Account Lockout Duration Güvenliği (Misconfiguration)
Account Lockout Duration Güvenlik Açığı Brute Force Saldırılarına Karş�...
LAN Manager Authentication (Misconfiguration)
Kimlik Doğrulama Protokolü Güvenliği Windows ağ ortamlarında kimlik doğrulama güvenliği, sistem bütünlüğünün en kritik unsurlarından biridir. LAN Manager Authentication Level ayarının güvenli seviyeye ayarlanmaması, saldırganların eski ve zayıf kimlik doğrulama protokollerini kullanarak sisteme sızmasına olanak tanır. Bu yazıda, bu kritik güvenlik açığını ve çözüm yöntemlerini detaylı olarak inceleyeceğiz.
LAN Manager Authentication Level Nedir?
LAN Manager Authentication Level, Windows sistemlerinin hangi kimlik doğrulama protokollerini kabul edeceğini belirleyen kritik bir güvenlik ayarıdır. Bu ayar, ağ kaynaklarına erişim sırasında kullanılacak kimlik doğrulama yöntemini kontrol eder.
Kimlik Doğrulama Protokolleri
Windows ortamlarında üç temel kimlik doğrulama protokolü bulunur:
1. LM (LAN Manager) - En Zayıf
- Geliştirme Tarihi: 1980'ler
- Şifre Uzunluğu: Maksimum 14 karakter
- Şifreleme: DES tabanlı, çok zayıf
- Güvenlik Riski: Çok yüksek
2. NTLM (NT LAN Manager) - Orta Seviye
- Geliştirme Tarihi: 1990'lar
- Şifre Uzunluğu: Sınırsız
- Şifreleme: MD4 tabanlı
- Güvenlik Riski: Orta-Yüksek
3. NTLMv2 (NT LAN Manager Version 2) - En Güvenli
- Geliştirme Tarihi: 1998
- Şifre Uzunluğu: Sınırsız
- Şifreleme: HMAC-MD5 tabanlı
- Güvenlik Riski: Düşük (mevcut protokoller arasında)
Güvenlik Riskleri ve Saldırı Yöntemleri
1. LM Protokolü Zafiyetleri
Pass-the-Hash Saldırıları:
- LM hash değerleri kolayca çalınabilir
- Orijinal şifreye ihtiyaç olmadan kimlik doğrulama yapılabilir
- Saldırganlar hash değerlerini kullanarak lateral movement gerçekleştirebilir
Brute Force Saldırıları:
- 14 karakter sınırı nedeniyle şifre karmaşıklığı düşük
- DES şifreleme modern bilgisayarlarda hızlıca kırılabilir
- Rainbow table saldırıları etkilidir
2. NTLM Protokolü Zafiyetleri
Replay Saldırıları:
- Kimlik doğrulama paketleri yakalanıp tekrar kullanılabilir
- Zaman damgası koruması yetersiz
- Challenge-response mekanizması bypass edilebilir
Relay Saldırıları:
- NTLM kimlik doğrulama trafiği yönlendirilebilir
- Saldırganlar kendilerini hedef sistem olarak gösterebilir
- SMB relay saldırıları gerçekleştirilebilir
3. NTLMv2 Avantajları
Güçlü Şifreleme:
- HMAC-MD5 tabanlı güçlü şifreleme
- Mutual authentication desteği
- Replay saldırılarına karşı koruma
Challenge-Response Mekanizması:
- Gelişmiş challenge-response sistemi
- Zaman damgası koruması
- Güçlü nonce değerleri
Çözüm Yöntemleri
1. Group Policy (GPO) ile Yapılandırma
Adım 1: Group Policy Management Console Açın
gpmc.msc Adım 2: Politika Düzenleme
- Computer Configuration → Windows Settings → Security Settings
- Local Policies → Security Options
- "Network security: LAN Manager authentication level" politikasını bulun
Adım 3: Güvenli Ayar Uygulama
Politikayı şu değere ayarlayın: "Send NTLMv2 response only. Refuse LM & NTLM"
2. Kayıt Defteri (Registry) Üzerinden Yapılandırma
Registry Anahtarı:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa Değer Ayarları:
- Değer Adı:
LmCompatibilityLevel - Değer Türü:
REG_DWORD - Önerilen Değer:
5(Send NTLMv2 response only)
PowerShell ile Uygulama:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name "LmCompatibilityLevel" -Value 5 3. Güvenlik Seviyeleri Tablosu
| Seviye | Açıklama | Güvenlik Durumu |
|---|---|---|
| 0 | LM ve NTLM gönder | ❌ Çok Güvensiz |
