Kerberos и NTLM: как работает аутентификация и почему это важно для безопасности
В корпоративной Windows-инфраструктуре аутентификация — это не просто «ввод логина и пароля». Это механизм, от которого зависит, кто и к каким ресурсам получает доступ: рабочим станциям, файловым серверам, базам данных, почте, внутренним порталам, административным системам и другим сервисам.
Чаще всего в доменных средах встречаются два механизма аутентификации: NTLM и Kerberos. Оба используются для подтверждения личности пользователя или компьютера, но работают по-разному и дают разный уровень защищенности.
Почему это важно? Потому что ошибки в настройке аутентификации часто становятся не просто технической проблемой, а частью реальной атаки. После получения первичного доступа злоумышленнику нужно продвигаться дальше по инфраструктуре: от одной рабочей станции к другой, от пользовательской учетной записи к серверу, от локальных прав к доменным. В MITRE ATT&CK такие техники относятся к lateral movement — перемещению внутри инфраструктуры. Например, pass the hash использует украденные хэши паролей, а pass the ticket — украденные Kerberos-билеты для доступа к другим системам без знания пароля в открытом виде.
Поэтому вопрос «что такое Kerberos и NTLM» — это не только про теорию Windows-аутентификации. Это вопрос о том, насколько безопасно построена доменная инфраструктура, можно ли ограничить продвижение атакующего и насколько быстро компания сможет заметить подозрительную активность.
Содержание:
Чаще всего в доменных средах встречаются два механизма аутентификации: NTLM и Kerberos. Оба используются для подтверждения личности пользователя или компьютера, но работают по-разному и дают разный уровень защищенности.
Почему это важно? Потому что ошибки в настройке аутентификации часто становятся не просто технической проблемой, а частью реальной атаки. После получения первичного доступа злоумышленнику нужно продвигаться дальше по инфраструктуре: от одной рабочей станции к другой, от пользовательской учетной записи к серверу, от локальных прав к доменным. В MITRE ATT&CK такие техники относятся к lateral movement — перемещению внутри инфраструктуры. Например, pass the hash использует украденные хэши паролей, а pass the ticket — украденные Kerberos-билеты для доступа к другим системам без знания пароля в открытом виде.
Поэтому вопрос «что такое Kerberos и NTLM» — это не только про теорию Windows-аутентификации. Это вопрос о том, насколько безопасно построена доменная инфраструктура, можно ли ограничить продвижение атакующего и насколько быстро компания сможет заметить подозрительную активность.
Содержание:
Команда редакторов "Гладиаторы ИБ"
Дата публикации: 25.05.2026
Время прочтения 7 минут
Время прочтения 7 минут
Что такое NTLM?
NTLM — это семейство протоколов аутентификации Microsoft, исторически использовавшееся в Windows-средах. Если упростить, NTLM работает по принципу challenge-response: сервер отправляет клиенту запрос-вызов, клиент формирует ответ на основе учетных данных, а сервер или контроллер домена проверяет, действительно ли пользователь знает секрет, связанный с учетной записью. Microsoft описывает NTLM как механизм, который аутентифицирует пользователей и компьютеры на основе challenge-response и может обращаться к контроллеру домена для проверки доменной учетной записи.
Важный момент: при нормальной работе NTLM не передает пароль в открытом виде. Но это не делает его полностью безопасным. В ряде сценариев злоумышленнику и не нужен сам пароль — достаточно получить хэш или другой материал, который можно использовать для аутентификации.
Упрощенно процесс выглядит так:
Главная проблема NTLM в современной инфраструктуре — его пригодность для злоупотреблений при компрометации учетных данных. Например, при атаке pass the hash злоумышленник использует украденный хэш пароля для аутентификации на других системах, не зная сам пароль. MITRE прямо описывает pass the hash как способ аутентифицироваться с помощью украденных служебных сообщений (хэшей паролей) и перемещаться внутри среды, обходя обычные шаги доступа.
