Sürekli değişen dijital ortamda, sağlam güvenlik önlemleri çok önemlidir. Windows, dünyamızın gelişen taleplerini karşılamaya uyum sağladıkça, Windows güvenliğinin temel taşı olan kullanıcı kimlik doğrulaması önemli bir dönüşümden geçiyor.
Microsoft, Kerberos’un güvenilirliğini ve esnekliğini artırırken eski NT LAN Manager (NTLM) kimlik doğrulama protokolüne bağımlılığını azaltarak kullanıcı kimlik doğrulamasını geliştirmek için aktif olarak çalışıyor.
Kerberos, milenyumun başlangıcından bu yana varsayılan Windows kimlik doğrulama protokolü olmuştur, ancak hala yetersiz kaldığı ve Windows’un NTLM’ye başvurmasına neden olduğu senaryolar vardır.
Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir
Ücretsiz demo
Bu durumları ele almak amacıyla Microsoft, Windows 11 için Kerberos Kullanarak İlk ve Geçişli Kimlik Doğrulaması (IAKerb) ve Kerberos için yerel Anahtar Dağıtım Merkezi (KDC) gibi yeni özellikler sunuyor.
Bu yenilikler, Kerberos’un kullanılabilirliğini ve güvenliğini artırmayı ve sonuçta NTLM’ye olan ihtiyacı azaltmayı amaçlıyor.
Windows ortamında kullanıcı kimlik doğrulaması, hassas parola verilerinin gizliliğini korurken, esas olarak kişinin kimliğinin uzaktaki bir sisteme doğrulanmasını gerektirir.
NTLM bunu, kullanıcının bir parolaya aşinalığını, onu açığa vurmadan doğrulayan bir sorgulama ve yanıt etkileşimine girerek başarır.
Bir Etki Alanı Denetleyicisine yerel ağ bağlantısı gerektirmemesi, yerel hesaplarla uyumlu olması ve hedef sunucu bilinmediğinde bile çalışabilmesi gibi NTLM’nin faydaları, tarihsel popülaritesine katkıda bulunmuştur.
Bazı uygulamalar ve hizmetler, Kerberos gibi gelişmiş güvenlik ve esneklik sağlayan çağdaş kimlik doğrulama protokollerini benimsemek yerine, bu avantajlar nedeniyle NTLM’ye güvenmiştir.
Kerberos’un bariz avantajlarına rağmen kuruluşlar, NTLM kullanımı için sabit kodlanmış uygulamalarla ilgili olası uyumluluk sorunları nedeniyle NTLM’yi devre dışı bırakmakta tereddüt ediyor.
Ayrıca, bir Etki Alanı Denetleyicisine erişim talep ettiğinden ve hedef sunucunun belirtilmesini gerektirdiğinden bazı senaryolar Kerberos ile uyumlu değildir.
Windows kimlik doğrulamasının gelişimi, Kerberos’taki bu sınırlamaları gidermeyi amaçlamaktadır.
Windows 11, Kerberos’un NTLM’ye bağımlılığını azaltmak için iki önemli özellik sunuyor.
İlk özellik olan IAKerb, istemcilerin çeşitli ağ topolojilerinde Kerberos’ta kimlik doğrulaması yapmasına olanak tanır.
IAKerb, aktarım halindeki mesajları korumak için Kerberos’un kriptografik güvenlik garantilerinden yararlanır ve bu da onu bölümlere ayrılmış ortamlarda ve uzaktan erişim senaryolarında değerli kılar.
İkinci özellik, Kerberos için yerel bir Anahtar Dağıtım Merkezi’ni (KDC) tanıtarak, yerel hesaplar için Kerberos desteğini kolaylaştırır ve AES şifrelemesini uygulayarak yerel kimlik doğrulamanın güvenliğini artırır.
Microsoft, Kerberos’un kullanımını genişletmenin yanı sıra, mevcut Windows bileşenlerindeki sabit kodlu NTLM örneklerini Negotiate protokolüyle değiştirmek için çalışıyor.
Bu geçiş, hizmetlerin NTLM yerine Kerberos’u benimsemesine ve hem yerel hem de etki alanı hesapları için IAKerb ve LocalKDC’den yararlanmasına olanak tanıyacak.
Uyumluluğu korumak için NTLM’ye yedek olarak hâlâ erişilebilmesi sayesinde bu ayarlamalar varsayılan olarak etkinleştirilecek ve sorunsuz bir geçiş sağlanacak.
NTLM Yönetimini İyileştirme
Microsoft ayrıca NTLM yönetim araçlarını zenginleştirerek yöneticilere NTLM kullanımını izleme ve düzenleme konusunda daha fazla özgürlük sağlar.
Mevcut olay görüntüleyici günlüklerinin hizmete özel verilerle genişletilmesi; bu güncellemeler NTLM kullanan uygulamalara ilişkin şeffaflık sunacaktır.
Ayrıca yöneticiler, hizmet bazında NTLM kullanımını kısıtlama veya muafiyet oluşturmalarına olanak tanıyacak şekilde hizmet seviyesinde kesin politikalar oluşturma becerisine sahip olacaklar.
Nihai amaç, NTLM kullanımını Windows 11’de güvenli bir şekilde devre dışı bırakılabilecek ölçüde önemli ölçüde azaltmaktır.
Microsoft, veri odaklı bir yaklaşım benimsiyor, NTLM kullanımını yakından izliyor ve güvenli olduğu düşünüldüğünde bunu varsayılan olarak devre dışı bırakmayı planlıyor. Kullanıcılar uyumluluk amacıyla NTLM’yi yeniden etkinleştirme seçeneğine sahip olmaya devam edecek.
Yaklaşan bu değişikliklere hazırlanmak için Microsoft, NTLM kullanımının bir kaydını başlatmanızı, sabit kodlanmış NTLM örnekleri için kodu incelemenizi ve Kerberos’un sınırlı kaldığı senaryoları ele alan güncellemeler konusunda dikkatli olmanızı önerir.
850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.