Günümüzde Active Directory ve Windows ağlarında kimlik doğrulama için NTLM (NT LAN Manager) hâlâ yaygın olarak kullanılıyor. Ancak bu protokol, 1990'lı yılların güvenlik standartlarına göre tasarlandığı için modern saldırılara karşı savunmasız kalıyor. Microsoft'un da tavsiye ettiği gibi, NTLM'yi devre dışı bırakmak ağ güvenliğinizi önemli ölçüde artırabilir. Peki, bunu nasıl yapacaksınız? İşte hem Windows hem de Linux sistemlerinde NTLM'yi kapatmanın güvenli yöntemleri.
Neden NTLM'yi Devre Dışı Bırakmalısınız?
NTLM, yerini modern protokollerden biri olan Kerberos'a bırakmış durumda. Kerberos, hem daha güvenli hem de şifreleme konusunda daha üstün performans sunarken, NTLM aşağıdaki riskleri barındırıyor:
- Pass-the-Hash saldırıları: NTLM, hash saldırılarına karşı savunmasızdır ve saldırganların sistemlerde yetkiyi ele geçirmesine olanak tanır.
- Man-in-the-Middle (MITM) saldırıları: NTLM, kimlik doğrulama sırasında verileri şifrelemede zayıf kalır.
- Sıkılık gerektiren yapılandırma: NTLM'nin devre dışı bırakılması, ağınızda gereksiz yere açık bırakılan güvenlik açıklarını ortadan kaldırır.
Microsoft'un da belirttiği gibi, NTLM 2020 yılında varsayılan olarak devre dışı bırakılması gereken bir protokol olarak sınıflandırıldı. Bu nedenle, sistemlerinizin güvenlik duruşunu yükseltmek için NTLM'yi mümkün olan en kısa sürede kapatmanız önem taşıyor.
Windows Sistemlerinde NTLM'yi Devre Dışı Bırakma
Windows istemcileri ve sunucularında NTLM'yi devre dışı bırakmak için iki ana yöntem bulunuyor: Grup İlkesi Düzenleyicisi ve Kayıt Defteri düzenlemeleri. Bu adımları uygulamadan önce, NTLM'nin hangi uygulamalar tarafından kullanıldığını belirlemek için ağınızı izlemeniz önerilir.
Yöntem 1: Grup İlkesi Düzenleyicisi ile
Bu yöntem, sistem ayarlarını merkezi bir şekilde yöneten kullanıcılar için idealdir.
- Grup İlkesi Düzenleyicisini açın: Başlat menüsüne giderek
gpedit.mscyazarak bu aracı başlatın.
- Güvenlik ayarlarına ulaşın: Sol panelden
Bilgisayar Yapılandırması>Windows Ayarları>Güvenlik Ayarları>Yerel Politikalar>Güvenlik Seçenekleriyolunu izleyin.
- NTLM kısıtlamasını etkinleştirin: Listede
Ağ güvenliği: Uzak sunuculara giden NTLM trafiğini kısıtlaadlı politikayı bulun ve etkinleştirin. Ardından seçeneğiTümünü Engelleolarak ayarlayın.
Bu değişiklik, NTLM tabanlı kimlik doğrulama taleplerini doğrudan bloke edecektir. Ancak, bazı uygulamaların Kerberos veya daha modern protokollere geçiş yapması gerekebilir.
Yöntem 2: Kayıt Defteri Düzenlemesi
Komut satırından Kayıt Defteri'ne müdahale etmek, toplu senaryolarda ve otomasyonlarda tercih edilen bir yöntemdir.
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v RestrictSendingNTLMTraffic /t REG_DWORD /d 2 /fBu komut, NTLM trafiğini tamamen engelleyecek şekilde Kayıt Defteri'nde bir anahtar oluşturur. Değişikliklerin etkili olması için sistemin yeniden başlatılması gerekebilir.
Linux Sistemlerinde NTLM'yi Devre Dışı Bırakma
Linux sistemlerinde NTLM'yi devre dışı bırakmak, genellikle Active Directory entegrasyonunda kullanılan kimlik doğrulama hizmetlerini ayarlamayı gerektirir. Bu işlemde sssd (System Security Services Daemon) ve pam (Pluggable Authentication Modules) ayarları kritik rol oynar.
SSSD ile Kerberos'a Geçiş
SSSD, Active Directory ortamlarında kullanıcı kimlik doğrulaması ve yetkilendirme işlemlerini yöneten bir hizmettir. NTLM yerine Kerberos kullanmak için aşağıdaki adımları izleyin:
/etc/sssd/sssd.confdosyasını açın ve aşağıdaki yapılandırmayı ekleyin:
[sssd]
config_file_version = 2
services = nss, pam
domains = example.com
[domain/example.com]
id_provider = ad
auth_provider = ad
access_provider = ad
chpass_provider = ad
ldap_id_mapping = False
use_fully_qualified_names = True
fallback_homedir = /home/%u
default_shell = /bin/bash
ldap_sasl_mech = GSSAPI
ldap_sasl_authid = host/linuxclient@example.com- Değişikliklerin geçerli olması için SSSD hizmetini yeniden başlatın:
sudo systemctl restart sssdBu yapılandırma, sistemin Kerberos protokolünü kullanarak kimlik doğrulama yapmasını sağlar. Eğer sisteminizde winbind gibi başka hizmetler de çalışıyorsa, bunların da Kerberos'a geçiş yapması gerekebilir.
NTLM'yi Devre Dışı Bırakırken Dikkat Edilmesi Gerekenler
NTLM'yi devre dışı bırakmak, ağınızın güvenliğini artırırken bazı uygulamaların çalışmamasına da yol açabilir. Bu nedenle, değişiklikleri uygulamadan önce aşağıdaki adımları izleyin:
- Bağımlılık analizi yapın: NTLM'yi kullanan uygulamaları tespit etmek için ağ trafiğini izleyin. Bu sayede hangi sistemlerin etkilenebileceğini belirleyebilirsiniz.
- Test ortamında doğrulayın: Değişiklikleri canlı sisteme uygulamadan önce test laboratuvarında doğrulayın. Uygulamaların ve kullanıcıların sorunsuz çalıştığından emin olun.
- Güncel belgeler oluşturun: Yapılan değişiklikleri ve bunların gerekçelerini detaylı bir şekilde belgelendirin. Bu sayede gelecekteki denetimlerde ve sorun giderme süreçlerinde kolaylık sağlarsınız.
NTLM'yi devre dışı bırakmak, ağ güvenliğinizi önemli ölçüde artıracak adımlardan biri olsa da, bu süreci dikkatli bir şekilde planlamak ve uygulamak gerekiyor. Güvenlik standartlarınızı sürekli olarak güncellemek ve modern protokolleri benimsemek, gelecekte karşılaşabileceğiniz riskleri minimize eder.
Yapay zeka özeti
Active Directory ve Windows ağlarında NTLM'yi devre dışı bırakarak ağ güvenliğinizi artırın. Windows ve Linux sistemlerinde uygulama adımları ve önemli ipuçları.
