Wat is NTLM? Beveiligingsrisico’s van Windows NTLM & migratiehandleiding

Wat is NTLM?

NTLM (NT LAN Manager) is een Windows-authenticatieprotocol dat gebruikers valideert via challenge-response-authenticatie zonder wachtwoorden over netwerken te verzenden. Volgens de officiële documentatie van Microsoft omvat NTLM meerdere protocolversies, waaronder de legacy LAN Manager, NTLMv1 en de huidige NTLMv2-standaard. Hoewel Kerberos NTLM meer dan twintig jaar geleden heeft vervangen als de voorkeurs authenticatiemethode voor Active Directory-omgevingen, blijft NTLM actief in bedrijfsnetwerken voor workgroup-authenticatie, lokale aanmeldingen op niet-domeincontrollers en scenario's waarin Kerberos-onderhandeling faalt.

Het challenge-response-proces werkt via een eenvoudige uitwisseling. Wanneer u verbinding maakt met een netwerkbron, stuurt de server uw client een 16-byte challenge. Uw systeem versleutelt deze challenge met uw wachtwoordhash en stuurt de respons terug naar de server, die deze referenties valideert tegen de Security Accounts Manager-database of Active Directory. Authenticatie wordt voltooid met alleen versleutelde hashes die worden verzonden, nooit uw daadwerkelijke wachtwoord. Deze ontwerpkeuze, waarbij hashes als bewijs van identiteit worden behandeld, heeft de beveiligingskwetsbaarheden gecreëerd die aanvallers vandaag de dag uitbuiten.

Waarom NTLM een beveiligingsrisico is

Referentie-diefstal statistieken tonen aan dat 31% van alle datalekken in het afgelopen decennium betrekking had op referentie-diefstal, volgens het Verizon 2025 Data Breach Investigations Report. NTLM-aanvallen vormen een aanzienlijk onderdeel van dit aanhoudende dreigingslandschap omdat het protocol wachtwoordhashes opslaat die aanvallers kunnen stelen en hergebruiken zonder ooit het daadwerkelijke wachtwoord te hoeven kraken.

Aanvallers halen NTLM-hashes uit het geheugen of netwerkverkeer en authentiseren vervolgens bij bestandsservers en domeincontrollers door gestolen hashes direct aan Windows door te geven. Uw beveiligingsmaatregelen zien legitieme NTLM-authenticatie terwijl de aanval onzichtbaar plaatsvindt.

CISA voegde CVE-2025-24054, een Windows NTLM-hash disclosure-kwetsbaarheid, toe aan haar Known Exploited Vulnerabilities-catalogus in maart 2025 na bevestigde actieve uitbuiting. Hoewel Microsoft de kwetsbaarheid in maart 2025 heeft gepatcht, blijft het aanvalsoppervlak bestaan omdat het uitfaseren van NTLM een gecoördineerde migratie vereist over identiteitsinfrastructuur, applicaties en netwerkdiensten. Deze tijdlijn is vooral belangrijk gezien de deadline van Microsoft in oktober 2026 voor automatische handhaving van NTLMv1.

Hoe NTLM-authenticatie werkt

De architectuur van NTLM laat zien waarom aanvallers succesvol zijn in uw omgeving en waarom migratie aanzienlijke complexiteit met zich meebrengt.

