CVE-2026-41089 windows server yama · Mağazam · netlogon rce açığı domain controller · news_tie_in · windows server 2025 standard güvenlik güncellemesi ·

Netlogon RCE Saldırıları Altında Domain Controller'ı Koruma

Netlogon RCE Saldırıları Altında Domain Controller'ı Koruma

⚡ Haber Özeti: 1 Haziran 2026 itibarıyla CyberSecurityNews'in raporuna göre, CVE-2026-41089 olarak takip edilen Windows Netlogon 0-tıklama RCE açığı artık aktif olarak istismar ediliyor. Yamayı uygulamadıysanız, Domain Controller'ınız şu an hedef listesinde. windows server 2025 domain controller güvenlik mimarisine yatırım yapmayan her organizasyon bu saldırıya karşı savunmasız durumda.

Windows Server 2025 Standart

Windows Server 2025 Standart

1.499,90 ₺

Windows Server 2025 Standard Lisans Anahtarı - İşletme Çözümü Windows Server 2025 Standard, küçük ve orta ölçekli işletmeler için maliyet-etkin sunucu işletim sistemi çözümüdür. Güçlü performans, güvenilir altyapı ve uy…

Hemen Satın Al Stokta Var ✓

CVE-2026-41089 Nedir? 0-Tıklamayla RCE Saldırısı Nasıl Çalışıyor?

CVE-2026-41089, Netlogon Remote Protocol (MS-NRPC) üzerindeki bir bellek bozulması açığıdır. Saldırgan, kurban sunucuya tek bir paket göndererek kullanıcı etkileşimi olmaksızın SYSTEM yetkileriyle uzaktan kod çalıştırabiliyor. Geleneksel RCE açıklarının aksine bu vektör, kimlik doğrulama adımını tamamen atlıyor — dolayısıyla "pre-auth RCE" kategorisinde değerlendiriliyor.

Teknik mekanizma şu şekilde işliyor: MS-NRPC, Netlogon servisinin 445/TCP portunda dinlediği özel DCE/RPC çağrılarını işlerken gelen paketteki oturum anahtarı uzunluk doğrulamasını eksik yapıyor. Saldırgan, stack üzerinde kontrollü bir yazma ilkesiyle mevcut belleği bozuyor ve ardından shellcode yürütüyor. Bunun pratikte anlamı şu: VPN içinde olmanız, güvenlik duvarı kullanmanız, hatta 2FA uygulamanız bu saldırıyı durdurmaz; Netlogon trafiğine izin verilen her ağ segmenti risk altındadır.

Çoğu rehberin atladığı kritik nokta şu: Bu açık yalnızca internete açık sunucuları değil, iç ağdaki Domain Controller'ları da etkiliyor. Lateral movement aşamasında çoktan bir makineyi ele geçirmiş saldırgan, bu açığı kullanarak doğrudan AD forest'ı devralabilir.

Domain controller sunucusunu hedef alan ağ saldırı vektörlerini gösteren siber güvenlik diyagramı, kırmızı tehdit işaretleriyle
Domain controller sunucusunu hedef alan ağ saldırı vektörlerini gösteren siber güvenlik diyagramı, kırmızı tehdit işaretleriyle

Hangi Sunucular Risk Altında? Etkilenen Sürümler ve Konfigürasyonlar

Microsoft'un güvenlik bültenine göre etkilenen platformlar şunlardır:

  • Windows Server 2016 (tüm sürümler, KB yayınlanana kadar)
  • Windows Server 2019 Standard ve Datacenter
  • Windows Server 2022 Standard ve Datacenter
  • Windows Server 2025 — yalnızca Haziran 2026 Kümülatif Güncellemesi uygulanmamış kurulumlar

Konfigürasyon bazında en yüksek risk profili şu ortamlarda gözlemleniyor: SMB imzalamanın kapalı olduğu sunucular, PDC Emulator rolünü taşıyan makineler ve Netlogon servisini "Disabled" yerine "Manual" konumda tutan ortamlar. Özellikle küçük ölçekli işletmelerde "kurarken fark ettiğim" en yaygın sorun, Netlogon'un varsayılan konfigürasyonla bırakılması ve NTLMv1'in hâlâ aktif olması.

