Microsoft, bu haftanın başlarında NTLM kimlik doğrulama protokolünün gelecekte Windows 11'de öldürüleceğini duyurdu.
NTLM (yeni teknoloji LAN Manager'ın kısaltması), uzak kullanıcıları kimlik doğrulamak ve oturum güvenliği sağlamak için kullanılan bir protokol ailesidir.
Başka bir kimlik doğrulama protokolü olan Kerberos, NTLM'nin yerini aldı ve şimdi Windows 2000'in üzerindeki tüm Windows sürümlerinde etki alanına bağlı cihazlar için geçerli varsayılan Auth protokolüdür.
Eski Windows sürümlerinde kullanılan varsayılan protokol olsa da, NTLM bugün hala kullanılmaktadır ve herhangi bir nedenle Kerberos başarısız olursa, bunun yerine NTLM kullanılacaktır.
Tehdit aktörleri, NTLM röle saldırılarında NTLM'yi kapsamlı bir şekilde kullanmıştır, burada savunmasız ağ cihazlarını (etki alanı denetleyicileri dahil) saldırganların kontrolü altındaki sunuculara karşı doğrulamaya zorladılar ve Windows alanı üzerinde tam kontrol kazanmak için ayrıcalıkları yükseltti.
Buna rağmen, NTLM hala Windows sunucularında kullanılmaktadır ve saldırganların NTLM röle saldırısı azaltmalarını atlamak için tasarlanmış ShadowCoerce, DFSCOerce, Petitpotam ve RemotoPotato0 gibi güvenlik açıklarından yararlanmasına izin verir.
NTLM ayrıca, siber suçluların sistem güvenlik açıklarından yararlandığı veya karma şifreleri temsil eden NTLM karmalarını hedeflenen bir sistemden elde etmek için kötü amaçlı yazılımlar dağıttığı haşlı saldırılarla da hedef alınmıştır.
Hash'e sahip olduktan sonra, saldırganlar bunu tehlikeye atılan kullanıcı olarak doğrulamak için kullanabilir, böylece hassas verilere erişim kazanabilir ve ağa yanal olarak yayılabilir.
Microsoft, geliştiricilerin 2010 yılından bu yana uygulamalarında NTLM kullanmaması gerektiğini ve Windows Adims'e NTLM'yi devre dışı bırakmalarını veya sunucularını Active Directory Sertifika Hizmetlerini (AD CS) kullanarak NTLM röle saldırılarını engelleyecek şekilde yapılandırmasını tavsiye ettiğini söylüyor.
Bununla birlikte, Microsoft şimdi iki yeni Kerberos özelliği üzerinde çalışıyor: IakeB (başlangıç ve Kerberos kullanarak kimlik doğrulamasından geçin) ve yerel KDC (Yerel Anahtar Dağıtım Merkezi).
Microsoft'tan Matthew Palko, "Kerberos için yerel KDC, yerel makinenin güvenlik hesap yöneticisinin üzerine inşa edilmiştir, bu nedenle yerel kullanıcı hesaplarının uzak kimlik doğrulaması Kerberos kullanılarak yapılabilir."
"Bu, Windows'un DNS, Netlogon veya DClocator gibi diğer kurumsal hizmetlere destek eklemek zorunda kalmadan uzaktan yerel makineler arasında Kerberos mesajlarını geçmesine izin vermesi için IakeB'den yararlanıyor. IekerB ayrıca Kerberos mesajlarını kabul etmek için uzak makinede yeni bağlantı noktaları açmamızı gerektirmiyor. . "
Microsoft, Windows 11'de kullanımını genişletmek ve NTLM'ye Kerberos geri dönüşüne yol açan iki önemli zorlukla mücadele etmek için iki yeni Kerberos özelliğini tanıtmayı planlıyor.
İlk özellik olan IakeB, müşterilerin daha geniş bir ağ topolojisi yelpazesinde Kerberos ile kimlik doğrulaması yapmalarını sağlar. İkinci özellik, Kerberos desteğini yerel hesaplara genişleten Kerberos için yerel bir anahtar dağıtım merkezi (KDC) içerir.
Redmond ayrıca NTLM yönetim kontrollerini genişletmeyi planlıyor ve yöneticilere NTLM kullanımının ortamlarında izlenmesi ve kısıtlanmasında daha fazla esneklik sağlıyor.
Palko, "Tüm bu değişiklikler varsayılan olarak etkinleştirilecek ve çoğu senaryo için yapılandırma gerektirmeyecektir. NTLM, mevcut uyumluluğu korumak için bir geri dönüş olarak kullanılabilir olmaya devam edecektir." Dedi.
"NTLM kullanımının azaltılması, Windows 11'de devre dışı bırakıldığında sonuçta doruğa ulaşacaktır. Ne zaman devre dışı bırakılacağını belirlemek için NTLM kullanımında veri odaklı bir yaklaşım ve izleme indirimleri izliyoruz.
"Bu arada, bir baş başlangıç yapmak için sağladığımız gelişmiş kontrolleri kullanabilirsiniz. Varsayılan olarak devre dışı bırakıldıktan sonra, müşteriler bu kontrolleri uyumluluk nedenleriyle yeniden etkinleştirmek için de kullanabilecekler."
Microsoft yanlış Bitlocker şifreleme hataları konusunda uyarıyor
Windows 11 21H2 ve Windows Server 2012 Desteğin Sonu
Microsoft, Cortana'yı Windows 11 Insiders için resmen kaldırır
Microsoft artık Windows 11 yüklemeleri sırasında bir oyun oynamanıza izin veriyor
Windows 11 KB5030310 Güncellemesi Önerilen Web Siteleri Ekler, 24 Sorunu Düzelter
Kaynak: Bleeping Computer