• Authenticatiepakket en hashopslag: Het MSV1_0-authenticatiepakket verwerkt alle NTLM-authenticatie via de Msv1_0.dll-component. Compromitteer LSASS-geheugen en aanvallers halen wachtwoordhashes direct eruit. Uw omgeving slaat twee hashtypen op: LM-hash gebruikt gebroken DES-encryptie zonder hoofdlettergevoeligheid, waardoor triviale rainbow table-aanvallen mogelijk zijn, terwijl NT-hash MD4 gebruikt met hoofdlettergevoeligheid. Beide bevinden zich in SAM of Active Directory en functioneren als authenticatiereferenties op zich: wachtwoordkraken is niet vereist.
• Challenge-response-mechanisme: De server genereert een willekeurige 16-byte challenge, uw werkstation versleutelt deze met uw wachtwoordhash en de server valideert de respons via de LsaLogonUser API. NTLMv2 gebruikt HMAC-MD5-gebaseerde responsberekening met extra willekeurige data, wat sterkere cryptografische bescherming biedt. Beide protocollen delen een fundamentele kwetsbaarheid: wachtwoordhashes functioneren als authenticatiereferenties op zich (MITRE ATT&CK T1550.002).
• LAN Manager-authenticatieniveaus: Registersleutel HKLM\System\CurrentControlSet\Control\Lsa\LmCompatibilityLevel bepaalt welke NTLM-versies uw systemen accepteren. De meeste organisaties draaien op niveau 3 (alleen NTLMv2-respons verzenden) versus het door NIST aanbevolen niveau 5 (LM en NTLM volledig weigeren), wat uitbuitbare gaten creëert.

Deze architecturale componenten, met name hashopslag in LSASS-geheugen en het pass-through-authenticatiemechanisme, geven aanvallers meerdere kansen om referenties te onderscheppen of te extraheren.

NTLM-aanvalstools en -technieken

Aanvallers gebruiken gespecialiseerde tools om NTLM-kwetsbaarheden uit te buiten voor referentie-diefstal en laterale beweging. Inzicht in deze tools helpt verdedigers aanvalspatronen te herkennen en passende maatregelen te nemen.

• Referentie-extractietools richten zich op LSASS-geheugen waar Windows wachtwoordhashes opslaat tijdens actieve sessies. Mimikatz blijft de meest bekende tool en gebruikt technieken zoals sekurlsa::logonpasswords om referenties uit het geheugen te dumpen. Aanvallers gebruiken ook Windows-native methoden, waaronder reg save-commando's om SAM- en SYSTEM-registerhives te exporteren voor offline hashextractie. Geheugenforensische tools zoals WCE (Windows Credentials Editor) bieden extra extractiemogelijkheden die sommige endpointdetectie-oplossingen omzeilen.
• Pass-the-Hash-frameworks maken authenticatie mogelijk met gestolen hashes zonder wachtwoordkraken. Impacket's Python-toolkit bevat psexec.py en wmiexec.py modules die NTLM-hashes direct accepteren voor externe commando-uitvoering op Windows-systemen. CrackMapExec automatiseert Pass-the-Hash-aanvallen op meerdere doelen tegelijk, waardoor snelle laterale beweging door bedrijfsnetwerken mogelijk is en succesvolle authenticaties worden gelogd voor verdere uitbuiting. Deze frameworks integreren hash spraying-mogelijkheden om systemen te identificeren die gecompromitteerde referenties accepteren.
• NTLM-relaytoolkits onderscheppen en sturen authenticatieverzoeken door naar ongeautoriseerde doelsystemen. Responder vangt NTLM-authenticatie af door LLMNR-, NBT-NS- en MDNS-naamresolutieresponses op lokale netwerksegmenten te vergiftigen. Wanneer systemen proberen hostnamen op te lossen, antwoordt Responder met door de aanvaller beheerde IP-adressen en vangt authenticatiepogingen af. De ntlmrelayx-module van Impacket stuurt onderschepte authenticatie door naar SMB-, LDAP-, HTTP- en MSSQL-diensten, waardoor privilege-escalatie mogelijk is wanneer Extended Protection for Authentication is uitgeschakeld op kritieke diensten.
• Coercietechnieken dwingen doelsystemen om authenticatie te initiëren naar door de aanvaller beheerde servers zonder gebruikersinteractie. PetitPotam misbruikt de MS-EFSRPC-interface om domeincontrollers te dwingen te authenticeren naar willekeurige bestemmingen, waardoor directe referentie-captatie of relay-aanvallen tegen Active Directory Certificate Services mogelijk zijn. PrinterBug (ook wel SpoolSample genoemd) misbruikt de remote interface van de Print Spooler-service om vergelijkbare geforceerde authenticatie te bereiken. Deze technieken omzeilen traditionele phishingvereisten volledig, waardoor referentie-diefstal mogelijk is van systemen die nooit met kwaadaardige content interacteren.

