Microsoft, geliştiricilerin gelecekteki sorunları önlemek için Kerberos veya Müzakere kimlik doğrulamasına geçmesi gerektiğini belirterek, Windows ve Windows sunucularında NTLM kimlik doğrulamasını resmi olarak kullanımdan kaldırdı.
Daha çok NTLM olarak bilinen Yeni Teknoloji LAN Yöneticisi, ilk olarak 1993 yılında Windows NT 3.1’in bir parçası olarak ve LAN Manager (LM) protokolünün devamı olarak piyasaya sürülen bir kimlik doğrulama protokolüdür.
Microsoft, bugün hala yaygın olarak kullanılan NTLM protokollerinin Haziran ayından itibaren artık aktif olarak geliştirilmediğini ve daha güvenli alternatiflerin yerini alacak şekilde aşamalı olarak kaldırılacağını söylüyor.
Microsoft’un eskiyen kimlik doğrulama protokolünü ortadan kaldırma niyetini ilk kez Ekim 2023’te duyurması ve yöneticileri Kerberos’a ve Negotiate gibi diğer çağdaş kimlik doğrulama sistemlerine geçmeye teşvik etmesi nedeniyle bu hareket şaşırtıcı değil.
NTLM, Windows etki alanı denetleyicilerinin kötü amaçlı sunuculara karşı kimlik doğrulaması yapmaya zorlanarak ele geçirildiği ‘NTLM Geçişi’ saldırıları olarak bilinen siber saldırılarda kapsamlı bir şekilde suistimal edilmiştir.
Microsoft’un bu saldırılara karşı SMB güvenlik imzalama gibi yeni önlemler almasına rağmen NTLM kimlik doğrulamasına yönelik saldırılar devam ediyor.
Örneğin, parola karmaları hâlâ yakalanıp “karmayı geçirme” saldırılarında kullanılabilir, kimlik avı saldırılarında elde edilebilir veya doğrudan çalınan Active Directory veritabanlarından veya bir sunucunun belleğinden çıkarılabilir. Saldırganlar daha sonra kullanıcının düz metin şifresini almak için karmaları kırabilir.
NTLM’de kullanılan daha zayıf şifrelemenin yanı sıra, Kerberos gibi daha modern protokollerle karşılaştırıldığında, protokolün performansı ortalamanın altındadır, daha fazla ağ gidiş-dönüş gerektirir ve tek oturum açma (SSO) teknolojilerini desteklemez.
Bütün bunlarla birlikte, NTLM’nin 2024 güvenlik ve kimlik doğrulama standartlarına göre ciddi şekilde güncelliğini kaybetmiş olduğu düşünülüyor, bu nedenle Microsoft onu kullanımdan kaldırıyor.
NTLM’yi aşamalı olarak kaldırma süreci
NTLM, Windows Server’ın bir sonraki sürümünde ve Windows’un bir sonraki yıllık sürümünde çalışmaya devam edecektir. Yine de kullanıcılar ve uygulama geliştiricilerin, ilk olarak Kerberos ile kimlik doğrulaması yapmaya çalışan ve yalnızca gerektiğinde NTLM’ye geri dönen ‘Anlaşma’ya geçmeleri gerekiyor.
Microsoft, sistem yöneticilerinin NTLM’nin kendi ortamlarında nasıl kullanıldığını anlamak ve bir geçiş planı oluştururken dikkate alınması gereken tüm örnekleri belirlemek için denetim araçlarını kullanmasını önerir.
Çoğu uygulama için, NTLM’nin Negotiate ile değiştirilmesi, Güvenlik Desteği Sağlayıcı Arayüzü’ne (SSPI) ‘AcquireCredentialsHandle’ isteğinde tek satırlık bir değişiklik yapılarak gerçekleştirilebilir. Ancak daha kapsamlı değişikliklerin gerekli olabileceği istisnalar da vardır.
Negotiate’in geçiş döneminde uyumluluk sorunlarını azaltmak için NTLM’ye yerleşik bir geri dönüşü vardır.
Kimlik doğrulama sorunlarıyla karşılaşan yöneticiler Microsoft’un Kerberos sorun giderme kılavuzuna göz atabilir.