| 1 | LM & NTLM gönder, NTLMv2 kullan | ❌ Güvensiz |
| 2 | Sadece NTLM gönder | ⚠️ Orta Risk |
| 3 | Sadece NTLMv2 gönder | ⚠️ Orta Risk |
| 4 | Sadece NTLMv2 gönder, LM reddet | ✅ Güvenli |
| 5 | Sadece NTLMv2 gönder, LM & NTLM reddet | ✅ En Güvenli |
Domain Controller Ayarları
DC için Özel Yapılandırma
Minimum Domain Controller Seviyesi:
Network security: LAN Manager authentication level = 4 Ek Güvenlik Ayarları:
- "Do not store LAN Manager hash value on next password change" → Enabled
- "Network security: Do not store LAN Manager hash value on next password change" → Enabled
Active Directory Functional Level
NTLMv2 zorunluluğu için:
- Domain Functional Level: En az Windows 2000 Native
- Forest Functional Level: En az Windows 2000
Deployment Sonrası Dikkat Edilmesi Gerekenler
1. Legacy Sistem Uyumluluğu
Etkilenebilecek Sistemler:
- Windows 95/98/ME: NTLMv2 desteği yok
- Windows NT 4.0: Service Pack 4 öncesi sürümler
- Eski Linux Samba: Samba 3.0 öncesi sürümler
- Bazı gömülü cihazlar: Yazıcılar, NAS cihazları
Çözüm Stratejileri:
- Sistem Envanteri: Tüm ağ cihazlarını kataloglayın
- Aşamalı Deployment: Önce test ortamında uygulayın
- Monitoring: Kimlik doğrulama hatalarını izleyin
- Upgrade Planı: Legacy sistemleri güncelleyin
2. Uygulama Uyumluluğu
Kontrol Edilmesi Gerekenler:
- Third-party uygulamalar
- Veritabanı bağlantıları
- Web uygulamaları
- Backup yazılımları
3. Monitoring ve Logging
Event Log İzleme:
Event ID 4776: Credential validation attempted Event ID 4625: Failed logon attempt Event ID 4648: Logon with explicit credentials PowerShell ile Monitoring:
Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4776} | Where-Object {$_.Message -like "*LM*" -or $_.Message -like "*NTLM*"} Güvenlik Doğrulama
1. Mevcut Ayarların Kontrolü
Group Policy ile Kontrol:
gpresult /h gpreport.html Registry ile Kontrol:
Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name "LmCompatibilityLevel" 2. Ağ Trafiği Analizi
Wireshark ile Analiz:
- NTLM authentication paketlerini yakalayın
- Protocol version'ı kontrol edin
- Challenge-response mekanizmasını doğrulayın
3. Güvenlik Tarama
Nmap ile NTLM Tarama:
nmap --script smb-security-mode PowerShell ile Bulk Kontrol:
$computers = Get-ADComputer -Filter * | Select-Object -ExpandProperty Name foreach ($computer in $computers) { try { $lmLevel = Invoke-Command -ComputerName $computer -ScriptBlock { Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name "LmCompatibilityLevel" } Write-Output "$computer : $($lmLevel.LmCompatibilityLevel)" } catch { Write-Output "$computer : Connection failed" } } Sonuç ve Öneriler
LAN Manager Authentication Level'ın güvenli seviyeye ayarlanması, Windows ağ güvenliğinin temel gereksinimlerinden biridir. Seviye 5 (Send NTLMv2 response only. Refuse LM & NTLM) ayarı, modern güvenlik standartlarına uygun olan minimum yapılandırmadır.
Hızlı Uygulama Adımları:
- ✅ Mevcut durumu analiz edin
- ✅ Test ortamında uygulayın
- ✅ Legacy sistemleri tespit edin
- ✅ GPO ile seviye 5'e ayarlayın
- ✅ Monitoring sistemini kurun
- ✅ Aşamalı deployment yapın
Kritik Kontrol Listesi:
- ✅ LmCompatibilityLevel = 5 olarak ayarlandı mı?
- ✅ Domain GPO'da politika aktif mi?
- ✅ Legacy sistemler upgrade edildi mi?
- ✅ Monitoring sistemi kuruldu mu?
- ✅ Incident response planı hazırlandı mı?
Bu yapılandırmayı uygulayarak, pass-the-hash, replay ve relay saldırılarına karşı sisteminizi önemli ölçüde koruyabilir ve modern kimlik doğrulama standartlarına uygun bir güvenlik seviyesi sağlayabilirsiniz.
