Şu anda çevrimdışısınız; İnternet'in yeniden bağlanması bekleniyor

NTLMv1 ve LM ağ kimlik doğrulaması için güvenlik kılavuzu

Windows XP desteği sona erdi

Microsoft, Windows XP desteğini 8 Nisan 2014'te sona erdirdi. Bu değişiklik yazılım güncelleştirmelerinizi ve güvenlik seçeneklerinizi etkiledi. Bunun sizin için ne anlama geldiğini ve korunmaya nasıl devam edebileceğinizi öğrenin.

Windows Server 2003 desteği 14 Temmuz 2015'te sona erdi

Microsoft, Windows Server 2003 desteğini 14 Temmuz 2015'te sona erdirdi. Bu değişiklik yazılım güncelleştirmelerinizi ve güvenlik seçeneklerinizi etkiledi. Bunun sizin için ne anlama geldiğini ve korunmaya nasıl devam edebileceğinizi öğrenin.

GİRİŞ
NT LAN Manager sürüm 1 (NTLMv1) ve LAN Manager (LM) kimlik doğrulamasına karşı saldırılarda kullanılabilecek detaylı bilgilerin ve araçların farkındayız. Bilgisayar donanım ve yazılım algoritmalarındaki gelişmeler, bu protokolleri kullanıcı kimlik bilgilerini ele geçirmeye yönelik yayımlanmış saldırılara karşı savunmasız kılmaktadır. Bilgiler ve kullanılabilir araç takımları özellikle NTLMv2 kimlik doğrulamasını zorlamayan ortamları hedef alır. Müşterilerin kendi ortamlarını değerlendirmelerini ve ağ kimlik doğrulama ayarlarını güncelleştirmelerini öneririz. Desteklenen tüm Microsoft işletim sistemleri, NTLMv2 kimlik doğrulaması becerileri sağlar.

Öncelikle Microsoft Windows NT 4, Windows 2000, Windows XP ve Windows Server 2003 çalıştıran sistemler gibi varsayılan yapılandırmada etkilenen sistemler risk altındadır. Örneğin; varsayılan olarak, NTLMv1 kimlik doğrulamasını destekleyen Windows XP ve Windows Server 2003.

Windows NT için, ağda oturum açma işlemlerinde sınama yanıtı kimlik doğrulaması için desteklenen iki seçenek bulunur: LAN Manager (LM) sınama yanıtı ve Windows NT sınama yanıtı (NTLM sürüm 1 sınama yanıtı olarak da bilinir). Her ikisi de yüklü Windows NT 4.0, Windows 95, Windows 98 ve Windows 98 Second Edition tabanlarıyla birlikte çalışmayı destekler.


Bu sorunu sizin adınıza gidermemizi isterseniz, "Benim adıma düzelt" bölümüne gidin.
Çözüm
Bu sorunun oluşma riskini azaltmak için Windows NT 4, Windows 2000, Windows XP ve Windows Server 2003 çalıştıran ortamları yalnızca NTLMv2'yi kullanmasına izin verecek şekilde yapılandırmanızı öneririz. Bunu yapmak için burada açıklandığı gibi el ile LAN Manager Kimlik Doğrulama Düzeyi'ni 3'e veya daha üst düzeye ayarlayın.

Windows XP ve Windows Server 2003 için Microsoft Fix it çözümleri, sistemlerin otomatik olarak NTLMv2'nin kullanılmasına izin verecek şekilde yapılandırılması için kullanılabilir. Bu yöntem aynı zamanda, Kimlik Doğrulaması için Genişletilmiş Koruma teknolojisinden faydalanan kullanıcılar için NTLM ayarlarını etkinleştirir.
Benim adıma düzelt
Bu bölümde açıklanan Fix it çözümünün herhangi bir güvenlik güncelleştirmesinin yerini alması amaçlanmamıştır. Her zaman en son güvenlik güncelleştirmelerini yüklemenizi öneririz. Ancak bu Fix it çözümünü, bazı senaryolar için geçici bir çözüm seçeneği olarak sağlıyoruz.

Windows XP için Microsoft Fix it

Bu Fix it çözümünü etkinleştirmek veya devre dışı bırakmak için Fix it düğmesini veya Etkinleştirme başlığının altındaki bağlantıyı tıklatın. Dosya Yükleme iletişim kutusunda Çalıştır'ı tıklatın ve Fix it sihirbazındaki adımları uygulayın.
Etkinleştirme
Notlar
  • Bu sihirbaz yalnızca İngilizce olabilir. Ancak otomatik düzeltme, Windows'un diğer dil sürümleri için de çalışmaktadır.
  • Çalıştığınız bilgisayarda bu sorun yaşanmıyorsa, otomatik düzeltmeyi bir flash sürücüye veya CD'ye kaydedip daha sonra sorunun yaşandığı bilgisayarda çalıştırabilirsiniz.
Windows Server 2003 için Microsoft Fix it

