Microsoft, Windows 11'e yöneticilerin NTLM'yi SMB üzerinden engellemesini sağlayan yeni bir güvenlik özelliği ekledi, Hash geçişi, NTLM rölesi veya şifre kırma saldırılarını önlemek için.
Bu, hedef sunucularla Kerberos ve NTLM'nin (yani, LM, NTLM ve NTLMV2) kimlik doğrulama müzakerelerinin Windows SPNEGO tarafından destekleneceği eski yaklaşımı değiştirecektir.
Uzak SMB paylaşımına bağlanırken, Windows bir NTLM meydan okuma yanıtı gerçekleştirerek uzak bilgisayarla kimlik doğrulamasını müzakere etmeye çalışacaktır.
Bununla birlikte, bu NTLM Challenge yanıtı, SMB paylaşımını açmaya çalışan oturum açmış kullanıcının karma şifresini içerecek ve bu da daha sonra paylaşımı barındıran sunucu tarafından yakalanabilir.
Bu karmalar daha sonra düz metin şifresini almak için çatlatılabilir veya NTLM rölesinde kullanılır ve kullanıcı olarak oturum açmak için saldırılara girer.
Bu yeni özellik, bir yöneticinin SMB üzerinden giden NTLM'yi engellemesini sağlar ve bir kullanıcının karma şifresinin uzak bir sunucuya gönderilmesini önleyerek bu tür saldırıları etkili bir şekilde önler.
Microsoft'tan Amanda Langowski ve Brandon LeBlanc, "Bu yeni seçenekle, bir yönetici Windows'un NTLM'yi SMB aracılığıyla kasıtlı olarak engelleyebilir."
"Bir kullanıcıyı veya uygulamayı kötü amaçlı bir sunucuya NTLM meydan okuma yanıtlarını göndermeye kandıran bir saldırgan, artık herhangi bir NTLM verisi almayacak ve asla ağ üzerinden gönderilmeyecekleri için bir şifreyi zorlayamayacak, çatlatamaz veya geçemez."
Bu ek güvenlik katmanı, işletim sistemi içindeki NTLM kullanımının tamamen kapatılması ihtiyacını ortadan kaldırır.
Windows 11 Insider Önizleme Build 25951 ile başlayarak, yöneticiler Windows'u Grup Politikası ve PowerShell kullanarak uzaktan giden bağlantılarda SMB üzerinden NTLM verilerini SMB üzerinden engelleyecek şekilde yapılandırabilir.
Ayrıca, net kullanım ve powerShell kullanarak SMB bağlantılarında NTLM kullanımını tamamen kapatabilirler.
Windows Server Mühendislik Grubu'ndaki ana program yöneticisi Ned Pyle, ayrı bir blog yazısında, "Daha sonraki bir Windows Insider sürümü, yöneticilerin bir izin listesi ile belirli sunuculara SMB NTLM engellemesini kontrol etmesine izin verecek."
"Bir müşteri, yalnızca alan dışı üyeler veya üçüncü taraf ürünler olarak NTLM'yi destekleyen ve bağlantıya izin veren SMB sunucularını belirleyebilecektir."
Bu yapıya başlayan bir başka yeni seçenek, yöneticilerin eski ve güvensiz Windows cihazlarının kuruluşlarında eski KOBİ protokollerinin kullanımını değiştirerek bağlanmasını engellemelerini sağlayan SMB lehçe yönetimidir.
Canary Channel'a Windows 11 Insider Önizleme Build 25381'in piyasaya sürülmesiyle Redmond, tüm bağlantıların NTLM röle saldırılarına karşı savunması için varsayılan olarak SMB imzalamasını (diğer adıyla güvenlik imzaları) gerektirmeye başladı.
Bu saldırılarda, kötü niyetli aktörler, alan denetleyicileri de dahil olmak üzere ağ cihazlarını, Windows alanı üzerinde taklit ederek tam kontrol altına almak için kontrol altındaki sunuculara karşı kimliği doğrulamaya zorlar.
KOBİ imzalama, her mesaja eklenen gömülü imza ve karmalar kullanarak gönderen ve alıcının kimliklerini doğrulayarak kötü niyetli kimlik doğrulama isteklerinin önlenmesinde önemli bir rol oynayan bir SMB güvenlik mekanizmasıdır.
Windows 98 ve 2000'den başlayarak kullanılabilir ve veri şifreleme hızlarını önemli ölçüde hızlandırarak koruma ve performansı artırmak için Windows 11 ve Windows Server 2022'de güncellenmiştir.
Bu güncellemeler, 2022 boyunca yapılan önceki duyurularla vurgulandığı gibi, Windows ve Windows Server'ın güvenliğini artırmak için daha geniş bir girişimin parçasıdır.
Nisan 2022'de Microsoft, Windows 11 Home Inserers için Windows'ta üç yıllık SMB1 dosya paylaşım protokolünü devre dışı bırakmanın son aşamasını duyurduğunda önemli bir adım attı.
Bu yörüngeye devam eden şirket, beş ay sonra kaba kuvvet saldırılarına karşı gelişmiş savunma önlemleri açıkladı ve başarısız NTLM kimlik doğrulama çabalarının etkisini azaltmak için tasarlanmış bir KOBİ kimlik doğrulama oranı sınırlayıcısı getirdi.
Windows 11 Snipping Aracı, resimlerden metin kopyalamak için OCR desteği alır
Windows 11'deki Microsoft Paint bir arka plan çıkarma aracı alır
Microsoft, Windows 11'deki yeni özellikler hakkında daha fazla bilgi edinmenizi istiyor
Windows 11 '' Temalar 'RCE Hatası Gett-Concept Sustay
Microsoft Eylül 2023 Patch Salı 2 sıfır gün, 59 kusur düzeltiyor
Kaynak: Bleeping Computer