Microsoft, Windows Kimlik Doğrulamasını Geliştiriyor, NTLM'yi Devre Dışı Bırakıyor

Microsoft, Windows kimlik doğrulaması için NTLM kullanımını ortadan kaldırmak için Kerberos protokolüne yeni özellikler ekliyor.

Microsoft, Kerberos için NTLM protokolünün kullanımını ortadan kaldıracak yeni özelliklerle daha güvenli Windows kimlik doğrulaması için bastırıyor.

Bir sınama-yanıt kimlik doğrulama protokolü olan NTLM (Yeni Teknoloji LAN Yöneticisi), kimlik doğrulama, bütünlük ve gizlilik sağlamayı amaçlamaktadır, ancak NTLM geçiş saldırılarına eğilimlidir ve parolalar, modern donanım kullanılarak kolayca kaba kuvvetle zorlanabilir, bu da protokolü zayıflatır.

Simetrik anahtar şifrelemesini temel alan ve NTLM'ye kıyasla daha iyi güvenlik garantileri sağlayan Kerberos, Windows 2000'den beri varsayılan Windows kimlik doğrulama protokolüdür.

Bununla birlikte, Microsoft'un işletim sistemi hem NTLM'yi hem de Kerberos'u kullanmaya devam ediyor, çünkü ikincisi belirli senaryolarda kullanılamıyor ve bu da işletim sisteminin eskisine geri dönmesine neden oluyor.

Şimdi Microsoft, Kerberos'un bu senaryoları kapsaması ve NTLM kullanma ihtiyacını ortadan kaldırması için iki yeni özellik üzerinde çalıştığını ve böylece "tüm Windows kullanıcıları için kimlik doğrulama güvenlik çubuğunu" geliştirdiğini söylüyor.

Microsoft, ilk özellik olan Kerberos Kullanarak İlk ve Geçişli Kimlik Doğrulama (IAKerb), "Etki Alanı Denetleyicisine görüş hattı olmayan bir istemcinin görüş hattı olan bir sunucu aracılığıyla kimlik doğrulaması yapmasına izin veren" genel bir uzantıdır.

IAKerb ile, Kerberos iletileri istemci adına sunucuya proxy olarak gönderilir ve protokolün sunduğu şifreleme güvenliği garantilerinin aynısı, aktarım halindeki iletileri korumak, yeniden yürütme veya geçiş saldırılarını önlemek için kullanılır.

Microsoft, "Bu tür proxy, güvenlik duvarı segmentli ortamlarda veya uzaktan erişim senaryolarında kullanışlıdır" diyor.

Kerberos için yerel bir Anahtar Dağıtım Merkezi (KDC) olan ikinci özellik, Kerberos aracılığıyla yerel kullanıcı hesaplarının uzaktan kimlik doğrulamasını sunmak için yerel makinenin Güvenlik Hesabı Yöneticisi'ne güvenir.

"Bu, Windows'un DNS, Netlogon veya DCLocator gibi diğer kurumsal hizmetler için destek eklemek zorunda kalmadan Kerberos mesajlarını uzak yerel makineler arasında geçirmesine izin vermek için IAKerb'den yararlanıyor. IAKerb ayrıca Kerberos mesajlarını kabul etmek için uzak makinede yeni bağlantı noktaları açmamızı gerektirmiyor "diyor Microsoft.

Teknoloji devi ayrıca, "Yerel KDC aracılığıyla kimlik doğrulama, yerel kimlik doğrulamanın güvenliğini artıran kutudan çıkar çıkmaz AES kullanıyor" diye açıklıyor.

Ek olarak, Microsoft, bu Windows bileşenlerini Negotiate protokolünü, dolayısıyla Kerberos ve IAKerb'i ve yerel KDC'yi kullanmaya kaydırmak için yerleşik NTLM ile güncelliyor. Çoğu durumda, bu değişiklikler yapılandırma gerektirmez ve NTLM bir geri dönüş seçeneği olarak kalır.

Microsoft ayrıca, yöneticilerin NTLM istekleri için mevcut olay görüntüleyici günlüklerindeki hizmet bilgileri ve hizmet düzeyinde ayrıntılı politikalar gibi ortamlarında NTLM kullanımını daha iyi izleyebilmeleri ve engelleyebilmeleri için yönetim kontrollerini genişlettiğini söylüyor.

"NTLM kullanımını azaltmak, nihayetinde Windows 11'de devre dışı bırakılmasıyla sonuçlanacaktır. Veriye dayalı bir yaklaşım benimsiyoruz ve devre dışı bırakmanın ne zaman güvenli olacağını belirlemek için NTLM kullanımındaki azalmaları izliyoruz" dedi.

Teknoloji devi, müşterilerini NTLM'nin devre dışı bırakılmasına hazırlanmak için yeni gelişmiş kontrolleri kullanmaya teşvik ediyor. Şirket, aynı kontrollerin, müşterilerin gerekirse uyumluluk nedenleriyle NTLM'yi yeniden etkinleştirmesine izin vereceğini belirtti.

Microsoft ayrıca, hangi uygulama ve hizmetlerin protokolün devre dışı bırakılmasını engelleyebileceğini öğrenmek için NTLM kullanımını kataloglamayı ve NTLM'nin sabit kodlanmış kullanımı için kodu denetlemeyi önerir.