Kritik uyarı: Domain Controller olmayan üye sunucular da dolaylı olarak risk altındadır. Güvenliği ihlal edilmiş bir DC, tüm ağ için Kerberos bilet otoritesi olduğundan saldırgan oradan "Golden Ticket" üreterek kalıcı erişim elde edebilir.

Yama Yeterli mi? Eski Server Sürümlerinde Kalmanın Gerçek Maliyeti

Kısa cevap: Yama zorunlu ama tek başına yeterli değil. Windows Server 2016 için bu yama bir "band-aid" çözümüdür çünkü söz konusu sürüm Mainstream Support dönemini 2022'de tamamlamıştır. Extended Security Updates (ESU) kapsamında yamayı alabiliyorsunuz, ancak bunun yıllık ek maliyeti sunucu başına lisans bedelinin %75'ine kadar çıkabiliyor.

Daha kritik olan nokta şu: Eski sürümler bu yamayı alsa da Security Baseline 2025 özelliklerinden yoksundur. Credential Guard, VBS (Virtualization Based Security) ve Protected Users güvenlik grubunun genişletilmiş politikaları yalnızca Windows Server 2025'te tam kapasitede çalışıyor. CVE-2026-41089 gibi açıklar için yamayı dağıtmak, mevcut saldırı vektörünü kapatar; ama aynı protokol ailesi üzerinden keşfedilecek bir sonraki açığa karşı eski sürümler yine savunmasız kalır.

Maliyet hesabı net: 5 yıl boyunca ESU + personel saati + olası ihlal maliyeti toplandığında, Windows Server 2025 Standart lisansına yükseltmek çok daha ekonomik bir seçim haline geliyor. Üstelik 1.499,90 ₺ gibi ömür boyu geçerli tek seferlik bir maliyetle.

Windows Server 2025 Standard'ın Bu Saldırıya Karşı Getirdiği 4 Katmanlı Savunma

windows server 2025 domain controller güvenlik mimarisi, CVE-2026-41089 gibi pre-auth RCE saldırılarını yalnızca yamaya bırakmak yerine yapısal olarak zorlaştıran dört katmandan oluşuyor:

  1. Virtualization Based Security (VBS) + Credential Guard: LSA process'i izole bir Hyper-V konteynerında çalıştırır. Saldırgan SYSTEM yetkisi elde etse bile NTLM hash ve Kerberos biletlerine doğrudan erişemez. Bu özellik Server 2025'te DC rolü için varsayılan olarak etkin geliyor — önceki sürümlerde manuel aktivasyon gerektiriyordu.
  2. Secure Channel Enforcement (RPC Sealing): Server 2025, Netlogon oturum protokolünde "Full Secure Channel" modunu varsayılan yapar. Bu ayar eski sürümlerde HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSeal=2 ile manuel yapılıyordu; şimdi kutu açıkken geliyor.
  3. Network ATC + Micro-Segmentation: Yeni nesil ağ politikası motoru, DC'nin Netlogon trafiğini yalnızca tanımlı uç noktalara kısıtlamasına izin veriyor — harici kaynaklardan gelen 445/TCP paketleri host düzeyinde filtreleniyor.
  4. Windows Defender Credential Guard + LAPS v2: Yerel yönetici parolalarının otomatik rotasyonu artık Azure AD bağımsız çalışıyor; forest içi lateral movement senaryolarında saldırganın pass-the-hash yapmasını engelliyor.

Bu dört katmanın aynı anda aktif olması, yalnızca CVE-2026-41089'u değil aynı zamanda Zerologon (CVE-2020-1472) ve PrintNightmare ailesindeki açıkları da büyük ölçüde etkisiz kılıyor. Windows Server 2025 Standart lisansını buradan inceleyebilirsiniz.

