Az NTLM (NT LAN Manager) egy hálózati hitelesítési protokoll , amelyet a Microsoft fejlesztett ki Windows NT rendszerhez .
Az NTLM a LANMAN továbbfejlesztésének eredménye .
Hivatalos információ nem jelent meg róla, de a Samba fejlesztőcsapata sokat tanult a programjuk fejlesztése során, ezt az információt az 1-es verziónál az RFC 2433 , a 2-es verziónál az RFC 2759 -ben is tükrözik .
A Windows 98 rendszerben a LANMAN protokollt használják a hitelesítési kiszolgálónak (Primary Domain Controler (PDC) – elsődleges tartományvezérlő) a felhasználónév, a jelszó hash és a tartomány hitelesítő adatainak elküldésére a Windows 98 rendszerben, míg a Windows NT rendszerben az NTLM protokollt használják . A Windows 2000 és a Windows XP alapértelmezés szerint megkísérli a Kerberos hitelesítést (csak akkor, ha az állomás egy tartomány tagja), miközben fenntartja a visszafelé kompatibilitást az NTLM hitelesítéssel.
Az NTLM egy kihívás és válasz hitelesítési protokoll, amely három üzenetet használ a kliens hitelesítésére kapcsolatorientált környezetben, és egy negyedik további üzenetet, ha integritás-ellenőrzésre van szükség.
1. A felhasználó kapcsolatot (hálózati elérési utat) hoz létre a szerverrel, és elküldi a NEGOTIATE_MESSAGE üzenetet a képességeivel együtt. 2. A szerver egy CHALLENGE_MESSAGE üzenettel válaszol, amely a kliens azonosítására (azonosítására) szolgál. 3. A kliens AUTHENTICATE_MESSAGE üzenettel válaszol az üzenetre.Az NTLM protokoll az egyik vagy mindkét kivonatolt jelszóértéket használja, mindkettő a kiszolgálón (vagy tartományvezérlőn) van tárolva, amelyek a kötés hiánya miatt egyenértékűek egy jelszóval. Ez azt jelenti, hogy a szerverről származó kivonatolt érték a jelszó tényleges ismerete nélkül is használható hitelesítésre. Ez a két érték az LM Hash (a jelszó első 14 karakterének adattitkosítási szabványán alapuló függvények a hagyományos 8 bites PC-nyelvi kódolásra konvertálva) és az NT Hash ( MD4 függvényérték a kis UTF-16 Unicode-ból). kódolt jelszó). Mindkét hash egyenként 16 bájtos (128 bites).
Az NTLM protokoll két egyirányú funkció egyikét használja, az NTLM verziójától függően. Az NT LanMan és az NTLM 1-es verziója a LanMan-alapú szabványos adattitkosítási funkciót (LMOWF), míg az NTLMv2 az NT MD4 egyirányú funkcióját (NTOWF [1] [2] ) használja.
Az NTLM-hitelesítés továbbra is támogatott és szükséges a Windows NT Server 4.0 vagy korábbi verzióját futtató rendszereken, valamint a munkacsoportok tagjaként konfigurált számítógépeken. Az NTLM-hitelesítést a sandbox-rendszerekhez való hitelesítés során is használják. A Windows 2000-től kezdve a Kerberos 5-ös verziójú hitelesítés az előnyben részesített hitelesítési módszer az Active Directory környezetekben.