Mientras escribía una entrada en el blog sobre NTLMv1 y Windows Server 2025, recordé un problema antiguo, muy conocido, pero que sigue siendo objeto de malentendidos: los niveles de autenticación de LAN Manager configurados incorrectamente. Esta configuración de autenticación especifica el protocolo de desafío y respuesta que se utiliza para los inicios de sesión en la red cuando no se negocia Kerberos.
Por qué no es recomendable utilizar el nivel de autenticación 2 (o inferior)
Una de las configuraciones erróneas más habituales que encuentro en entornos de Active Directory es que el nivel de autenticación de LAN Manager esté establecido en 2 o menos en los controladores de dominio (DC). Esta autenticación se puede configurar de dos maneras:
- A través de la política de grupo:
Network security: LAN Manager authentication level - Directamente a través de la clave del registro:
HKLM\System\CurrentControlSet\Control\Lsa\LmCompatibilityLevel
El motivo para establecer la autenticación en 2 es casi siempre el mismo: «Tenemos aplicaciones heredadas que se autentican mediante NTLMv1 y no podemos arriesgarnos a que dejen de funcionar».
Esa lógica es comprensible. Pero conduce a un error sutil y crítico.
¿Cuál es la diferencia entre los niveles de autenticación 2 y 3 de LAN Manager?
La configuración del nivel de autenticación de LAN Manager controla el comportamiento de autenticación tanto entrante como saliente, y no son lo mismo.
Establecer el nivel en 2 significa que:
- El DC acepta la autenticación NTLMv1 entrante.
- El DC también utiliza NTLMv1 para iniciar conexiones salientes.
Ese segundo punto crea una vulnerabilidad.
Por el contrario, establecer el nivel en 3 significa que:
- El DC sigue aceptando NTLMv1 entrante (por lo que los clientes heredados siguen funcionando).
- Se impide que el DC envíe conexiones salientes NTLMv1.
En otras palabras, el uso del nivel 3 preserva la compatibilidad al tiempo que elimina una superficie de ataque significativa.
¿Por qué es peligroso el NTLMv1 saliente de un DC?
Los DC son objetivos de gran valor. Si un atacante puede coaccionar a un DC para que realice un intento de autenticación saliente (mediante técnicas como PrinterBug, DFSCoerce, PetitPotam o métodos de coacción similares) y si esa autenticación utiliza NTLMv1, la respuesta capturada es mucho más débil que la que utiliza NTLMv2.
Las respuestas NTLMv1 a menudo se pueden descifrar rápidamente utilizando hardware moderno o tablas precalculadas. Como resultado, un atacante puede obtener el hash NT de la contraseña de la cuenta del ordenador.
Pero eso no es todo...y aquí es donde la diferencia se vuelve realmente crucial.
Los atacantes ni siquiera necesitan el hash NT.
En su lugar, pueden retransmitir la autenticación NTLMv1 forzada directamente a otro DC en el que no se aplica el enlace de canal LDAPS (otra configuración errónea alarmantemente común). Al retransmitir la autenticación de la cuenta de máquina del DC a través de LDAP, el atacante
puede llevar a cabo uno de estos dos devastadores ataques:
Ambos caminos conducen al mismo resultado: el control total sobre el DC. Desde la coacción inicial hasta el compromiso total del dominio puede pasar menos de un minuto.
No es necesario descifrar el hash. No se requieren privilegios elevados para iniciar. Solo se necesita un DC compatible con NTLMv1 y la falta de aplicación del enlace de canal LDAP.
La conclusión práctica
Si el motivo por el que sigues utilizando el nivel 2 (o inferior) de autenticación de LAN Manager es la compatibilidad con aplicaciones heredadas, puedes pasar al nivel 3 hoy mismo sin que ello afecte al funcionamiento de dichas aplicaciones.
Es posible que desee reservar los niveles 4 y 5 para cuando esté listo para descartar por completo LM y NTLMv1 en su entorno, ya que esos niveles comienzan a rechazar la autenticación NTLMv1 entrante. (Nota: en Windows Server 2025, ya no se permiten las conexiones salientes que utilizan LM y NTLMv1).
Ten en cuenta esta progresión:
- Nivel 2: El DC acepta la autenticación LM y NTLMv1 entrante y envía NTLMv1 saliente. Las aplicaciones heredadas funcionan, pero los DC quedan expuestos.
- Nivel 3: El DC acepta la autenticación LM y NTLMv1 entrante, pero no envía NTLMv1 saliente. Las aplicaciones heredadas siguen funcionando y sus DC están protegidos.
- Nivel 4: El DC envía NTLMv2 saliente, rechaza LM entrante, pero sigue aceptando NTLMv1 entrante. Es compatible con la mayoría de las aplicaciones y protege sus DC.
- Nivel 5: El controlador de dominio rechaza por completo todas las autenticaciones LM y NTLMv1 entrantes y salientes. Este nivel proporciona un endurecimiento total, pero las aplicaciones heredadas dejan de funcionar.
Si gestiona servidores de dominio (DC) en un entorno con requisitos de autenticación heredados, el nivel 3 debería ser su nivel mínimo de referencia. Establecer el nivel de autenticación de LAN Manager en el nivel 3 es un cambio de bajo riesgo y gran beneficio que a menudo se pasa por alto debido a que los conceptos erróneos sobre la compatibilidad están muy arraigados.