На практике NTLM до сих пор встречается:
Именно поэтому NTLM часто становится «слабым звеном» не потому, что он всегда используется явно и осознанно, а потому что остается в инфраструктуре как совместимость со старыми решениями.
Важный момент: при нормальной работе NTLM не передает пароль в открытом виде. Но это не делает его полностью безопасным. В ряде сценариев злоумышленнику и не нужен сам пароль — достаточно получить хэш или другой материал, который можно использовать для аутентификации.
Упрощенно процесс выглядит так:
- Пользователь или компьютер пытается получить доступ к ресурсу.
- Сервер запрашивает подтверждение личности.
- Клиент формирует ответ на основе учетных данных.
- Сервер проверяет ответ сам или через контроллер домена.
- Если проверка успешна, доступ предоставляется.
Главная проблема NTLM в современной инфраструктуре — его пригодность для злоупотреблений при компрометации учетных данных. Например, при атаке pass the hash злоумышленник использует украденный хэш пароля для аутентификации на других системах, не зная сам пароль. MITRE прямо описывает pass the hash как способ аутентифицироваться с помощью украденных служебных сообщений (хэшей паролей) и перемещаться внутри среды, обходя обычные шаги доступа.
На практике NTLM до сих пор встречается:
- в старых приложениях;
- в устаревших системах;
- при доступе к ресурсам вне корректно настроенного домена;
- в сценариях, где Kerberos не может быть использован;
- в средах с legacy-сервисами;
- при неправильной настройке DNS, SPN или доверительных отношений.
Именно поэтому NTLM часто становится «слабым звеном» не потому, что он всегда используется явно и осознанно, а потому что остается в инфраструктуре как совместимость со старыми решениями.
Что такое Kerberos?
Kerberos — это протокол аутентификации, который используется для проверки личности пользователя или узла в сети. В Windows-доменах Kerberos является предпочтительным механизмом аутентификации для Active Directory-сред; Microsoft указывает, что Kerberos version 5 — предпочтительный метод аутентификации в Active Directory, хотя NTLM все еще может использоваться некоторыми приложениями и сценариями.
Главная идея Kerberos — не отправлять пароль сервисам, к которым обращается пользователь. Вместо этого используется система билетов. Пользователь один раз проходит первичную аутентификацию, после чего получает билет, который позволяет запрашивать доступ к нужным сервисам.
В доменной инфраструктуре ключевую роль играет KDC — Key Distribution Center. В Windows он работает на контроллере домена и использует базу Active Directory для проверки учетных записей.
Упрощенно Kerberos работает так:
За счет такой модели пользователь не передает пароль каждому сервису. Это снижает количество ситуаций, где секрет может быть перехвачен или неправильно обработан.
Но Kerberos тоже нельзя считать «неуязвимым». Если злоумышленник получает доступ к билетам Kerberos, он может использовать их для атаки pass the ticket. В этом случае для доступа к системам применяется украденный Kerberos-билет, а не пароль пользователя. MITRE описывает pass the ticket как способ использовать украденные “билеты” Kerberos для внутреннего перемещения (lateral movement) без знания пароля учетной записи.
Отдельно существуют более опасные сценарии, связанные с подделкой или созданием билетов, например Silver Ticket и Golden Ticket. В таких случаях проблема уже не только в отдельной учетной записи, а в компрометации ключевых элементов доменной инфраструктуры.
Главная идея Kerberos — не отправлять пароль сервисам, к которым обращается пользователь. Вместо этого используется система билетов. Пользователь один раз проходит первичную аутентификацию, после чего получает билет, который позволяет запрашивать доступ к нужным сервисам.
В доменной инфраструктуре ключевую роль играет KDC — Key Distribution Center. В Windows он работает на контроллере домена и использует базу Active Directory для проверки учетных записей.
Упрощенно Kerberos работает так:
- Пользователь входит в домен.
