NTLM凭证是Windows身份验证中使用的加密哈希凭证，主要用于验证用户身份。尽管其存在安全隐患，但在旧系统和特定环境下仍被使用。为了提高NTLM凭证的安全性，用户和管理员可以采用现代加密技术、使用强密码和启用NTLMv2等措施。同时，逐步过渡到更安全的身份验证协议（如Kerberos）是推荐的做法。

Windows NTLM（NT LAN Manager）

Windows NTLM凭证是Windows操作系统中一种身份验证协议使用的凭证，NTLM（NT LAN Manager）是Microsoft的身份验证协议之一，主要用于对用户进行身份验证和访问控制。NTLM凭证通常由用户的用户名和密码组合生成，是Windows系统中认证用户身份的关键机制之一，尤其在没有域控制器支持的情况下。

1. NTLM的工作原理：

NTLM凭证主要用于当用户尝试访问计算机或网络资源时验证其身份。具体流程如下：

• 用户登录： 当用户登录Windows系统时，系统将通过NTLM协议生成一个凭证（通常是由密码生成的加密哈希），并将其用于后续的身份验证。

• 认证过程： 当用户访问一个远程计算机或共享资源时，NTLM协议会将该凭证发送到目标计算机进行验证。目标计算机会根据凭证进行对比，确认用户是否有权限访问该资源。

• 响应过程： 一旦凭证验证成功，目标计算机会授权访问，否则将拒绝该请求。

2. NTLM凭证的生成和使用：

• 密码哈希： NTLM协议将用户的密码通过哈希算法转换为一个加密的“NTLM哈希”，而这个哈希就是NTLM凭证的核心内容。这意味着即使网络上被截获，攻击者也无法直接获取到明文密码。

• NTLM和Kerberos： NTLM通常用于Windows工作组或旧版Windows环境中。而在现代Windows域环境中，Kerberos是首选的身份验证协议，NTLM逐渐被替代。但是，在某些情况下，NTLM仍然会被使用，特别是在某些兼容性较差的环境中。

3. NTLM凭证的安全风险：

• 哈希破解： NTLM哈希在设计时并未考虑到现代的计算能力，因此容易被暴力破解或通过字典攻击等方式破解。

• 中间人攻击（MITM）： NTLM凭证在传输过程中，如果没有加密（比如使用HTTP明文传输时），可能会被拦截和篡改，导致身份验证过程被伪造。

• NTLM重放攻击： 在某些情况下，攻击者可以通过重放已经截获的NTLM凭证进行身份伪造，获得对目标资源的访问。

4. 为什么NTLM凭证仍然被使用：

• 兼容性： 尽管Kerberos协议更为安全和高效，但很多老旧系统、应用程序或设备依然依赖NTLM协议。微软保持对NTLM的支持，确保老旧技术的兼容性。

• 环境差异： 在某些特定的网络环境（例如工作组网络，而不是域控制环境）下，NTLM可能是唯一的可用身份验证协议。

5. 如何提高NTLM凭证的安全性：

• 启用NTLMv2： NTLMv1已经被认为是不安全的，建议使用NTLMv2，这是一种增强版的NTLM协议，提供更强的加密和更复杂的认证机制。

• 启用强密码： 通过使用复杂、长且难以猜测的密码，可以有效提高NTLM凭证的安全性，降低密码被破解的风险。

• 使用加密通道： 确保NTLM凭证传输时使用加密协议，如通过SSL/TLS保护通信链路，防止凭证在网络中被截获。

• 禁用NTLM： 如果系统已经部署了Kerberos协议，且没有遗留兼容性问题，可以禁用NTLM，完全依赖Kerberos进行身份验证，从而提高安全性。

 

NTLM凭证是Windows身份验证中使用的加密哈希凭证，主要用于验证用户身份。尽管其存在安全隐患，但在旧系统和特定环境下仍被使用。为了提高NTLM凭证的安全性，用户和管理员可以采用现代加密技术、使用强密码和启用NTLMv2等措施。同时，逐步过渡到更安全的身份验证协议（如Kerberos）是推荐的做法。

---

Windows NTLM（NT LAN Manager）凭证的起源可以追溯到 1990 年代早期，它最初是作为 Microsoft Windows NT 操作系统的一部分开发的。NTLM 设计用于提供一种 网络身份验证 方法，以确保 Windows 操作系统中用户的身份验证过程是安全的。

起源背景

1. Windows NT 操作系统的诞生 在 1993 年，Windows NT（Windows New Technology）操作系统发布，作为一个面向企业和专业用户的操作系统，它比之前的 Windows 3.x 和 Windows 95 系列有了更强的安全性和多用户支持。Windows NT 的目标之一就是要为 Windows 提供更强大的网络支持，而身份验证是网络安全的关键部分。

2. NTLM 的出现 Windows NT 引入了一种新的身份验证机制，称为 NTLM（NT LAN Manager），用于代替早期 Windows 系统中的 LAN Manager（LM） 身份验证。LM 是一个相对不安全且易于被攻击的身份验证协议，它基于明文密码或者弱密码哈希（例如，仅基于密码的前 14 个字符）。NTLM 协议的设计目的是克服 LM 的安全缺陷，提供更加安全的身份验证过程。

NTLM 的设计目标和背景

• 增强网络安全性：随着企业网络的扩展，Windows 操作系统必须支持基于网络的身份验证机制，而 NTLM 就是应运而生，旨在保护用户的密码和身份信息。相比于 LM，NTLM 提供了更强的加密和身份验证方法。

• 无明文密码传输：NTLM 的一大优势就是 密码哈希 技术，它不直接在网络中传输明文密码，而是传输加密的哈希值。通过这种方式，密码即使被窃听也无法直接被盗用。

• 广泛兼容性：在 Windows NT 系统上，NTLM 被设计成一种适用于广泛的操作系统环境的身份验证协议，既支持独立的工作组，也支持域控制器。它可以在没有 Kerberos 协议支持的情况下使用，因此即使在早期的网络环境中，NTLM 也能提供一定程度的安全性。

NTLM 的技术架构

NTLM 的身份验证过程主要基于 挑战-响应（Challenge-Response） 机制，而不是直接传输密码。简单来说，它通过以下步骤完成身份验证：

1. 挑战：服务器生成一个随机的挑战（Challenge）值，并发送给客户端。
2. 响应：客户端将其密码的加密哈希与挑战值一起使用，通过加密计算生成一个响应（Response），并将其发送回服务器。
3. 验证：服务器使用存储在本地的用户密码的哈希值和相同的挑战值来验证客户端的响应。如果响应正确，验证通过，客户端成功认证。

