Windows Server 2025 ile Zyxel Güvenlik Duvarı Kimlik Doğrulama Uyumluluğu

Microsoft Windows Server 2025'te yapılacak değişikliklerle birlikte, NTLM kimlik doğrulama desteği daha modern ve güvenli kimlik doğrulama protokolleri lehine kullanımdan kaldırılmıştır. Sonuç olarak, Active Directory (AD) ve RADIUS ortamlarında kullanılanlar gibi MSCHAPv2'ye dayanan kimlik doğrulama yöntemleri, mevcut ürün yazılımı sürümlerini çalıştıran Zyxel güvenlik duvarı cihazlarıyla arayüz oluştururken uyumluluk sorunları yaşayabilir.

Not: Nisan 2025 itibariyle, Windows Server 2025 kimlik doğrulama için MS-CHAPv2'yi desteklemeye devam etmektedir.
Ancak, Windows Server 2025'te varsayılan olarak etkin olan Windows Defender Credential Guard'ın PEAP-MSCHAPv2 ve EAP-MSCHAPv2 gibi MS-CHAPv2 tabanlı kimlik doğrulama yöntemlerine müdahale edebileceğini unutmamak önemlidir.
Bu parazit, Zyxel güvenlik duvarınızda Active Directory (AD) kimlik doğrulaması ve RADIUS sunucusu kimlik doğrulaması gibi senaryolarda kimlik doğrulama hatalarına yol açabilir.

Zyxel Güvenlik Duvarınızı ZLD 5.40 veya uOS 1.32 üzerinde LDAPS (TCP bağlantı noktası 636) kullanarak Windows Server 2025 Active Directory ile entegre etmek istiyorsanız, lütfen bu özel makaleye bakın:
👉 Zyxel Firewall - Windows Server 2025 Active Directory ve Zyxel Firewall ZLD 5.40/uOS 1.32

Not: Bu makale, Windows Server 2025 ile kimlik doğrulama uyumluluğu sorunlarına (örneğin, MS-CHAPv2, NTLM'nin kullanımdan kaldırılması) odaklanmaktadır. LDAPS kullanarak AD entegrasyon adımlarını arıyorsanız, lütfen alttaki bağlantılı makaleye bakın.

Gözlemlenen Davranış

MSCHAPv2 kullanarak AD veya NPS (Ağ İlkesi Sunucusu) aracılığıyla kullanıcıların kimliğini doğrulamaya çalışırken, Zyxel güvenlik duvarları geçerli bir yanıt alamayabilir ve bu da kimlik doğrulama girişimlerinin başarısız olmasına neden olabilir. Bu davranış, MSCHAPv2'nin çalışması için gerekli bir bileşen olan Windows Server 2025'teki NTLM desteğinin kaldırılmasından kaynaklanmaktadır.

Zyxel'in Önerilen Çözümü

Sürekli ve kesintisiz kullanıcı kimlik doğrulaması sağlamak için Zyxel, tam uyumluluk sağlanana kadar aşağıdaki geçici çözümü önerir:

• Kimlik doğrulama amacıyla Zyxel güvenlik duvarındayerel kullanıcı hesapları oluşturun.
• Bu, NTLM bağımlılığını atlayarak ağ güvenliğini korurken kullanıcılar için sorunsuz bir oturum açma deneyimi sağlar.

Geçici Çözüm (dikkatli olun)

Geçici Çözüm 1: Zyxel Güvenlik Duvarında SSL'yi (LDAPS) Etkinleştirme

Bu geçici çözümün özü, Microsoft'un yeni güvenlik ilkeleriyle uyumlu olan ve eski NTLM protokolünün yerini alan SSL üzerinden LDAP kullanmaktır.

Yapılandırma Adımları:

1. Zyxel Firewall arayüzünde oturum açın ve şuraya gidin:
   Kimlik Doğrulama > Sunucu Ayarları > Gelişmiş Ayarlar
2. SSL seçeneğini etkinleştirin.

Şunlardanemin olun:

• Etki alanı denetleyicisinin geçerli bir SSL sertifikası vardır.
• Bu sertifika, Güvenlik Duvarı'ndaki Güvenilen Kök Sertifika Yetkilileri deposuna yüklenmiştir.

Riskler ve Sınırlamalar:

• Düzgün yüklenmiş ve güvenilen bir sertifika olmadan, Güvenlik Duvarı LDAPS aracılığıyla AD sunucusuna bağlanamaz.
• Manuel sertifika kullanımı gereklidir: dışa aktarma, içe aktarma ve güven zinciri doğrulaması.

Geçici Çözüm 2: Windows Server 2025'te Güvenlik İlkesini Gevşetme

İkinci yaklaşım, varsayılan olarak güvensiz davranışa izin vermek için etki alanı denetleyicisindeki Grup İlkesini değiştirmektir. Bu, Zyxel Güvenlik Duvarı'nın standart (güvenli olmayan) LDAP kullanarak bağlanmasını sağlar.

Adımlar:

1. Windows Server 2025 etki alanı denetleyicisinde gpedit.msc dosyasını çalıştırın.
2. Şuraya gidin:
   Yerel Grup İlkesi Düzenleyicisi → Bilgisayar Yapılandırması → Windows Ayarları →
   Güvenlik Ayarları → Yerel Politikalar → Güvenlik Seçenekleri →
   Etki alanı denetleyicisi: LDAP sunucusu imzalama gereksinimleri
3. "Uygulama" ayarını "Devre Dışı" olarak değiştirin.

Bu ne işe yarar?

• Etki alanı denetleyicisinin Zyxel Firewall gibi istemcilerden gelen düz (şifrelenmemiş) LDAP isteklerine yanıt vermesini sağlar.
• LDAPS kullanma gerekliliğini atlar.

Riskler:

• Parolalar ve diğer hassas veriler şifrelenmeden iletilir, bu da özellikle güvenli olmayan veya genel ağlarda tehlikelidir.
• Ortadaki adam saldırılarına karşı potansiyel güvenlik açığı oluşturur.
• Microsoft'un önerilen güvenlik ilkelerini ihlal eder ve izleme sistemlerinde uyarıları tetikleyebilir.

Sonuç:

Bu hızlı bir geçici çözümdür, ancak güvenliği önemli ölçüde azaltır. Yalnızca kısıtlı, izole ortamlarda kullanın ve resmi bir çözüm bulunur bulunmaz geri döndürün.

İleriye Bakmak

Zyxel'de, çözümlerimizin sektördeki değişikliklerle birlikte gelişmesini sağlamak için aktif olarak çalışıyoruz. Ekiplerimiz Microsoft'un Windows Server 2025 ile ilgili gelişmelerini yakından takip ediyor ve sunduğu gelişmiş güvenlik protokollerini desteklemek için entegrasyon seçeneklerini şimdiden araştırıyoruz.

Mevcut ürün yazılımı sürümleri henüz güncellenmiş kimlik doğrulama yöntemlerini desteklemiyor olsa da, bunun geliştirme yol haritamızda yüksek bir öncelik olduğundan emin olabilirsiniz. Mühendislerimiz müşterilerimiz için sorunsuz bir deneyim sunmaya kararlıdır ve Windows Server 2025 kimlik doğrulama desteği aktif olarak incelenmektedir.

Zyxel'e olan güveniniz için teşekkür ederiz. Birlikte daha güvenli ve esnek bir gelecek inşa ediyoruz.

Anlayışınız için teşekkür eder, en son haberler ve rehberlik için Zyxel Topluluğumuz ve Destek Portalımız ile bağlantıda kalmanızı öneririz.