- Клиент обращается к KDC и получает начальный билет — TGT, Ticket Granting Ticket.
- Когда пользователю нужен доступ к конкретному сервису, клиент использует TGT, чтобы запросить сервисный билет.
- Сервисный билет предъявляется нужному серверу.
- Сервер проверяет билет и предоставляет доступ, если у пользователя есть права.
За счет такой модели пользователь не передает пароль каждому сервису. Это снижает количество ситуаций, где секрет может быть перехвачен или неправильно обработан.
Но Kerberos тоже нельзя считать «неуязвимым». Если злоумышленник получает доступ к билетам Kerberos, он может использовать их для атаки pass the ticket. В этом случае для доступа к системам применяется украденный Kerberos-билет, а не пароль пользователя. MITRE описывает pass the ticket как способ использовать украденные “билеты” Kerberos для внутреннего перемещения (lateral movement) без знания пароля учетной записи.
Отдельно существуют более опасные сценарии, связанные с подделкой или созданием билетов, например Silver Ticket и Golden Ticket. В таких случаях проблема уже не только в отдельной учетной записи, а в компрометации ключевых элементов доменной инфраструктуры.
Сравнение Kerberos и NTLM
Критерий | NTLM | Kerberos |
Общий принцип работы | Challenge-response: клиент отвечает на запрос сервера, доказывая знание секрета | Билетная модель: пользователь получает билеты для доступа к сервисам |
Основная среда применения | Legacy-сценарии, старые приложения, рабочие группы, fallback при невозможности Kerberos | Доменная Active Directory-инфраструктура |
Предпочтительность в AD | Не является предпочтительным вариантом для современной доменной среды | Предпочтительный механизм аутентификации в Active Directory |
Передача пароля сервису | Пароль в открытом виде не передается, но используются производные учетные данные | Пароль сервисам не передается, доступ строится через билеты |
Нагрузка на контроллер домена | Серверу часто требуется обращаться к контроллеру домена для проверки | После получения билета сервер может проверять представленные учетные данные без постоянной pass-through-аутентификации |
Поддержка SSO | Ограниченная по сравнению с Kerberos | Хорошо подходит для single sign-on в домене |
Делегирование | Ограниченные возможности | Поддерживает делегирование для распределенных приложений |
Основные риски | Pass the hash, relay-атаки, использование старых протоколов и legacy-настроек | Pass the ticket, Kerberoasting, атаки на билеты и ключевые учетные записи |
Контроль и аудит | Нужно выявлять и ограничивать использование NTLM | Нужно контролировать билеты, привилегированные учетные записи, SPN, делегирование и аномалии |
Стратегия для бизнеса | Минимизировать использование и оставить только там, где без него нельзя | Использовать как основной механизм аутентификации в домене |
Преимущества Kerberos в плане безопасности
Главное преимущество Kerberos — более современная и контролируемая модель аутентификации для доменной среды. Он лучше подходит для инфраструктур, где много пользователей, серверов, сервисов и распределенных приложений.
1. Пароль не передается каждому сервису
В Kerberos пользователь не «доказывает» свою личность каждому серверу напрямую через пароль. Вместо этого он получает билеты от доверенного центра — KDC.
Это снижает риск того, что пароль или его производные будут многократно использоваться в разных местах инфраструктуры.
Это снижает риск того, что пароль или его производные будут многократно использоваться в разных местах инфраструктуры.
2. Лучше работает в доменной модели
Kerberos хорошо вписывается в Active Directory. Он поддерживает централизованную аутентификацию, работу с пользователями и компьютерами, single sign-on, сервисные учетные записи и делегирование.
Для компании это означает более управляемую модель доступа.
Для компании это означает более управляемую модель доступа.
