ما هو بروتوكول NTLM ولماذا يُعتبر ثغرة أمنية في أنظمة Windows القديمة؟
تعرّف على بروتوكول NTLM المستخدم في أنظمة Windows، وكيف يعمل، ولماذا أصبح غير آمن اليوم، مع خطوات عملية لتعطيله واستبداله بـ Kerberos.
🔒 ما هو بروتوكول NTLM ولماذا يُعتبر نقطة ضعف في أنظمة Windows القديمة؟
🔹 المقدّمة
في عالم المصادقة الرقمية داخل أنظمة Windows، تُعدّ عملية التحقق من هوية المستخدم حجر الأساس لحماية البيانات ومنع الوصول غير المصرّح به.
قبل ظهور بروتوكول Kerberos، كانت مايكروسوفت تعتمد على نظام مصادقة آخر يُعرف باسم NTLM (NT LAN Manager).
ورغم أن هذا البروتوكول لعب دورًا مهمًا في بدايات الشبكات المحلية (LAN)، إلا أنه اليوم أصبح ثغرة أمنية حقيقية تستغلها الهجمات السيبرانية المتقدمة.
في هذا المقال سنشرح ما هو NTLM، كيف يعمل، لماذا يُعتبر غير آمن، وما هي أفضل الطرق للتخلّص منه أو الحد من مخاطره.
⚙️ أولًا: ما هو بروتوكول NTLM؟
NTLM (NT LAN Manager) هو بروتوكول مصادقة (Authentication Protocol) تم تطويره من قِبل Microsoft في تسعينيات القرن الماضي، وكان الهدف منه تمكين الأجهزة من تسجيل الدخول والتحقق من الهوية داخل الشبكات المحلية دون إرسال كلمات المرور مباشرة.
يُستخدم NTLM في الحالات التالية:
- تسجيل الدخول إلى أجهزة Windows القديمة.
- الاتصال بخوادم لا تدعم Kerberos.
- المصادقة على تطبيقات قديمة أو أنظمة غير مرتبطة بـ Active Directory.
🔍 ثانيًا: كيف يعمل NTLM؟
عملية المصادقة في NTLM تعتمد على تحدي واستجابة (Challenge-Response) بدلًا من تبادل كلمات المرور نصيًا، وتتم على ثلاث مراحل:
- طلب التحدي (Challenge Request):
عندما يحاول المستخدم تسجيل الدخول، يرسل الجهاز العميل (Client) اسم المستخدم إلى الخادم (Server). - إصدار التحدي (Challenge):
يرسل الخادم قيمة عشوائية (Nonce) إلى العميل. - إرسال الاستجابة (Response):
يستخدم العميل كلمة مرور المستخدم لتوليد تجزئة (Hash) تُعرف باسم NT Hash، ثم يُشفّر التحدي بهذه التجزئة ويرسلها للخادم للتحقق منها.
💡 الهدف من هذه الطريقة هو عدم إرسال كلمة المرور نفسها عبر الشبكة،
ولكن — كما سنرى — هذا لا يجعلها آمنة تمامًا.
⚠️ ثالثًا: لماذا يُعتبر NTLM غير آمن اليوم؟
رغم بساطة فكرته، إلا أن NTLM يعاني من مشكلات أمنية خطيرة تجعله غير مناسب في بيئات العمل الحديثة:
🔸 1. سهولة تنفيذ هجمات Pass-the-Hash
يقوم المهاجم بسرقة تجزئة كلمة المرور (Hash) من الذاكرة أو من قاعدة بيانات النظام،
ثم يستخدمها مباشرة لتسجيل الدخول إلى خوادم أخرى دون معرفة كلمة المرور الأصلية.
بمعنى آخر: لا حاجة لكلمة السر نفسها — يكفي امتلاك التجزئة!
🔸 2. قابلية الكسر باستخدام أدوات متخصصة
يمكن للمهاجمين كسر تجزئات NTLM باستخدام أدوات مثل Hashcat أو John the Ripper، خاصةً إذا كانت كلمات المرور ضعيفة.
