NTLMv1 ve LM ağ kimlik doğrulaması için güvenlik kılavuzu

Makale çevirileri Makale çevirileri
Makale numarası: 2793313 - Bu makalenin geçerli olduğu ürünleri görün.
Hepsini aç | Hepsini kapa

Bu Sayfada

GİRİŞ

NT LAN Manager sürüm 1 (NTLMv1) ve LAN Manager (LM) kimlik doğrulamasına karşı saldırılarda kullanılabilecek detaylı bilgilerin ve araçların farkındayız. Bilgisayar donanım ve yazılım algoritmalarındaki gelişmeler, bu protokolleri kullanıcı kimlik bilgilerini ele geçirmeye yönelik yayımlanmış saldırılara karşı savunmasız kılmaktadır. Bilgiler ve kullanılabilir araç takımları özellikle NTLMv2 kimlik doğrulamasını zorlamayan ortamları hedef alır. Müşterilerin kendi ortamlarını değerlendirmelerini ve ağ kimlik doğrulama ayarlarını güncelleştirmelerini öneririz. Desteklenen tüm Microsoft işletim sistemleri, NTLMv2 kimlik doğrulaması becerileri sağlar.

Öncelikle Microsoft Windows NT 4, Windows 2000, Windows XP ve Windows Server 2003 çalıştıran sistemler gibi varsayılan yapılandırmada etkilenen sistemler risk altındadır. Örneğin; varsayılan olarak, NTLMv1 kimlik doğrulamasını destekleyen Windows XP ve Windows Server 2003.

Windows NT için, ağda oturum açma işlemlerinde sınama yanıtı kimlik doğrulaması için desteklenen iki seçenek bulunur: LAN Manager (LM) sınama yanıtı ve Windows NT sınama yanıtı (NTLM sürüm 1 sınama yanıtı olarak da bilinir). Her ikisi de yüklü Windows NT 4.0, Windows 95, Windows 98 ve Windows 98 Second Edition tabanlarıyla birlikte çalışmayı destekler.


Bu sorunu sizin adınıza gidermemizi isterseniz, "Benim adıma düzelt" bölümüne gidin.

Çözüm

Bu sorunun oluşma riskini azaltmak için Windows NT 4, Windows 2000, Windows XP ve Windows Server 2003 çalıştıran ortamları yalnızca NTLMv2'yi kullanmasına izin verecek şekilde yapılandırmanızı öneririz. Bunu yapmak için burada açıklandığı gibi el ile LAN Manager Kimlik Doğrulama Düzeyi'ni 3'e veya daha üst düzeye ayarlayın.

Windows XP ve Windows Server 2003 için Microsoft Fix it çözümleri, sistemlerin otomatik olarak NTLMv2'nin kullanılmasına izin verecek şekilde yapılandırılması için kullanılabilir. Bu yöntem aynı zamanda, Kimlik Doğrulaması için Genişletilmiş Koruma teknolojisinden faydalanan kullanıcılar için NTLM ayarlarını etkinleştirir.

Benim adıma düzelt

Bu bölümde açıklanan Fix it çözümünün herhangi bir güvenlik güncelleştirmesinin yerini alması amaçlanmamıştır. Her zaman en son güvenlik güncelleştirmelerini yüklemenizi öneririz. Ancak bu Fix it çözümünü, bazı senaryolar için geçici bir çözüm seçeneği olarak sağlıyoruz.

Windows XP için Microsoft Fix it

Bu Fix it çözümünü etkinleştirmek veya devre dışı bırakmak için Fix it düğmesini veya Etkinleştirme başlığının altındaki bağlantıyı tıklatın. Dosya Yükleme iletişim kutusunda Çalıştır'ı tıklatın ve Fix it sihirbazındaki adımları uygulayın.
Bu tabloyu kapaBu tabloyu aç
Etkinleştirme
Fix this problem
Microsoft Fix it 50969
Notlar
  • Bu sihirbaz yalnızca İngilizce olabilir. Ancak otomatik düzeltme, Windows'un diğer dil sürümleri için de çalışmaktadır.
  • Çalıştığınız bilgisayarda bu sorun yaşanmıyorsa, otomatik düzeltmeyi bir flash sürücüye veya CD'ye kaydedip daha sonra sorunun yaşandığı bilgisayarda çalıştırabilirsiniz.
Windows Server 2003 için Microsoft Fix it

Bu Fix it çözümünü etkinleştirmek veya devre dışı bırakmak için Fix it düğmesini veya Etkinleştirme başlığının altındaki bağlantıyı tıklatın. Dosya Yükleme iletişim kutusunda Çalıştır'ı tıklatın ve Fix it sihirbazındaki adımları uygulayın.
Bu tabloyu kapaBu tabloyu aç
Etkinleştirme
Fix this problem
Microsoft Fix it 50970
Notlar
  • Bu sihirbaz yalnızca İngilizce olabilir. Ancak otomatik düzeltme, Windows'un diğer dil sürümleri için de çalışmaktadır.
  • Çalıştığınız bilgisayarda bu sorun yaşanmıyorsa, otomatik düzeltmeyi bir flash sürücüye veya CD'ye kaydedip daha sonra sorunun yaşandığı bilgisayarda çalıştırabilirsiniz.

