Windows'ta IAKerb ve LocalKDC ile NTLM Geri Dönüşünün Azaltılması

NTLM Geri Dönüşünün Azaltılması ve IAKerb/LocalKDC

Microsoft, Windows sistemlerinde kimlik doğrulama protokollerini modernleştirmeye devam ediyor. NTLM (NT LAN Manager), güvenlik açıkları nedeniyle Microsoft'un gelecekte varsayılan olarak devre dışı bırakmayı planladığı bir protokoldür. Bu protokol, Active Directory ortamlarında Kerberos protokolüne geçişi zorlaştıran senaryolar için geçici bir çözüm olarak kullanılmıştır. Haziran 2026'da Windows Insiders Canary Kanalı'nda IAKerb ve LocalKDC özellikleri halka açık önizlemeye sunulmuştur. Bu özellikler, Kerberos protokolünü NTLM'e geri dönüş gerektiren durumlara genişleterek, sistemlerin daha güvenli bir kimlik doğrulama yöntemine geçişini kolaylaştırmayı hedeflemektedir.

Sorun: NTLM Geri Dönüşüne Neden Olan Senaryolar

NTLM, aşağıdaki durumlarda Kerberos'a göre tercih edilen bir protokol olmuştur:

• Çapraz Orman Kimlik Doğrulaması: Farklı Active Directory ormanları arasında kimlik doğrulama yapılırken Kerberos'un KDC (Key Distribution Center) erişimi kısıtlı olabilir.
• Çevrimdışı Kimlik Doğrulaması: Etki alanı denetleyicisine çevrimdışı erişim gerektiğinde TGT (Ticket Granting Ticket) alınamadığı için NTLM kullanılmaktadır.
• Uzak Masaüstü Protokolü (RDP): Bazı RDP bağlantıları, Kerberos'un desteklenmediği ağ durumlarında NTLM'e geri dönmektedir.
• Eski Uygulamalar ve Hizmetler: Bazı üçüncü taraf uygulamalar veya hizmetler, Kerberos yerine NTLM kullanmayı tercih etmektedir.

Bu durumlar, güvenlik risklerini artırmakta ve Pass-the-Hash saldırılarına karşı savunmasızlık oluşturmaktadır. Microsoft, NTLM'in gelecekte varsayılan olarak devre dışı bırakılacağını duyurduğundan, sistemlerin bu geçişe hazırlanması gerekmektedir.

Çözüm: IAKerb ve LocalKDC Nedir?

IAKerb (Initial Authentication using Kerberos): Bu özellik, Kerberos protokolünü kullanarak kimlik doğrulamasını başlatmayı sağlar. Geleneksel olarak, NTLM kullanılan senaryolarda Kerberos'un ilk adımlarını destekler. IAKerb, çapraz orman kimlik doğrulaması ve çevrimdışı kimlik doğrulaması gibi durumlarda NTLM'e geri dönüşü ortadan kaldırmayı hedefler.

LocalKDC (Local Key Distribution Center): Bu özellik, yerel bir KDC sunucusu oluşturarak, etki alanı denetleyicisine erişim gerektiren durumlarda bile Kerberos kimlik doğrulamasını gerçekleştirmeyi sağlar. LocalKDC, çevrimdışı senaryolarda TGT alınmasını mümkün kılarak, NTLM kullanımını azaltır.

IAKerb ve LocalKDC Nasıl Çalışır?

IAKerb ve LocalKDC, aşağıdaki adımlarla çalışır:

1. IAKerb:
   • İstemci, Kerberos kimlik doğrulamasını başlatır.
   • Eğer Kerberos'un ilk adımı başarısız olursa (örneğin, KDC'ye erişim yoksa), IAKerb devreye girer ve Kerberos protokolünü kullanarak kimlik doğrulamasını tamamlar.
   • Bu sayede, NTLM'e geri dönüş engellenmiş olur.
2. LocalKDC:
   • Yerel bir KDC sunucusu oluşturulur ve bu sunucu, yerel olarak TGT oluşturabilir.
   • İstemci, çevrimdışı olduğunda bile yerel KDC'den TGT alabilir ve Kerberos kimlik doğrulamasını gerçekleştirebilir.
   • Bu sayede, NTLM kullanımına gerek kalmaz.

IAKerb ve LocalKDC'yi Etkinleştirme Adımları

Zorluk Seviyesi: Orta

Bu özellikleri etkinleştirmek için aşağıdaki adımları izleyin. Öncelikle, Windows Insiders Canary Kanalı'nda olduğunuzdan emin olun.

