Özgün yayımlama tarihi: 29 Ağustos 2025, Ağustos 2025
KB kimliği: 5066470
Giriş
Bu makalede, NTLMv1 türetilmiş şifrelemeyi engellemenin denetlenmesine ve nihai uygulanmasına odaklanarak Windows 11, sürüm 24H2 ve Windows Server 2025'teki son ve yaklaşan değişiklikler ayrıntılı olarak açıklanır. Bu değişiklikler, Microsoft'un NTLM'yi aşamalı hale getirmek için gerçekleştirilen daha geniş kapsamlı girişiminin bir parçasıdır.
Arka Plan
Microsoft Windows 11, sürüm 24H2 ve Windows Server 2025 ve sonraki sürümlerden NTLMv1 protokollerini kaldırmıştır (bkz. Özellikler ve işlevler kaldırıldı). Ancak NTLMv1 protokolü kaldırılmış olsa da, etki alanına katılmış bir ortamda MS-CHAPv2 kullanma gibi bazı senaryolarda NTLMv1 şifrelemesinin artıkları hala mevcuttur.
Credential Guard hem NTLMv1 eski şifrelemesinin hem de diğer birçok saldırı yüzeyinin tam korumasını sağlar ve bu nedenle Microsoft, Credential Guard'ın gereksinimlerinin karşılanması durumunda dağıtımını ve etkinleştirilmesini kesinlikle önerir. Yaklaşan değişiklikler yalnızca Credential guard'ın devre dışı bırakıldığı cihazları etkiler; Cihazda Windows Credential Guard etkinse, bu makalede açıklanan değişiklikler geçerli olmaz.
Amaç
NTLM'nin kullanımdan kaldırılması (bkz. Kullanım dışı özellikler) ve NTLMv1 protokolünün kaldırılmasıyla, Microsoft NTLMv1 türetilmiş kimlik bilgilerini kullanarak devre dışı bırakarak NTLMv1'in devre dışı bırakılmasına son halini vermek için çalışmaktadır.
Yaklaşan değişiklikler
Yeni kayıt defteri anahtarı ve yeni olay günlükleri gibi iki yeni değişiklik bu güncelleştirmeye eklenmiştir. Bu değişikliklerin zaman çizelgesi için değişikliklerin dağıtımı bölümüne bakın.
Yeni kayıt defteri anahtarı
Değişikliklerin Denetim modunda mı yoksa Zorlama modunda mı olduğuna ilişkin yeni bir kayıt defteri anahtarı kullanıma sunulmuştur.
|
Kayıt defteri konumu |
HKEY_LOCAL_MACHINE\SYSTEM\currentcontrolset\control\lsa\msv1_0 |
|
Değer |
BlockNtlmv1SSO |
|
Tür |
REG_DWORD |
|
Veri |
|
Yeni denetim özellikleri
-
Denetim (varsayılan) ayarlarını kullanırken
Olay Günlüğü
Microsoft-Windows-NTLM/Operasyonel
Olay Türü
Uyarı
Olay Kaynağı
NTLM
Olay Kimliği
4024
Olay Metni
Çoklu Oturum Açma için NTLMv1 türetilmiş kimlik bilgilerini kullanma girişimini denetleme Hedef sunucu: <domain_name> Sağlanan kullanıcı: <user_name> Sağlanan etki alanı: <domain_name> İstemci işleminin PID'i: <process_identifier> İstemci işleminin adı: <process_name> İstemci işleminin LUID değeri: <locally_unique_identifier> İstemci işleminin kullanıcı kimliği: <user_name> İstemci işleminin kullanıcı kimliğinin etki alanı adı: <domain_name> Mekanizma OID: <object_identifier> Daha fazla bilgi için bkz. https://go.microsoft.com/fwlink/?linkid=2321802.
