كيفية حماية بيانات اعتماد Windows NTLM الخاصة بك من تهديدات صفر يوم

تستخدم أجهزة Windows طريقة تسجيل الدخول الأقدم تسمى NTLM ، والتي يتم تمكينها افتراضيًا. في حالة حدوث هجوم من البرامج الضارة ، يمكن أن يعرض كلمة مرور النظام للمتسللين. يمكنهم استخدام أنواع مختلفة من الهجمات في الوسط لسرقة تفاصيل تسجيل الدخول إلى Windows. لحسن الحظ ، يمكنك حماية بيانات اعتماد Windows NTLM الخاصة بك من تهديدات صفر يوم باستخدام بعض التعديلات البسيطة في إعدادات NTLM.

كيف تسرق تهديدات Windows NTLM كلمات المرور الخاصة بك

NTLM (NT LAN Manager) هي طريقة مصادقة أقدم لا تزال تستخدم في العديد من أجهزة Windows. إنه يعمل عن طريق تحويل كلمة المرور الخاصة بك إلى رمز (تجزئة) للتحقق منك دون إرسال كلمة المرور عبر الشبكة. هذا غير آمن لأنه إذا تم اختراق جهاز الكمبيوتر الخاص بك ، فستكون كلمة مرور تسجيل الدخول مرئية للمهاجمين.

في الآونة الأخيرة في أبريل 2025 ، قام باحث أمن Check Point بالتدوين حول الكشف عن تجزئة NTLM من خلال ثغرة أمنية تسمى “CVE-2025-24054”. وفقًا لهم ، فهي عبارة عن هجوم إلكتروني مستمر يستهدف مستخدمي الحكومة والمؤسسات في بولندا ورومانيا. يستخدم المهاجمون أنواعًا مختلفة من الهجمات في الوسط ، بما في ذلك Pass-the Hash (PTH) ، وطاولة قوس قزح ، وهجمات التتابع. هدفهم الرئيسي هو المستخدمين المميزين أو المسؤولين.

في حين أن هجمات NTLM غالباً ما تستهدف المؤسسات والحكومات ، فإن المستخدمين المنزليين هم أيضًا عرضة للخطر. مجرد التفاعل مع ملف ضار يمكن أن يتسرب كلمة مرور النظام.

قامت Microsoft بإصدار تصحيح أمان لـ CVE-2025-24054. لذلك من الجيد دائمًا الحفاظ على تحديث نظام Windows الخاص بك لمنع هذه الهجمات. بصرف النظر عن ذلك ، هناك بعض الأشياء الأخرى التي يمكنك القيام بها.

1. تعطيل مصادقة NTLM من خلال PowerShell

Open PowerShell في وضع المسؤول ، وأدخل ما يلي. ستجد سؤالًا آخر ما إذا كنت تريد تعديل تكوين عميل SMB المستهدف. لذلك ، انقر أ.

Set-SMBClientConfiguration -BlockNTLM $true

لا يؤثر حظر NTLM على SMB على أحدث أجهزة Windows الخاصة بك. ومع ذلك ، في حال واجهت مشاكل مع الطابعات القديمة أو خوادم NAS أو غيرها من الأجهزة القديمة ، يمكنك دائمًا التبديل للسماح لـ NTLM عبر SMB.

Set-SMBClientConfiguration -BlockNTLM $false

يتم استخدام كتلة رسالة الخادم (SMB) لمشاركة الملفات ، واتصالات الشبكة. إنها واحدة من أكثر الاتصالات شيوعًا التي تستخدمها PTH ، وهجمات التتابع ، وغيرها من الهجمات في الوسط. عن طريق منع NTLM على SMB ، فإنك تزيل بوابة رئيسية للمهاجمين.