1. Windows Insiders Canary Kanalı'na Katılın:
   1. Windows Ayarları > Windows Update > Windows Insider Program'a gidin.
   2. "Get started" seçeneğine tıklayın ve Canary Kanalı'na katılın.
   3. Güncellemeleri kontrol edin ve en son Windows Insider sürümünü indirin.
2. IAKerb'i Etkinleştirin:

   IAKerb'i etkinleştirmek için aşağıdaki komutları Yönetici olarak çalıştırılan PowerShell penceresinde çalıştırın:

   # IAKerb özelliğini etkinleştirmek için
   Enable-WindowsOptionalFeature -Online -FeatureName "IAKerb" -NoRestart
   
   # Değişikliklerin uygulanması için bilgisayarı yeniden başlatın
   Restart-Computer
   

   ⚠️ Uyarı: IAKerb, henüz önizleme aşamasında olduğu için üretim ortamlarında kullanılmamalıdır. Özelliği test etmek için yalnızca laboratuvar ortamlarında kullanın.

3. LocalKDC'yi Etkinleştirin:

   LocalKDC'yi etkinleştirmek için aşağıdaki komutları çalıştırın:

   # LocalKDC özelliğini etkinleştirmek için
   Enable-WindowsOptionalFeature -Online -FeatureName "LocalKDC" -NoRestart
   
   # Değişikliklerin uygulanması için bilgisayarı yeniden başlatın
   Restart-Computer
   

   💡 İpucu: LocalKDC'yi etkinleştirdikten sonra, yerel KDC'nin çalıştığından emin olmak için aşağıdaki komutu çalıştırın:

   Get-WindowsOptionalFeature -Online -FeatureName "LocalKDC" -State
   

   Çıktı "Enabled" olarak görünmelidir.

4. Kimlik Doğrulama Davranışını Doğrulayın:

   IAKerb ve LocalKDC'nin çalışıp çalışmadığını doğrulamak için aşağıdaki adımları izleyin:

   1. Bir komut istemcisini açın ve aşağıdaki komutu çalıştırın:

   klist tickets
   

   2. Eğer IAKerb veya LocalKDC çalışıyorsa, Kerberos biletleri listelenmelidir. NTLM kullanıldığında, biletler yerine NTLM token'ları görünecektir.
   3. RDP veya başka bir hizmet üzerinden kimlik doğrulamasını test edin. NTLM'e geri dönüş yaşanmıyorsa, özellikler başarıyla etkinleştirilmiştir.

Örnek Senaryo: Çevrimdışı Kimlik Doğrulama

Aşağıdaki adımlar, LocalKDC'nin çevrimdışı kimlik doğrulamasını nasıl desteklediğini göstermektedir:

1. Bilgisayarı etki alanı ağından ayırın (çevrimdışı mod).
2. Bir komut istemcisini açın ve aşağıdaki komutu çalıştırın:

klist purge

3. Daha sonra, bir dosya paylaşımına erişmeye çalışın:

dir \\dosya-sunucu\paylasim

4. Eğer LocalKDC çalışıyorsa, Kerberos kimlik doğrulaması başarılı olmalıdır. Aksi takdirde, NTLM'e geri dönüş yaşanacaktır.

Sık Karşılaşılan Sorunlar ve Çözümleri

❌ Sorun 1: IAKerb veya LocalKDC etkinleştirildikten sonra kimlik doğrulama başarısız oluyor.

🔧 Çözüm: Özelliklerin doğru şekilde etkinleştirildiğinden emin olun. Aşağıdaki komutla durumunu kontrol edin:

Get-WindowsOptionalFeature -Online -FeatureName "IAKerb"
Get-WindowsOptionalFeature -Online -FeatureName "LocalKDC"

Eğer özellikler "Disabled" olarak görünüyorsa, tekrar etkinleştirin ve bilgisayarı yeniden başlatın.

❌ Sorun 2: LocalKDC çalışıyor ancak çevrimdışı kimlik doğrulaması başarısız oluyor.

🔧 Çözüm: Yerel KDC'nin çalıştığından emin olun. Aşağıdaki komutu çalıştırın:

Get-Service -Name "lsass" | Select-Object Status

Eğer hizmet "Running" değilse, aşağıdaki komutla başlatın:

Start-Service -Name "lsass"

Sonuç ve Gelecek Adımlar

IAKerb ve LocalKDC, Windows sistemlerinde NTLM kullanımını azaltarak güvenliği artırmayı hedefleyen önemli adımlardır. Bu özellikler, gelecekte NTLM'in varsayılan olarak devre dışı bırakılmasıyla birlikte daha da önem kazanacaktır. Şu anda önizleme aşamasında olan bu özellikleri test etmek için laboratuvar ortamlarında kullanmanız önerilir.

Microsoft'un gelecekteki Windows sürümlerinde NTLM'in tamamen kaldırılması planlandığından, sistemlerinizi bu geçişe hazırlamak için IAKerb ve LocalKDC gibi özellikleri kullanmaya başlayabilirsiniz. Bu sayede, gelecekte oluşabilecek uyumsuzluk sorunlarını önceden çözebilirsiniz.

Kaynaklar

• Microsoft IAKerb Dokümantasyonu
• Microsoft LocalKDC Dokümantasyonu
• 4sysops Makalesi