3. Меньше зависимость от постоянной проверки через контроллер домена
В NTLM серверу часто нужно обращаться к контроллеру домена для проверки пользователя. В Kerberos используются билеты, которые позволяют сервису проверить клиента более эффективно. Microsoft отдельно отмечает, что Kerberos заменяет pass-through-аутентификацию возобновляемыми session tickets, и серверу не всегда нужно обращаться к контроллеру домена для каждой проверки.
4. Поддержка делегирования
Некоторые корпоративные приложения работают по схеме: пользователь обращается к фронтальному сервису, а тот от имени пользователя идет к другому внутреннему сервису. Kerberos поддерживает такие сценарии через механизм делегирования.
Это удобно, но требует аккуратной настройки. Неправильное или слишком широкое делегирование может само стать риском безопасности.
Это удобно, но требует аккуратной настройки. Неправильное или слишком широкое делегирование может само стать риском безопасности.
5. Более понятная стратегия отказа от legacy-механизмов
Переход на Kerberos позволяет постепенно сокращать использование NTLM. Это снижает поверхность атаки, особенно в части pass the hash.
Но важно понимать: Kerberos не отменяет необходимость защиты учетных данных. Если злоумышленник получил административный доступ к рабочей станции или серверу, он может попытаться получить билеты, ключи или другие материалы для дальнейшего продвижения.
Но важно понимать: Kerberos не отменяет необходимость защиты учетных данных. Если злоумышленник получил административный доступ к рабочей станции или серверу, он может попытаться получить билеты, ключи или другие материалы для дальнейшего продвижения.
Почему организациям следует перейти на Kerberos
Для современных доменных инфраструктур Kerberos должен быть основным механизмом аутентификации. Это не значит, что NTLM можно отключить «одной кнопкой» без подготовки. В реальной компании почти всегда есть старые приложения, нестандартные интеграции, сетевые устройства, файловые ресурсы или сервисы, которые все еще завязаны на NTLM.
Но стратегически организациям важно двигаться именно в сторону Kerberos.
Но стратегически организациям важно двигаться именно в сторону Kerberos.
1. NTLM увеличивает поверхность атаки
Чем больше в инфраструктуре NTLM, тем больше сценариев, где могут быть применимы атаки на основе хэшей и relay-механик. Особенно опасны ситуации, когда одни и те же учетные записи имеют локальные административные права на многих системах.
MITRE в рекомендациях по снижению риска pass the hash отдельно указывает на необходимость ограничивать пересечение учетных данных между системами и не допускать, чтобы доменный пользователь был локальным администратором на множестве машин.
MITRE в рекомендациях по снижению риска pass the hash отдельно указывает на необходимость ограничивать пересечение учетных данных между системами и не допускать, чтобы доменный пользователь был локальным администратором на множестве машин.
2. Kerberos лучше подходит для контроля доступа
Kerberos дает более зрелую модель для домена: билеты, SPN, делегирование, централизованная работа с учетными записями и сервисами. Это не только удобнее, но и правильнее с точки зрения управления доступом.
3. Проще строить мониторинг и выявлять аномалии
При грамотной настройке можно отслеживать подозрительные события: необычные запросы билетов, обращения к сервисам, аномалии в Kerberos-аутентификации, использование привилегированных учетных записей, нестандартные входы и признаки lateral movement (внутреннего перемещения).
Для NTLM тоже нужен аудит, но если NTLM используется широко и хаотично, отличить нормальную активность от подозрительной сложнее.
Для NTLM тоже нужен аудит, но если NTLM используется широко и хаотично, отличить нормальную активность от подозрительной сложнее.
4. Снижается зависимость от устаревших сценариев
Многие проблемы безопасности возникают не из-за одной уязвимости, а из-за накопленного технического долга: старые приложения, временные исключения, неучтенные сервисные учетные записи, устаревшие протоколы, одинаковые локальные пароли.
Переход на Kerberos обычно требует инвентаризации. А это уже полезно: компания начинает понимать, какие системы у нее есть, какие протоколы они используют и где сохраняются слабые места.
