Есть ли проблема безопасности, связанная с проверкой подлинности NTLM через http, или она должна быть только https?

NTLM поверх обычного HTTP небезопасен. Злоумышленники, которые пассивно перехватывают трафик или осуществляют атаку типа "злоумышленник в середине", могут использовать различные методы для кражи или злоупотребления учетными данными. Например:

• NTLM relay-атаки: когда пользователь думает, что он прошел проверку подлинности в SharePoint, злоумышленник может вместо этого перенаправить вызов NTLM какой-либо другой службы (например, Outlook / Exchange или общий ресурс SMB) в домене и получить к ней доступ. Даже когда второй сервис использует HTTPS!
• Offline словарные атаки: после наблюдения за запросом и ответом NTLM злоумышленник может повторно вычислить обмен для некоторого пароля P. Если он совпадает, это означает, что P был паролем пользователя. Злоумышленник может продолжать попытки P, пока пароль не будет найден. Эффективность этой атаки зависит от надежности пароля, но с помощью стандартных инструментов, хорошего словаря и каменного ускорения GPU даже умеренно сложные пароли можно взломать.
• Захват сеанса: злоумышленник, который просто заинтересован в SharePoint, также может просто игнорировать обмен NTLM и захватить сеанс SharePoint пользователя (например, путем кражи файлов cookie или внедрения JavaScript). Это дает им такой же доступ для чтения / записи, как и пользователю.
• Подмена сайта: am злоумышленник может показать фальшивый экран входа в систему с запросом учетных данных AD. Поскольку пользователи, вероятно, доверяют SharePoint, не исключено, что они заполнят их и, таким образом, предоставят злоумышленнику пароль в виде открытого текста.
• Переход на более раннюю версию NTLMv1: в зависимости от конфигурации клиента злоумышленник может заставить его выполнить рукопожатие NTLMv1. У него есть все криптографические недостатки NTLMv2 (то есть уязвимость к атакам по словарю и реле), но после взлома двух ключей DES (в настоящее время довольно дешево и быстро) он дает им доступ к необработанному хешу NT пользователей. Атака по словарю против этого намного эффективнее. Кроме того, это значение может использоваться для атаки с передачей хэша, позволяющей злоумышленнику войти в систему как пользователь (для большинства служб) без пароля.

Итог: относитесь к проверке подлинности NTLM так же, как к проверке подлинности с учетными данными в виде открытого текста. В этом случае это означает, что вам следует использовать HTTPS, если вы хотите защитить свою сеть от злоумышленников.

Вы не будете раскрывать учетные данные в открытом виде, используя NTLM через HTTP. Вы будете раскрывать все остальное, поэтому ваши данные не будут защищены от нарушения конфиденциальности или целостности (перехват или изменение данных «на лету»).

Я ничего не знаю о Sharepoint, но общий подход к этому заключался бы в установке сниффера. Если вы видите, что пароли или их хэши передаются, то это плохо. Если вы его не видите, вам нужно еще раз изучить его, он все еще может быть слегка запутан (кодировка base64 или что-то в этом роде).