Microsoft bu haftanın başlarında NTLM kimlik doğrulama protokolünün gelecekte Windows 11’de kaldırılacağını duyurdu.
NTLM (Yeni Teknoloji LAN Yöneticisi’nin kısaltması), uzak kullanıcıların kimliğini doğrulamak ve oturum güvenliği sağlamak için kullanılan bir protokol ailesidir.
Başka bir kimlik doğrulama protokolü olan Kerberos, NTLM’nin yerini almıştır ve artık Windows 2000’in üzerindeki tüm Windows sürümlerinde etki alanına bağlı cihazlar için geçerli varsayılan kimlik doğrulama protokolüdür.
Eski Windows sürümlerinde kullanılan varsayılan protokol olmasına rağmen, NTLM bugün hala kullanılmaktadır ve herhangi bir nedenle Kerberos başarısız olursa onun yerine NTLM kullanılacaktır.
Tehdit aktörleri, NTLM geçiş saldırılarında NTLM’den geniş ölçüde yararlanarak, savunmasız ağ cihazlarını (etki alanı denetleyicileri dahil) saldırganların kontrolü altındaki sunucularda kimlik doğrulaması yapmaya zorlayarak Windows etki alanı üzerinde tam kontrol elde etmek için ayrıcalıkları yükseltti.
Buna rağmen NTLM hala Windows sunucularında kullanılıyor ve saldırganların, NTLM geçiş saldırısı azaltımlarını atlatmak için tasarlanmış ShadowCoerce, DFSCoerce, PetitPotam ve RemotePotato0 gibi güvenlik açıklarından yararlanmasına olanak tanıyor.
NTLM ayrıca, siber suçluların sistemdeki güvenlik açıklarından yararlandığı veya hedeflenen sistemden karma parolaları temsil eden NTLM karmalarını elde etmek için kötü amaçlı yazılım dağıttığı karma geçiş saldırılarının da hedefi oluyor.
Saldırganlar, hash’i ele geçirdikten sonra, güvenliği ihlal edilmiş kullanıcı olarak kimlik doğrulamak için bunu kullanabilir, böylece hassas verilere erişim elde edebilir ve ağ üzerinde yanal olarak yayılabilir.
Microsoft, geliştiricilerin 2010’dan bu yana uygulamalarında artık NTLM kullanmamaları gerektiğini söylüyor ve Windows yöneticilerine NTLM’yi devre dışı bırakmalarını veya sunucularını Active Directory Sertifika Hizmetleri (AD CS) kullanarak NTLM geçiş saldırılarını engelleyecek şekilde yapılandırmalarını tavsiye ediyor.
Ancak Microsoft şu anda iki yeni Kerberos özelliği üzerinde çalışıyor: IAKerb (Kerberos Kullanarak Başlangıç ve Geçişli Kimlik Doğrulaması) ve Yerel KDC (Yerel Anahtar Dağıtım Merkezi).
Microsoft’tan Matthew Palko, “Kerberos için yerel KDC, yerel makinenin Güvenlik Hesabı Yöneticisinin üzerine inşa edilmiştir, dolayısıyla yerel kullanıcı hesaplarının uzaktan kimlik doğrulaması Kerberos kullanılarak yapılabilir,” diye açıkladı.
“Bu, Windows’un DNS, netlogon veya DCLocator gibi diğer kurumsal hizmetler için destek eklemeye gerek kalmadan uzak yerel makineler arasında Kerberos mesajlarını iletmesine izin vermek için IAKerb’den yararlanıyor. IAKerb ayrıca Kerberos mesajlarını kabul etmek için uzak makinede yeni bağlantı noktaları açmamızı da gerektirmiyor. “
Microsoft, kullanımını genişletmek ve Kerberos’un NTLM’ye geri dönmesine yol açan iki önemli zorluğun üstesinden gelmek için Windows 11’e iki yeni Kerberos özelliğini sunmayı planlıyor.
İlk özellik olan IAKerb, istemcilerin daha geniş bir ağ topolojileri yelpazesinde Kerberos ile kimlik doğrulaması yapmasına olanak tanır. İkinci özellik, Kerberos desteğini yerel hesaplara genişleten, Kerberos için yerel bir Anahtar Dağıtım Merkezi’ni (KDC) içerir.
Redmond ayrıca, yöneticilere kendi ortamlarında NTLM kullanımını izleme ve kısıtlama konusunda daha fazla esneklik sağlayarak NTLM yönetim kontrollerini genişletmeyi planlıyor.
Palko, “NTLM kullanımının azaltılması, sonuçta Windows 11’de devre dışı bırakılmasıyla sonuçlanacaktır. Veriye dayalı bir yaklaşım benimsiyoruz ve NTLM kullanımındaki azalmaları, devre dışı bırakmanın ne zaman güvenli olacağını belirlemek için izliyoruz” dedi.
“Bu arada, bir adım önde olmak için sunduğumuz gelişmiş kontrolleri kullanabilirsiniz. Varsayılan olarak devre dışı bırakıldığında müşteriler, uyumluluk nedenleriyle NTLM’yi yeniden etkinleştirmek için bu kontrolleri de kullanabilecekler.”