网络安全研究人员发现，旨在禁用 NT LAN 管理器（NTLM）v1 的微软 Active Directory 组策略可以被错误配置绕过。

Silverfort 研究人员 Dor Segal 在与 The Hacker News 分享的一份报告中说：“内部部署应用程序中的一个简单错误配置就可以覆盖组策略，从而有效地否定旨在阻止 NTLMv1 身份验证的组策略。”

NTLM 仍是一种广泛使用的机制，尤其是在 Windows 环境中，用于跨网络验证用户身份。虽然由于向后兼容性的要求，该传统协议并未被删除，但从 2024 年中期开始，该协议已被弃用。

去年年底，微软正式从 Windows 11、24H2 版和 Windows Server 2025 中移除 NTLMv1。虽然 NTLMv2 引入了新的缓解措施，使中继攻击更难实施，但该技术一直受到几个安全漏洞的困扰，威胁者积极利用这些漏洞访问敏感数据。

利用这些漏洞的目的是胁迫受害者对任意端点进行身份验证，或针对易受攻击的目标转发身份验证信息，并代表受害者执行恶意操作。

Segal 解释说：“组策略机制是微软在整个网络中禁用 NTLMv1 的解决方案。LMCompatibilityLevel注册表键可以防止域控制器评估NTLMv1信息，并在使用NTLMv1进行身份验证时返回错误密码错误（0xC000006A）。”

然而，Silverfort 的调查发现，利用网登远程协议（MS-NRPC）中的一个设置，可以规避组策略，仍然使用 NTLMv1 身份验证。

具体来说，它利用了一个名为 NETLOGON_LOGON_IDENTITY_INFO 的数据结构，其中包含一个名为 ParameterControl 的字段，而该字段的配置为 “当只允许 NTLMv2 (NTLM) 时，允许 NTLMv1 身份验证 (MS-NLMP)。”

“这项研究表明，内部部署应用程序可以配置为启用 NTLMv1，从而否定 Active Directory 中设置的组策略 LAN 管理器身份验证级别的最高级别，”Segal 说。

“这意味着，企业认为他们通过设置此组策略做了正确的事情，但它仍然被配置错误的应用程序绕过了。”

要降低 NTLMv1 带来的风险，必须启用域中所有 NTLM 身份验证的审计日志，并密切关注要求客户端使用 NTLMv1 信息的易受攻击应用程序。毋庸置疑，我们还建议企业保持系统最新。

在最新发现之前，安全研究员李海飞（音译）曾报告说，在野外发现的 PDF 文件中存在一种 “零日行为”，在特定条件下用 Adobe Reader 或福昕 PDF Reader 打开这些文件时，可能会泄露本地 net-NTLM 信息。福昕软件已通过 Windows 版本 2024.4 解决了这一问题。

HN安全研究员Alessandro Iandoli详细介绍了如何绕过Windows 11（24H2之前的版本）中的各种安全功能，在内核级实现任意代码执行。