Microsoft’tan Önemli Bir Düzeltme: Windows Server Domain Kontrolcülerinde Kimlik Doğrulama Sorunları
Microsoft, Nisan 2025 güvenlik güncellemelerini yükledikten sonra Windows Server domain kontrolcülerinde ortaya çıkan kimlik doğrulama sorunlarına ilişkin bilinen bir sorunu düzeltti. Bu sorun, Windows Server 2016, 2019 ve 2022 gibi platformları etkilemektedir. Ayrıca en yeni sürüm olan Windows Server 2025’i de kapsıyor.
Etki Alanı ve Kullanıcılar
Microsoft, bu bilinen sorunu Mayıs ayı başlarında kabul ederken, ev kullanıcılarının etkilenmeyeceğini açıkladı. Çünkü domain kontrolcüler genellikle kurumsal kimlik doğrulama senaryolarında kullanılır. Microsoft’a göre, "8 Nisan 2025 tarihinde yayımlanan Nisan Windows ayı güvenlik güncelleştirmesi (KB5055523) veya sonrasını yükledikten sonra, Active Directory Domain Controller’ları (DC), Kerberos oturum açma veya makine-PKINIT kullanarak imza doğrulama gerektiren yetkilendirme işlemlerini işlerken sorunlar yaşayabilir."
Bu sorunlar, Windows Hello for Business (WHfB) gibi key trust ortamlarını etkileyebilir. Ayrıca cihazlar için Kamu Anahtar Kimlik Doğrulama (Machine PKINIT) gibi özelliklerin bulunduğu ortamlarda da sorunlar çıkabilir. Bu durum, kimlik yönetim sistemleri, üçüncü taraf tek oturum açma (SSO) çözümleri ve akıllı kart kimlik doğrulama ürünleri gibi yazılımları da etkileyebilir.
Cumhuriyet Güncellemeleri ve Çözüm
Bu hafta, Microsoft tüm etkilenen Windows sürümleri için kimlik doğrulama sorunlarını çözmek üzere aşağıdaki birikimli güncellemeleri yayımladı: "Cihazınız için en son güvenlik güncellemesini yüklemenizi öneririz, çünkü bu güncelleme önemli iyileştirmeler ve sorun çözümleri içermektedir." Microsoft, salı günü yaptığı Windows sürüm sağlık güncellemesinde bu bilgiyi paylaştı.
Eğer daha önce yayımlanan bir güncellemeyi kullanıyorsanız ve bu sorunla karşılaşıyorsanız, "Güncellenmiş DC’lerde kendinden imzalı sertifika tabanlı kimlik doğrulama için AllowNtAuthPolicyBypass kayıt defteri anahtarına ‘2’ değerini geçici olarak atamayı geciktirmelisiniz." açıklamasını yaptı. Yöneticilerin bu konuda KB5057784 destek belgesindeki Kayıt Defteri Ayarları bölümüne göz atmaları tavsiye edildi.
Güvenlik Önlemleri ve Zafiyetler
Microsoft’un açıklamalarına göre, bu kimlik doğrulama sorunları, yüksek seviyesi bir zafiyet olan CVE-2025-26647 ile ilişkilidir. Bu güvenlik zafiyeti, doğrulanmış saldırganların, Windows Kerberos’ta yer alan uygunsuz bir giriş doğrulama zayıflığını kullanarak uzaktan ayrıcalıkları artırmasına olanak tanıyabilir. Windows Kerberos, Windows 2000 ile birlikte piyasaya sürülen Windows sürümlerinde domain bağlantılı cihazlar için yeni varsayılan kimlik doğrulama protokolü olarak NTLM’in yerini almıştır.
Nisan ayında Microsoft, Credential Guard etkin olduğunda Windows 11 ve Windows Server 2025 sistemlerinde kimlik doğrulama sorunlarına neden olan başka bir bilinen sorunu düzeltmişti. Şirket, Kasım 2022‘de, Windows domain kontrolcülerini etkileyen Kerberos oturum açma hatalarını çözmek için acil durum güncellemeleri yayımlamak zorunda kalmıştı.
Otomatik Yamanın Avantajları
Günümüzde yama işlemleri, karmaşık komut dosyaları, uzun saatler ve bitmek bilmeyen kriz anları ile tanımlanamaz. Modern IT organizasyonları, otomasyon ile yamanın hızını artırıyor, yükleri azaltıyor ve stratejik çalışmalara odaklanıyor. Böylece karmaşık komut dosyalarına ihtiyaç duyulmadan, etkili bir şekilde güncellemeler yapılabiliyor.
Tines, IT organizasyonlarının otomasyonu nasıl benimsediğine dair kapsamlı bir rehber sunmaktadır. Bu rehber sayesinde, güncellemeleri daha hızlı bir şekilde yapmayı öğrenebilir, operasyonel yükü azaltabilir ve aleyhte bir durumdan daha etkili bir şekilde korunabilirsiniz.
Sonuç olarak, Microsoft’un güvenlik güncellemeleri ve şirket içindeki kimlik doğrulama sistemlerine dair sağladığı çözümler, kullanıcıların ve sistem yöneticilerinin güvenliği artırmasına yardımcı olmaktadır. Açıklanan sorunların çözümü, daha sağlıklı bir çalışma ortamı sağlamanın yanı sıra, işletmelerin bilgi güvenliği uygulamalarını güçlendirmektedir.