Переход на Kerberos обычно требует инвентаризации. А это уже полезно: компания начинает понимать, какие системы у нее есть, какие протоколы они используют и где сохраняются слабые места.
5. Это часть общей стратегии защиты домена
Переход на Kerberos должен быть не отдельным проектом «ради галочки», а частью комплексной защиты Active Directory.
Что стоит делать:
Важно: неправильная миграция может сломать бизнес-процессы. Поэтому сначала нужно понять, где NTLM используется, почему используется и чем его можно заменить.
Что стоит делать:
- провести аудит использования NTLM;
- выявить приложения и сервисы, которые зависят от NTLM;
- настроить SPN (service principal name) для сервисов, где это необходимо;
- ограничить или отключить NTLM там, где он не нужен;
- включить аудит NTLM и Kerberos-событий;
- сократить число локальных администраторов;
- разделить пользовательские и административные учетные записи;
- внедрить LAPS или аналогичный подход для управления локальными паролями;
- контролировать сервисные учетные записи;
- ограничить делегирование Kerberos;
- следить за привилегированными группами в Active Directory;
- внедрить мониторинг перемещений злоумышленников (lateral movement).
Важно: неправильная миграция может сломать бизнес-процессы. Поэтому сначала нужно понять, где NTLM используется, почему используется и чем его можно заменить.
Заключение
NTLM и Kerberos решают одну общую задачу — помогают пользователю или компьютеру подтвердить свою личность в Windows-инфраструктуре. Но делают они это по-разному.
NTLM — более старый механизм, который до сих пор встречается из-за совместимости, legacy-приложений и особенностей инфраструктуры. Его основная проблема в том, что при компрометации хэшей злоумышленник может использовать их для продвижения по сети через pass the hash.
Kerberos — более современная и предпочтительная модель для Active Directory. Он работает через билеты, лучше поддерживает single sign-on, делегирование и доменную аутентификацию. Но он тоже требует защиты: украденные Kerberos-билеты могут использоваться в pass the ticket, а ошибки в настройке домена, сервисных учетных записей и делегирования создают отдельные риски.
Поэтому правильный подход — не просто «включить Kerberos» и забыть о проблеме. Нужно системно управлять аутентификацией: понимать, где используется NTLM, постепенно сокращать его применение, корректно настраивать Kerberos, защищать учетные записи, ограничивать привилегии, контролировать билеты и отслеживать признаки перемещения злоумышленников по внутренней инфраструктуре (lateral movement).
Для бизнеса это вопрос не только технической чистоты, но и устойчивости инфраструктуры. Чем меньше устаревших механизмов, лишних прав и неконтролируемых учетных данных, тем сложнее злоумышленнику продвигаться внутри сети после первичного компрометации.
NTLM — более старый механизм, который до сих пор встречается из-за совместимости, legacy-приложений и особенностей инфраструктуры. Его основная проблема в том, что при компрометации хэшей злоумышленник может использовать их для продвижения по сети через pass the hash.
Kerberos — более современная и предпочтительная модель для Active Directory. Он работает через билеты, лучше поддерживает single sign-on, делегирование и доменную аутентификацию. Но он тоже требует защиты: украденные Kerberos-билеты могут использоваться в pass the ticket, а ошибки в настройке домена, сервисных учетных записей и делегирования создают отдельные риски.
Поэтому правильный подход — не просто «включить Kerberos» и забыть о проблеме. Нужно системно управлять аутентификацией: понимать, где используется NTLM, постепенно сокращать его применение, корректно настраивать Kerberos, защищать учетные записи, ограничивать привилегии, контролировать билеты и отслеживать признаки перемещения злоумышленников по внутренней инфраструктуре (lateral movement).
Для бизнеса это вопрос не только технической чистоты, но и устойчивости инфраструктуры. Чем меньше устаревших механизмов, лишних прав и неконтролируемых учетных данных, тем сложнее злоумышленнику продвигаться внутри сети после первичного компрометации.