通过这种方式，NTLM 防止了密码的明文传输，增强了身份验证的安全性。

NTLM 的版本演变

• NTLMv1：最初版本的 NTLM（通常称为 NTLMv1）在 Windows NT 4.0 时期广泛使用。它的加密过程使用的是 DES（Data Encryption Standard）算法，虽然比 LM 更安全，但由于 DES 加密算法的漏洞，NTLMv1 仍然容易受到暴力破解和其他类型的攻击。

• NTLMv2：为了增强安全性，微软在 Windows NT 4.0 之后推出了 NTLMv2。NTLMv2 引入了 HMAC-MD5（哈希消息认证码-消息摘要算法 5）算法来增强加密强度，同时还增加了时间戳和更多的随机数据，以避免重放攻击和提升安全性。NTLMv2 被认为在当时提供了比 NTLMv1 更强的安全保护。

NTLM 的局限性

尽管 NTLM 解决了 LM 的诸多问题，但它也存在一些局限性，主要包括：

• 安全性不足：尽管 NTLMv2 增强了加密强度，但它仍然容易受到诸如字典攻击、暴力破解、哈希碰撞等攻击。此外，NTLM 的身份验证机制缺乏“前向安全性”，这意味着如果攻击者获取了 NTLM 密钥，他们可以解密过去的身份验证请求。

• 重放攻击：NTLMv1 特别容易受到重放攻击，这意味着攻击者可以捕获一个身份验证会话的挑战和响应，并将其在稍后重新发送给服务器，从而冒充合法用户。

• Kerberos 的替代性：随着 Windows 2000 的发布，Kerberos 协议成为了 Windows 域环境中默认的身份验证协议。Kerberos 提供了更强的安全性，支持 双向身份验证 和 加密票证，并且能够防止 NTLM 面临的一些攻击问题。因此，尽管 NTLM 仍然被支持，但在许多现代环境中，它已经逐渐被 Kerberos 替代。

 

NTLM 作为 Windows NT 系统中用于网络身份验证的重要协议，它的出现填补了早期 Windows 系统身份验证的安全空白。它的 挑战-响应 机制避免了密码明文传输，提供了基本的安全保护。随着时间推移，NTLM 协议发展出了 NTLMv2 等更安全的版本，但它的局限性也促使了 Microsoft 推出 Kerberos 作为更安全、更高效的身份验证协议。NTLM 仍然在许多旧系统和环境中使用，但在现代网络中，Kerberos 已成为首选的身份验证方法。

---

Windows NTLM（NT LAN Manager）凭证经历了多个发展阶段，从最初的设计到后来的演变，随着技术进步，微软不断加强其安全性。以下是 Windows NTLM 凭证的主要发展阶段：

1. NTLMv1（Windows NT 4.0）

发布年份：1996年

• 背景：Windows NT 4.0 发布时，NTLMv1 被引入作为对早期 LAN Manager (LM) 身份验证协议的改进。NTLMv1 的设计目标是增强身份验证的安全性，防止密码以明文形式传输。
• 工作原理：NTLMv1 使用 挑战-响应（Challenge-Response） 机制，通过服务器发送一个随机数（挑战值）给客户端，客户端使用密码的哈希值和该挑战值计算出响应并返回给服务器，服务器用存储在数据库中的用户密码哈希来验证响应。
• 加密算法：NTLMv1 使用 DES（数据加密标准） 对挑战和响应进行加密。
• 缺陷：NTLMv1 仍然存在安全漏洞，尤其是 DES 加密算法本身较为脆弱，容易受到暴力破解攻击。同时，NTLMv1 对抗重放攻击等方面的能力较差。

2. NTLMv2（Windows NT 4.0 及后续版本）

发布年份：1998年

• 背景：随着安全需求的不断增加，微软在 Windows NT 4.0 和之后的版本（如 Windows 2000）中推出了 NTLMv2。NTLMv2 是对 NTLMv1 的重大改进，旨在提供更强的安全性，解决 NTLMv1 中的漏洞。
• 工作原理：NTLMv2 采用更强的加密和改进的身份验证流程。它引入了 HMAC-MD5（哈希消息认证码-消息摘要算法5）作为加密算法，并增加了时间戳和随机值，减少了暴力破解的风险。
• 增强功能：
  • 加强了响应计算，结合了客户端的用户名、时间戳和挑战值生成加密响应。
  • 提供了更强的加密强度，避免了 DES 的安全问题。
  • 增加了 会话安全性，更好地防止了重放攻击。
• 安全性提升：NTLMv2 的安全性远超 NTLMv1，尤其是在防止字典攻击、暴力破解和其他类型的攻击方面，但它仍然不如 Kerberos 强大。

3. NTLM 认证与 Kerberos 认证的共存（Windows 2000 及之后版本）

发布年份：2000年（Windows 2000）

• 背景：随着 Windows 2000 的发布，微软引入了 Kerberos 协议作为默认的身份验证协议。Kerberos 相较于 NTLM 提供了更强大的安全性，包括 双向身份验证、票证 和 时间戳 等机制，使得其成为现代 Windows 域环境中首选的身份验证协议。
• NTLM 退化：在 Windows 2000 之后，尽管 Kerberos 成为默认身份验证协议，NTLM 仍然保留支持，特别是在无法使用 Kerberos 的场景下（如工作组环境、混合域等）。这使得 NTLM 与 Kerberos 共存，但 NTLM 被视为较为过时且不如 Kerberos 安全的协议。
• NTLM 的重要性下降：随着 Kerberos 的推广，NTLM 在企业网络中的使用逐渐减少，但它仍然是一个重要的兼容性协议，尤其是在老旧系统或特定的应用程序中。

4. NTLM 使用的逐步淘汰（Windows 8 和 Windows Server 2012 及之后版本）

发布年份：2012年（Windows 8/Windows Server 2012）

• 背景：微软在 Windows 8 和 Windows Server 2012 中进一步强化了安全性，开始逐步减少对 NTLM 的依赖。许多新版本的 Windows 操作系统默认启用了对 Kerberos 和 SMB（Server Message Block）v2 等现代协议的支持。
• NTLM 的安全性问题：微软逐渐认识到 NTLM 的局限性，特别是在面对现代攻击技术（如 钓鱼攻击、凭证缓存攻击 等）时，NTLM 的安全性存在严重隐患。随着 Windows 8 的发布，微软加强了对 NTLM 的 限制使用，尤其是在 域控制器环境 下，鼓励管理员将重点转向 Kerberos 认证。
• 功能加强：
  • 强化了 NTLM 使用中的 访问控制，限制了其在高安全环境中的使用。
  • 推出了新的安全策略，鼓励企业采用更为安全的身份验证方式。

