NTLM (NT LAN Manager), halen birçok Windows ortamında kullanılan eski bir kimlik doğrulama protokolü. Ancak artık saldırganların sıkça hedef aldığı bir mekanizma haline geldi. Bu yüzden birçok güvenlik uzmanı, NTLM’i tamamen kapatmayı veya yalnızca NTLMv2’yi zorunlu hale getirmeyi planlıyor.
Fakat dikkat: Denetim (audit) yapmadan kısıtlama uygulamak, beklenmedik kesintilere ve erişim sorunlarına yol açabilir.
Peki doğru yaklaşım ne olmalı?
İşte NTLM kullanımını izlemek ve güvenli şekilde devre dışı bırakmak için adım adım rehber
NTLM Denetimini (Auditing) Etkinleştirin
NTLM trafiğini Domain Controller (DC) tarafında izlemek için aşağıdaki Grup İlkesi (GPO) ayarlarını kullanabilirsiniz:
Security Settings → Local Policies → Security Options
- Network security: Restrict NTLM: Audit incoming NTLM traffic
- Network security: Restrict NTLM: Audit NTLM authentication in this domain
Bu ayarları etkinleştirdiğinizde, aşağıdaki olay kimlikleri (Event ID) oluşturulur:
- 8002
- 8003
- 8004
Bu loglar sayesinde NTLM kullanımını doğrudan Domain Controller üzerinden izleyebilirsiniz.
Yani her istemciden tek tek 4624 loglarını toplamaya gerek kalmaz.
Sınırlama:
Bu loglar, kullanılan NTLM sürümünü (v1 mi, v2 mi) göstermez.
Bu nedenle genel NTLM kullanımı için uygundur, ancak yalnızca NTLMv2’yi zorunlu hale getirmek isteyenler için yeterli değildir.
4624 Olaylarını Tüm Cihazlardan Toplayın
Her kullanıcı oturumu açıldığında, oturumun gerçekleştiği cihaz üzerinde Event ID 4624 kaydı oluşur.
Bu olay, kullanılan NTLM sürümünü de içerir > yani NTLMv1 mi yoksa NTLMv2 mi kullanıldığını net şekilde görebilirsiniz. Bu, NTLMv1 kullanan eski uygulamaları veya servis hesaplarını tespit etmenin en etkili yoludur. Ayrıca Domain Controller tarafında Event ID 4776 logları da toplanabilir. Bu loglar tek başına çok detay vermez ama 4624 loglarıyla birleştirildiğinde tam bir görünürlük sağlar.
Gelişmiş NTLM Denetimi (Yakında Geliyor)
Microsoft, Windows 11 24H2 ve Windows Server 2025 ile birlikte yeni bir denetim özelliği getiriyor:
Enhanced NTLM Auditing
Bu özellik sayesinde Domain Controller üzerinde:
- NTLM kullanan hesabın kim olduğu,
- Nereden ve hangi uygulama üzerinden geldiği,
- Hangi NTLM sürümünün (v1/v2) kullanıldığı
doğrudan loglara kaydedilecek.
Henüz tüm ortamlara yayılmadı ancak ilgili GPO ayarları bazı sistemlerde şimdiden görünmeye başladı.
Sonuç ve Öneri
Önce denetim yapın.
Hangi sistemlerin hala NTLM kullandığını belirleyin.
NTLMv1 kullanan servisleri ve hesapları tespit edin.
Ardından aşamalı şekilde NTLMv2/Kerberos zorunlu kılın veya NTLM’i tamamen devre dışı bırakın.
