Windows設(shè)備使用一種較舊的登錄方法，稱為NTLM，默認(rèn)情況下是啟用的。在遭遇惡意軟件攻擊時(shí)，這可能使您的系統(tǒng)密碼暴露給黑客。他們可以使用各種中間人攻擊來竊取您的Windows登錄詳細(xì)信息。幸運(yùn)的是，您可以通過在NTLM設(shè)置中進(jìn)行一些簡單的調(diào)整來保護(hù)您的Windows NTLM憑據(jù)免受零日威脅。

目錄

• Windows NTLM威脅如何竊取您的密碼
• 1. 通過PowerShell禁用NTLM身份驗(yàn)證
• 2. 在註冊表編輯器中禁用舊版NTLM協(xié)議
• 3. 在Windows安全中保持雲(yún)保護(hù)啟用
• 4. 其他安全措施

Windows NTLM威脅如何竊取您的密碼

NTLM（NT LAN管理器）是一種仍在許多Windows設(shè)備上使用的較舊的身份驗(yàn)證方法。它通過將您的密碼轉(zhuǎn)換為代碼（哈希）來驗(yàn)證您，而不通過網(wǎng)絡(luò)發(fā)送密碼。這並不安全，因?yàn)槿绻腜C被入侵，攻擊者將能夠看到您的登錄密碼。

2025年4月，安全研究員Check Point在博客中討論了通過名為“CVE-2025-24054”的漏洞披露NTLM哈希的情況。據(jù)他們說，這是一次針對波蘭和羅馬尼亞政府和企業(yè)用戶的持續(xù)網(wǎng)絡(luò)攻擊。攻擊者使用了不同類型的中間人攻擊，包括傳遞哈希（PtH）、彩虹表和中繼攻擊。他們的主要目標(biāo)是特權(quán)用戶或管理員。

雖然NTLM攻擊通常針對企業(yè)和政府，但家庭用戶也同樣容易受到攻擊。僅與惡意文件交互就可能洩露您的系統(tǒng)密碼。

微軟已經(jīng)發(fā)布了針對CVE-2025-24054的安全補(bǔ)丁。因此，始終保持Windows系統(tǒng)更新以防止這些攻擊是個好主意。除了這些，還有幾件事您可以做。

1. 通過PowerShell禁用NTLM身份驗(yàn)證

以管理員模式打開PowerShell，並輸入以下內(nèi)容。您將看到另一個問題，問您是否要修改目標(biāo)SMB客戶端配置。對於這個問題，請點(diǎn)擊A 。

 <code>Set-SMBClientConfiguration -BlockNTLM $true</code>

阻止SMB上的NTLM不會影響您的最新Windows設(shè)備。然而，如果您遇到與舊打印機(jī)、NAS服務(wù)器或其他舊設(shè)備的問題，您可以隨時(shí)切換回來允許SMB上的NTLM。

 <code>Set-SMBClientConfiguration -BlockNTLM $false</code>

服務(wù)器消息塊（SMB）用於文件共享和網(wǎng)絡(luò)連接。它是PtH、中繼攻擊和其他中間人攻擊中最常見的連接之一。通過阻止SMB上的NTLM，您正在移除攻擊者的主要入口。

2. 在註冊表編輯器中禁用舊版NTLM協(xié)議

如今，許多Windows會話都託管在“Kerberos”上，這是一個非常安全的協(xié)議，因?yàn)樗褂没镀弊C的加密身份驗(yàn)證。然而，沒有必要完全禁用NTLM，因?yàn)樗泻芏嘤猛?。相反，我們將切換到更安全的NTLMv2協(xié)議而不是NTLMv1。

這可以通過註冊表編輯器來完成。首先備份您的註冊表。接下來，以管理員模式打開註冊表編輯器，並前往：

 <code>Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa</code>

在“本地安全機(jī)構(gòu)”（Lsa）的註冊表鍵下，前往網(wǎng)絡(luò)安全LAN管理器身份驗(yàn)證級別值，“LmCompatibilityLevel”。如果它不存在，請?jiān)贚sa下創(chuàng)建一個D-WORD（32位），如上所示。

雙擊“LmCompatibilityLevel”打開它。您會發(fā)現(xiàn)默認(rèn)值為“0”。將其設(shè)置為“3”、“4”或“5”，這將使您的Windows設(shè)備僅發(fā)送NTLMv2響應(yīng)，並阻止所有舊版NTLMv1響應(yīng)。

完成上述更改後，前往下面的路徑：

 <code>COMPUTER\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters</code>

在這裡，您會找到一個名為“RequireSecuritySignature”或“EnableSecuritySignture”的D-WORD值。它的默認(rèn)值應(yīng)該是“1”。如果不是，則將其更改為“1”。一旦您這樣做，所有未來的SMB連接都將需要SMB安全簽名。這可以防止您的設(shè)備憑據(jù)被盜。

3. 在Windows安全中保持雲(yún)保護(hù)啟用

上述註冊表更改是無害的。然而，如果您不想進(jìn)行這些更改，您可以通過Windows安全的新功能來保護(hù)您的設(shè)備，該功能可以防止所有在線出現(xiàn)的威脅，如釣魚攻擊?？梢酝ㄟ^病毒和威脅保護(hù)->管理設(shè)置->雲(yún)傳送保護(hù)訪問。

相關(guān)：訪問端點(diǎn)保護(hù)套件，如Microsoft Defender，可以為您提供額外的保護(hù)，抵禦零小時(shí)威脅。

4. 其他安全措施

微軟建議採取以下額外的安全機(jī)制，以避免成為NTLM憑據(jù)盜竊的受害者：

• 啟用多因素身份驗(yàn)證：您可以通過多因素身份驗(yàn)證機(jī)制增強(qiáng)基於密碼和PIN的登錄安全性。前往設(shè)置->賬戶->登錄選項(xiàng)。在這裡，您會找到許多選項(xiàng)，如Windows Hello，以及使用USB設(shè)備創(chuàng)建物理安全密鑰。
• 避免點(diǎn)擊可疑鏈接：NTLM惡意軟件通常通過惡意鏈接傳播。雖然它們可能會被Windows安全阻止，但為什麼要冒險(xiǎn)對抗這些遠(yuǎn)程漏洞利用呢？查看我們關(guān)於如何檢測和避免惡意消息的詳細(xì)指南。

以上是如何保護(hù)Windows NTLM憑據(jù)免受零日期威脅 - 使技術(shù)更容易的詳細(xì)內(nèi)容。更多資訊請關(guān)注PHP中文網(wǎng)其他相關(guān)文章！