🔸 3. ضعف في آلية المصادقة المتبادلة
في NTLM، يتحقق الخادم من المستخدم، لكن المستخدم لا يتحقق من هوية الخادم،
مما يجعله عرضة لهجمات Man-in-the-Middle (MITM) حيث يتنكر المهاجم كخادم مزيف لاعتراض البيانات.
🔸 4. غياب التشفير الكامل للاتصال
الاتصال عبر NTLM لا يستخدم التشفير القوي للبيانات أثناء النقل،
مما يجعل الهجمات مثل Relay Attack وReplay Attack ممكنة في الشبكات غير المؤمنة.
🧰 رابعًا: الفرق بين NTLM وKerberos
| المعيار | NTLM | Kerberos |
|---|---|---|
| طريقة المصادقة | Challenge-Response | نظام تذاكر مشفّرة |
| نقل كلمات المرور | يعتمد على تجزئة كلمة المرور | لا يُرسل أي تجزئة أو كلمة مرور |
| الأمان | ضعيف وعرضة لهجمات Pass-the-Hash | أكثر أمانًا بفضل مفاتيح التشفير |
| الأداء | أبطأ ويستهلك موارد | أسرع وأكثر فعالية |
| الدعم | للأنظمة القديمة | لأنظمة Active Directory الحديثة |
🧱 خامسًا: كيفية تقليل مخاطر NTLM أو تعطيله نهائيًا
🛡️ 1. تفعيل Kerberos في جميع الأنظمة
يُفضل نقل كل الأنظمة إلى Active Directory واستخدام Kerberos كبروتوكول المصادقة الافتراضي.
🔑 2. تعطيل NTLM عبر Group Policy
في بيئات المؤسسات، يمكن تعطيله كليًا من خلال Group Policy Management:
Computer Configuration → Windows Settings → Security Settings → Local Policies → Security Options
ثم غيّر القيم التالية:
- Network Security: Restrict NTLM: Incoming NTLM traffic → Deny all accounts
- Network Security: Restrict NTLM: Outgoing NTLM traffic → Deny all
🔒 3. مراقبة استخدام NTLM
يمكن تتبع محاولات استخدام NTLM عبر Event Viewer:
Event Viewer → Windows Logs → Security
ابحث عن الأحداث بالأكواد:
- 4624 → تسجيل دخول ناجح باستخدام NTLM
- 4625 → محاولة فاشلة
💡 4. تطبيق المصادقة المتعددة (MFA)
استخدام Multi-Factor Authentication (المصادقة متعددة العوامل) يقلل بشكل كبير من مخاطر استغلال NTLM أو سرقة الحسابات.
🧱 5. تحديث الأنظمة القديمة
إذا كانت بعض الأنظمة ما تزال تعتمد على NTLM، فكر في ترقيتها إلى Windows 10/11 أو Windows Server 2019+ التي تعتمد على Kerberos افتراضيًا.
📋 الملخص
- NTLM بروتوكول مصادقة قديم ونافع في زمنه، لكنه أصبح غير آمن اليوم.
- يعاني من ثغرات خطيرة مثل Pass-the-Hash وRelay Attack.
- يُفضَّل استبداله بـ Kerberos لتأمين هوية المستخدمين داخل الشبكات الحديثة.
- يمكن تعطيله أو مراقبته عبر Group Policy وEvent Viewer.
🧭 الخاتمة
تاريخ NTLM يُذكّرنا بأن التكنولوجيا تتطوّر بسرعة، وأن ما كان آمنًا بالأمس لم يعد كذلك اليوم.
الاعتماد عليه في بيئات العمل الحديثة يعني فتح الباب لهجمات متقدمة يصعب اكتشافها.
لذلك، يجب على مديري الأنظمة التفكير جديًا في التخلص من NTLM وتبنّي Kerberos كبروتوكول مصادقة أساسي لحماية الشبكات والبيانات الحساسة.
