Microsoft, Windows NTLM Kimlik Doğrulama Protokolünü Kullanımdan KaldırıyorBill Toulas
4 Haziran 2024Microsoft, Windows ve Windows sunucularında NTLM kimlik doğrulama protokolünü resmen kullanımdan kaldırdı ve geliştiricilerin gelecekteki sorunları önlemek için Kerberos veya Negotiation kimlik doğrulamasına geçmeleri gerektiğini belirtti.
1993’te Windows NT 3.1’in bir parçası olarak piyasaya sürülen NTLM, LAN Manager (LM) protokolünün halefi olarak biliniyor. Microsoft, Haziran ayından itibaren NTLM protokollerinin artık aktif olarak geliştirilmediğini ve daha güvenli alternatiflerin tercih edileceğini duyurdu.
Bu hamle şaşırtıcı değil, çünkü Microsoft, Ekim 2023’te bu eski kimlik doğrulama protokolünü kaldırma niyetini ilk kez açıkladı ve yöneticileri Kerberos ve diğer güncel kimlik doğrulama sistemlerine geçmeye çağırdı.
NTLM, Windows etki alanı denetleyicilerinin kötü niyetli sunuculara karşı kimlik doğrulamasını zorlayarak ele geçirildiği ‘NTLM Relay’ saldırıları olarak bilinen siber saldırılarda geniş çapta kötüye kullanıldı. Microsoft, SMB güvenlik imzalama gibi bu saldırılara karşı yeni önlemler tanıtmış olsa da, NTLM kimlik doğrulamasına yönelik saldırılar devam ediyor.
Örneğin, parola özetleri hala “hash-the-hash” saldırılarında çalınabilir, oltalama saldırılarında elde edilebilir veya doğrudan çalınan Active Directory veritabanlarından veya bir sunucunun belleğinden çıkarılabilir. Saldırganlar daha sonra özetleri kırarak bir kullanıcının düz metin parolasını elde edebilirler.
NTLM’nin daha modern protokollere kıyasla daha zayıf şifreleme kullanmasının yanı sıra, protokolün performansı da düşüktür, daha fazla ağ turu gerektirir ve tek oturum açma (SSO) teknolojilerini desteklemez. Bu nedenle, NTLM 2024 güvenlik ve kimlik doğrulama standartlarına göre ciddi şekilde güncel olmayan bir protokol olarak kabul edilir ve Microsoft bunu kullanımdan kaldırmaktadır.
NTLM’nin Aşamaları
NTLM, bir sonraki Windows Server sürümünde ve Windows’un bir sonraki yıllık sürümünde çalışmaya devam edecek, ancak kullanıcılar ve uygulama geliştiricileri ‘Negotiate’ye geçmelidir. Negotiate, önce Kerberos ile kimlik doğrulaması yapmayı dener ve yalnızca gerektiğinde NTLM’ye geri döner.
Microsoft, sistem yöneticilerinin ortamlarında NTLM’nin nasıl kullanıldığını anlamak ve bir geçiş planı oluşturmak için denetim araçlarını kullanmalarını öneriyor. Çoğu uygulama için, NTLM’nin Negotiate ile değiştirilmesi, Security Support Provider Interface (SSPI) ‘AcquireCredentialsHandle’ isteğinde tek satırlık bir değişiklikle sağlanabilir. Ancak, daha kapsamlı değişikliklerin gerektiği istisnalar da vardır.
Negotiate, geçiş sürecinde uyumluluk sorunlarını hafifletmek için yerleşik bir NTLM geri dönüşüne sahiptir. Kimlik doğrulama sorunları yaşayan yöneticiler, Microsoft’un Kerberos sorun giderme kılavuzunu inceleyebilirler.