziele wie Dateiserver, Domänencontroller und Zertifikatsserver hat.
Anschließend präsentiert er die notwendigen Gegenmaßnahmen und erklärt auch, warum diese in der Praxis oft gar nicht so einfach umzusetzen sind. Das mündet in ein Konzept, das eigene Netz schrittweise abzusichern und dabei die trotzdem vorhandenen Restrisiken weitest möglich einzuschränken. Ob Sie ein erfahrener Sicherheitsexperte sind oder als Administrator eine gewachsene Domäne geerbt haben: Nach dem Webinar werden Sie ein nuanciertes Verständnis der aktuellen Risiken von AD-Authentifizierungsprotokollen haben und wissen, wie Sie deren Lücken effizient stopfen.