5. NTLM 安全性风险和弃用（Windows 10 和 Windows Server 2016 及以后版本）

发布年份：2015年（Windows 10）/2016年（Windows Server 2016）

• 背景：随着网络攻击手段的不断发展，NTLM 逐渐被认为是一种不够安全的身份验证协议，尤其在面对 凭证窃取攻击、中间人攻击（MITM） 和 Pass-the-Hash 攻击 时，NTLM 的脆弱性愈加明显。微软在 Windows 10 和 Windows Server 2016 中开始进一步限制 NTLM 的使用。
• NTLM 限制：微软继续加强对 NTLM 的安全限制，尤其在大型企业环境中，逐步要求管理员关闭或禁用 NTLM 协议，转向更安全的身份验证方式（如 Kerberos）。在高安全性的环境下，NTLM 基本上被视为 不推荐使用 的协议。
• 强化身份验证策略：推出 身份验证策略，鼓励禁用 NTLMv1 和使用 多因素认证（MFA），以增强身份验证的安全性。

6. 未来方向（Windows 11 和后续版本）

发布年份：2021年（Windows 11）

• 背景：微软已经明确表示，将继续推进 Kerberos 协议作为优先的身份验证协议，同时加大力度减少 NTLM 在现代操作系统中的使用。Windows 11 进一步减少了 NTLM 的使用场景，并建议在所有情况下采用 Kerberos。
• NTLM 减少使用：微软继续推动禁用 NTLM 的策略，特别是在 域内 和 跨域认证 中，鼓励企业采取更加安全和现代的身份验证机制。
• 弃用 NTLM的计划：微软有计划在未来的操作系统版本中完全淘汰 NTLM，尤其是在无域环境下和不需要兼容旧系统的情况下，NTLM 的使用将会被逐步限制。

 

Windows NTLM 凭证的发展经历了多个阶段，每个阶段都在增强身份验证的安全性和加强对旧有协议（如 LM）的替代。从最初的 NTLMv1 到 NTLMv2，再到后来微软的策略逐步淘汰 NTLM 协议，尤其是 Kerberos 的广泛应用，使得 NTLM 的使用场景逐渐减少。尽管 NTLM 仍在一些遗留系统中存在，但在现代企业和操作系统环境中，NTLM 的使用正在受到越来越多的限制。

---

Windows NTLM凭证的功能分类可以从不同的角度进行理解，主要涉及身份验证、凭证存储、凭证传输和安全性等方面。下面是对Windows NTLM凭证功能的分类概述：

1. 身份验证功能（Authentication）

NTLM凭证最重要的功能之一是用于验证用户身份，确保访问控制的安全性。它通过一个基于挑战/响应的机制来完成身份验证过程。NTLM凭证主要用于以下几种身份验证场景：

• 用户登录验证： 在用户登录Windows操作系统时，NTLM凭证（通常是密码的哈希值）会用于验证用户的身份。
• 网络资源访问： 当用户尝试访问网络上的共享资源或远程计算机时，NTLM凭证会用于身份验证。例如，访问文件共享、打印机共享或远程桌面时，都会使用NTLM凭证来确认用户的身份。

2. 凭证存储功能（Credential Storage）

NTLM凭证通常会以加密的方式保存在本地计算机中。主要的存储形式包括：

• 本地存储（Local Storage）： NTLM凭证存储在本地机器的安全存储区域（例如Windows的LSA（Local Security Authority）中）。这种存储形式主要用于用户登录时验证本地身份。
• 网络凭证缓存（Credential Cache）： 在用户与远程计算机进行交互时，NTLM凭证可能会被缓存到本地计算机上，以便在短时间内免去再次进行认证的过程。

3. 凭证传输功能（Credential Transmission）

NTLM凭证不仅用于本地身份验证，还需要在客户端和服务器之间传输。在此过程中，凭证的加密和安全传输是关键：

• 挑战-响应机制（Challenge-Response）： 在NTLM协议中，凭证传输是通过“挑战-响应”的方式进行的。目标计算机会发送一个挑战（挑战值），客户端根据凭证计算出一个响应值，并将其发送回目标计算机，目标计算机验证响应值是否正确，从而确认身份。
• 加密传输： 在NTLM协议中，凭证传输时会进行加密处理，以保护凭证数据在网络上传输过程中的安全性，避免被窃取和篡改。

4. 凭证保护和安全性功能（Credential Protection & Security）

NTLM凭证涉及许多安全性特性，确保凭证的防护和安全。主要的安全功能包括：

• 哈希加密： NTLM凭证是基于用户密码生成的加密哈希，而不是直接存储明文密码。这样，即使凭证被截获，攻击者也难以获取原始密码。
• 使用NTLMv2增强安全性： NTLMv1存在许多安全漏洞（如容易受到暴力破解攻击），因此NTLMv2引入了更强的加密机制和更复杂的身份验证过程，提供更高的安全性。
• 防止重放攻击： NTLM协议包括防止重放攻击的机制，例如通过引入时间戳和随机数等方式，确保凭证在传输过程中不会被恶意重用。
• 避免中间人攻击： 通过使用加密协议（如SSL/TLS），可以确保NTLM凭证在传输过程中不会被拦截和篡改，避免中间人攻击。

5. NTLM与其他协议的兼容性功能（Interoperability with Other Protocols）

NTLM凭证具有良好的兼容性，特别是在与其他身份验证协议（如Kerberos）共存时。虽然Kerberos协议通常是现代Windows域环境中的首选认证协议，但NTLM仍然在一些特定情况下被使用，主要包括：

• 回退机制（Fallback Mechanism）： 在Kerberos协议不可用或无法进行身份验证时，Windows操作系统会自动回退到NTLM协议。这种回退机制确保了系统在不同的网络环境下能够正常工作。
• 工作组环境支持： 在没有域控制器的工作组环境中，NTLM是唯一可用的身份验证协议。因此，NTLM凭证在小型网络和没有Active Directory支持的环境中仍然发挥着重要作用。

6. 集成和多用途功能（Integration and Multi-Use）

NTLM凭证不仅用于用户的登录和网络资源访问，还支持一些其他用途，确保系统在不同情境下的集成性和多功能性：

• 远程访问： NTLM凭证用于验证远程桌面连接、远程服务（如RDP）等远程访问情境中的身份。
• 应用程序认证： 一些基于Windows的应用程序（如SQL Server、Exchange Server）也使用NTLM进行认证和授权。
• 多用户支持： 在多用户系统中，NTLM凭证可以根据不同用户的身份进行管理，确保每个用户的访问权限都得到正确的控制。

7. 跨平台支持（Cross-Platform Support）

NTLM凭证不仅仅局限于Windows平台。在某些跨平台环境中，如Linux或macOS上，NTLM凭证也可以通过特定的协议和服务（例如Samba或Kerberos）进行支持和使用，从而实现Windows和非Windows系统之间的身份验证互操作性。

 

NTLM凭证的功能可以从多个角度进行分类，包括身份验证、凭证存储、凭证传输、安全性保障、协议兼容性和跨平台支持等方面。NTLM凭证是Windows操作系统中用于用户认证和授权的核心机制，尽管随着Kerberos协议的普及，NTLM逐渐被替代，但它仍在许多网络环境中起着重要作用。

