O que é NTLM (nova tecnologia LAN Manager)?

12 de Junho de 2025

NTLM (Nova Tecnologia LAN Manager) é um conjunto de protocolos de segurança da Microsoft usados ​​para autenticação, integridade e confidencialidade em ambientes Windows.

o que é ntlm

O que é NTLM?

NTLM, ou New Technology LAN Manager, é um protocolo de autenticação proprietário da Microsoft, projetado para autenticar usuários e computadores em redes baseadas em Windows. Ele opera usando um mecanismo de desafio-resposta, em que o cliente comprova o conhecimento da senha do usuário sem realmente enviá-la pela rede. Quando um usuário tenta acessar um recurso, o server lança um desafio ao cliente, que então criptografa este desafio usando um hash da senha do usuário e retorna o resultado.

O server executa a mesma operação e compara os resultados para autenticar o usuário. O NTLM foi introduzido como parte do Windows NT e oferece suporte à mensagem integridade e confidencialidade por meio da assinatura e selagem de mensagens. No entanto, carece de proteções criptográficas modernas e autenticação mútua, tornando-o vulnerável a diversos ataques, como ataques de passagem de hash e de repetição. Como resultado, foi substituído por Kerberos em ambientes do Active Directory, mas permanece em uso por sistemas legados, cenários sem domínio ou quando interoperabilidade com software mais antigo é necessário.

Principais recursos do NTLM

Aqui estão os principais recursos do NTLM, cada um explicado em detalhes.

1. Autenticação de Desafio-Resposta

O NTLM utiliza um mecanismo de desafio-resposta em vez de enviar senhas pela rede. Quando um usuário tenta se autenticar, o server envia um desafio aleatório. O cliente criptografa esse desafio usando um hash da senha do usuário e o envia de volta. server em seguida, executa a mesma operação e compara o resultado para verificar a identidade. Isso reduz o risco de exposição da senha durante transmissão.

2. Armazenamento de credenciais baseado em hash

O NTLM não armazena senhas em texto simples, mas utiliza valores de hash (geralmente hashes NT). Estes são derivados da senha do usuário por meio de uma função de hash criptográfica. Embora isso seja mais seguro do que armazenar senhas em texto simples, ainda representa um risco se os hashes forem roubados, pois podem ser reutilizados em ataques do tipo "pass-the-hash".

3. Integridade e confidencialidade da mensagem

O NTLM suporta assinatura de mensagens (para verificar a integridade das mensagens) e selagem de mensagens (para criptografar o conteúdo das mensagens). Esses recursos foram projetados para proteger contra adulteração e espionagem, embora sejam opcionais e nem sempre aplicados por padrão.

4. Compatibilidade com sistemas legados e não de domínio

O NTLM ainda é amplamente utilizado para autenticação de usuários em sistemas que não estão associados a um domínio do Active Directory ou quando o Kerberos não é compatível. Isso o torna valioso em ambientes mistos com softwares mais antigos ou ao lidar com integrações de terceiros que dependem do NTLM.

5. Várias versões (LM, NTLMv1, NTLMv2)

Existem diferentes versões do NTLM com diferentes recursos de segurança. O NTLMv1 e o antigo LAN Manager (LM) são considerados inseguros, enquanto o NTLMv2 oferece segurança aprimorada por meio de hashing mais forte (HMAC-MD5) e melhor tratamento de resposta a desafios. No entanto, mesmo o NTLMv2 não é tão seguro quanto o Kerberos.

6. Suporte para logon único (SSO) (limitado)

O NTLM oferece suporte a uma forma básica de SSO (conexão única) em ambientes Windows. Depois que um usuário efetua login e é autenticado, suas credenciais podem ser reutilizadas para acessar vários serviços dentro do mesmo Sessão. No entanto, isso é limitado quando comparado ao recurso completo de SSO baseado em tickets do Kerberos.

7. Sem autenticação mútua

O NTLM autentica o cliente para o server mas não o contrário. Essa falta de autenticação mútua abre a porta para homem-no-meio (MitM) ataques, onde um invasor se faz passar por um indivíduo confiável server.