2. تعطيل بروتوكول NTLM الأقدم في محرر التسجيل

يتم استضافة العديد من جلسات Windows في الوقت الحاضر في “Kerberos” وهو بروتوكول آمن للغاية لأنه يستخدم المصادقة المشفرة القائمة على التذاكر. ومع ذلك ، ليست هناك حاجة لتعطيل NTLM بالكامل الذي يحتوي على العديد من الاستخدامات. بدلاً من ذلك ، سنقوم بالتبديل إلى بروتوكول NTLMv2 الأكثر أمانًا بدلاً من NTLMV1.

يمكن القيام بذلك من محرر التسجيل. أولا خذ نسخة احتياطية من السجل الخاص بك. بعد ذلك ، افتح محرر التسجيل في وضع المسؤول ، وانتقل إلى:

Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

مفتاح التسجيل LSA (هيئة الأمن المحلية) و

بموجب مفتاح التسجيل لـ “هيئة الأمان المحلية” (LSA) ، انتقل إلى قيمة مستوى مصادقة Manager Manager لشبكة Network ، “LMCOMPATIBILITYLEVEL”. إذا لم يكن موجودًا ، فقم بإنشاء كلمة D (32 بت) تحت LSA كما هو موضح أعلاه.

انقر نقرًا مزدوجًا فوق “LMCOMPATIBILITYLEVEL” لفتحه. ستجد “0” كقيمة افتراضية. قم بتعيينه على “3” أو “4” أو “5” الذي سيقوم بتعيين جهاز Windows الخاص بك لإرسال استجابات NTLMV2 فقط ، وحظر جميع استجابات NTLMV1 القديمة.

تعيين LMCOMPATIBILITYLEVEL إلى القيمة 3 ، وبالتالي منع جميع NTLMV1.

بعد إجراء التغيير أعلاه ، انتقل إلى المسار أدناه:

COMPUTER\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters

هنا ، ستجد قيمة للكلمة D تسمى “MeriesEcuritySignature ،” أو “EnloberEcuritySignUtent”. يجب أن تكون قيمتها الافتراضية “1”. إذا لم يكن كذلك ، فقم بتغييره إلى “1.” بمجرد القيام بذلك ، تتطلب جميع اتصالات SMB المستقبلية توقيع SMB الأمان. هذا يمنع بيانات اعتماد جهازك من السرقة.

3. احتفظ بحماية السحابة في Windows Security

تغييرات السجل أعلاه غير ضارة. ومع ذلك ، إذا كنت لا ترغب في القيام بها ، فيمكنك حماية جهازك من خلال ميزة أمان Windows جديدة تمنع جميع التهديدات مثل هجمات التصيد الناشئة عبر الإنترنت. يمكن الوصول إليه من حماية الفيروسات والتهديد -> إدارة الإعدادات -> حماية سحابة.

تمكين السحابة التي سلمت الحماية في Windows Security.

متعلق ب: إن الوصول إلى مجموعة حماية نقطة النهاية ، مثل Microsoft Defender ، يمنحك حماية إضافية ضد تهديدات ساعة الصفر.

4. تدابير أمنية أخرى

أوصت Microsoft بآليات الأمان الإضافية التالية لتجنب الوقوع في ضحية أوراق اعتماد NTLM:

تمكين المصادقة متعددة العوامل: يمكنك تعزيز كلمة مرورك وأمان تسجيل الدخول المستند إلى دبوس من خلال آليات المصادقة متعددة العوامل. اذهب إلى إعدادات -> حسابات -> خيارات تسجيل الدخول. ستجد هنا العديد من الخيارات مثل Windows Hello ، وإنشاء مفتاح أمان فعلي باستخدام أجهزة USB.
تجنب النقر على الروابط المشبوهة: NTLM Malware تنتشر بشكل عام من خلال الروابط الخبيثة. على الرغم من أنها قد يتم حظرها من قبل Windows Security ، فلماذا تغتنم فرصة ضد هذه المآثر عن بُعد؟ تحقق من دليلنا التفصيلي حول كيفية اكتشاف الرسائل الضارة وتجنبها.