Как защитить свои учетные данные NTLM в Windows от угроз нулевого дня

Windows Ntlm Credential Featured

Устройства Windows используют старый метод входа, называемый NTLM, который включен по умолчанию. В случае атаки вредоносного ПО он может раскрыть пароль вашей системы хакерам. Они могут использовать различные виды атак “человек посередине”, чтобы украсть ваши учетные данные для входа в Windows. К счастью, вы можете защитить свои учетные данные NTLM в Windows от угроз нулевого дня, используя несколько простых настроек в параметрах NTLM.

Как угрозы NTLM в Windows крадут ваши пароли

NTLM (NT LAN Manager) – это старый метод аутентификации, который до сих пор используется на многих устройствах Windows. Он работает, превращая ваш пароль в код (хэш), чтобы подтвердить вашу личность без отправки пароля через сеть. Это небезопасно, потому что если ваш ПК будет скомпрометирован, ваш логин и пароль станут видимыми для злоумышленников.

Недавно, в апреле 2025 года, исследователь безопасности Check Point сообщил о раскрытии хэша NTLM через уязвимость, называемую “CVE-2025-24054”. По их словам, это продолжающаяся кибератака, нацеленная на государственных и корпоративных пользователей в Польше и Румынии. Злоумышленники используют различные типы атак “человек посередине”, включая атаки “pass-the-hash” (PtH), радуга-таблицы и релейные атаки. Их основной целью являются правомочные пользователи или администраторы.

Хотя атаки NTLM часто нацелены на предприятия и правительства, домашние пользователи также подвержены риску. Просто взаимодействие с вредоносным файлом может привести к утечке вашего системного пароля.

Microsoft выпустила патч безопасности для CVE-2025-24054. Следовательно, всегда полезно держать вашу систему Windows обновленной, чтобы предотвратить эти атаки. Кроме того, есть еще несколько шагов, которые вы можете предпринять.

1. Отключите аутентификацию NTLM через PowerShell

Откройте PowerShell в режиме администратора и введите следующее. Вам будет показан другой вопрос, хотите ли вы изменить целевую конфигурацию SMB-клиента. Для этого нажмите A.

Set-SMBClientConfiguration -BlockNTLM $true

Изменение целевой конфигурации SMB-клиента в PowerShell для защиты от атак NTLM.

Блокировка NTLM через SMB не влияет на ваши современные устройства Windows. Однако, если вы столкнетесь с проблемами со старыми принтерами, NAS-серверами или другими устаревшими устройствами, вы всегда можете вернуться и разрешить NTLM через SMB.

Set-SMBClientConfiguration -BlockNTLM $false

Блокировка SMB (Server Message Block) используется для общего доступа к файлам и сетевым соединениям. Это одно из самых распространенных соединений, используемых в атаках PtH, релейных атаках и других атаках “человек посередине”. Блокируя NTLM через SMB, вы убираете главный шлюз для злоумышленников.

2. Отключите старый протокол NTLM в редакторе реестра

На данный момент многие сеансы Windows хостятся в “Kerberos”, который является очень безопасным протоколом, так как использует аутентификацию на основе билетов с шифрованием. Однако нет необходимости полностью отключать NTLM, который имеет множество применений. Вместо этого мы переключимся на более безопасный протокол NTLMv2 вместо NTLMv1.

Это можно сделать из редактора реестра. Сначала создайте резервную копию вашего реестра. Затем откройте редактор реестра в режиме администратора и перейдите по следующему пути:

Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Ключ реестра Lsa (Local Security Authority) и DWORD

Под ключом реестра для “Local Security Authority” (Lsa) перейдите к значению уровня аутентификации LAN manager, “LmCompatibilityLevel”. Если его нет, создайте D-WORD (32-битный) под Lsa, как показано выше.

Дважды щелкните по “LmCompatibilityLevel”, чтобы открыть его. Вы найдете “0” в качестве значения по умолчанию. Установите его на “3”, “4” или “5”, что заставит ваше устройство Windows отправлять только ответы NTLMv2 и заблокировать все ответы устаревшего NTLMv1.

Установка LmCompatibilityLevel на значение 3, тем самым блокируя все NTLMv1.

После внесения этого изменения перейдите по следующему пути:

COMPUTER\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters

Здесь вы найдете D-WORD значение, называемое “RequireSecuritySignature” или “EnableSecuritySignature”. Его значение по умолчанию должно быть “1”. Если это не так, измените его на “1”. После этого все будущие SMB-соединения будут требовать подписи безопасности SMB. Это предотвращает кражу учетных данных вашего устройства.

3. Держите облачную защиту включенной в Windows Security

Вышеуказанные изменения в реестре безвредны. Однако, если вы не хотите их выполнять, вы можете защитить свое устройство с помощью новой функции Windows Security, которая предотвращает все угрозы, такие как фишинг, возникающие в сети. Доступ к ней можно получить через Защита от вирусов и угроз -> Управление настройками -> Защита из облака.

Включение облачной защиты в Windows Security.

Связано: наличие доступа к комплекту средств защиты конечных точек, такому как Microsoft Defender, предоставляет вам дополнительную защиту от угроз нулевого часа.

4. Другие меры безопасности

Microsoft рекомендовала следующие дополнительные механизмы безопасности, чтобы избежать кражи учетных данных NTLM:

Включение многофакторной аутентификации: вы можете повысить безопасность входа с паролем и PIN-кодом с помощью механизмов многофакторной аутентификации. Перейдите в Параметры -> Учетные записи -> Опции входа. Там вы найдете множество опций, таких как Windows Hello и создание физического ключа безопасности с использованием USB-устройств.
Избегайте нажатия на подозрительные ссылки: вредоносное ПО NTLM обычно распространяется через вредоносные ссылки. Хотя они могут быть заблокированы Windows Security, зачем рисковать против этих удаленных уязвимостей? Ознакомьтесь с нашим детальным руководством о том, как выявлять и избегать вредоносных сообщений.