¿Qué es NTLM (administrador de LAN de nueva tecnología)?

12 de junio de 2025

NTLM (Nueva Tecnología) LAN Manager) es un conjunto de protocolos de seguridad de Microsoft utilizados para autenticación, integridad y confidencialidad en entornos Windows.

¿Qué es ntlm?

¿Qué es NTLM?

NTLM, o New Technology LAN Manager, es un protocolo de autenticación propietario de Microsoft, diseñado para autenticar usuarios y equipos en redes basadas en Windows. Funciona mediante un mecanismo de desafío-respuesta, donde el cliente demuestra que conoce la contraseña del usuario sin enviarla a través de la red. Cuando un usuario intenta acceder a un recurso, el... server lanza un desafío al cliente, que luego encripta Este desafío usando un hachís de la contraseña del usuario y devuelve el resultado.

La server Realiza la misma operación y compara los resultados para autenticar al usuario. NTLM se introdujo como parte de Windows NT y admite la autenticación de mensajes. integridad y confidencialidad mediante la firma y el sellado de mensajes. Sin embargo, carece de protecciones criptográficas modernas y autenticación mutua, lo que lo hace vulnerable a diversos ataques, como los de paso de hash y los de repetición. Como resultado, ha sido reemplazado por... Kerberos en entornos de Active Directory pero sigue en uso durante sistemas heredados, escenarios que no son de dominio, o cuando interoperabilidad Se requiere software más antiguo.

Características clave de NTLM

Aquí se presentan las características clave de NTLM, cada una explicada en detalle.

1. Autenticación de desafío-respuesta

NTLM utiliza un mecanismo de desafío-respuesta en lugar de enviar contraseñas a través de la red. Cuando un usuario intenta autenticarse, server Envía un desafío aleatorio. El cliente cifra este desafío usando un hash de la contraseña del usuario y lo envía de vuelta. server Luego realiza la misma operación y compara el resultado para verificar la identidad. Esto reduce el riesgo de exposición de la contraseña durante transmisión.

2. Almacenamiento de credenciales basado en hash

NTLM no almacena contraseñas en texto plano, sino que utiliza valores hash (normalmente hashes NT). Estos se derivan de la contraseña del usuario mediante una función hash criptográfica. Si bien esto es más seguro que almacenar contraseñas en texto plano, sigue presentando un riesgo si se roban los hashes, ya que pueden reutilizarse en ataques de transferencia de hashes.

3. Integridad y confidencialidad del mensaje

NTLM admite la firma de mensajes (para verificar su integridad) y el sellado de mensajes (para cifrar su contenido). Estas funciones están diseñadas para proteger contra la manipulación y el espionaje, aunque son opcionales y no siempre se aplican por defecto.

4. Compatibilidad con sistemas heredados y que no son de dominio

NTLM aún se usa ampliamente para autenticar usuarios en sistemas que no están unidos a un dominio de Active Directory o cuando no se admite Kerberos. Esto lo hace valioso en entornos mixtos con software antiguo o al trabajar con integraciones de terceros que dependen de NTLM.

5. Varias versiones (LM, NTLMv1, NTLMv2)

Existen diferentes versiones de NTLM con distintas capacidades de seguridad. NTLMv1 y el antiguo LAN Manager (LM) se consideran inseguros, mientras que NTLMv2 proporciona una seguridad mejorada mediante un hash más robusto (HMAC-MD5) y una mejor gestión de desafío-respuesta. Sin embargo, incluso NTLMv2 no es tan seguro como Kerberos.

6. Compatibilidad con inicio de sesión único (SSO) (limitada)

NTLM admite una forma básica de inicio de sesión único (SSO) En entornos Windows. Una vez que un usuario inicia sesión y se autentica, sus credenciales se pueden reutilizar para acceder a múltiples servicios dentro del mismo... SesiónSin embargo, esto es limitado en comparación con la capacidad completa de SSO basada en tickets de Kerberos.

7. Sin autenticación mutua

NTLM autentica al cliente en el server Pero no al revés. Esta falta de autenticación mutua abre la puerta a... hombre en el medio (MitM) Ataques en los que un atacante se hace pasar por una persona de confianza. server.

¿Cómo funciona NTLM?

¿Cómo funciona ntlm?