Como o NTLM funciona?

como funciona o ntlm

O NTLM usa um mecanismo de desafio-resposta que permite que um cliente prove sua identidade a um server sem transmitir a senha real. Veja como o processo se desenrola, normalmente em três etapas durante a autenticação.

1. Negociar

O cliente inicia a comunicação enviando uma Mensagem de Negociação para o server. Esta mensagem inclui os recursos NTLM suportados pelo cliente e indica que ele deseja usar o NTLM para autenticação.

2. Desafio

O server responde com uma Mensagem de Desafio, que contém um nonce gerado aleatoriamente (um número único) chamado "desafio". Este nonce é usado para evitar ataques de repetição.

3. Autenticar

O cliente pega o serverdesafio e usa o hash da senha do usuário para calcular uma resposta criptográfica. Isso é chamado de resposta NTLM e é enviado de volta para o server em uma mensagem de autenticação, juntamente com o nome de usuário e outros metadados.

Para que é usado o NTLM?

O NTLM é usado para autenticar usuários e computadores em ambientes Windows, especialmente quando protocolos mais modernos, como o Kerberos, não estão disponíveis ou não são compatíveis. Ele fornece uma maneira para os sistemas verificarem a identidade e concederem acesso aos recursos da rede sem a necessidade de transmitir senhas em texto simples.

Os casos de uso comuns incluem:

  • Acessando pastas e impressoras compartilhadas em máquinas Windows locais ou remotas em grupos de trabalho ou redes sem domínio.
  • Autenticação de usuários remotos conectando-se a sistemas ou serviços legados que não suportam Kerberos.
  • Autenticação de fallback em domínios do Active Directory quando o Kerberos falha (por exemplo, devido a DNS problemas ou SPNs ausentes).
  • Logon único (SSO) em intranets usando Windows mais antigo aplicações ou protocolos que dependem do NTLM.
  • Integração com aplicativos de terceiros ou dispositivos que suportam apenas autenticação baseada em NTLM (por exemplo, alguns mais antigos NAS sistemas, proxies, ou web servers usando autenticação NTLM sobre HTTP).

Como posso saber se o NTLM ainda está sendo usado?

Para determinar se o NTLM ainda está sendo usado em seu ambiente, você pode monitorar o tráfego de autenticação usando ferramentas como o Visualizador de Eventos da Microsoft, especificamente habilitando a auditoria NTLM por meio da Política de Grupo (Segurança de Rede: Restringir configurações NTLM). Uma vez configuradas, as tentativas de autenticação relacionadas ao NTLM serão registradas sob IDs de eventos de segurança, como 4624 (logon) e 4776 (autenticação NTLM).

Você também pode usar ferramentas de monitoramento de rede, como o Wireshark, para inspecionar o tráfego em busca de mensagens NTLMSSP, que indicam negociação NTLM. Além disso, ferramentas como o Microsoft Defender for Identity ou soluções de auditoria de terceiros podem fornecer relatórios sobre o uso de protocolos legados em sua rede. domínio.

Identificar o uso do NTLM é essencial para avaliar riscos de segurança e planejar uma migração para métodos de autenticação mais seguros, como Kerberos ou protocolos de identidade modernos.

Devo desabilitar o NTLM?

Desabilitar o NTLM pode melhorar significativamente sua postura de segurança, mas deve ser feito com cautela e somente após a confirmação de que não interromperá sistemas críticos. O NTLM é um protocolo mais antigo com vulnerabilidades conhecidas, incluindo suscetibilidade a ataques pass-the-hash, relay e man-in-the-middle. Se o seu ambiente for compatível com Kerberos ou métodos de autenticação modernos, desabilitar o NTLM reduz a superfície de ataque e impõe práticas de autenticação mais rigorosas.

No entanto, muitos aplicativos, dispositivos e sistemas legados (incluindo alguns compartilhamentos de arquivos, impressoras ou serviços de terceiros) ainda podem depender do NTLM para autenticação. Antes de desativá-lo, você deve:

  • Auditar uso do NTLM usando Política de Grupo e registro de eventos.
  • Identificar dependências no NTLM analisando o tráfego de logon.
  • Configurações de substituição de teste, como Kerberos ou autenticação baseada em certificado.
  • Restringir gradualmente o NTLM em vez de desabilitá-lo completamente, começando com políticas como “autenticação NTLM neste domínio” e delimitando-as por sistema ou usuário.

