Microsoft, Windows Server 2025 ve Windows 11 24H2 sürümleriyle birlikte tanıttığı Kerb3961 adlı yeni kütüphane ile Kerberos protokolünde şifreleme türlerinin (etype) kullanımını daha öngörülebilir ve yönetilebilir hale getiriyor.
Yeni yapı, adını RFC3961 standardından alıyor ve Kerberos’un kriptografik motorunu baştan yapılandırarak bağımsız bir kütüphane haline getiriyor. Artık şifreleme türü seçimi, kullanımı ve yönetimi tamamen bu kütüphane üzerinden kontrol ediliyor. Özellikle BT yöneticileri için en dikkat çekici değişiklik, etype seçiminde artık sert kodlamaların (hard-coded) büyük oranda kaldırılması.
Etype Seçiminde Yeni Dönem
Önceki Windows sürümlerinde bazı Kerberos işlemleri için varsayılan olarak belirlenmiş ve değiştirilemeyen etype kullanımı, özellikle RC4 gibi güvenliği sorgulanan algoritmaların ortadan kaldırılamamasına neden oluyordu. Kerb3961, bu sınırlamayı ortadan kaldırıyor ve yönetici tarafından belirlenen grup ilkesi (GPO) ayarlarının daha kararlı bir şekilde uygulanmasını sağlıyor.
Yine de önemli bir değişiklik olarak, artık aşağıdaki eski kayıt defteri (registry) anahtarı desteklenmiyor:
HKEY_LOCAL_MACHINE\CurrentControlSet\Control\Lsa\Kerberos\Parameters
REG_DWORD SupportedEncryptionTypes
Bunun yerine, desteklenen şifreleme türleri GPO üzerinden yapılandırılıyor ve bu bilgiler Active Directory üzerindeki ilgili hesaplara yansıtılıyor.
Güvenlik ve Yönetilebilirlik Artıyor
Microsoft’un bu yapısal değişikliği, güvenlik açısından da önemli avantajlar sunuyor:
- Varsayılan olarak daha güvenli Kerberos işlemleri,
- Daha öngörülebilir etype kullanımı,
- Yeni etype ekleme ve çıkarma işlemlerinde daha az sorun,
- RC4 ve DES gibi eski algoritmalardan daha kolay vazgeçilebilmesi.
Bu değişiklikler sayesinde, yöneticilerin ortamlarında şifreleme yönetimi üzerinde daha fazla kontrol sahibi olması hedefleniyor. Ancak bu aynı zamanda yanlış yapılandırmaların daha belirgin hale gelmesi anlamına geliyor.
Microsoft, bu geçişi kolaylaştırabilmesi için yeni olay günlükleri (Event ID 4768 ve 4769) ile birlikte iki yeni PowerShell script’i de yayımladı. Bu script’ler etype kullanımını ve hesap anahtarı durumlarını analiz etmeye yardımcı oluyor.
Yeni sisteme geçmeden önce, mevcut ortamda hangi etype’ların kullanıldığının belirlenmesi gerekiyor. Bu kapsamda Microsoft, Kerberos EType Calculator ve KDC günlükleri üzerinden analiz yapılmasını öneriyor.
Kerb3961, Windows ortamlarında Kerberos’un daha modern, güvenli ve yönetilebilir hale getirilmesini sağlayacak önemli bir adım olarak görülüyor. Microsoft, özellikle olgunlaşmış kurumsal ortamlarda yaşanabilecek zorlukların farkında olduklarını ve bu geçişin olabildiğince sorunsuz olması için destek sağlamaya devam edeceklerini vurguluyor.