NTLM utiliza un mecanismo de desafío-respuesta que permite a un cliente demostrar su identidad a un server Sin transmitir la contraseña real. Así es como se desarrolla el proceso, generalmente en tres pasos durante la autenticación.

1. Negociar

El cliente inicia la comunicación enviando un Mensaje de Negociación al serverEste mensaje incluye las funciones NTLM compatibles con el cliente e indica que desea utilizar NTLM para la autenticación.

2. Desafiar

La server Responde con un mensaje de desafío, que contiene un nonce generado aleatoriamente (un número único) llamado "desafío". Este nonce se utiliza para prevenir ataques de repetición.

3. Autenticar

El cliente toma la serverEl desafío de y utiliza el hash de la contraseña del usuario para calcular una respuesta criptográfica. Esto se denomina respuesta NTLM y se envía de vuelta al server en un mensaje de autenticación, junto con el nombre de usuario y otros metadatos.

¿Para qué se utiliza NTLM?

NTLM se utiliza para autenticar usuarios y equipos en entornos Windows, especialmente cuando protocolos más modernos como Kerberos no están disponibles o no son compatibles. Permite que los sistemas verifiquen la identidad y otorguen acceso a los recursos de red sin transmitir contraseñas en texto plano.

Los casos de uso comunes incluyen:

  • Acceder a carpetas e impresoras compartidas en máquinas Windows locales o remotas en grupos de trabajo o redes que no sean de dominio.
  • Autenticación de usuarios remotos Conectarse a sistemas o servicios heredados que no admiten Kerberos.
  • Autenticación de respaldo en dominios de Active Directory cuando Kerberos falla (por ejemplo, debido a DNS problemas o SPN faltantes).
  • Inicio de sesión único (SSO) dentro de las intranets usando Windows más antiguo aplicaciones o protocolos que dependen de NTLM.
  • Integración con Aplicaciones de terceros o dispositivos que solo admiten autenticación basada en NTLM (por ejemplo, algunos más antiguos) NAS sistemas, proxieso web servers utilizando la autenticación NTLM HTTP).

¿Cómo puedo saber si todavía se utiliza NTLM?

Para determinar si NTLM aún se utiliza en su entorno, puede supervisar el tráfico de autenticación con herramientas como el Visor de eventos de Microsoft, concretamente habilitando la auditoría de NTLM mediante la directiva de grupo (Seguridad de red: Restringir la configuración de NTLM). Una vez configurado, los intentos de autenticación relacionados con NTLM se registrarán con identificadores de eventos de seguridad como 4624 (inicio de sesión) y 4776 (Autenticación NTLM).

También puede usar herramientas de monitorización de red como Wireshark para inspeccionar el tráfico en busca de mensajes NTLMSSP, que indican negociación NTLM. Además, herramientas como Microsoft Defender for Identity o soluciones de auditoría de terceros pueden generar informes sobre el uso de protocolos heredados en su... dominio.

Identificar el uso de NTLM es esencial para evaluar los riesgos de seguridad y planificar una migración a métodos de autenticación más seguros como Kerberos o protocolos de identidad modernos.

¿Debo desactivar NTLM?

Deshabilitar NTLM puede mejorar significativamente su seguridad, pero debe hacerse con cautela y solo después de confirmar que no afectará a los sistemas críticos. NTLM es un protocolo antiguo con vulnerabilidades conocidas, como la susceptibilidad a ataques de paso de hash, retransmisión y intermediarios. Si su entorno admite Kerberos o métodos de autenticación modernos, deshabilitar NTLM reduce la superficie de ataque e impone prácticas de autenticación más robustas.

Sin embargo, muchas aplicaciones, dispositivos y sistemas antiguos (incluidos algunos recursos compartidos de archivos, impresoras o servicios de terceros) aún pueden depender de NTLM para la autenticación. Antes de deshabilitarlo, debe:

  • Auditar el uso de NTLM utilizando la política de grupo y el registro de eventos.
  • Identificar dependencias en NTLM mediante el análisis del tráfico de inicio de sesión.
  • Configuraciones de reemplazo de prueba, como Kerberos o la autenticación basada en certificados.
  • Restringir gradualmente el NTLM en lugar de deshabilitarlo por completo, comenzar con políticas como “Autenticación NTLM en este dominio” y delimitarlas por sistema o usuario.