Sunucu kasasının açık paneli önünde teknik inceleme yapan bir sistem yöneticisinin elleri
Sunucu kasasının açık paneli önünde teknik inceleme yapan bir sistem yöneticisinin elleri

Hemen Yapılması Gereken 6 Adım: Yama + Konfigürasyon Kontrol Listesi

Bu adımları sırasıyla uygulamak kritik önem taşıyor; birini atlamak diğerlerinin etkisini ciddi biçimde azaltıyor.

  1. KB güncellemesini hemen dağıtın: Windows Update for Business veya WSUS üzerinden Haziran 2026 Kümülatif Güncellemesi'ni tüm DC'lere deploy edin. Güncelleme sonrası Event ID 5829 logları için olay görüntüleyiciyi kontrol edin — bu kimlik, eski Netlogon bağlantılarını işaret eder.
  2. Netlogon Enforcement Mode'u etkinleştirin: Group Policy → Computer Configuration → Windows Settings → Security Settings → System Services → Netlogon yolundan "FullSecureChannelProtection" değerini 1 olarak ayarlayın. Bu adım çoğu rehberde atlanıyor.
  3. NTLMv1'i devre dışı bırakın: GPO üzerinden Network security: LAN Manager authentication level değerini "Send NTLMv2 response only. Refuse LM & NTLM" olarak güncelleyin.
  4. DC'lere gelen 445/TCP trafiğini denetleyin: Windows Firewall with Advanced Security → Inbound Rules kısmında yalnızca belirlediğiniz subnet'lerin bu porta erişmesine izin verin.
  5. Credential Guard'ı aktifleştirin: UEFI Secure Boot ve TPM 2.0 gereklidir. Turn On Virtualization Based Security GPO ayarını etkinleştirdikten sonra sunucuyu yeniden başlatın ve msinfo32 → Credential Guard durumunu doğrulayın.
  6. LAPS v2'yi dağıtın: Active Directory Users and Computers'da şema genişletmesini tamamlayın ve tüm DC'lere LAPS v2 policy'sini uygulayın. Parola rotasyon periyodunu 30 gün olarak ayarlayın.

Bu aşamadaki en yaygın hata: Enforcement Mode'u etkinleştirmeden önce eski istemci sistemlerin (Windows 7, Server 2008 R2) hâlâ ağda olup olmadığını kontrol etmemek. Etkinleştirme bu sistemleri ağdan dışlayabilir; önce Domain controller: Require case insensitive evaluation of Netlogon account names ayarını audit modunda birkaç gün izleyin.

Standard mı, Datacenter mı? Güvenlik Perspektifinden KOBİ'ler İçin Doğru Seçim

Güvenlik açısından bakıldığında Windows Server 2025 Standard ve Datacenter aynı güvenlik özellik setini paylaşıyor — yani Credential Guard, VBS, Secure Channel Enforcement ve LAPS v2 her iki sürümde de tam olarak çalışıyor. Datacenter sürümünün farkı sanallaştırma haklarında: sınırsız VM hakkı sunuyor ve shielded VM desteği içeriyor.

KOBİ perspektifinden "güvenlik farkı yoksa neden iki kat fazla ödeyelim?" sorusu son derece meşru. Eğer 2 veya daha az VM çalıştırıyorsanız, Windows Server 2025 Standart sürümünün sunduğu 2 VM hakkı tam olarak ihtiyacınızı karşılıyor. Datacenter'ın getirdiği ek kapasite, yoğun sanallaştırma ortamları için tasarlanmış — 5-10 sunucu çalıştıran bir KOBİ için overkill ve gereksiz maliyet demek.

Kural pratikte şöyle işliyor: 10'dan az sunucunuz varsa ve bunların yarısından azını sanallaştırıyorsanız Standard sürüm hem maliyet hem güvenlik açısından optimum seçimdir. Bu kriterleri aşıyorsanız Datacenter değerlendirilebilir — ama o noktada muhtemelen dedicated güvenlik ekibiniz de olacaktır.

