Güvenliğin Geleceği: Windows Kimlik Doğrulamanın Evrimi ve NTLM’nin Sonu
Microsoft, windows’u sürekli değişen teknoloji dünyamızın gereksinimlerini karşılamak üzere evrildikçe kullanıcıları koruma yöntemlerimizin de modern güvenlik isteklerine cevap verecek şekilde evrim geçirmektedir. Windows güvenliğinin temel taşlarından biri kullanıcı kimlik doğrulamadır. Kerberos’un güvenilirliğini ve esnekliğini artırarak ve NT LAN Yöneticisi’ne (NTLM) olan bağımlılığı azaltarak kullanıcı kimlik doğrulamayı güçlendirmek üzerine çalışmakta.
Kerberos, 2000 yılından bu yana varsayılan Windows kimlik doğrulama protokolüdür, ancak hala kullanılamadığı ve Windows’un NTLM’ye geri döndüğü senaryolar bulunmaktadır. Windows 11 için yeni özellikler geliştiriliyor. Pass Through Authentication Kerberos (IAKerb) ve local Key Distribution Center (KDC) bunlardan ikisi. Ayrıca NTLM denetimini ve yönetim işlevselliği geliştiriliyor. Microsoft’un asıl hedefi ise windows kullanıcılarının kimlik doğrulamasının güvenliğini artırmak için NTLM’i kullanımdan kaldırmak.
NTLM’nin Mirası
Windows’ta bir kullanıcı kimlik doğrulama yapmak için kendini uzak sisteme kanıtlamak zorundadır. NTLM’nin çalışma şekli kullanımını yaygınlaştıran avantajlara sahiptir:
- NTLM, bir Etki Alanı Denetleyici’ye yerel ağ bağlantısına gerek duymaz.
- NTLM, yerel hesaplar kullanıldığında desteklenen tek protokoldür.
- NTLM, hedef sunucunun kim olduğunu bilmediğiniz durumlarda da çalışır.
Bu avantajlar, bazı uygulamaların ve hizmetlerin NTLM’yi kullanmayı tercih etmelerine yol açtı. Kerbero ise NTLM’den daha iyi güvenlik garantileri sağlar ve NTLM’den daha esnek bir protokoldür, bu nedenle Windows’ta tercih edilen varsayılan protokoldür. Organizasyonlar NTLM’yi devre dışı bırakabilir, ancak NTLM kullanıman uygulamalarda sorunlara neden olabilir. NTLM’yi devre dışı bırakmak aynı zamanda Kerberos ile çalışmayan senaryolarda sorunlara neden olabilir. Bu gereksinimler her zaman karşılanamaz, bu nedenle NTLM kullanılamadığında kimlik doğrulama sorunlarına neden olur. Windows kimlik doğrulamasını geliştirmek ve NTLM kullanımını azaltmak, Kerberos’daki bu sınırlamaları kaldırmamızı gerektirir.
Kerberos, Daha İyi ve Daha Güçlü
Windows 11’de Kerberos için iki büyük özellik geliyor. İlk olarak IAKerb, müşterilerin daha çeşitli ağ topolojilerinde Kerberos ile kimlik doğrulaması yapmasına olanak tanıyacak. İkincisi yerel hesaplara Kerberos desteği ekleyen yerel bir KDC eklentisi.
IAKerb, kullanıcılara bir Etki Alanı Denetleyici’ye erişimi olmayan bir istemcinin erişimi olan bir sunucu aracılığıyla kimlik doğrulamasını yapmasına olanak tanıyor.
Local KDC yerel makinenin güvenlik hesap yöneticisi üzerine tasarlandı bu da yerel kullanıcı hesaplarının uzaktan kimlik doğrulamasının Kerberos kullanılarak yapılabilmesine olanak tanıyor. IAKerb’i kullanarak Windows’un yerel makineler arasında Kerberos mesajlarını iletmesini sağlar. IAKerb ayrıca uzaktaki makine üzerinde Kerberos mesajlarını kabul etmek için yeni portlar açmamızı gerektirmez. Yerel KDC üzerinden yapılan kimlik doğrulama, yerel kimlik doğrulamanın güvenliğini artırırken AES’i varsayılan olarak kullanır.
NTLM’ Yeni Yönetim Kontrolleri
Yeni Kerberos özelliklerine ek olarak, NTLM kullanımını takip etme ve engelleme şeklinde daha büyük esneklik sunmak için NTLM yönetim kontrollerini geliyor. Varolan event viewer kayıtları, NTLM kullanarak gelen ve giden kimlik doğrulama istekleri hakkında bilgi sağlıyor. Bu kayıtlara daha fazla detay sağlamak için bu kayıtlara hizmet bilgisi ekleniyor ve böylece hangi uygulamaların NTLM kullandığı tam olarak belirginleşiyor. Benzer şekilde, NTLM için ayrıntılı politika belirlemenize olanak tanıyan kontrol genişletiliyor.
NTLM’in Devre Dışı Bırakılması
NTLM kullanımını loglayın.
NTLM kullanan uygulamaları tespit edin ve hardcoded olarak NTLM kullanan uygulamaları bir plan dahilinde güncelleyin.
NTLM geçiş planları hazırlayın ve bir takvim planlayın.
Organizasyondaki tüm paydaşlar ile düzenli toplantılar yaparak süreci değerlendirin.
Kaynak: techcommunity.microsoft.com
Eline sağlık.