Windows ağ ortamlarında kimlik doğrulama güvenliği, sistem bütünlüğünün en kritik unsurlarından biridir. LAN Manager Authentication Level ayarının güvenli seviyeye ayarlanmaması, saldırganların eski ve zayıf kimlik doğrulama protokollerini kullanarak sisteme sızmasına olanak tanır.
Kimlik Doğrulama Protokolü Güvenliği
LAN Manager Authentication Level Güvenlik Açığı
Windows ağ ortamlarında kimlik doğrulama güvenliği, sistem bütünlüğünün en kritik unsurlarından biridir. LAN Manager Authentication Level ayarının güvenli seviyeye ayarlanmaması, saldırganların eski ve zayıf kimlik doğrulama protokollerini kullanarak sisteme sızmasına olanak tanır.
Bu yazıda, bu kritik güvenlik açığını ve etkili çözüm yöntemlerini detaylı olarak inceleyeceğiz.
LAN Manager Authentication Level Nedir?
LAN Manager Authentication Level, Windows sistemlerinin hangi kimlik doğrulama protokollerini kabul edeceğini belirleyen kritik bir güvenlik ayarıdır. Bu ayar, ağ kaynaklarına erişim sırasında kullanılacak kimlik doğrulama yöntemini kontrol eder.
Kimlik Doğrulama Protokolleri
Windows ortamlarında üç temel kimlik doğrulama protokolü bulunur:
1. LM (LAN Manager) – En Zayıf
-
Geliştirme Tarihi: 1980’ler
-
Şifre Uzunluğu: Maksimum 14 karakter
-
Şifreleme: DES tabanlı, çok zayıf
-
Güvenlik Riski: ❌ Çok yüksek
2. NTLM (NT LAN Manager) – Orta Seviye
-
Geliştirme Tarihi: 1990’lar
-
Şifre Uzunluğu: Sınırsız
-
Şifreleme: MD4 tabanlı
-
Güvenlik Riski: ⚠️ Orta–Yüksek
3. NTLMv2 (NT LAN Manager v2) – En Güvenli
-
Geliştirme Tarihi: 1998
-
Şifre Uzunluğu: Sınırsız
-
Şifreleme: HMAC-MD5 tabanlı
-
Güvenlik Riski: ✅ Düşük (mevcut protokoller arasında)
Güvenlik Riskleri ve Saldırı Yöntemleri
1. LM Protokolü Zafiyetleri
Pass-the-Hash Saldırıları
-
LM hash değerleri kolayca ele geçirilebilir
-
Gerçek parolaya ihtiyaç duyulmaz
-
Lateral movement için kullanılabilir
Brute Force Saldırıları
-
14 karakter sınırı nedeniyle düşük karmaşıklık
-
DES şifreleme modern sistemlerde hızlı kırılır
-
Rainbow table saldırıları oldukça etkilidir
2. NTLM Protokolü Zafiyetleri
Replay Saldırıları
-
Kimlik doğrulama paketleri yakalanıp tekrar kullanılabilir
-
Zaman damgası koruması zayıftır
-
Challenge-response mekanizması bypass edilebilir
Relay Saldırıları
-
NTLM trafiği başka sistemlere yönlendirilebilir
-
SMB relay saldırıları gerçekleştirilebilir
-
Saldırgan kendisini hedef sistem gibi gösterebilir
3. NTLMv2 Avantajları
Güçlü Şifreleme
-
HMAC-MD5 tabanlı gelişmiş şifreleme
-
Mutual authentication desteği
-
Replay saldırılarına karşı koruma
Gelişmiş Challenge-Response
-
Güçlü nonce değerleri
-
Zaman damgası doğrulaması
-
Replay ve relay saldırılarına karşı direnç
Çözüm Yöntemleri
1. Group Policy (GPO) ile Yapılandırma
Adım 1: Group Policy Management Console
gpmc.msc
Adım 2: Politika Düzenleme
Computer Configuration
→ Windows Settings
→ Security Settings
→ Local Policies
→ Security Options
Adım 3:
“Network security: LAN Manager authentication level” politikasını bulun.