---

Windows NTLM（NT LAN Manager）凭证的底层原理基于挑战-响应协议（Challenge-Response Authentication），用于确保在网络中传输用户身份时的安全性。NTLM 是 Windows 系统中一种早期的身份验证协议，广泛用于域环境中，特别是在没有 Kerberos 支持的情况下。尽管 Kerberos 是现代 Windows 环境的首选认证协议，NTLM 仍然在很多场景中被使用。

NTLM 身份验证流程

NTLM 的底层原理核心是 挑战-响应机制，其中没有明文密码传输，而是使用加密的哈希值来验证用户身份。下面是 NTLM 身份验证过程的详细步骤：

1. 客户端请求身份验证（Client Request）

当客户端尝试访问需要身份验证的服务时（例如，访问共享文件夹或应用程序），它首先向服务器发起请求。此时，服务器尚不知晓客户端的身份，因此需要进行身份验证。

2. 服务器生成挑战（Server Challenge）

服务器生成一个 随机挑战值（Challenge），并将其发送给客户端。这个挑战值通常是一个 8 字节的随机数。

• 挑战的作用是防止重放攻击，确保每次认证请求都是唯一的。

3. 客户端生成响应（Client Response）

客户端收到服务器的挑战后，客户端会使用 NTLM 哈希 来生成响应。具体步骤如下：

• 用户密码的哈希：客户端使用本地存储的 NTLM 哈希密码（即密码的 MD4 或 MD5 哈希）来生成响应。对于 NTLMv1，通常使用 DES 加密算法，而 NTLMv2 使用 HMAC-MD5 算法来计算响应。
• 生成响应值：客户端计算出一个 响应值（Response），这个响应值是基于服务器发送的挑战值、客户端的 NTLM 哈希密码和一些其他数据（例如时间戳、会话标识符等）进行加密后得出的。

这里的加密过程就是挑战-响应机制的核心：客户端并不发送明文密码，而是通过加密后的哈希值与服务器通信。

• 对于 NTLMv1，响应生成过程是基于用户密码的哈希、服务器的挑战值以及会话标识符。
• 对于 NTLMv2，响应计算则更加复杂，采用了更强的 HMAC-MD5 加密算法，并且使用了时间戳、客户端和服务器的随机数等额外的安全信息，从而增强了安全性。

4. 服务器验证响应（Server Verification）

服务器在接收到客户端的响应后，会使用与客户端相同的过程（即基于存储在服务器上的用户 NTLM 哈希值）来验证客户端的响应：

• 服务器会计算一个预期的响应，并与客户端返回的响应进行比对。
• 如果两个响应一致，则表明客户端提供的身份信息是有效的，身份验证成功。
• 如果响应不一致，身份验证失败。

这个过程中的核心点是：即使攻击者截获了挑战值和响应值，由于响应是基于加密的哈希值生成的，攻击者无法恢复出原始密码。

5. 建立会话（Session Establishment）

如果身份验证成功，服务器会建立一个会话并允许客户端访问资源。服务器还会向客户端返回会话密钥（Session Key），这个密钥可以用于后续的加密通信。

• NTLM 协议支持通过加密保护后续的通信，确保数据传输的安全性。

NTLM 版本差异

NTLM 协议有多个版本，其中最常用的是 NTLMv1 和 NTLMv2。NTLMv2 在安全性上有显著的增强，尤其是在抵御暴力破解、重放攻击和中间人攻击等方面。

NTLMv1（早期版本）

• 弱加密：NTLMv1 使用的是较为简单的 DES 加密，这使得它容易受到暴力破解攻击。
• 固定的哈希计算方式：NTLMv1 生成的响应仅基于服务器挑战值、用户哈希和会话信息，缺乏时间戳等额外的保护措施。

NTLMv2（增强版本）

• 更强的加密机制：NTLMv2 使用 HMAC-MD5 算法进行响应计算，这比 NTLMv1 的 DES 加密更为安全。
• 时间戳保护：NTLMv2 引入了时间戳和其他数据来确保每次认证都是唯一的，防止重放攻击。
• 随机数和挑战增强：NTLMv2 在挑战过程中使用了更多的随机数和会话信息，增强了协议的抗攻击能力。

NTLM 的哈希计算

NTLM 身份验证过程中使用的 哈希值 是基于用户密码的加密哈希。这个哈希值存储在 Windows 的本地安全机构（LSA）中，并用于身份验证过程。用户密码的哈希是通过以下步骤计算的：

1. MD4 哈希（NT 哈希）：NTLM 哈希是对用户密码进行 MD4 加密得到的哈希值（16 字节）。
2. 加密密钥生成：NTLM 使用该哈希值作为对挑战值进行加密的密钥，以生成响应。

NTLM 的安全性与缺陷

尽管 NTLM 曾广泛使用，但它有许多安全缺陷，这也是为何它逐渐被 Kerberos 协议取代的原因之一：

• 暴力破解：由于 NTLMv1 使用较弱的加密算法，且使用的是用户密码的哈希值，因此可以通过暴力破解和字典攻击进行破解。
• 重放攻击：NTLM 协议容易受到重放攻击，尤其是在使用 NTLMv1 时。
• 缺乏前向安全性：NTLM 协议没有提供前向保密性，即使密钥泄露，之前的会话也可能被攻击者解密。

为了提高安全性，Microsoft 强烈推荐使用 NTLMv2，并且在更高安全需求的环境中使用 Kerberos 协议。

 

NTLM 的底层原理基于挑战-响应机制，通过加密哈希来验证用户身份，从而避免密码明文传输。NTLM 在身份验证过程中使用了加密哈希、随机挑战和响应的方式，确保了认证过程的安全性。尽管 NTLM 曾广泛使用，但由于其存在的安全漏洞（尤其是 NTLMv1），现代 Windows 环境中更推荐使用 Kerberos 作为认证协议。

---

禁止 NTLM（NT LAN Manager）身份验证协议的注册表配置，通常是为了提高网络安全性，尤其是在防止潜在的暴力破解攻击和减小系统漏洞的风险。NTLM 是一种较旧的身份验证协议，已知存在多种安全问题，因此，许多组织选择禁用它并转而使用更安全的身份验证方法，例如 Kerberos。

要通过注册表禁用 NTLM 身份验证，可以在 Windows 系统的注册表中进行以下更改：

禁用 NTLM 身份验证的注册表配置

1. 打开注册表编辑器：

   • 按下 Win + R 打开“运行”对话框。
   • 输入 regedit，然后按 Enter 键打开注册表编辑器。

2. 找到或创建相应的注册表项：

   • 导航到以下路径：
     Copy Code

     HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

   • 在 Lsa 项下，检查是否有以下键值，如果没有需要手动创建。

3. 禁用 NTLM 身份验证：

   • 右键点击 Lsa，选择 新建 > DWORD（32 位）值，命名为 NoLMHash。
   • 设置值为 1，以禁用 NTLM 哈希值存储，防止 NTLM 身份验证。

