Silverfort 的研究发现，用于禁用过时的 NTLMv1 身份验证协议的组策略机制中存在一个重大漏洞。尽管企业普遍使用 Active Directory 策略阻止 NTLMv1，但错误配置允许攻击者绕过这一保护措施，给仍然依赖传统身份验证系统的企业带来了严重风险。

NTLMv1 已被微软弃用，并被认为非常不安全，但它仍然普遍存在。Silverfort 发现，64% 的 Active Directory 用户账户仍在使用 NTLM 身份验证协议。通过 Netlogon 远程过程调用（RPC）接口的 ParameterControl 字段中的特定标志，可以绕过旨在阻止 NTLMv1 的组策略。研究人员证明，请求 NTLMv1 身份验证的应用程序仍然可以触发域控制器验证这些请求。

西尔弗福特强调说：“企业认为他们设置这个组策略是正确的，但它仍然被配置错误的应用程序绕过了。”

绕过 NTLMv1 组策略 | 源： Silverfort

这一疏忽具有重大影响：

凭证窃取： 攻击者可以拦截 NTLMv1 流量并执行离线破解以获取凭证。横向移动： 被破坏的账户可用于提升权限和在网络中横向移动。虚假安全感： 仅仅依靠组策略来阻止 NTLMv1 的企业可能会低估自己的脆弱性。

在 Silverfort 于 2024 年 9 月披露漏洞后，微软宣布从 Windows 11 版本 24H2 和 Windows Server 2025 开始全面删除 NTLMv1。虽然微软没有将绕过归类为漏洞，但这一步骤强调了他们对认证标准现代化的承诺。

Silverfort 为企业提供了以下建议，以降低 NTLMv1 风险：

审计 NTLM 使用情况： 启用日志以识别域内的所有 NTLM 身份验证。映射应用程序： 识别并记录依赖 NTLMv1 的应用程序，包括后备方案。检测漏洞： 使用工具精确定位请求 NTLMv1 消息的应用程序。实施现代身份验证： 尽可能过渡到 Kerberos 或单点登录 (SSO) 等协议。

NTLMv1 的漏洞长期以来一直被攻击者利用进行中继攻击、凭证窃取和中间人攻击。虽然 NTLMv2 有了重大改进，但传统应用程序和非 Windows 客户端仍然为滥用打开了通道。Silverfort 警告说：“在应用程序无法配置为使用 NTLMv1 进行身份验证之前，这个问题将一直存在。”