Durum

Microsoft bu sorunun "Uygulama Hedefi" bölümünde listelenen Microsoft ürünlerinde yer aldığını onaylamıştır.

Daha fazla bilgi

SSS

Microsoft Network Security ve LAN Manager Kimlik Doğrulama Düzeyi için tehditler ve önlemler hakkında daha fazla bilgi bulabilir miyim?

Tehditler ve Önlemler Kılavuzu adresindeki Microsoft TechNet'te tehditler ve önlemler hakkında ayrıntılı bilgiler bulabilirsiniz. NTLM sürüm yapılandırması hakkında daha fazla bilgi için bkz. LmCompatibilityLevel.

Sorun neden oluşuyor?

İhracat kısıtlamaları, Ocak 2000'e kadar şifreleme protokollerinin en fazla anahtar uzunluğunu sınırlandırdı. LM ve NTLM kimlik doğrulama protokolleri Ocak 2000'den önce geliştirilmiştir, söz konusu kısıtlamalar bu nedenle uygulanır. Windows XP yayımlandığında, Windows 2000 ve önceki sürümler için tasarlanan kimlik doğrulama ortamları ile geriye dönük uyumluluğu sağlamak için yapılandırıldı.

Yapılandırmamın güvenlik açığından etkilenip etkilenmediğini nasıl araştırırım?

LMCompatibilityLevel kayıt defteri ayarları üçten (<3) daha az bir değere ayarlanmışsa bu sorundan etkilenirsiniz.

Hangi Windows işletim sistemleri varsayılan yapılandırmalarda etkilenir? 

Windows NT4, Windows 2000, Windows XP ve Windows Server 2003 işletim sistemlerinin tümü üçten (<3) küçük bir LMCompatibilityLevel varsayılan yapılandırma değerine sahiptir.

NTLMv2'yi zorlamanın olası riskleri nelerdir?

Windows işletim sisteminin desteklenen tüm sürümleri NTLMv2'yi destekler. Windows NT 4.0 SP6a NTLMv2'yi de destekler. Bu nedenle, uyumluluk riski oldukça düşüktür. Eski üçüncü taraf uygulamalarının veya yapılandırmalarının birlikte çalışabilirlik sorunları bakımından değerlendirilmesi gerekebilir. Yeniden yapılandırılma veya yükseltme bu sorunu giderebilir. Müşterilerin NTLMv1'i tanımlamak ve kullanımdan kaldırmak üzere ağlarını yapılandırmak ve yükseltmek için düzeltici adımlar uygulamaları kesinlikle önerilir. NTLMv1 protokolünün ağ güvenliği üzerinde kesin, olumsuz bir etkisi vardır ve bu etki güvenliği aşabilir.

Bir saldırgan bu güvenlik açığından yararlanarak neler yapabilir?

Bir saldırgan, yakalanan LM ve NTLM ağ kimlik doğrulaması yanıtlarından kimlik doğrulama karma değerlerini ayıklayabilir.

Artık desteklenmeyen Microsoft Windows sürümlerinde NTLMv2'nin etkinleştirilmesi hakkında daha fazla bilgiyi nerede bulabilirim? 

Windows NT, Windows 95, Windows 98 ve Windows 98 Second Edition için NTLMv2 hakkında ayrıntılı bilgiye Microsoft Bilgi Bankası Makalesi 239869 adresinden ulaşabilirsiniz.

İlgili Kaynaklar

Microsoft, müşterilerimizin korunmasına destek vermek amacıyla bizimle birlikte çalıştığı için şu kişilere teşekkür eder:
  • Müşterilimizin, NTLMv1'e ve LAN Manager (LM) ağ kimlik doğrulamasına karşı saldırılardan korunmasına destek vermek amacıyla bizimle birlikte çalıştığı için T-Mobile ABD'den Mark Gamache
Not Bu, doğrudan Microsoft destek kuruluşu tarafından oluşturulan bir “FAST PUBLISH” makalesidir. Buradaki bilgiler, ortaya çıkan sorunları gidermek üzere olduğu gibi sağlanmaktadır. Mümkün olduğu kadar hızlı sunulmasının bir sonucu olarak malzemelerde yazım hataları bulunabilir ve bunlar bildirimde bulunulmadan daha sonra düzeltilebilir. Diğer hususlar için Kullanım Koşulları’na bakın.

Özellikler

Makale numarası: 2793313 - Last Review: 11 Ocak 2013 Cuma - Gözden geçirme: 1.0
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft Windows Server 2003 Service Pack 2, Ne zaman ne ile kullanilir:
    • Microsoft Windows Server 2003 Standard Edition
    • Microsoft Windows Server 2003 Enterprise Edition
    • Microsoft Windows Server 2003 Datacenter Edition
    • Microsoft Windows Server 2003 Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Service Pack 3, Ne zaman ne ile kullanilir:
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional Edition
Anahtar Kelimeler: 
atdownload kbbug kbexpertiseinter kbfix kbsecbulletin kbsecurity kbsecvulnerability kbmsifixme kbfixme KB2793313

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com