Defensieve detectie richt zich op monitoring van toolsignaturen in het geheugen, abnormale LSASS-toegangspatronen, onverwachte authenticatiestromen en netwerkverkeer dat op relay-pogingen wijst. Detectie alleen kan echter de onderliggende protocolzwaktes die deze aanvallen mogelijk maken niet oplossen.

NTLM-kwetsbaarheden

De architecturale zwaktes van het protocol creëren aanhoudende beveiligingsgaten die alleen met verdediger-zijde maatregelen niet volledig kunnen worden opgelost zonder aanvullende netwerk- en identiteitsgebaseerde bescherming.

• Pass-the-Hash-aanvallen (MITRE ATT&CK T1550.002) maken misbruik van NTLM's afhankelijkheid van wachtwoordhashes als authenticatiereferenties. Zodra aanvallers uw hash uit LSASS-geheugen, de SAM-database of netwerkcaptures halen, kunnen ze zich als u authenticeren zonder uw wachtwoord te kennen. Credential Guard biedt gedeeltelijke bescherming via virtualisatiegebaseerde beveiliging op Windows 10 Enterprise of Windows 11-systemen met TPM 2.0-hardware. Netwerkmaatregelen zoals SMB-signing, LDAP-signing en Extended Protection for Authentication stoppen NTLM-relay-aanvallen.
• NTLM-relay-aanvallen manipuleren het challenge-response-mechanisme door authenticatie tussen client en server te onderscheppen. De aanvaller ontvangt uw authenticatiepoging, stuurt deze door naar een doelsysteem naar keuze en verkrijgt ongeautoriseerde toegang met uw referenties in realtime. Extended Protection for Authentication stopt relay-aanvallen via channel binding, maar vereist expliciete configuratie op Exchange Server, Active Directory Certificate Services en LDAP. De meeste organisaties draaien deze kritieke diensten zonder EPA ingeschakeld omdat Microsoft producten historisch standaard zonder EPA leverde.
• Cryptografische zwaktes in legacy-versies blijven bestaan in productieomgevingen. LM-hashes gebruiken DES-encryptie, een cryptografisch gebroken algoritme, terwijl wachtwoorden worden omgezet naar hoofdletters en opgesplitst in blokken van 7 tekens. NTLMv1 verbetert de cryptografische sterkte maar blijft kwetsbaar voor offline brute-force-aanvallen. Alleen NTLMv2 biedt moderne cryptografische bescherming, maar veel organisaties draaien gemengde omgevingen die NTLMv1 accepteren voor achterwaartse compatibiliteit.

De deadline voor handhaving in oktober 2026 creëert operationeel risico voor organisaties die migratie hebben uitgesteld. Microsoft heeft een tijdlijn in drie fasen vastgesteld:

1. Fase 1 (december 2024): Start uitfasering
2. Fase 2 (september 2025): Auditmodus standaard ingeschakeld
3. Fase 3 (oktober 2026): Zet automatisch de BlockNtlmv1SSO-registersleutel op handhavingsmodus zonder tussenkomst van de beheerder

Organisaties die nog niet zijn begonnen met migratieplanning lopen aanzienlijk risico op authenticatiestoringen wanneer de handhaving begint.

Hoe migreer je weg van NTLM

Enterprise NTLM-migratie vereist gestructureerde gefaseerde uitvoering met executive sponsorship. Volledige implementatie duurt doorgaans 18-22 maanden, afhankelijk van de complexiteit van de omgeving en afhankelijkheden van legacy-applicaties.

Fase 1: Ontdekking en audit (maand 1-3)

Schakel volledige NTLM-auditing in op alle domeincontrollers en ledenservers voordat u migratie- of blokkeringsbeleid probeert. Configureer Netwerkbeveiliging: Beperk NTLM: Audit NTLM-authenticatie in dit domein op "Alles auditen" in plaats van blokkeren. Windows 11 24H2 en Windows Server 2025 bieden verbeterde auditgebeurtenissen die procesnamen, reden-codes, gebruikersnaam- en domeininformatie en NTLM-versie vastleggen. Verzamel auditlogs minimaal 30-90 dagen om periodieke services, geplande taken en maandelijkse processen te registreren. Analyseer logs om een volledige afhankelijkheidsinventaris op te bouwen, gecategoriseerd op systeemtype, applicatie en remediatiecomplexiteit.