4. 禁用 NTLM 协议：

   • 在同一位置（HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa），创建一个新的 DWORD 值，命名为 LMCompatibilityLevel。
   • 将 LMCompatibilityLevel 设置为 5，该值会强制系统使用更强的身份验证协议，并禁用 NTLM。

   具体值的含义如下：

   • 0：允许 LM 和 NTLM 身份验证。
   • 1：仅允许 NTLM 身份验证。
   • 2：仅允许 NTLMv2 身份验证。
   • 3：仅允许 NTLMv2 身份验证，拒绝任何 LM 身份验证。
   • 4：仅允许 NTLMv2 身份验证，并要求所有客户端使用安全的设置。
   • 5：拒绝 LM 和 NTLM 身份验证，仅使用 Kerberos。

5. 重启计算机：

   • 完成上述步骤后，需要重新启动计算机以使设置生效。

示例 .reg 文件

你也可以通过 .reg 文件来进行注册表配置。以下是一个示例 .reg 文件，可以用于禁用 NTLM：

Copy Code

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"LMCompatibilityLevel"="5"
"NoLMHash"=dword:00000001

注意事项

• 禁用 NTLM 身份验证可能会影响一些依赖 NTLM 协议的旧应用程序或系统服务，因此在禁用 NTLM 之前，确保所有相关应用程序或服务都已经迁移到更安全的身份验证协议（如 Kerberos）。
• 在大规模部署中，建议先进行测试，确保不会对现有系统和应用程序的功能造成影响。

通过这种方式，你可以有效地限制或禁止 NTLM 身份验证，从而提升系统的整体安全性。

---

通过注册表禁用 NTLM 身份验证之外，禁用 NTLM 的措施通常还包括在 Windows 系统的其他位置进行配置。这些步骤可以进一步加强对 NTLM 协议的控制和禁用，特别是在企业环境中以提高网络安全性。以下是需要考虑的其他几个地方：

1. 组策略设置

通过组策略（Group Policy）来禁用 NTLM 是一种更为集中和可管理的方式，适用于域环境。可以通过以下步骤配置：

1.1 禁用 NTLM 身份验证

1. 打开 组策略管理编辑器：

   • 按下 Win + R，输入 gpedit.msc，然后按 Enter。

2. 导航到以下位置：

   Copy Code

   计算机配置 -> 管理模板 -> 系统 -> Net Logon

3. 找到并启用 “拒绝使用 NTLM” 策略：

   • 策略名称："拒绝使用 NTLM 身份验证"（"Deny use of NTLM"）。
   • 设置为 启用，然后选择 “全部拒绝” 以彻底禁用 NTLM。

1.2 设置 NTLM 限制 策略

1. 导航到：

   Copy Code

   计算机配置 -> 管理模板 -> 系统 -> Net Logon -> 设置 NTLM 身份验证限制

2. 配置以下设置：

   • “拒绝 NTLM”：可以选择 “拒绝在指定网络上使用 NTLM” 或 “强制拒绝 NTLM”，也可以仅限某些特定的域或 IP 地址。

2. 本地安全策略配置

本地安全策略可以直接影响本地计算机或小型环境中的 NTLM 配置。

2.1 打开本地安全策略

1. 打开 本地安全策略（secpol.msc）。
2. 导航到：
   Copy Code

   本地策略 -> 安全选项

2.2 配置 NTLM 相关选项

• “网络安全：LAN 管理员身份验证级别”（Network security: LAN Manager authentication level）： 这项设置允许你定义系统应接受的身份验证协议级别。为了禁用 NTLM，建议将其设置为 “仅使用 NTLMv2” 或 “拒绝 NTLM”。
  • 值说明：
    • 0：发送 LM 和 NTLM 响应。
    • 1：仅发送 NTLM 响应。
    • 2：发送 NTLMv2 响应。
    • 3：仅允许 NTLMv2 响应。
    • 4：拒绝所有 NTLM 响应（最高级别的禁用）。

3. Active Directory 配置（域环境）

在域环境中，可以通过 Active Directory 进一步限制 NTLM 的使用。以下是一些可以配置的项：

3.1 使用 NTLM 限制策略

• 在 Active Directory 域控制器上，配置 “NTLM 限制” 策略，禁止特定的服务器或客户端使用 NTLM 身份验证。

3.2 启用 Kerberos 认证优先

• 通过配置域控制器的 Kerberos 设置，确保使用 Kerberos 身份验证而非 NTLM。

3.3 配置域信任

• 确保所有的域信任都使用 Kerberos 而非 NTLM 进行身份验证。

3.4 NTLM 阻止的日志审核

• 配置日志记录功能，跟踪尝试使用 NTLM 身份验证的事件，并分析日志中是否存在未授权或不必要的 NTLM 使用。

4. 禁用 NTLM 在文件共享中

NTLM 不仅在登录认证中使用，还广泛用于 Windows 文件共享。以下是禁用 NTLM 的方法：

4.1 文件共享禁用 NTLM

通过配置 Windows 文件共享 设置，确保使用更强的身份验证方法（如 Kerberos），并禁用 NTLM。

1. 在文件共享的服务器上，使用组策略设置或本地安全策略，配置如下：
   • 在 本地安全策略 中禁用 NTLM。
   • 配置 Server 服务及共享的设置，确保启用 Kerberos 身份验证。

4.2 配置 SMB（Server Message Block）协议

• 在文件服务器上禁用 NTLM，还可以选择强制使用 SMB 3.0 及其相关安全增强功能。SMB 3.0 提供了更高安全性，且默认使用 Kerberos 身份验证。

5. 应用程序和服务

许多应用程序和服务可能仍然依赖 NTLM 身份验证（例如一些老旧的 Web 应用程序、邮件服务器等）。因此，禁用 NTLM 后，要确保所有服务都已迁移到 Kerberos 身份验证或其他更安全的方式。

5.1 对特定应用进行配置

在一些需要身份验证的应用程序中，确保它们支持 Kerberos 或现代身份验证协议，避免回退到 NTLM。

5.2 监控 NTLM 使用

通过配置 安全日志 来监控是否有 NTLM 身份验证的尝试，并采取必要的措施来减少其使用。例如，可以启用 NTLM 审计，查看是否有服务尝试回退到 NTLM。

6. 网络边界设备和防火墙

一些网络设备和防火墙可以被配置为检测和阻止 NTLM 请求，尤其是在域外网络中。确保这些设备的安全策略也被调整，以禁止 NTLM。

---

 

