Microsoft, Windows ve Windows sunucularında NTLM kimlik doğrulamasını resmen kullanımdan kaldırdı, bu da geliştiricilerin gelecekte sorunları önlemek için Kerberos'a geçmesi veya müzakere kimlik doğrulaması yapmaları gerektiğini belirtti.
Daha iyi NTLM olarak bilinen yeni teknoloji LAN Manager, ilk olarak 1993 yılında Windows NT 3.1'in bir parçası olarak ve LAN Manager (LM) protokolünün halefi olarak yayınlanan bir kimlik doğrulama protokolüdür.
Microsoft, bugün hala yaygın olarak kullanılan NTLM protokollerinin artık Haziran ayı itibariyle aktif geliştirme altında olmadığını ve daha güvenli alternatifler lehine aşamalı olarak kaldırılacağını söylüyor.
Microsoft'un Ekim 2023'te yaşlanan kimlik doğrulama protokolünü öldürme niyetini ilk duyurduğu için bu hareket şaşırtıcı değil, yöneticileri Kerberos'a ve müzakere gibi diğer çağdaş kimlik doğrulama sistemlerine taşımaya çağırdı.
NTLM, 'NTLM rölesi' saldırıları olarak bilinen siber saldırılarda kapsamlı bir şekilde istismar edilmiştir, burada Windows etki alanı denetleyicileri kötü amaçlı sunuculara karşı kimlik doğrulamaya zorlayarak devralınır.
Microsoft'un SMB güvenlik imzalaması gibi bu saldırılara karşı savunmak için yeni önlemler getirmesine rağmen, NTLM kimlik doğrulamasına yönelik saldırılar devam ediyor.
Örneğin, şifre karmaları hala kapanabilir ve kimlik avı saldırılarında elde edilen "Horh-the Pass" saldırılarında kullanılabilir veya doğrudan çalınan Active Directory veritabanlarından veya bir sunucunun belleğinden çıkarılabilir. Saldırganlar daha sonra bir kullanıcının düz metin şifresini almak için karmaları kırabilir.
NTLM'de kullanılan daha zayıf şifreleme dışında, Kerberos gibi daha modern protokollere kıyasla, protokolün performansı daha fazla ağ turu gerektirir ve tek oturum açma (SSO) teknolojilerini desteklemez.
Bütün bunlar, NTLM 2024 Güvenlik ve Kimlik Doğrulama Standartları tarafından ciddi şekilde modası geçmiş olarak kabul ediliyor, bu nedenle Microsoft bundan istifa ediyor.
NTLM, Windows Server'ın bir sonraki sürümünde ve Windows'un bir sonraki yıllık sürümünde çalışacak. Yine de, kullanıcılar ve uygulama geliştiricileri, önce Kerberos ile kimliği doğrulamaya çalışan ve sadece gerektiğinde NTLM'ye geri dönen 'müzakere' için geçiş yapmalıdır.
Microsoft, sistem yöneticilerinin NTLM'nin çevrelerinde nasıl kullanıldığını anlamak ve bir geçiş planının formüle edilmesinde dikkate alınması gereken tüm örnekleri belirlemek için denetim araçlarını kullanmasını önerir.
Çoğu uygulama için, NTLM'yi müzakere ile değiştirmek, Güvenlik Destek Sağlayıcısı Arayüzü'ne (SSPI) 'AcquireCrediAntialShandle' talebindeki tek satırlık bir değişiklik ile elde edilebilir. Ancak, daha kapsamlı değişikliklerin gerekli olabileceği istisnalar vardır.
Müzakere, geçiş döneminde uyumluluk sorunlarını azaltmak için NTLM'ye yerleşik bir geri dönüşe sahiptir.
Kimlik doğrulama sorunlarına sıkışmış yöneticiler Microsoft'un Kerberos Sorun Giderme Kılavuzuna göz atabilir.
Microsoft, 2024'ün ikinci yarısında VBScript'i öldürmeye başlayacak
Microsoft: Windows 24H2 Cortana ve Wordpad uygulamalarını kaldıracak
Microsoft Edge güncellemesi bugün Internet Explorer 11'i devre dışı bırakmaya başladı
Microsoft Mayıs 2024 Patch Salı 3 sıfır gün, 61 kusur düzeltiyor
Microsoft, Windows Server hatasını düzeltiyor ve kazalara neden oluyor, NTLM Auth Arızaları
Kaynak: Bleeping Computer