Fase 2: Remediatieplanning (maand 4-6)

Categoriseer NTLM-afhankelijkheden op basis van remediatieaanpak en complexiteit. Workgroup-joined systemen vereisen mogelijk domeinlidmaatschap, Azure AD-registratie of blijvende uitzondering met netwerksegmentatie. Legacy-applicaties vereisen contact met de leverancier voor Kerberos-ondersteuning of vervangingsplanning als leveranciers geen migratiepad kunnen bieden. Netwerkapparaten met firmwarebeperkingen vereisen upgrades, vervangingsaankopen of netwerksegmentatiestrategieën om NTLM-verkeer te isoleren.

Fase 3: Pilot Kerberos-implementaties (maand 7-9)

Selecteer organisatorische eenheden met weinig legacy-afhankelijkheden voor initiële Kerberos-only handhaving. Configureer Netwerkbeveiliging: Beperk NTLM: NTLM-authenticatie in dit domein op "Alles weigeren" alleen binnen de pilot-scope. Monitor authenticatiefouten en applicatieproblemen nauwgezet en documenteer alle remediatieprocedures als referentie voor de productie-uitrol. Valideer dat pilotsystemen volledig functioneren zonder NTLM-authenticatie.

Fase 4: Productie-uitrol (maand 10-18)

Breid Kerberos-handhaving systematisch uit per organisatorische eenheid op basis van pilotervaringen. Geef prioriteit aan hoogbeveiligde omgevingen met gevoelige data en systemen met verhoogde rechten. Onderhoud gedocumenteerde uitzonderingslijsten voor legacy-afhankelijkheden met compenserende maatregelen zoals netwerksegmentatie, verbeterde monitoring en beperkte toegang. Implementeer netwerksegmentatie voor systemen die blijvende NTLM-toegang vereisen om blootstelling aan laterale beweging te beperken.

Fase 5: Handhaving (maand 19-22)

Schakel BlockNtlmv1SSO in vóór de automatische handhavingsdeadline van Microsoft in oktober 2026. Valideer volledige migratie door grondige auditlogreview die bevestigt dat er geen NTLM-authenticatie meer plaatsvindt binnen de productie-scope. Documenteer resterende uitzonderingen met formele risicobeoordeling en compenserende maatregelen voor compliance- en auditdoeleinden.

Tijdens de migratieplanning moeten organisaties ook directe verdedigingsgaten aanpakken. Veel securityteams laten hun omgeving onbedoeld blootstaan door onvolledige of verkeerd geconfigureerde maatregelen.

Veelvoorkomende NTLM-verdedigingsfouten

Het niet implementeren van gelaagde NTLM-verdediging creëert uitbuitbare beveiligingsgaten.

