- 消息完整性代码（MIC）字段可确保攻击者不会篡改NTLM消息，但研究人员发现的旁路攻击，可以卸下MIC的保护，并修改NTLM身份验证流程中的各个字段，如签名协商。

　　- SMB会话签名可防止攻击者转发NTLM身份验证消息以建立SMB和DCE / RPC会话，但旁路攻击仍能将NTLM身份验证请求中继到域中的任何服务器（包括域控制器），同时建立签名会话以执行远程代码。如果中继身份验证属于特权用户，则会对全域造成损害。

　　- 增强型身份验证保护（EPA）可防止攻击者将NTLM消息转发到TLS会话，但攻击者仍可绕过并修改NTLM消息，以生成合法的通道绑定信息。这使得攻击者可利用用户权限连接到各种Web服务，并执行读取用户电子邮件（通过中继到OWA服务器）、甚至连接到云资源（通过中继到ADFS服务器）等各种操作。

　　然而Preempt警告称，这么做还不足以充分应对NTLM Relay带来的安全隐患，因为管理员还需要对某些配置加以更改，才能确保有效的防护。

　　（1）执行修补程序——确保为工作站和服务器打上了所需的补丁。

　　（2）强制SMB签名，放置攻击者发起更简单的NTLM中继攻击，请务必在网络中的所有计算机上启用SMB签名。

　　（3）屏蔽NTLMv1——该版本相当不安全，建议通过适当的组策略来完全封禁。

　　（4）强制执行LDAP / S签名——要防止LDAP中的NTLM中继，请在域控制器上强制执行LDAP签名和LDAPS通道绑定。

　　（5）实施EPA——为防止Web服务器上的NTLM中继，请强化所有Web服务器（OWA / ADFS），仅接受使用EPA的请求。

　　（6）减少NTLM的使用——因为即便采用了完整的安全配置，NTLM也会比Kerberos带来更大的安全隐患，建议在不必要的环境中彻底弃用。

版权申明：本站文章均来自网络转载，本站无法鉴别所上传图片或文字的知识版权，如果侵犯，请及时通知我们，本网站将在第一时间及时删除。