Bir Devrin Sonu: Microsoft, Gelecekteki Windows Sürümlerinde NTLM'yi Varsayılan Olarak Devre Dışı Bırakmaya Kararlı

Onlarca Yıllık Protokol Kritik Bir Risk Haline Geliyor

NT LAN Manager (NTLM), onlarca yıldır Windows ağlarında temel bir kimlik doğrulama protokolü olarak hizmet verdi. Ancak, yaşı en büyük zayıflığıdır. Modern tehdit modellerinden önceki bir dönemde tasarlanan NTLM, zayıf kriptografik mekanizmalara dayanır ve kimlik bilgilerini çevrimdışı saldırılara karşı oldukça savunmasız bir formatta saklar.

Yıllardır güvenlik araştırmacıları ve Microsoft'un kendisi, kuruluşları NTLM'den uzaklaşmaya teşvik ediyor. NTLM'nin devam eden kullanımı, saldırganlara sızılmış ağlar içinde yanal hareket ve yetki yükseltme için güvenilir yollar sağlayarak önemli bir teknik borç temsil ediyor. NTLM'yi varsayılan olarak devre dışı bırakma kararı, Microsoft'un bu gecikmiş geçişi zorlamak için attığı en kararlı adımdır.

NTLM Neden Ölmeli: Saldırı Alanını Anlamak

Nispeten eski bir protokol olan NTLM'nin, fidye yazılımı grupları ve devlet destekli kuruluşlar dahil olmak üzere tehdit aktörleri tarafından hedef alınmasının birincil nedeni, düz metin parolaya ihtiyaç duymadan kimlik doğrulama karmalarını (hash) ele geçiren saldırılara karşı savunmasız olmasıdır. Temel güvenlik açıkları şunları içerir:

• Pass-the-Hash (PtH): NTLM karmaları, modern kimlik bilgilerinin aksine, genellikle diğer hizmetlere kimlik doğrulaması yapmak için doğrudan yeniden kullanılabilir; bu da saldırganların parolayı asla kırmadan bir etki alanı içinde yanal hareket etmesine olanak tanır.
• NTLM Röle (Relay) Saldırıları: Saldırganlar NTLM kimlik doğrulama girişimlerini yakalayabilir ve bunları başka bir hizmete aktararak sunucuları, saldırganın yasal kullanıcı olduğuna inandırabilir.
• Kaba Kuvvet (Brute Force) ve Çevrimdışı Kırma: NTLMv1 ve NTLMv2'nin tasarımı, saklanan karmaları özel donanımlar kullanılarak hızlı çevrimdışı kırma saldırılarına karşı savunmasız hale getirir.

Kerberos'un Güvenlik Avantajı

NTLM'nin endüstri standardı alternatifi, yirmi yılı aşkın süredir Active Directory ortamları için tercih edilen protokol olan Kerberos'tur. Kerberos, bilet sunma sistemi (ticket-granting system) üzerinden çalışarak, NTLM'nin doğasında bulunan tuzaklardan kaçınan sağlam, oturum tabanlı bir kimlik doğrulama mekanizması sağlar.

NTLM'den farklı olarak Kerberos, yeniden kullanılabilir parola karmalarını ağ üzerinden ifşa etmez ve PtH/röle saldırılarının etkinliğini önemli ölçüde azaltır. Microsoft'un bu yönergesi sadece eski bir protokolü devre dışı bırakmakla ilgili değil; tüm Windows ekosisteminin temel ağ erişimi için Kerberos'un kriptografik gücüne dayanmasını sağlamakla ilgilidir.

Gerekli Aksiyonlar: Kurumsal Yöneticiler İçin Denetim ve Geçiş

Microsoft, bu varsayılan devre dışı bırakmanın ne zaman hayata geçeceği konusunda kesin bir zaman çizelgesi sağlamamış olsa da (muhtemelen Windows Server ve istemci önizleme yapılarıyla başlayacaktır), yöneticiler hemen hazırlanmaya başlamalıdır. NTLM'yi aniden devre dışı bırakmak, yalnızca bu eski protokole güvenecek şekilde yapılandırılmış tüm uygulama, cihaz veya hizmetlerle olan uyumluluğu bozacaktır.

Herhangi bir işletme için kritik ilk adım, NTLM kullanımının kapsamlı bir denetimidir. Windows olay günlükleri (özellikle 'Microsoft-Windows-NTLM' operasyonel günlüğü altında), ağ genelinde NTLM'nin kullanıldığı her durumu belirleyebilir. Yöneticiler şunları yapmalıdır:

• Bağımlılıkları Tanımlayın: Hala NTLM kimlik doğrulaması başlatan veya gerektiren tüm eski uygulamaları, ağ cihazlarını ve üçüncü taraf sistemlerini belirleyin.
• Geçişe Öncelik Verin: NTLM bağımlı altyapıyı güncelleyin veya değiştirin; Kerberos veya uygun olduğunda OAuth/SAML gibi modern kimlik doğrulama yöntemlerinin kullanımına öncelik verin.
• Uyumluluğu Test Edin: Varsayılan devre dışı bırakma özelliği gelmeden önce, iş sürekliliğini sağlamak için test ortamlarında NTLM kullanımını kısıtlayan mevcut grup ilkesi (Group Policy) ayarlarını kullanın.

Microsoft'un hamlesi net bir sinyal veriyor: NTLM için tanınan süre doldu. Geçiş yapmayan işletmeler, yeni Windows varsayılanları kullanıma sunulduğunda sadece kritik güvenlik riskleriyle değil, aynı zamanda ciddi operasyonel aksaklıklarla da karşılaşma riskiyle karşı karşıyadır.