1. SMB-signing inschakelen zonder het te vereisen. U configureert Groepsbeleid om de instelling "Microsoft-netwerkserver: Communicatie digitaal ondertekenen" in te schakelen op uw bestandsservers, maar negeert de bijbehorende clientvereiste. De configuratie-audit toont compliant op servers, maar uw pentester demonstreert succesvolle NTLM-relay-aanvallen omdat "inschakelen" downgrade naar niet-ondertekende verbindingen toestaat wanneer clients geen ondertekening aanvragen. Beide instellingen moeten gelijktijdig op "Ingeschakeld" staan: serverzijde (Microsoft-netwerkserver: Communicatie digitaal ondertekenen (altijd)) EN clientzijde (Microsoft-netwerkclient: Communicatie digitaal ondertekenen (altijd)). Volgens Microsoft SMB-beveiligingsrichtlijnen creëert alleen serverconfiguratie een uitbuitbaar gat waar aanvallers via verkeerd geconfigureerde clients kunnen relayeren.
2. Aannemen dat Credential Guard NTLM-relay-aanvallen stopt. U implementeert Credential Guard op administratieve werkstations en domeincontrollers en presenteert Credential Guard-dekking aan het management als volledige NTLM-aanvalsbescherming. Een aanvaller compromitteert uw omgeving via NTLM-relay tegen een onbeschermde LDAP-service op een domeincontroller. Credential Guard beschermt referenties in rust in LSASS-geheugen via virtualisatiegebaseerde beveiliging en voorkomt referentie-diefstal van gecompromitteerde systemen, maar biedt geen bescherming tegen netwerk-NLM-relay-aanvallen. Organisaties moeten zowel endpointreferentiebescherming als netwerk-relaypreventie gelijktijdig implementeren.
3. EPA inconsistent implementeren op kritieke diensten. Uw securityteam heeft Extended Protection for Authentication ingeschakeld op Active Directory Certificate Services na PetitPotam in 2021, maar aanvallers relayeren NTLM-authenticatie naar uw LDAP-service, die zonder EPA draait. EPA moet worden geconfigureerd op alle NTLM-capabele diensten, waaronder AD CS, LDAP, Exchange Server en alle maatwerkapplicaties die Windows Integrated Authentication gebruiken.

Het vermijden van deze fouten vereist een systematische aanpak van NTLM-verdediging die alle aanvalsvectoren gelijktijdig adresseert.

NTLM-verdedigingsmaatregelen

Stop referentie-gebaseerde laterale beweging via gelaagde maatregelen die protocolzwaktes op netwerk-, endpoint- en identiteitsniveau aanpakken.

• Implementeer direct volledige NTLM-auditlogging. Schakel NTLM-auditbeleid in op alle domeincontrollers en ledenservers voordat u migratie- of blokkeringsbeleid probeert. Configureer Netwerkbeveiliging: Beperk NTLM: Audit NTLM-authenticatie in dit domein op "Alles auditen" in plaats van blokkeren. Verzamel auditlogs minimaal 30-90 dagen om periodieke services en geplande taken te registreren en analyseer deze om een volledige afhankelijkheidsinventaris op te bouwen.
• Handhaaf universeel SMB-signing in uw omgeving. Configureer dubbele Groepsbeleidsvereisten onder Computer Configuratie > Beleid > Windows-instellingen > Beveiligingsinstellingen > Lokale beleidsregels > Beveiligingsopties. Zet zowel Microsoft-netwerkserver: Communicatie digitaal ondertekenen (altijd) als Microsoft-netwerkclient: Communicatie digitaal ondertekenen (altijd) op Ingeschakeld. De dubbele configuratie voorkomt downgrade-aanvallen waarbij clients en servers verschillende ondertekeningsinstellingen gebruiken.
• Configureer Extended Protection for Authentication op alle kritieke diensten. EPA voegt channel binding toe aan NTLM-authenticatie en voorkomt referentie-relay door authenticatie te binden aan de TLS-sessie. EPA-implementatieprioriteit moet liggen bij Active Directory Certificate Services, LDAP op alle domeincontrollers en Exchange Server. Windows Server 2025 schakelt EPA standaard in voor deze diensten.
• Implementeer Credential Guard op waardevolle systemen. Implementeer Credential Guard op domeincontrollers, administratieve werkstations en systemen die gevoelige data verwerken. Credential Guard vereist TPM 2.0, UEFI Secure Boot, processorvirtualisatie-extensies en Hyper-V-ondersteuning.
• Vereis LDAP-signing op alle domeincontrollers. Configureer Domeincontroller: LDAP-serverondertekeningsvereisten op "Ondertekening vereisen" via Groepsbeleid toegepast op de Domain Controllers-organisatorische eenheid. Windows Server 2025 voegt standaard LDAP channel binding toe.
• Implementeer gebeurteniscorrelatie voor Pass-the-Hash-identificatie. Configureer uw SIEM om Windows Security Event ID's te correleren over meerdere domeincontrollers en ledenservers. Waarschuw bij Event ID 4624 (geslaagde aanmelding) met Logon Type 3 (netwerkaanmelding) en authenticatiepakket "NTLM" voor bevoorrechte accounts ZONDER overeenkomstige Event ID 4624 Logon Type 2 (interactieve aanmelding) binnen de voorafgaande 10 uur vanaf hetzelfde bron-IP.

