NTML認証が廃止になるという記事がありました。
攻撃者にとって、初期侵入後に実施する内容の中にNTML認証のハッシュ値の取得があります。
NTML認証では、平文のパスワードからハッシュ値を作成し、それを認証に使用します。攻撃者からすれば、元の平文パスワードを特定することなく認証を突破できるので、狙われやすい箇所になります。
NTML認証のハッシュ値は、WindowsのレジストリハイブであるSAMに保存され、普段はアクセスできないようになっていますが、Mimikatzなどのペネとレーションツールを使用すればアクセスが可能になります。
現在ではKerberos認証などの認証方法がありますが、古いWindowsを使用している環境では、NTML認証が使用されている実情があります。特に、閉域網は攻撃者は入ってこないという油断からバージョンアップ等が軽視される印象があります。閉域網だと思っていたら実はそうじゃなかったという事例もありますので、油断は禁物です。
Microsoftは次の年次のリリースでも、NTMLを引き続きサポートしますが、Windows Server管理者は最初に Kerberos で認証を試み、必要な場合にのみ NTLM にフォールバックする「ネゴシエート」に移行する設定をする必要があります。
自社の環境内でNTMLがどのように使用されているか把握し、最新のプロトコルへの移行計画を立てることが必要になります。