Windows Server 2025 Standard Lisansı Alırken Dikkat Edilmesi Gereken 3 Nokta

Piyasada çok sayıda lisans satıcısı bulunuyor ve hepsi eşit değil. Lisans alırken göz ardı edilen üç kritik faktör:

  • Orijinallik doğrulaması: Satın aldığınız lisansın Microsoft aktivasyon sunucuları üzerinden doğrulanabilir olması şart. Keysofti'nin sunduğu lisanslar orijinal lisans anahtarı niteliğinde olup anında dijital teslimatla geliyor.
  • Format sonrası kullanım garantisi: Sunucu güvenlik ihlali yaşandıktan sonra genellikle temiz kurulum yapılır. Bu senaryoda lisansınızın yeniden aktivasyona izin vermesi kritiktir. Windows Server 2025 Standart, format sonrası tekrar kullanılabilir yapıda — bu özellik özellikle saldırı sonrası kurtarma senaryolarında hayat kurtarıcı.
  • Ömür boyu geçerlilik: Abonelik tabanlı modellerden farklı olarak tek seferlik 1.499,90 ₺ ödemeyle ömür boyu geçerli lisans alıyorsunuz. 3 yıllık perspektiften hesaplandığında abonelik maliyetinin çok altında kalıyor.

Lisans alırken sorulan ama yanıtsız kalan en kritik soru: "Bu lisans kaç cihazda kullanılabilir?" Windows Server 2025 Standard, 1 cihaz aktivasyonu + 2 sanal makine hakkı içeriyor. Bu, tek fiziksel sunucu üzerinde DC + ikinci bir VM çalıştırmanıza imkân veriyor; KOBİ senaryoları için ideal bir yapı.

Saldırı Sonrası İyileşme: Lisans Transferi ve Yeniden Aktivasyon Süreci

CVE-2026-41089 gibi kritik bir açıktan sonra Domain Controller başarıyla ele geçirildiyse standart kurtarma prosedürü şudur: Forest recovery, clean OS install, ardından AD restore. Bu süreçte en sık karşılaşılan teknik sorun lisans aktivasyonunun kaybolması ya da yeni donanıma transferin başarısız olmasıdır.

Windows Server 2025 Standard lisansı için yeniden aktivasyon süreci şu şekilde işliyor: Aynı donanıma temiz kurulum yapıldığında ürün anahtarı otomatik olarak Microsoft aktivasyon sunucularından doğrulanıyor. Donanım değişikliği söz konusuysa (örneğin DC sunucunuzu değiştirdiyseniz) Microsoft'un telefon aktivasyon hattı üzerinden lisans transferi yapılabiliyor — bu süreç ortalama 20-30 dakika sürüyor.

Pratikte karşılaştığım bir senaryo: Fiziksel DC'den sanal DC'ye geçiş yapıldığında aktivasyon bazen "hardware ID mismatch" hatası veriyor. Bu durumda slmgr.vbs /upk ile mevcut anahtarı kaldırıp ardından slmgr.vbs /ipk [anahtar] komutuyla yeniden yükleme en hızlı çözüm. Satın aldığınız lisans anahtarı dijital olarak saklandığı için bu süreci istediğiniz zaman tekrarlayabilirsiniz.

Saldırı sonrası ortamın tamamını yeniden inşa etmek zorunda kaldığınızda, Windows Server 2025 Standart lisansınızı hemen temin ederek kurtarma sürecini en kısa sürede tamamlayabilirsiniz.

Sıkça Sorulan Sorular

CVE-2026-41089 yamayı uyguladıktan sonra hâlâ risk altında mıyım?

Yama, bilinen bu açık vektörünü kapatıyor. Ancak Netlogon protokolü üzerindeki yapısal riskleri ortadan kaldırmıyor. Windows Server 2025'in Credential Guard ve VBS katmanları olmadan yalnızca yamaya güvenmek, bir kapıyı kilitleyip diğerini açık bırakmak gibidir. Yama zorunlu bir başlangıç noktasıdır; tam koruma için güvenlik konfigürasyonlarının da uygulanması gerekir.