Como proteger ou eliminar o NTLM?

como proteger ntlm

Para proteger ou eliminar o NTLM em seu ambiente, siga uma abordagem estruturada que inclua auditoria, aplicação de políticas e substituição por protocolos mais seguros. Veja como:

1. Auditar o uso do NTLM

Comece identificando onde e como o NTLM está sendo usado:

  • Habilitar auditoria NTLM via Política de Grupo:
    Configuração do computador → Políticas → Configurações do Windows → Configurações de segurança → Políticas locais → Opções de segurança → Segurança de rede: Restringir NTLM.
  • Revisar logs do Visualizador de Eventos (IDs como 4624, 4776) para encontrar tentativas de autenticação NTLM.
  • Uso Microsoft Defender para Identidade, Azure ATP, ou ferramentas de terceiros para análise centralizada.

2. Implementar políticas NTLM restritivas

Reduza gradualmente o uso do NTLM com configurações de GPO:

  • Defina Restringir NTLM para auditar o tráfego NTLM de entrada para rastrear o uso.
  • Aplique Restringir NTLM neste domínio para permitir, negar ou auditar NTLM em diferentes escopos.
  • Use a configuração LMCompatibilityLevel para impor somente NTLMv2 ou Kerberos.

3. Migrar para Kerberos ou Autenticação Moderna

Garanta que os sistemas estejam configurados para usar o Kerberos sempre que possível:

  • Configure os nomes principais de serviço (SPNs) corretamente para o Kerberos.
  • Garanta resolução de DNS adequada, sincronização de tempo e relacionamentos de confiança de domínio.
  • Para aplicativos que não podem usar Kerberos, considere substituí-los ou atualizá-los com alternativas modernas que suportem SAML, OAuth ou autenticação baseada em certificado.

4. Proteja o NTLM se ele não puder ser eliminado

Se sistemas legados exigirem NTLM:

  • Aplique NTLMv2 somente definindo LMCompatibilityLevel = 5.
  • Habilite a assinatura e a selagem de mensagens para proteger contra adulteração.
  • Limitar o uso do NTLM por meio de firewall regras ou segmentação para isolar sistemas legados.
  • Use estações de trabalho de acesso privilegiado (PAWs) e acesso just-in-time (JIT) para contas que devem ser autenticadas via NTLM.

5. Testar e eliminar gradualmente o NTLM

Após auditoria e ajuste de política:

  • Teste novas configurações de autenticação em um laboratório ou ambiente de preparação.
  • Implemente gradualmente as restrições NTLM na produção.
  • Monitore registros e feedback do usuário em busca de quebras e corrija conforme necessário.

Quais são os benefícios e os desafios do NTLM?

O NTLM oferece funcionalidades básicas de autenticação, fáceis de implementar e compatíveis com sistemas legados, o que o torna útil em determinados ambientes onde protocolos modernos como o Kerberos não são suportados. No entanto, seu design desatualizado apresenta desafios de segurança significativos, incluindo proteções criptográficas fracas e vulnerabilidade a diversos ataques.

Entender os benefícios e os desafios do NTLM é essencial para tomar decisões informadas sobre seu uso e possível substituição.

Benefícios do NTLM

Abaixo estão alguns dos principais benefícios:

  • Compatibilidade com legados. O NTLM oferece suporte a sistemas e aplicativos Windows mais antigos que não reconhecem ou não oferecem suporte ao Kerberos, o que o torna útil para manter a compatibilidade com versões anteriores.
  • Nenhuma dependência de controladores de domínio. Ao contrário do Kerberos, o NTLM não requer uma conexão com um Centro de Distribuição de Chaves (KDC), permitindo que ele funcione em cenários autônomos ou desconectados.
  • Implementação simples. O NTLM é relativamente fácil de configurar e usar, exigindo configuração mínima, o que o torna adequado para implantações rápidas ou ambientes com recursos administrativos limitados.
  • Login único básico. O NTLM habilita recursos limitados de SSO em uma única sessão, permitindo que os usuários acessem vários recursos sem solicitações repetidas de autenticação.
  • Mecanismo de autenticação de fallback. Em ambientes mistos ou mal configurados onde o Kerberos falha (por exemplo, problemas de DNS ou sincronização de tempo), o NTLM pode servir como um backup para manter o acesso.

