Lan Manager系列协议包含LM、NTLM、LTLMv2

一、LM的两个主要部分

本地存储的LM哈希和质询-响应身份验证机制，本地存储的hash可以用mimikatz转存储lsass获取用户hash，获取到用户hash后可以直接被用作hash传递攻击，如下：

在windows配置立马可以开启阻断不让dump hash或者开启审核有dump hash就会生成日志

开启组织策略：

1. 使用快捷键win+r输入gpedit.msc打开组策略。
2. Windows 组件>Microsoft Defender防病毒>Microsoft Defender攻击防护>攻击面减少。
3. 选择 “配置攻击面减少规则 ”，然后选择“ 已启用”。 然后，可以在“选项”部分中为每个规则设置单独的状态。 选择“ 显示...” ，并在 “值名称 ”列中输入规则 ID，并在 “值 ”列中输入所选状态，如下所示：

0：禁用 (禁用攻击面减少规则)

1：阻止 (启用攻击面减少规则)

2：审核 (评估攻击面减少规则对组织的影响（如果启用)

6：警告 (启用攻击面减少规则，但允许最终用户绕过阻止)

步骤二、

配置值名称  9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

使用工具mimikatz无法转存储lsass获取hash

或者使用快捷键win+r输入gpedit.msc打开组策略，在计算机配置\Windows设置\安全设置\本地策略\安全选项\网络安全：下次更改密码时不存储LAN管理器哈希值”组策略设置更改此行为并禁用LM哈希生成，windows server2008后默认启用，不用手动更改

二、NTLM系列协议

常见的用ntlm认证的协议有SMB、HTTP和SMTP，ntlm协议认证主要为两个环境：本地账户认证和域账户认证

ntlm协议认证过程：

1. 身份验证请求：源主机向目标主机发送一个包含其自身信息的身份验证请求，这被称为NTLM类型1消息。
2. 挑战生成与发送：目标主机接收到请求后，会生成一个随机的挑战字符串，并将其连同协议版本和设置选项一起发送给源主机。这个回应被称为NTLM类型2消息。
3. 挑战响应构造：源主机接收挑战字符串后，基于用户帐户密码的哈希值以及从目标主机接收到的挑战字符串，计算出一个响应消息。这个消息被称为NTLM类型3消息。
4. 验证响应：目标主机使用本地存储的用户密码哈希值执行与源主机相同的计算过程。如果计算结果匹配，即表示提供的密码有效；如果不匹配，则认为密码无效。
5. 反馈结果：最后，目标主机会将身份验证的结果反馈给源主机，以通知其身份验证是否成功。

计算机账户和域账户都可使用ntlm认证，域内账户人认证是在域控上进行，如下图所示：

三、域内产生的大量匿名登录（S-1-5-7）

默认只有ntlm身份验证支持匿名登录，kerberos