Windows Server 2025 Standart lisansı kaç cihazda kullanılabilir?

Lisans, 1 fiziksel sunucu ve bu sunucu üzerinde çalışan 2 sanal makine için geçerlidir. Yani tek bir donanım üzerinde Domain Controller + File Server gibi iki VM kurabilirsiniz. Üçüncü bir VM için ek lisans gerekmektedir. KOBİ ortamlarının büyük çoğunluğu için 2 VM hakkı fazlasıyla yeterli.

Lisans anında mı teslim ediliyor, kargo beklememek gerekiyor mu?

Keysofti üzerinden satın alınan Windows Server 2025 Standart lisansı anında dijital teslimatla geliyor. Ödeme onayının ardından lisans anahtarınız doğrudan e-posta ile iletiliyor. Saldırı sonrası acil kurtarma senaryolarında bu özellik kritik önem taşıyor — fiziksel teslimat beklemenize gerek yok.

Server 2019'dan Server 2025'e yükseltme sırasında AD verileri korunuyor mu?

In-place upgrade yöntemiyle (Setup.exe çalıştırarak) Windows Server 2019'dan 2025'e geçişte Active Directory veritabanı ve SYSVOL korunuyor. Ancak kritik DC'ler için en güvenli yöntem yeni bir Server 2025 makineyi orman üyesi olarak tanıtmak, FSMO rollerini transfer etmek ve ardından eski DC'yi decommission etmektir. Bu yöntem veri kaybı riskini sıfıra indiriyor.

Bu lisans format sonrasında tekrar kullanılabilir mi?

Evet. Keysofti'nin Windows Server 2025 Standart lisansı format sonrası tekrar kullanılabilir özelliğiyle geliyor. Aynı donanımda yeniden kurulum yaptığınızda ürün anahtarınızı tekrar girerek aktivasyonu tamamlayabilirsiniz. Donanım değişikliği durumunda Microsoft'un telefon aktivasyon hattı üzerinden transfer işlemi yapılabiliyor.

KOBİ'ler için Standard mı Datacenter mı daha doğru seçim?

Güvenlik özellikleri her iki sürümde özdeş. Temel fark sanallaştırma hakkı sayısında: Standard 2 VM, Datacenter sınırsız VM hakkı sunuyor. 10'dan az sunucuyla çalışan, yoğun sanallaştırma ortamı olmayan KOBİ'ler için Standard sürüm hem maliyet hem güvenlik açısından optimal. Aradaki fiyat farkını güvenlik yazılımı veya backup çözümüne yatırmak daha akılcı bir tercih.

Sonuç

CVE-2026-41089, Netlogon üzerindeki pre-auth RCE özelliğiyle bugüne kadar görülen en tehlikeli Domain Controller saldırı vektörlerinden biri. Yama zorunlu ama tek başına yeterli değil; windows server 2025 domain controller güvenlik mimarisinin sunduğu Credential Guard, VBS ve Secure Channel Enforcement katmanları olmadan kurumunuz bir sonraki açığa karşı yeniden savunmasız kalır.

Bu makalede ele aldığımız üç temel sonuç şu: Birincisi, eski Server sürümleri yamalanabilir ama yapısal güvenlik açıkları kapanmaz — yükseltme kaçınılmaz. İkincisi, Windows Server 2025 Standart KOBİ'ler için hem maliyet hem güvenlik perspektifinden Datacenter'a kıyasla optimum seçimdir. Üçüncüsü, 1.499,90 ₺ gibi ömür boyu geçerli tek seferlik bir yatırım, yıllık ESU maliyetlerini ve potansiyel ihlal zararlarını düşündüğünüzde net bir tasarruf sağlıyor.

Saldırganlar artık aktif olarak istismar ediyor; konfigürasyon değişikliklerini ve lisans yükseltmesini erteleyen her gün, risk pencerenizi açık tutuyor. Windows Server 2025 Standart lisansınızı hemen alın, DC'nizi bugün koruma altına alın.

Yorum bırakın

Geri dön Genel