Cuando un usuario inicia sesión con credenciales de dominio en una máquina con Windows 7, asumo que se produce algún tipo de protocolo de enlace con el servidor de inicio de sesión / controlador de dominio, donde el hash ntlm enviado por el usuario se compara con el hash en el controlador de dominio .
Si este es el caso, ¿es posible detectar el tráfico de red enviado a los controladores de dominio para interceptar los hashes de contraseña utilizando ataques de suplantación / mtim de arp? ¿O están los hashes cifrados en tránsito?