NTLM là gì? Cách hoạt động và phòng tránh

Vinh Phạm

1415

15-08-2025

NTLM (NT LAN Manager) là một giao thức xác thực của Microsoft, được phát triển để bảo vệ thông tin người dùng trong các môi trường mạng Windows. Cùng Bizfly Cloud tìm hiểu chi tiết về cách hoạt động cũng như ưu nhược điểm của nó qua bài viết dưới đây.

NTLM là gì?

NTLM là viết tắt của NT LAN Manager là một giao thức xác thực dựa trên thách thức và phản hồi, cho phép người dùng chứng minh danh tính của họ khi truy cập vào tài nguyên mạng như máy chủ tập tin hay máy in.

Giao thức NTLM bao gồm ba phần chính:

• Xác thực: Xác minh quyền truy cập của người dùng.
• Mã hóa: Bảo vệ thông tin xác thực khỏi bị đánh cắp.
• Quản lý phiên: Duy trì thông tin phiên làm việc giữa máy khách và máy chủ.

NTLM giữ vai trò quan trọng trong việc bảo mật thông tin trong các tổ chức khi mà các giao thức khác vẫn chưa đủ phổ biến. Việc triển khai NTLM giúp bảo vệ các tài nguyên quan trọng, đồng thời đảm bảo rằng chỉ những người dùng được phép mới có thể truy cập vào các dữ liệu nhạy cảm.

Lịch sử phát triển NTLM

Giao thức NTLM lần đầu tiên được giới thiệu với Windows NT 3.1 vào năm 1993. Nó đã được phát triển nhằm mục đích cải thiện bảo mật mạng so với các giao thức trước đó như LAN Manager. NTLM sử dụng cơ chế mã hóa để bảo vệ thông tin xác thực, đánh dấu sự chuyển mình trong công nghệ bảo mật tại thời điểm đó.

Vào năm 1996, Microsoft đã phát hành NTLMv2, một phiên bản nâng cấp mạnh mẽ hơn của NTLM. Phiên bản này không chỉ cải thiện khả năng bảo mật thông qua việc sử dụng mã hóa mạnh hơn mà còn bổ sung thêm nhiều tính năng mới như xác thực thông qua các thách thức phức tạp hơn.

Với sự phát triển mạnh mẽ của giao thức Kerberos vào cuối những năm 1990, Microsoft đã bắt đầu khuyến nghị sử dụng Kerberos thay vì NTLM cho các mạng Windows hiện đại. Tuy nhiên, NTLM vẫn được duy trì để tương thích với các hệ thống cũ và những ứng dụng chưa hỗ trợ Kerberos.

Cách hoạt động của NTLM

Cách hoạt động cơ bản của NTLM diễn ra theo quy trình challenge-response gồm các bước:

• Máy khách gửi yêu cầu truy cập kèm theo thông tin đăng nhập người dùng đến máy chủ.
• Máy chủ tạo ra một chuỗi “challenge” ngẫu nhiên và gửi lại cho máy khách.
• Máy khách sử dụng mật khẩu người dùng để mã hóa chuỗi challenge (thông qua hàm băm mật khẩu) và gửi kết quả cho máy chủ.
• Máy chủ kiểm tra tính xác thực bằng cách so sánh phản hồi với giá trị kỳ vọng dựa trên mật khẩu người dùng đã biết, nếu khớp thì xác thực thành công.

NTLMv1 và NTLMv2 có gì khác nhau?

Dù cả hai phiên bản NTLM đều phục vụ mục đích giống nhau nhưng có một số điểm khác biệt đáng chú ý giữa NTLMv1 và NTLMv2.

Cải tiến về bảo mật

NTLMv2 được thiết kế để khắc phục nhiều lỗ hổng mà NTLMv1 mắc phải. Một trong những cải tiến lớn nhất là việc sử dụng thuật toán mã hóa mạnh mẽ hơn, giúp bảo vệ thông tin xác thực tốt hơn.

Thêm tính năng xác thực

NTLMv2 cũng bổ sung khả năng xác thực dựa trên thời gian, có nghĩa là mỗi thách thức và phản hồi sẽ có hiệu lực trong một khoảng thời gian nhất định, làm giảm nguy cơ tấn công replay.

Hỗ trợ xác thực theo nhóm

Trong khi NTLMv1 chỉ hỗ trợ xác thực đơn giản, NTLMv2 cho phép xác thực theo nhóm, giúp dễ dàng hơn trong việc quản lý quyền truy cập cho nhiều người dùng.