¿Cómo proteger o eliminar NTLM?

Cómo proteger ntlm

Para proteger o eliminar NTLM en su entorno, siga un enfoque estructurado que incluya auditoría, aplicación de políticas y reemplazo por protocolos más seguros. A continuación, le explicamos cómo:

1. Auditar el uso de NTLM

Comencemos por identificar dónde y cómo se utiliza NTLM:

  • Habilitar la auditoría NTLM a través de la directiva de grupo:
    Configuración del equipo → Políticas → Configuración de Windows → Configuración de seguridad → Políticas locales → Opciones de seguridad → Seguridad de red: Restringir NTLM.
  • Revisar los registros del Visor de eventos (ID como 4624, 4776) para encontrar intentos de autenticación NTLM.
  • Use Microsoft Defender para la identidad, Azure ATPo herramientas de terceros para análisis centralizado.

2. Implementar políticas NTLM restrictivas

Ajuste gradualmente el uso de NTLM con configuraciones de GPO:

  • Configure Restringir NTLM para auditar el tráfico NTLM entrante y rastrear el uso.
  • Aplique Restringir NTLM en este dominio para permitir, denegar o auditar NTLM en diferentes ámbitos.
  • Utilice la configuración LMCompatibilityLevel para aplicar únicamente NTLMv2 o Kerberos.

3. Migrar a Kerberos o autenticación moderna

Asegúrese de que los sistemas estén configurados para usar Kerberos siempre que sea posible:

  • Configurar correctamente los nombres principales de servicio (SPN) para Kerberos.
  • Asegúrese de que la resolución de DNS, la sincronización horaria y las relaciones de confianza del dominio sean adecuadas.
  • Para las aplicaciones que no pueden usar Kerberos, considere reemplazarlas o actualizarlas con alternativas modernas que las admitan. SAML, OAuth o autenticación basada en certificados.

4. Asegure NTLM si no se puede eliminar

Si los sistemas heredados requieren NTLM:

  • Aplique NTLMv2 únicamente configurando LMCompatibilityLevel = 5.
  • Habilite la firma y el sellado de mensajes para protegerse contra manipulaciones.
  • Limitar el uso de NTLM a través de cortafuegos reglas o segmentación para aislar los sistemas heredados.
  • Utilice estaciones de trabajo de acceso privilegiado (PAW) y acceso justo a tiempo (JIT) para cuentas que deben autenticarse mediante NTLM.

5. Probar y eliminar gradualmente el NTLM

Después de la auditoría y el ajuste de políticas:

  • Pruebe nuevas configuraciones de autenticación en un laboratorio o entorno de prueba.
  • Implementar gradualmente las restricciones NTLM en producción.
  • Monitorear los registros y los comentarios de los usuarios para detectar fallas y remediarlas según sea necesario.

¿Cuáles son los beneficios y los desafíos del NTLM?

NTLM ofrece una funcionalidad básica de autenticación fácil de implementar y compatible con sistemas heredados, lo que la hace útil en ciertos entornos donde no se admiten protocolos modernos como Kerberos. Sin embargo, su diseño obsoleto presenta importantes desafíos de seguridad, como protecciones criptográficas deficientes y vulnerabilidad a diversos ataques.

Comprender tanto los beneficios como los desafíos del NTLM es esencial para tomar decisiones informadas sobre su uso y posible reemplazo.

Beneficios de NTLM

A continuación se presentan algunos de los beneficios clave:

  • Compatibilidad heredadaNTLM admite sistemas y aplicaciones de Windows más antiguos que no reconocen ni admiten Kerberos, lo que resulta útil para mantener la compatibilidad con versiones anteriores.
  • Sin dependencia de los controladores de dominioA diferencia de Kerberos, NTLM no requiere una conexión a un Centro de distribución de claves (KDC), lo que le permite funcionar en escenarios independientes o desconectados.
  • Implementación simpleNTLM es relativamente fácil de configurar y usar, y requiere una configuración mínima, lo que lo hace adecuado para implementaciones rápidas o entornos con recursos administrativos limitados.
  • Inicio de sesión único básicoNTLM permite capacidades de SSO limitadas dentro de una sola sesión, lo que permite a los usuarios acceder a múltiples recursos sin solicitudes de autenticación repetidas.
  • Mecanismo de autenticación de respaldoEn entornos mixtos o mal configurados donde Kerberos falla (por ejemplo, problemas de DNS o sincronización horaria), NTLM puede servir como backup Para mantener el acceso.