Desafios do NTLM

Abaixo estão os principais desafios do NTLM:

  • Criptografia fraca. O NTLM usa algoritmos de hash desatualizados (como MD4 em hashes NT), que são vulneráveis ​​a brute-force e ataques de dicionário.
  • Suscetibilidade ao roubo de credenciais. Os invasores podem explorar o NTLM em ataques de passagem de hash, retransmissão ou repetição para representar usuários sem precisar de suas senhas em texto simples.
  • Sem autenticação mútua. O NTLM apenas autentica o cliente para o server, tornando-o vulnerável a ataques do tipo man-in-the-middle, onde um agente malicioso se faz passar por um agente confiável server.
  • Falta de escalabilidade. O NTLM não oferece suporte à delegação ou emissão de tickets como o Kerberos, limitando seu uso em ambientes empresariais complexos com múltiplos serviços e camadas de identidade.
  • Difícil de monitorar e controlarO tráfego de autenticação NTLM pode ser difícil de rastrear em grandes ambientes, e seu uso contínuo pode passar despercebido, criando riscos de segurança ocultos.
  • Incompatível com os padrões de segurança modernos. NTLM não tem suporte para autenticação multifator (MFA), acesso condicional e outras proteções de identidade avançadas encontradas em protocolos modernos.

NTLM vs. Kerberos

Aqui está uma comparação entre NTLM e Kerberos em uma tabela estruturada:

CaracterísticaNTLM (Gerenciador de LAN de Nova Tecnologia)Kerberos
Modelo de autenticaçãoDesafio-resposta (cliente e server).Baseado em tickets (cliente, Centro de Distribuição de Chaves e server).
Autenticação mútuaNão, somente o cliente é autenticado.Sim, tanto o cliente quanto server são autenticados.
Manuseio de credenciaisDepende de hashes de senha.Usa tickets criptografados com chaves de sessão temporárias.
Força da criptografiaFraco (usa MD4 e HMAC-MD5).Mais forte (usa AES ou RC4 com padrões de criptografia modernos).
GlobalRuim; não oferece suporte a delegação ou SSO em vários serviços.Alto; suporta delegação e SSO escalável.
Dependência de sincronização de tempoNão requerido.Obrigatório; depende do horário exato para validação da expiração do tíquete.
Requisito de domínioFunciona em ambientes de domínio e não domínio (grupo de trabalho).Requer Active Directory ou KDC equivalente.
Vulnerabilidade a ataquesSuscetível a ataques do tipo pass-the-hash, replay e relay.Mais resistente, mas pode ser afetado se não for configurado com segurança.
Registro e auditoriaVisibilidade e controle limitados.Melhor auditoria e gerenciamento centralizado.
Suporte modernoDescontinuado em estruturas de segurança modernas.Padrão para autenticação moderna do Windows.

NTLM é o mesmo que autenticação do Windows?

Não, NTLM não é o mesmo que Autenticação do Windows, mas é um dos protocolos usados dentro Autenticação do Windows.

Autenticação do Windows é um termo mais amplo que se refere ao conjunto de mecanismos que o Windows usa para autenticar usuários e serviços em um ambiente Windows. Isso inclui vários protocolos de autenticação, como NTLM, Kerberos e, às vezes, métodos baseados em certificados ou tokens.

O NTLM é usado principalmente para compatibilidade com versões anteriores e em situações em que o Kerberos não está disponível, como em ambientes de grupo de trabalho ou quando os sistemas não fazem parte de um domínio. Em contraste, o Kerberos é o protocolo preferido e mais seguro para autenticação baseada em domínio em redes Windows modernas. Portanto, embora o NTLM possa fazer parte da Autenticação do Windows, eles não são sinônimos.

Anastasia
Spasojevic
Anastazija é uma redatora de conteúdo experiente, com conhecimento e paixão por cloud computação, tecnologia da informação e segurança online. No phoenixNAP, ela se concentra em responder a questões candentes sobre como garantir a robustez e a segurança dos dados para todos os participantes do cenário digital.