Yeni ayar NTLM ağ kimlik doğrulama davranışını değiştirir

Bu makalede, NTLM parola değişikliklerini etkileyen yeni davranış ve kayıt defteri kullanılarak bu davranışın nasıl değiştireceği açıklanır.

Şunlar için geçerlidir: Windows Server 2012 R2
Özgün KB numarası: 906305

Giriş

Microsoft Windows Server 2003 Service Pack 1 (SP1) ile başlayarak, NTLM ağ kimlik doğrulaması davranışında bir değişiklik vardır. Etki alanı kullanıcıları, parola değiştirildikten sonra ağa bir saat boyunca erişmek için eski parolalarını kullanabilir. Kimlik doğrulaması için Kerberos kullanmak üzere tasarlanmış mevcut bileşenler bu değişiklikten etkilenmez.

Bu değişikliğin amacı, bir yönetici yeni parolanın kimlik bilgilerini güncelleştirme fırsatına sahip olana kadar hizmetler gibi arka plan işlemlerinin bir süre çalışmaya devam etmelerine izin vermektir.

NTLM ağ kimlik doğrulaması davranışı

Dağıtılmış ortamlarda NTLM ağ kimlik doğrulaması için ağ erişimini güvenilir bir şekilde desteklemek için, NTLM ağ kimlik doğrulaması davranışı aşağıdaki gibidir:

  • Bir etki alanı kullanıcısı NTLM kullanarak parolayı başarıyla değiştirdikten sonra, eski parola kullanıcı tarafından tanımlanabilir bir süre için ağ erişimi için kullanılabilir. Bu davranış, parola değişikliği yayılırken birden çok bilgisayarda oturum açmış olan hizmet hesapları gibi hesapların ağa erişmesine olanak tanır.
  • Parola ömrü süresinin uzantısı yalnızca NTLM kullanılarak ağ erişimi için geçerlidir. Etkileşimli oturum açma davranışı değişmez. Bu davranış, tek başına sunucularda veya üye sunucularda barındırılan hesaplar için geçerli değildir. Bu davranıştan yalnızca etki alanı kullanıcıları etkilenir.
  • Bir etki alanı denetleyicisinde kayıt defteri düzenlenerek eski parolanın yaşam süresi yapılandırılabilir. Bu kayıt defteri değişikliğinin geçerli olması için yeniden başlatma gerekmez.

Eski parolanın yaşam süresini değiştirme

Önemli

Bu bölüm, yöntem veya görev, kayıt defterini nasıl değiştireceğinizin anlatıldığı adımları içermektedir. Ancak kayıt defterini hatalı biçimde değiştirirseniz önemli sorunlar oluşabilir. Bu nedenle bu adımları dikkatle uyguladığınızdan emin olun. Ek koruma için kayıt defterini değiştirmeden önce yedeklemeyi unutmayın. Böylece, bir sorun oluşursa kayıt defterini daha sonra geri yükleyebilirsiniz. Kayıt defterini yedekleme ve geri yükleme hakkında daha fazla bilgi için bkz. Windows'ta kayıt defterini yedekleme ve geri yükleme.

Eski bir parolanın yaşam süresini değiştirmek için, bir etki alanı denetleyicisinde aşağıdaki kayıt defteri alt anahtarına OldPasswordAllowedPeriod adlı bir DWORD girdisi ekleyin:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Bunu yapmak için şu adımları uygulayın:

  1. Başlat'ı, ardından Çalıştır'ı tıklayın, regedit yazın ve Tamam'ı tıklayın.

  2. Aşağıdaki kayıt defteri alt anahtarını bulup tıklayın:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

  3. Düzen menüsünde Yeni'nin üzerine gelin ve DWORD Değeri'ne tıklayın.

  4. DWORD adı olarak OldPasswordAllowedPeriod yazın ve ENTER tuşuna basın.

  5. OldPasswordAllowedPeriod öğesine sağ tıklayın ve ardından Değiştir'e tıklayın.

  6. Değer verileri kutusuna, kullanmak istediğiniz değeri dakika cinsinden yazın ve tamam'a tıklayın.

    Not

    Yaşam süresi dakika cinsinden ayarlanır. Bu kayıt defteri değeri ayarlanmazsa, eski parola için varsayılan yaşam süresi 60 dakikadır.

  7. Kayıt Defteri Düzenleyicisi'nden çıkın.

Not

Bu kayıt defteri ayarının etkili olması için yeniden başlatma gerektirmez.

Bu davranış bir güvenlik zayıflığına neden olmaz. Her iki parolayı da yalnızca bir kullanıcı bildiği sürece, kullanıcının kimliği her iki parola kullanılarak da güvenli bir şekilde doğrulanır.

Bir kullanıcının parolasının gizliliğinin tehlikeye atıldığı biliniyorsa, yöneticinin bu kullanıcının parolasını sıfırlaması gerekir. Yönetici, eski parolayı en kısa sürede geçersiz kılması için kullanıcıdan bir sonraki oturum açmada parolayı değiştirmesini istemelidir.

Bir kullanıcının parolasını sıfırlamak için şu adımları izleyin:

  1. Active Directory Kullanıcıları ve Bilgisayarları başlayın.
  2. Parolası sıfırlanması gereken kullanıcı hesabını bulun.
  3. Kullanıcı nesnesine sağ tıklayın ve ardından Parolayı Sıfırla'ya tıklayın.
  4. Yeni parola kutusuna ve Parolayı onayla kutusuna yeni parolayı yazın.
  5. Kullanıcı sonraki oturum açmada parolayı değiştirmelidir onay kutusunu seçmek için tıklayın ve ardından Tamam'a tıklayın.

Not

Bu makalede açıklanan davranış, yalnızca etki alanı denetleyicilerindeki etkin parola ilkesinin Parola Geçmişini Zorla değerinin iki veya daha fazla parolanın anımsanacağını belirten bir değere ayarlanmış olması durumunda oluşur. Parola ilkesi etki alanı düzeyinde ayarlanmalıdır. Secpol.msc ek bileşenini kullanarak ilkenin etki alanı denetleyicilerinde etkin olup olmadığını belirleyebilirsiniz.