Desafíos del NTLM

A continuación se presentan los principales desafíos del NTLM:

  • Criptografía débilNTLM utiliza algoritmos hash obsoletos (como MD4 en hashes NT), que son vulnerables a fuerza bruta y ataques de diccionario.
  • Susceptibilidad al robo de credencialesLos atacantes pueden explotar NTLM en ataques de paso de hash, retransmisión o reproducción para suplantar a los usuarios sin necesidad de sus contraseñas de texto simple.
  • Sin autenticación mutua. NTLM solo autentica al cliente en el server, lo que lo hace vulnerable a ataques de intermediarios donde un actor malicioso se hace pasar por un usuario confiable. server.
  • La falta de escalabilidadNTLM no admite delegación ni emisión de tickets como Kerberos, lo que limita su uso en entornos empresariales complejos con múltiples servicios y niveles de identidad.
  • Difícil de monitorear y controlarEl tráfico de autenticación NTLM puede ser difícil de rastrear en entornos grandes y su uso continuo puede pasar desapercibido, lo que genera riesgos de seguridad ocultos.
  • Incompatible con los estándares de seguridad modernos. NTLM carece de soporte para autenticación multifactor (MFA), acceso condicional y otras protecciones de identidad avanzadas que se encuentran en los protocolos modernos.

NTLM frente a Kerberos

A continuación se muestra una comparación de NTLM frente a Kerberos en una tabla estructurada:

FeatureNTLM (Administrador de LAN de nueva tecnología)Kerberos
Modelo de autenticaciónDesafío-respuesta (cliente y server).Basado en tickets (cliente, Centro de distribución de claves y server).
Autenticacion mutuaNo, solo el cliente está autenticado.Sí, tanto el cliente como server están autenticados.
Manejo de credencialesSe basa en hashes de contraseñas.Utiliza tickets encriptados con claves de sesión temporales.
Fuerza de cifradoDébil (utiliza MD4 y HMAC-MD5).Más fuerte (utiliza AES o RC4 con estándares de cifrado modernos).
EscalabilidadPobre; no admite delegación o SSO en múltiples servicios.Alto; admite delegación y SSO escalable.
Dependencia de la sincronización horariaNo requerido.Obligatorio; depende de la hora exacta para la validación de la expiración del ticket.
Requisito de dominioFunciona en entornos de dominio y no dominio (grupo de trabajo).Requiere Active Directory o KDC equivalente.
Vulnerabilidad a los ataquesSusceptible a ataques de paso de hash, repetición y retransmisión.Más resistente pero puede verse afectado si no se configura de forma segura.
Registro y auditoríaVisibilidad y control limitados.Mejor auditoría y gestión centralizada.
Apoyo modernoObsoleto en los marcos de seguridad modernos.Estándar para la autenticación moderna de Windows.

¿NTLM es lo mismo que la autenticación de Windows?

No, NTLM no es lo mismo que la autenticación de Windows, pero es uno de los protocolos utilizados within Autenticación de Windows.

La autenticación de Windows es un término más amplio que se refiere al conjunto de mecanismos que Windows utiliza para autenticar usuarios y servicios en un entorno Windows. Esto incluye múltiples protocolos de autenticación como NTLM, Kerberos y, en ocasiones, métodos basados ​​en certificados o tokens.

NTLM se utiliza principalmente por motivos de compatibilidad con versiones anteriores y en situaciones donde Kerberos no está disponible, como en entornos de grupos de trabajo o cuando los sistemas no forman parte de un dominio. Por el contrario, Kerberos es el protocolo preferido y más seguro para la autenticación basada en dominio en las redes Windows modernas. Por lo tanto, si bien NTLM puede formar parte de la autenticación de Windows, no son sinónimos.

Anastasia
Spasojevic
Anastazija es una escritora de contenido experimentada con conocimiento y pasión por cloud informática, tecnología de la información y seguridad en línea. En phoenixNAP, se centra en responder preguntas candentes sobre cómo garantizar la solidez y seguridad de los datos para todos los participantes en el panorama digital.