禁用 NTLM 并不是一项简单的任务，尤其是在现有系统和应用程序中可能仍然依赖该协议的情况下。全面禁用 NTLM 需要确保：

1. 所有系统和应用程序已迁移到更安全的身份验证方法（如 Kerberos）。
2. 确保不影响企业网络中的合法身份验证需求。
3. 定期进行审计，监控 NTLM 使用情况，并确保不会意外引入该协议。

这些设置需要在不同的环境中进行综合考量和部署，以最大化提升安全性，同时避免对现有业务流程和功能的影响。

---

通过 .reg 文件实现禁用 NTLM 身份验证，我们可以利用 Windows 注册表编辑器（Registry Editor）来配置相关设置。以下是一个基于注册表的解决方案，涵盖了一些关键的 NTLM 设置。

1. 禁用 NTLM 身份验证（网络安全配置）

这个设置会禁用 Windows 系统中的 NTLM 身份验证，并强制使用更安全的身份验证方法（例如 Kerberos）。

注册表内容：

Copy Code

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"LMCompatibilityLevel"=dword:00000005

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0]
"UseNTLMv2"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters]
"DisableNTLM"=dword:00000001

说明：

• LMCompatibilityLevel 设置为 5，这意味着强制使用 NTLMv2 或更高版本的身份验证。
• UseNTLMv2 设置为 1，表示系统只允许 NTLMv2 身份验证。
• DisableNTLM 设置为 1，强制禁用 NTLM。

2. 禁用 NTLM 在特定网络上

如果需要禁用 NTLM 仅在特定网络上，可以通过以下注册表修改来实现。

注册表内容：

Copy Code

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters]
"EnableNTLMOverTCP"=dword:00000000

说明：

• EnableNTLMOverTCP 设置为 0，可以禁用 NTLM 通过 TCP 进行的身份验证。

3. 配置 NTLM 限制

使用注册表来限制 NTLM 身份验证的使用，例如强制只使用 NTLMv2。

注册表内容：

Copy Code

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"restrictntlm"=dword:00000001

说明：

• restrictntlm 设置为 1，表示限制 NTLM 的使用。

4. 配置网络安全：LAN 管理员身份验证级别

这项设置配置了 NTLM 的级别，可以通过以下注册表实现。

注册表内容：

Copy Code

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"LMCompatibilityLevel"=dword:00000003

说明：

• LMCompatibilityLevel 设置为 3，表示仅允许 NTLMv2 响应，禁用 LM 和 NTLM。

5. 启用 Kerberos 优先

通过修改注册表，确保系统优先使用 Kerberos 身份验证。

注册表内容：

Copy Code

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Kerberos"="Enabled"

说明：

• Kerberos 设置为 Enabled，这将使 Kerberos 成为默认身份验证协议。

---

创建 .reg 文件

1. 打开 记事本，将上面提供的注册表代码复制粘贴到记事本中。
2. 将文件保存为 .reg 格式（例如：disable_ntlm.reg）。
3. 双击 .reg 文件来应用这些注册表设置。

注意事项

• 修改注册表之前，强烈建议先创建系统备份或注册表备份，以便出现问题时可以恢复。
• 在生产环境中禁用 NTLM 之前，确保所有相关的应用程序和服务都已支持 Kerberos 或其他更安全的身份验证协议。
• 修改注册表后，可能需要重新启动计算机以使更改生效。

通过这些注册表设置，可以有效地禁用或限制 NTLM 身份验证，并强制使用更安全的身份验证方法，进一步提升网络安全性。

---

在 Windows 操作系统中，NTLM（NT LAN Manager） 是一种身份验证协议，用于在局域网中验证用户和计算机之间的身份。通过注册表配置，管理员可以修改 NTLM 的行为以提高系统的安全性或满足特定的网络环境需求。以下是一些常见的 NTLM 相关注册表项及其功能。

1. LMCompatibilityLevel

位置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

说明:
此项控制 Windows 系统在身份验证时如何处理 LM 和 NTLM 协议。调整该值可以强制使用更强的 NTLMv2 协议，而不是较弱的 LM（LAN Manager）协议。
可能的值:

• 0: 默认设置，允许使用 LM、NTLM 和 NTLMv2。
• 1: 仅允许 NTLM 和 NTLMv2（不使用 LM）。
• 2: 仅允许 NTLMv2。
• 3: 仅允许 NTLMv2，但不允许 NTLM。
• 4: 强制 NTLMv2 是首选身份验证方法，但允许使用 LM 和 NTLM。
• 5: 强制 NTLMv2 是首选身份验证方法，并且禁止 LM 和 NTLM。

示例:

Copy Code

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"LMCompatibilityLevel"=dword:00000005

2. NoLMHash

位置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

说明:
此项用于禁用 LM 哈希存储密码。LM 哈希是旧版 Windows 系统使用的密码哈希方式，其安全性较差。启用该选项后，Windows 不会存储 LM 哈希，从而提高系统的密码安全性。

可能的值:

• 0: 允许存储 LM 哈希（默认）。
• 1: 禁止存储 LM 哈希。

示例:

Copy Code

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"NoLMHash"=dword:00000001

3. UseNTLMv2

位置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0

说明:
此项控制是否强制使用 NTLMv2 协议进行身份验证。NTLMv2 比 NTLMv1 更安全，推荐启用。

可能的值:

• 0: 禁用 NTLMv2。
• 1: 启用 NTLMv2。

示例:

Copy Code

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0]
"UseNTLMv2"=dword:00000001

4. RestrictNTLM

位置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

说明:
此项用于限制 NTLM 身份验证的使用。它可以指定哪些域控制器和计算机可以使用 NTLM 身份验证，或者强制使用 NTLMv2。
可能的值:

• 0: 不限制 NTLM。
• 1: 强制 NTLMv2。
• 2: 禁用 NTLM。

示例:

Copy Code

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"restrictntlm"=dword:00000001

5. EnableNTLMOverTCP

位置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

说明:
此项控制是否允许通过 TCP/IP 协议传输 NTLM 身份验证数据。禁用此项可以减少潜在的安全风险，尤其是在没有防火墙保护的环境中。

可能的值:

• 0: 禁用 NTLM 通过 TCP/IP 进行传输。
• 1: 启用 NTLM 通过 TCP/IP 进行传输。

示例:

Copy Code

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters]
"EnableNTLMOverTCP"=dword:00000000

6. DisableNTLM

位置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

说明:
此项控制是否完全禁用 NTLM 身份验证。禁用 NTLM 可以大幅提高系统的安全性，尤其是在有 Kerberos 身份验证可用的环境中。

可能的值:

• 0: 不禁用 NTLM。
• 1: 禁用 NTLM 身份验证。

示例:

Copy Code

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters]
"DisableNTLM"=dword:00000001

