Microsoft, kimlik doğrulama ve güvenliği artırmak için alternatif yöntemlere yönelmesi nedeniyle gelecekte Windows 11’deki NT LAN Manager’ı (NTLM) ortadan kaldırmayı planladığını duyurdu.
Teknoloji devi, “Odak noktası, 2000 yılından bu yana varsayılan olan Kerberos kimlik doğrulama protokolünün güçlendirilmesi ve NT LAN Manager’a (NTLM) olan bağımlılığın azaltılmasıdır” dedi. “Windows 11’in yeni özellikleri arasında Kerberos (IAKerb) Kullanarak İlk ve Geçişli Kimlik Doğrulaması ve Kerberos için yerel Anahtar Dağıtım Merkezi (KDC) yer alıyor.”
IAKerb, müşterilerin çeşitli ağ topolojileri üzerinden Kerberos ile kimlik doğrulaması yapmasına olanak tanır. İkinci özellik olan Kerberos için yerel Anahtar Dağıtım Merkezi (KDC), Kerberos desteğini yerel hesaplara kadar genişletir.
İlk olarak 1990’larda tanıtılan NTLM, kullanıcılara kimlik doğrulama, bütünlük ve gizlilik sağlamayı amaçlayan bir güvenlik protokolleri paketidir. Bir sunucuya veya etki alanı denetleyicisine, kullanıcının bir hesapla ilişkili parolayı bildiğini kanıtlayan bir sorgulama-yanıt protokolüne dayanan tek oturum açma (SSO) aracıdır.
NTLM bir geri dönüş mekanizması olarak kullanılmaya devam etmesine rağmen, Windows 2000’in piyasaya sürülmesinden bu yana Kerberos adı verilen başka bir kimlik doğrulama protokolü ile değiştirildi.
CrowdStrike, “NTLM ile Kerberos arasındaki temel fark, iki protokolün kimlik doğrulamayı nasıl yönettiğidir. NTLM, bir kullanıcının kimliğini doğrulamak için istemci ve sunucu arasındaki üç yönlü el sıkışmaya dayanır.” “Kerberos, bilet verme hizmetinden veya anahtar dağıtım merkezinden yararlanan iki parçalı bir süreç kullanıyor.”
Bir diğer önemli ayrım da NTLM’nin şifre karma işlemine dayanmasına rağmen Kerberos’un şifrelemeyi kullanmasıdır.
NTLM’nin doğasında olan güvenlik zayıflıklarının yanı sıra, teknoloji aktarma saldırılarına karşı savunmasız hale getirildi ve potansiyel olarak kötü aktörlerin kimlik doğrulama girişimlerini engellemesine ve ağ kaynaklarına yetkisiz erişim elde etmesine olanak tanıdı.
Microsoft ayrıca, Windows 11’de NTLM’yi nihai olarak devre dışı bırakmaya yönelik geçişe hazırlık amacıyla bileşenlerindeki sabit kodlu NTLM örneklerini ele almaya çalıştığını ve NTLM yerine Kerberos kullanımını teşvik eden iyileştirmeler yaptığını da sözlerine ekledi.
Microsoft’un Kurumsal ve Güvenlik alanında kıdemli ürün yönetimi lideri Matthew Palko, “Tüm bu değişiklikler varsayılan olarak etkin olacak ve çoğu senaryo için yapılandırma gerektirmeyecek” dedi. “NTLM, mevcut uyumluluğu korumak için bir yedek olarak mevcut olmaya devam edecek.”