Bu Fix it çözümünü etkinleştirmek veya devre dışı bırakmak için Fix it düğmesini veya Etkinleştirme başlığının altındaki bağlantıyı tıklatın. Dosya Yükleme iletişim kutusunda Çalıştır'ı tıklatın ve Fix it sihirbazındaki adımları uygulayın.
Etkinleştirme
Notlar
  • Bu sihirbaz yalnızca İngilizce olabilir. Ancak otomatik düzeltme, Windows'un diğer dil sürümleri için de çalışmaktadır.
  • Çalıştığınız bilgisayarda bu sorun yaşanmıyorsa, otomatik düzeltmeyi bir flash sürücüye veya CD'ye kaydedip daha sonra sorunun yaşandığı bilgisayarda çalıştırabilirsiniz.
Durum
Microsoft bu sorunun "Uygulama Hedefi" bölümünde listelenen Microsoft ürünlerinde yer aldığını onaylamıştır.
Daha fazla bilgi

SSS

Microsoft Network Security ve LAN Manager Kimlik Doğrulama Düzeyi için tehditler ve önlemler hakkında daha fazla bilgi bulabilir miyim?

Tehditler ve Önlemler Kılavuzu adresindeki Microsoft TechNet'te tehditler ve önlemler hakkında ayrıntılı bilgiler bulabilirsiniz. NTLM sürüm yapılandırması hakkında daha fazla bilgi için bkz. LmCompatibilityLevel.

Sorun neden oluşuyor?

İhracat kısıtlamaları, Ocak 2000'e kadar şifreleme protokollerinin en fazla anahtar uzunluğunu sınırlandırdı. LM ve NTLM kimlik doğrulama protokolleri Ocak 2000'den önce geliştirilmiştir, söz konusu kısıtlamalar bu nedenle uygulanır. Windows XP yayımlandığında, Windows 2000 ve önceki sürümler için tasarlanan kimlik doğrulama ortamları ile geriye dönük uyumluluğu sağlamak için yapılandırıldı.

Yapılandırmamın güvenlik açığından etkilenip etkilenmediğini nasıl araştırırım?

LMCompatibilityLevel kayıt defteri ayarları üçten (<3) daha az bir değere ayarlanmışsa bu sorundan etkilenirsiniz.

Hangi Windows işletim sistemleri varsayılan yapılandırmalarda etkilenir? 

Windows NT4, Windows 2000, Windows XP ve Windows Server 2003 işletim sistemlerinin tümü üçten (<3) küçük bir LMCompatibilityLevel varsayılan yapılandırma değerine sahiptir.

NTLMv2'yi zorlamanın olası riskleri nelerdir?

Windows işletim sisteminin desteklenen tüm sürümleri NTLMv2'yi destekler. Windows NT 4.0 SP6a NTLMv2'yi de destekler. Bu nedenle, uyumluluk riski oldukça düşüktür. Eski üçüncü taraf uygulamalarının veya yapılandırmalarının birlikte çalışabilirlik sorunları bakımından değerlendirilmesi gerekebilir. Yeniden yapılandırılma veya yükseltme bu sorunu giderebilir. Müşterilerin NTLMv1'i tanımlamak ve kullanımdan kaldırmak üzere ağlarını yapılandırmak ve yükseltmek için düzeltici adımlar uygulamaları kesinlikle önerilir. NTLMv1 protokolünün ağ güvenliği üzerinde kesin, olumsuz bir etkisi vardır ve bu etki güvenliği aşabilir.

Bir saldırgan bu güvenlik açığından yararlanarak neler yapabilir?

Bir saldırgan, yakalanan LM ve NTLM ağ kimlik doğrulaması yanıtlarından kimlik doğrulama karma değerlerini ayıklayabilir.

Artık desteklenmeyen Microsoft Windows sürümlerinde NTLMv2'nin etkinleştirilmesi hakkında daha fazla bilgiyi nerede bulabilirim? 

Windows NT, Windows 95, Windows 98 ve Windows 98 Second Edition için NTLMv2 hakkında ayrıntılı bilgiye Microsoft Bilgi Bankası Makalesi 239869 adresinden ulaşabilirsiniz.
İlgili Kaynaklar
Microsoft, müşterilerimizin korunmasına destek vermek amacıyla bizimle birlikte çalıştığı için şu kişilere teşekkür eder:
  • Müşterilimizin, NTLMv1'e ve LAN Manager (LM) ağ kimlik doğrulamasına karşı saldırılardan korunmasına destek vermek amacıyla bizimle birlikte çalıştığı için T-Mobile ABD'den Mark Gamache
update security_patch security_update security bug flaw vulnerability malicious attacker exploit registry unauthenticated buffer overrun overflow specially-formed scope specially-crafted denial of service DoS TSE
Not Bu, doğrudan Microsoft destek kuruluşu tarafından oluşturulan bir “FAST PUBLISH” makalesidir. Buradaki bilgiler, ortaya çıkan sorunları gidermek üzere olduğu gibi sağlanmaktadır. Mümkün olduğu kadar hızlı sunulmasının bir sonucu olarak malzemelerde yazım hataları bulunabilir ve bunlar bildirimde bulunulmadan daha sonra düzeltilebilir. Diğer hususlar için Kullanım Koşulları’na bakın.
Özellikler

Makale No: 2793313 - Son İnceleme: 01/11/2013 17:45:00 - Düzeltme: 1.0

Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows XP Service Pack 3

  • atdownload kbbug kbexpertiseinter kbfix kbsecbulletin kbsecurity kbsecvulnerability kbmsifixme kbfixme KB2793313
Geri bildirim