-
Ayarları zorunlu kılma'yı kullanırken
Olay Günlüğü
Microsoft-Windows-NTLM/Operasyonel
Olay Türü
Hata
Olay Kaynağı
NTLM
Olay Kimliği
4025
Olay Metni
İlke nedeniyle Tek Sign-On için NTLMv1 türetilmiş kimlik bilgilerini kullanma girişimi engellendi.Hedef sunucu: <domain_name> Sağlanan kullanıcı: <user_name> Sağlanan etki alanı: <domain_name> İstemci işleminin PID'i: <process_identifier> İstemci işleminin adı: <process_name> İstemci işleminin LUID değeri: <locally_unique_identifier> İstemci işleminin kullanıcı kimliği: <user_name> İstemci işleminin kullanıcı kimliğinin etki alanı adı: <domain_name> Mekanizma OID: <object_identifier> Daha fazla bilgi için bkz. https://go.microsoft.com/fwlink/?linkid=2321802.
Diğer denetim geliştirmeleri hakkında daha fazla bilgi için bkz. Windows 11, sürüm 24H2 ve Windows Server 2025'te NTLM denetim geliştirmelerine genel bakış.
Değişikliklerin dağıtımı
Eylül 2025 ve sonraki güncelleştirmelerde, değişiklikler Denetim modunda Windows 11, sürüm 24H2 ve üzeri istemci işletim sistemine dağıtılacaktır. Bu modda, NTLMv1 türetilmiş kimlik bilgileri her kullanıldığında Olay Kimliği: 4024 günlüğe kaydedilir, ancak kimlik doğrulaması çalışmaya devam eder. Dağıtım, yılın sonraki Windows Server 2025'e ulaşacaktır.
Ekim 2026'da, BlockNTLMv1SSO kayıt defteri anahtarı cihaza dağıtılmadıysa Microsoft, BlockNTLMv1SSO kayıt defteri anahtarının varsayılan değerini 0 (Denetim) yerine 1 (Uygula) olarak ayarlar.
Zaman Çizelgesi
|
Tarih |
Değişiklik |
|
Ağustos 2025 sonu |
Windows 11, sürüm 24H2 ve daha yeni istemcilerde etkinleştirilen NTLMv1 kullanımı için denetim günlükleri. |
|
Kasım 2025 |
Windows Server 2025'e yapılan değişikliklerin dağıtımına başlayın. |
|
Ekim 2026 |
BlockNtlmv1SSO kayıt defteri anahtarının varsayılan değeri, gelecek bir Windows güncelleştirmesi aracılığıyla Denetim modundan (0) Zorlama moduna (1) değiştirilerek NTLMv1 kısıtlamaları güçlendirilir. Varsayılanlardaki bu değişiklik yalnızca BlockNtlmv1SSO kayıt defteri anahtarı dağıtılmadıysa geçerlilik kazanır. |
Not Bu tarihler belirsizdir ve değiştirilebilir.
Sık sorulan sorular (SSS)
Microsoft, bir sürüm güncelleştirmesini bir kerede değil, belirli bir süre boyunca dağıtmak için aşamalı bir dağıtım yöntemi kullanır. Bu, kullanıcıların güncelleştirmeleri farklı zamanlarda aldığı ve tüm kullanıcılar tarafından hemen kullanılamayabileceği anlamına gelir.
NTLMv1 türetilmiş kimlik bilgileri, belirli üst düzey protokoller tarafından Tek Sign-On amaçlarla kullanılır; Örnek olarak MS-CHAPv2 kimlik doğrulaması kullanan Wi-Fi, Ethernet ve VPN dağıtımları verilebilir. Credential Guard'ın etkinleştirildiğine benzer şekilde, bu protokoller için tek Sign-On akışları çalışmaz, ancak kimlik bilgilerini el ile girmek Zorlama modunda bile çalışmaya devam eder. Daha fazla bilgi ve en iyi yöntemler için bkz. Credential Guard kullanırken dikkat edilmesi gerekenler ve bilinen sorunlar.
Bu güncelleştirme ile Credential Guard arasındaki tek benzerlik, NTLMv1 türetilmiş şifrelemeden kullanıcı kimlik bilgilerine yönelik korumalardır. Bu güncelleştirme Credential Guard'ın geniş ve sağlam korumasını sağlamaz; Microsoft, desteklenen tüm platformlarda Credential Guard etkinleştirmesi önerir.
