Kerberos AES Encryption-Only Domain Yapılandırması

Kerberos AES Encryption-Only Domain yapılandırması, Active Directory ortamlarında yalnızca modern ve güçlü şifreleme algoritmalarının (AES128/AES256) kullanılmasını sağlayarak kimlik doğrulama güvenliğini artırır. Varsayılan olarak birçok eski Windows sürümü hâlâ RC4 veya DES gibi zayıf algoritmaları destekler. Bu makalede, yalnızca AES şifreleme destekleyen bir domain ortamının nasıl yapılandırılacağı, olası uyumluluk sorunları ve güvenlik avantajları ele alınmaktadır.

1. Kerberos Şifreleme Türleri (Encryption Types)

Kerberos, biletleri (ticket) ve oturum anahtarlarını korumak için belirli şifreleme türleri kullanır:

• DES (Data Encryption Standard) – Çok eski ve güvenli değildir (devre dışı bırakılmalı).
• RC4-HMAC – Windows 2000 sonrası varsayılan olmuştur, ancak kırılabilir niteliktedir.
• AES128 / AES256 – Modern, güvenli ve FIPS 140-2 uyumlu şifreleme standartlarıdır.

2. AES-Only Domain Gereksinimleri

• Domain Functional Level: Windows Server 2008 veya üzeri.
• Tüm istemci ve sunucular: Windows 7/Server 2008 R2 veya üzeri.
• GPO üzerinden “RC4” ve “DES” algoritmalarının devre dışı bırakılması.
• Tüm hesaplarda AES şifreleme türlerinin etkinleştirilmiş olması.

3. AES Desteğini Doğrulama

Bir kullanıcı veya bilgisayar hesabının AES destekleyip desteklemediğini kontrol etmek için PowerShell kullanılabilir:

Get-ADUser -Filter * -Properties msDS-SupportedEncryptionTypes | 
Select Name, msDS-SupportedEncryptionTypes

Şifreleme Tipi Değerleri:

• 1 – DES_CBC_CRC
• 2 – DES_CBC_MD5
• 4 – RC4_HMAC_MD5
• 8 – AES128_HMAC_SHA1
• 16 – AES256_HMAC_SHA1

Örneğin, yalnızca AES etkin hesaplar için değer “24” (8 + 16) olmalıdır.

4. GPO Üzerinden RC4 ve DES Devre Dışı Bırakma

Computer Configuration → Policies → Windows Settings → Security Settings → Local Policies → Security Options

Şu ayarı bulun ve etkinleştirin:

Network security: Configure encryption types allowed for Kerberos

Yalnızca şu değerleri seçin:

• AES128_HMAC_SHA1
• AES256_HMAC_SHA1

5. AES Yalnızca Modda Hesap Güncelleme

Tüm hesaplarda AES türlerini aktif hale getirmek için PowerShell kullanılabilir:

Get-ADUser -Filter * | Set-ADAccountControl -DoesNotRequirePreAuth:$false
Set-ADUser -Filter * -Replace @{‘msDS-SupportedEncryptionTypes’=24}

Bu işlem, tüm kullanıcıların AES128/AES256 şifreleme türünü kullanmasını zorunlu kılar.

6. Keytab Dosyalarını Yeniden Oluşturma

Linux sistemleri veya hizmet hesapları (ör. SQL, IIS, SCOM) için AES destekli keytab dosyaları yeniden oluşturulmalıdır:

ktpass /princ HTTP/webserver.domain.local@DOMAIN.LOCAL /mapuser webserver$ /crypto AES256-SHA1 /ptype KRB5_NT_SRV_INST /out C:\keytabs\webserver.keytab

7. KDC (Key Distribution Center) Loglarını İzleme

AES şifrelemeye geçişten sonra kimlik doğrulama hatalarını izlemek için:

Event Viewer → Windows Logs → System → Source: Kerberos-Key-Distribution-Center

• Event ID 14: Unsupported encryption type – istemci RC4 veya DES denemesi yapıyor.
• Event ID 28: Key version number mismatch – keytab güncellenmeli.

8. Uyumluluk ve Riskler

• Eski sistemlerde (ör. Windows XP/2003, NAS cihazları, Samba 3.x) oturum açma başarısız olabilir.
• Tüm servis hesaplarının parolaları AES destekli şekilde yeniden oluşturulmalıdır.
• Üçüncü taraf LDAP/Radius sistemleri test edilmeden geçiş yapılmamalıdır.

9. Güvenlik Avantajları

• RC4 ticket replay atakları engellenir.
• Kerberoasting saldırılarında hash çıkarımı neredeyse imkânsız hale gelir.
• Modern şifreleme ile Zero Trust güvenlik mimarisine uyumluluk sağlanır.

10. Sonuç

AES Encryption-Only Domain yapılandırması, Kerberos kimlik doğrulamasını modern kriptografik standartlara taşır. Bu geçiş, güvenlik operasyon merkezleri (SOC) ve siber savunma ekipleri için hem parola hırsızlığı hem de bilet tabanlı saldırılara karşı güçlü bir koruma katmanı oluşturur. HostLigo Windows Sunucu altyapılarında bu yapılandırmanın uygulanması, hem performans hem de güvenlik açısından uzun vadeli sürdürülebilirlik sağlar.