Güvenli Ayar:
Send NTLMv2 response only. Refuse LM & NTLM
2. Registry Üzerinden Yapılandırma
Registry Anahtarı:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Değerler:
-
Değer Adı: LmCompatibilityLevel
-
Tür: REG_DWORD
-
Önerilen Değer: 5
PowerShell ile Uygulama:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" `
-Name "LmCompatibilityLevel" -Value 5
3. Güvenlik Seviyeleri Tablosu
| Seviye | Açıklama | Güvenlik |
|---|---|---|
| 0 | LM ve NTLM gönder | ❌ Çok güvensiz |
| 1 | LM & NTLM gönder, NTLMv2 kullan | ❌ Güvensiz |
| 2 | Sadece NTLM gönder | ⚠️ Orta risk |
| 3 | Sadece NTLMv2 gönder | ⚠️ Orta risk |
| 4 | NTLMv2 gönder, LM reddet | ✅ Güvenli |
| 5 | NTLMv2 gönder, LM & NTLM reddet | ✅ En güvenli |
Domain Controller Ayarları
DC için Minimum Güvenli Seviye
Network security: LAN Manager authentication level = 4
Ek Güvenlik Ayarları
-
Do not store LAN Manager hash value on next password change → Enabled
-
Network security: Do not store LAN Manager hash value on next password change → Enabled
Active Directory Functional Level
NTLMv2 zorunluluğu için:
-
Domain Functional Level: En az Windows 2000 Native
-
Forest Functional Level: En az Windows 2000
Deployment Sonrası Dikkat Edilmesi Gerekenler
1. Legacy Sistem Uyumluluğu
Etkilenebilecek Sistemler:
-
Windows 95 / 98 / ME
-
Windows NT 4.0 (SP4 öncesi)
-
Samba 3.0 öncesi Linux sistemler
-
Yazıcılar, NAS cihazları, gömülü sistemler
Çözüm Stratejileri:
-
Sistem envanteri çıkarın
-
Test ortamında uygulayın
-
Kimlik doğrulama hatalarını izleyin
-
Legacy sistemler için upgrade planı yapın
2. Uygulama Uyumluluğu
Kontrol edilmesi gerekenler:
-
Third-party uygulamalar
-
Veritabanı bağlantıları
-
Web uygulamaları
-
Yedekleme yazılımları
3. Monitoring ve Logging
İlgili Event ID’ler:
-
4776: Credential validation attempted
-
4625: Failed logon attempt
-
4648: Explicit credentials
PowerShell Monitoring:
Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4776} |
Where-Object {$_.Message -like "*LM*" -or $_.Message -like "*NTLM*"}
Güvenlik Doğrulama
1. Mevcut Ayarların Kontrolü
GPO ile:
gpresult /h gpreport.html
Registry ile:
Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" `
-Name "LmCompatibilityLevel"
2. Ağ Trafiği Analizi
-
Wireshark ile NTLM paketlerini yakalayın
-
Protokol sürümünü doğrulayın
-
Challenge-response mekanizmasını inceleyin
3. Güvenlik Tarama
Nmap ile:
nmap --script smb-security-mode
PowerShell Bulk Kontrol:
$computers = Get-ADComputer -Filter * | Select-Object -ExpandProperty Name
foreach ($computer in $computers) {
try {
$lmLevel = Invoke-Command -ComputerName $computer -ScriptBlock {
Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" `
-Name "LmCompatibilityLevel"
}
Write-Output "$computer : $($lmLevel.LmCompatibilityLevel)"
} catch {
Write-Output "$computer : Connection failed"
}
}
Sonuç ve Öneriler
LAN Manager Authentication Level ayarının Seviye 5 olarak yapılandırılması, Windows ağ güvenliğinin temel gereksinimlerinden biridir.
“Send NTLMv2 response only. Refuse LM & NTLM” yapılandırması, modern güvenlik standartlarına uygun minimum güvenli seviye olarak kabul edilir.
Hızlı Uygulama Adımları
✅ Mevcut durumu analiz edin
✅ Test ortamında uygulayın
✅ Legacy sistemleri tespit edin
✅ GPO ile seviye 5’e ayarlayın
✅ Monitoring sistemini kurun
✅ Aşamalı deployment gerçekleştirin
Kritik Kontrol Listesi
✅ LmCompatibilityLevel = 5 mi?
✅ Domain GPO’da politika aktif mi?
✅ Legacy sistemler güncellendi mi?
✅ Monitoring aktif mi?
✅ Incident response planı hazır mı?
Bu yapılandırmayı uygulayarak pass-the-hash, replay ve relay saldırılarına karşı sisteminizi önemli ölçüde koruyabilir ve modern kimlik doğrulama standartlarına uygun bir güvenlik seviyesi sağlayabilirsiniz.