7. AuditNTLMInsecureTransport

位置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

说明:
此项配置审计 NTLM 使用不安全传输的事件。启用此项后，系统会记录所有通过不安全的传输方式（如明文）进行的 NTLM 身份验证请求。

可能的值:

• 0: 不启用审计。
• 1: 启用审计。

示例:

Copy Code

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"AuditNTLMInsecureTransport"=dword:00000001

8. AuditNTLMAuthentication

位置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

说明:
此项用于启用或禁用 NTLM 身份验证的审计日志记录。如果启用，则系统会记录每次 NTLM 身份验证的事件。

可能的值:

• 0: 不启用审计。
• 1: 启用审计。

示例:

Copy Code

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"AuditNTLMAuthentication"=dword:00000001

 

9. NTLMMinClientSec

位置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0

说明:
该项配置了最低的 NTLM 客户端安全性要求。可以强制客户端使用更高的安全级别来进行 NTLM 身份验证。通过设置这个值，可以提高身份验证的安全性。

可能的值:

• 0x00000000: 默认安全级别，允许任何类型的 NTLM 客户端进行连接。
• 0x00080000: 要求使用 NTLMv2 安全性。
• 0x00020000: 要求使用更强的加密。
• 0x00080000 | 0x00020000: 强制 NTLMv2 并要求更强的加密。

示例:

Copy Code

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0]
"NTLMMinClientSec"=dword:00020000

通过设置这个注册表项，可以确保客户端至少使用 NTLMv2 来进行身份验证，防止使用较弱的 NTLMv1 或 LM 协议。

10. DomainControllerNTLMAuthenticationLevel

位置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

说明:
此项控制域控制器如何处理 NTLM 身份验证请求。它允许管理员根据需要限制或增强 NTLM 身份验证的使用。

可能的值:

• 0: 默认值，允许所有 NTLM 请求。
• 1: 强制使用 NTLMv2。
• 2: 强制禁用 NTLM，仅允许 Kerberos 身份验证。

示例:

Copy Code

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters]
"DomainControllerNTLMAuthenticationLevel"=dword:00000002

设置为 2 可以强制整个域的控制器只使用 Kerberos 进行身份验证，从而消除 NTLM 协议的使用，提升安全性。

11. NTLMv2ResponseOnly

位置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

说明:
该项控制 NTLM 响应方式。如果启用该设置，则系统将只接受 NTLMv2 响应，这意味着 NTLMv1 不再被接受。此项增强了系统的安全性，因为 NTLMv1 存在多个已知的安全漏洞。

可能的值:

• 0: 禁用，仅接受 NTLMv2 响应。
• 1: 允许 NTLMv1 响应和 NTLMv2 响应。

示例:

Copy Code

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"NTLMv2ResponseOnly"=dword:00000001

12. NTLMLogs

位置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

说明:
此项控制 NTLM 日志的记录行为。可以启用 NTLM 身份验证的详细日志记录，从而帮助管理员分析和排查安全问题。

可能的值:

• 0: 禁用 NTLM 日志记录。
• 1: 启用 NTLM 日志记录。

示例:

Copy Code

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters]
"NTLMLogs"=dword:00000001

启用 NTLM 日志可以帮助管理员发现不安全的身份验证活动，但可能会导致日志文件过大，所以通常在故障排查时使用。

13. NTLMResponseOnly

位置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

说明:
此项设置限制 NTLM 响应方式，仅允许接受 NTLM 响应，而不接受其他类型的身份验证方式。

可能的值:

• 0: 启用所有响应方式。
• 1: 只接受 NTLM 响应。

示例:

Copy Code

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters]
"NTLMResponseOnly"=dword:00000001

14. AuditNTLMAuthenticationLevel

位置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

说明:
此项配置是否启用 NTLM 身份验证级别的审计功能。它帮助管理员记录哪些身份验证尝试符合预设的安全级别。

可能的值:

• 0: 禁用 NTLM 身份验证级别审计。
• 1: 启用 NTLM 身份验证级别审计。

示例:

Copy Code

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"AuditNTLMAuthenticationLevel"=dword:00000001

15. DisableLM

位置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

说明:
此项设置可以禁用 LM 身份验证。LM（LAN Manager）是非常老旧的身份验证协议，易受各种攻击（例如：破解 LM 哈希）。强烈建议在现代环境中禁用 LM。

可能的值:

• 0: 不禁用 LM 身份验证（默认设置）。
• 1: 禁用 LM 身份验证。

示例:

Copy Code

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"DisableLM"=dword:00000001

禁用 LM 能有效提高系统的安全性，尤其是在存储密码时，避免弱哈希存储问题。

16. RestrictReceivingNTLM

位置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

说明:
此项设置用于限制 NTLM 身份验证请求的接收。可以通过此设置来控制是否允许某些设备或服务发起 NTLM 身份验证请求。

可能的值:

• 0: 允许接收 NTLM 身份验证请求。
• 1: 禁止接收 NTLM 身份验证请求。

示例:

Copy Code

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"RestrictReceivingNTLM"=dword:00000001

当启用此项时，系统将拒绝来自非信任源的 NTLM 身份验证请求，从而提高网络安全性。这在减少中间人攻击（MITM）时非常有用。

17. AuditNTLMv2

位置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

说明:
此项设置是否启用 NTLMv2 的审计功能。启用此项后，系统会记录所有使用 NTLMv2 进行身份验证的事件，可以帮助管理员监控 NTLMv2 的使用情况。

可能的值:

• 0: 禁用 NTLMv2 审计。
• 1: 启用 NTLMv2 审计。

示例:

Copy Code

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"AuditNTLMv2"=dword:00000001

启用此项可以帮助追踪和审计 NTLMv2 的身份验证活动，并检测是否存在可疑的身份验证行为。

18. EnableNTLMv1

位置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

说明:
该项决定是否启用 NTLMv1 协议。NTLMv1 是一个较为老旧且容易受到攻击的身份验证协议，通常建议禁用它。

可能的值:

• 0: 禁用 NTLMv1（推荐设置）。
• 1: 启用 NTLMv1。

示例:

Copy Code

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"EnableNTLMv1"=dword:00000000

禁用 NTLMv1 可以有效减少基于弱密码和哈希算法的攻击风险，特别是密码暴力破解攻击。

19. AuditNTLMFailures

位置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

说明:
此项配置是否启用 NTLM 认证失败事件的审计。启用此项后，系统将记录所有 NTLM 身份验证失败的事件，帮助管理员及时发现潜在的安全问题。

可能的值:

• 0: 禁用 NTLM 认证失败的审计。
• 1: 启用 NTLM 认证失败的审计。

示例:

Copy Code

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"AuditNTLMFailures"=dword:00000001