Ứng dụng NTLM trong môi trường Windows

• Nhiều tổ chức vẫn duy trì NTLM trong môi trường mạng nội bộ của họ, nơi mà việc quản lý truy cập là rất quan trọng. NTLM giúp đảm bảo rằng chỉ những người dùng có quyền mới có thể truy cập vào tài nguyên quan trọng.
• Xác thực người dùng khi đăng nhập trên các hệ thống Windows hoặc trong mạng nội bộ (intranet) khi Kerberos không khả dụng hoặc không được cấu hình.
• Xác thực cho các dịch vụ và ứng dụng kế thừa trong hệ thống Windows, đặc biệt là trong các tình huống không hỗ trợ Kerberos như khi máy khách không thuộc miền Active Directory hoặc mạng không có bộ điều khiển miền.
• NTLM còn dùng trong các giao thức truyền thông như SMB (Server Message Block) để xác thực các máy tính chia sẻ tài nguyên.

NTLM có ưu điểm gì nổi bật?

Mặc dù NTLM đã được nhiều giao thức hiện đại thay thế nhưng nó vẫn giữ được một số ưu điểm đáng kể.

Đơn giản trong triển khai: Đối với các tổ chức đã quen thuộc với Windows, việc cấu hình và sử dụng NTLM không đòi hỏi nhiều kiến thức kỹ thuật.

Khả năng tương thích: NTLM vẫn được hỗ trợ trên nhiều phiên bản Windows và trong nhiều ứng dụng cũ, giúp cho nó trở thành một lựa chọn khả thi cho những ai cần duy trì tính tương thích.

Bảo mật khá tốt: Dù không hoàn hảo, NTLM vẫn cung cấp một mức độ bảo mật tương đối tốt cho thông tin người dùng, nhất là khi so sánh với các giao thức xác thực cũ hơn như LAN Manager.

Một số hạn chế của NTLM

Bên cạnh những ưu điểm, NTLM cũng tồn tại nhiều hạn chế mà người dùng cần chú ý.

Tốc độ bảo mật không cao: Mặc dù NTLM đã cải thiện đáng kể về bảo mật so với các giao thức trước đó, nhưng nó vẫn không thể so sánh với Kerberos. Các cuộc tấn công như brute force và replay attack vẫn có thể xảy ra.

Khó khăn trong quản lý người dùng: Khi số lượng người dùng gia tăng, việc quản lý và kiểm soát quyền truy cập trở nên khó khăn hơn với NTLM, đặc biệt là trong các môi trường lớn.

Các kiểu tấn công liên quan tới NTLM

Tấn công Replay

Tấn công replay xảy ra khi một kẻ tấn công ghi lại thông tin xác thực và sau đó gửi lại chúng cho máy chủ để giả mạo người dùng. NTLM có thể gặp rủi ro cao từ loại tấn công này nếu không được bảo vệ đúng cách.

Tấn công Brute Force

Với các mật khẩu yếu, NTLM có thể dễ dàng bị tấn công bằng phương pháp brute force. Kẻ tấn công có thể thử nhiều mật khẩu khác nhau cho đến khi tìm thấy mật khẩu đúng.

Tấn công Pass-the-Hash

Một trong những kỹ thuật nguy hiểm nhất đối với NTLM là tấn công pass-the-hash. Kẻ tấn công có thể lấy giá trị hash của mật khẩu và sử dụng nó để xác thực mà không cần biết mật khẩu thực tế.

Cách phòng tránh rủi ro nếu vẫn muốn dùng NTLM

Nếu tổ chức của bạn vẫn cần sử dụng NTLM, có một số biện pháp phòng tránh rủi ro mà bạn có thể thực hiện.

Sử dụng mật khẩu mạnh: Thực hiện chính sách mật khẩu mạnh để giảm thiểu khả năng bị tấn công brute force. Mật khẩu nên dài và có sự kết hợp giữa chữ cái, số và ký tự đặc biệt.

Giới hạn quyền truy cập: Giới hạn quyền truy cập cho người dùng và máy tính trong mạng. Chỉ những người dùng thực sự cần thiết mới nên có quyền truy cập vào các tài nguyên nhạy cảm.

Cập nhật thường xuyên: Thường xuyên cập nhật và vá lỗi cho các hệ thống đang chạy NTLM để ngăn chặn các lỗ hổng bảo mật mới có thể bị khai thác.

Kết luận

NTLM là một giao thức xác thực quan trọng trong môi trường Windows, mặc dù đã có nhiều giao thức hiện đại hơn nhưng NTLM vẫn giữ được vai trò của nó nhờ vào tính tương thích và sự đơn giản trong triển khai.

Tuy nhiên, tổ chức cần nắm rõ những ưu điểm và nhược điểm của nó, cũng như áp dụng các biện pháp bảo mật phù hợp để giảm thiểu rủi ro khi sử dụng NTLM.