Deze handmatige maatregelen bieden essentiële bescherming, maar referentie-gebaseerde aanvallen verlopen vaak sneller dan menselijke onderzoekscycli. Gedrags-AI kan Pass-the-Hash-activiteit in realtime identificeren en stoppen.

Stop NTLM-aanvallen met SentinelOne

Uw responstijd bepaalt of u laterale beweging stopt of het datalek achteraf onderzoekt. SentinelOne detecteert referentie-gebaseerde aanvallen via gedrags-AI die Pass-the-Hash-technieken herkent, geclassificeerd als MITRE ATT&CK T1550.002.

Singularity™ Identity biedt ook end-to-end zichtbaarheid in hybride omgevingen om blootstellingen te detecteren en referentiemisbruik te stoppen. Het vermindert identiteitsrisico's en biedt realtime identiteitsbescherming. U kunt endpoint- en identiteit-activiteit correleren voor contextgestuurde detectie en snellere triage. Het elimineert ook blinde vlekken in gesegmenteerde omgevingen en kan Active Directory en cloudidentiteitsproviders, waaronder Okta, Ping, SecureAuth, Duo en Entra ID, versterken. Het kan inzichten verzamelen uit aanvalspogingen om herhaalde compromitteringen te stoppen en privilege-escalatie te voorkomen.

SentinelOne wordt erkend als Gartner Magic Quadrant Leader voor Endpoint Protection Platforms gedurende vijf opeenvolgende jaren. In MITRE ATT&CK-evaluaties genereerde SentinelOne slechts 12 meldingen, terwijl een toonaangevende concurrent 178.000 meldingen genereerde, wat neerkomt op 88% minder meldingen. Deze ruisreductie consolideert duizenden beveiligingsevents tot enkele actiegerichte incidenten, waardoor onderzoek naar referentiemisbruik verandert van het beoordelen van duizenden authenticatiegebeurtenissen naar het analyseren van volledige forensische context in seconden.

Het Singularity Platform levert geïntegreerde XDR-mogelijkheden via één agent en console, waarmee endpoint-, cloud- en identiteitsbeveiliging worden geconsolideerd in één datalake. Gepatenteerde Storyline-technologie bewaakt, volgt en contextualiseert automatisch eventdata in uw bedrijfsomgeving om aanvallen in realtime te reconstrueren.

Purple AI versnelt dreigingsonderzoeken via natuurlijke taalqueries die authenticatiegebeurtenissen in uw omgeving correleren. Met tot 80% snellere threat hunting volgens vroege gebruikers kunnen security-analisten logs doorzoeken zonder querytalen te kennen en ontvangen ze volledige aanvalcontext met voorgestelde vervolgstappen.

Vraag een demo aan om te zien hoe de gedrags-AI van SentinelOne referentie-gebaseerde aanvallen stopt vóór privilege-escalatie.

Belangrijkste punten

NTLM-aanvallen maken misbruik van referentie-diefstal om laterale beweging mogelijk te maken voordat traditionele respons kan ingrijpen. De handhavingsdeadline van oktober 2026 vereist onmiddellijke migratieplanning: Microsoft zal automatisch NTLMv1-blokkering afdwingen door de BlockNtlmv1SSO-registersleutel van auditmodus naar handhavingsmodus te wijzigen zonder tussenkomst van de beheerder.

Effectieve verdediging vereist aanvullende gelaagde maatregelen: SMB-signing op zowel servers als clients, Extended Protection for Authentication op kritieke diensten zoals AD CS, LDAP en Exchange Server, Credential Guard voor endpointreferentiebescherming (let op: beschermt referenties in rust maar stopt GEEN netwerk-relay-aanvallen) en volledige auditlogging om afhankelijkheden te identificeren vóór handhaving.

Gedrags-AI die authenticatiepatronen correleert over endpoints en identiteitsinfrastructuur detecteert referentiemisbruik voordat privilege-escalatie plaatsvindt.