启用此项能够增强对登录失败或其他身份验证问题的监控，有助于发现账户暴力破解攻击或误配置等问题。

20. AllowInsecureNetlogon

位置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Netlogon

说明:
此项设置允许或禁止不安全的 Netlogon 连接。Netlogon 是用于身份验证的一种协议，如果启用不安全的连接，则可能会暴露网络身份验证过程。

可能的值:

• 0: 禁用不安全的 Netlogon 连接。
• 1: 允许不安全的 Netlogon 连接。

示例:

Copy Code

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Netlogon]
"AllowInsecureNetlogon"=dword:00000000

禁用不安全的 Netlogon 连接可以避免某些潜在的安全风险，尤其是在混合环境或较老的系统中使用 NTLM 协议时。

21. NTLMBackupFile

位置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

说明:
此项允许备份 NTLM 哈希存储文件。通常，NTLM 哈希会存储在系统的安全存储中（如 SAM 文件），而这个项提供了备份和恢复的功能。

可能的值:

• 0: 禁用 NTLM 哈希文件的备份。
• 1: 启用 NTLM 哈希文件的备份。

示例:

Copy Code

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"NTLMBackupFile"=dword:00000001

启用备份功能有助于恢复丢失或损坏的 NTLM 哈希，但在一些安全性要求极高的环境中，可能需要禁用此功能以防止潜在的风险。

22. ForceLogoffWhenSessionEnds

位置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Logon

说明:
此项设置控制是否强制注销 NTLM 会话。一旦用户会话结束，将立即注销其 NTLM 身份验证信息，避免身份验证凭证在非活动状态下泄露。

可能的值:

• 0: 不强制注销 NTLM 会话。
• 1: 强制注销 NTLM 会话。

示例:

Copy Code

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Logon]
"ForceLogoffWhenSessionEnds"=dword:00000001

启用此项有助于提升安全性，特别是在共享计算机上，避免用户身份信息长期存留在系统中。

23. RestrictNTLM

位置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

说明:
该注册表项用于配置是否限制系统中的 NTLM 使用。可以通过此设置强制系统使用更安全的身份验证协议（如 Kerberos），从而减少 NTLM 的使用，增强安全性。

可能的值:

• 0: 不限制 NTLM 使用。
• 1: 禁止使用 NTLM。
• 2: 禁止使用 NTLM，但允许对已配置的信任的域进行身份验证。
• 3: 禁止使用 NTLM，甚至对于信任域也不允许使用。

示例:

Copy Code

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"RestrictNTLM"=dword:00000002

通过该配置，可以实现更严格的控制，完全禁用 NTLM 或限制其在特定环境中的使用。这对于强化网络安全和减少攻击面非常重要。

24. AuditCredentialManager

位置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CredentialManager

说明:
该注册表项用于控制是否启用 Credential Manager 中的审计功能。启用该功能后，系统将记录并审计存储在 Credential Manager 中的凭证，帮助管理员跟踪和管理这些敏感信息。

可能的值:

• 0: 禁用 Credential Manager 审计。
• 1: 启用 Credential Manager 审计。

示例:

Copy Code

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CredentialManager]
"AuditCredentialManager"=dword:00000001

启用 Credential Manager 审计可以帮助检测是否有未经授权的凭证访问尝试，特别是在需要保护用户密码或其他敏感信息的环境中。

25. EnableNetlogon

位置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Netlogon

说明:
此项设置用于启用或禁用 Netlogon 服务。Netlogon 服务主要负责 Windows 域控制器之间的身份验证和信任关系管理。如果禁用此服务，系统将无法执行域身份验证。

可能的值:

• 0: 禁用 Netlogon 服务。
• 1: 启用 Netlogon 服务。

示例:

Copy Code

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Netlogon]
"EnableNetlogon"=dword:00000001

在生产环境中，通常会启用 Netlogon 服务，以确保 Windows 域控制器能够执行身份验证和管理信任关系。但在某些封闭环境或特殊配置中，可能需要禁用此服务来提高安全性。

26. DisableKerberos

位置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

说明:
此项控制是否禁用 Kerberos 身份验证协议。Kerberos 是一种比 NTLM 更加安全和高效的身份验证协议。通常情况下，应避免禁用 Kerberos。

可能的值:

• 0: 启用 Kerberos 身份验证。
• 1: 禁用 Kerberos 身份验证。

示例:

Copy Code

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"DisableKerberos"=dword:00000000

禁用 Kerberos 会显著降低身份验证的安全性，因此除非有特殊需求，否则应始终启用 Kerberos 身份验证。

27. NoLMHash

位置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

说明:
此项配置是否允许在密码更改时生成 LM 哈希。LM 哈希（LAN Manager Hash）是 NTLM 协议中一种较为过时且容易被破解的加密哈希方式。禁用 LM 哈希有助于提高安全性。

可能的值:

• 0: 允许生成 LM 哈希（不推荐）。
• 1: 禁止生成 LM 哈希（推荐）。

示例:

Copy Code

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"NoLMHash"=dword:00000001

禁用 LM 哈希可以避免通过暴力破解破解较弱的哈希值，这对于提高安全性至关重要。

28. MaxTokenSize

位置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

说明:
此项设置定义了 NTLM 令牌的最大大小。NTLM 令牌用于存储身份验证信息，允许计算机对用户进行身份验证。通过限制令牌的大小，可以防止某些类型的 DoS 攻击。

可能的值:

• 0x10000（64 KB）：默认令牌大小。
• 根据需要设置值，如 0x20000（128 KB）等。

示例:

Copy Code

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"MaxTokenSize"=dword:00010000

适当设置令牌大小可以避免某些潜在的安全风险，尤其是防止令牌溢出等攻击。

29. AllowAnonymous

位置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

说明:
此项配置是否允许匿名用户访问。默认情况下，Windows 禁止匿名访问，以确保系统安全。可以通过此项设置启用或禁用匿名访问。

可能的值:

• 0: 禁止匿名访问。
• 1: 允许匿名访问。

示例:

Copy Code

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"AllowAnonymous"=dword:00000000

禁用匿名访问可以防止未经授权的访问，避免潜在的安全风险。

30. ForceUserLogin

位置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

说明:
此项设置强制所有用户必须使用特定的登录方式，例如强制使用智能卡或双重身份验证。启用此功能有助于提高系统的登录安全性。

可能的值:

• 0: 禁用强制用户登录。
• 1: 强制用户使用指定的登录方式。

示例:

Copy Code

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"ForceUserLogin"=dword:00000001

启用强制用户登录可以确保所有用户遵循特定的身份验证策略，从而增强整体安全性。

 

通过注册表中的这些配置项，系统管理员可以灵活地控制 NTLM 协议的行为，从而增强网络安全性。通常，推荐使用 NTLMv2 并禁用 LM 哈希和不安全的 NTLM 传输方式。如果没有特殊的兼容性需求，最好禁用 NTLM，转而使用更安全的身份验证协议（如 Kerberos）。

---