Active Directory Güçlendirme: 12 Noktalık Kontrol Listesi ile Güvenliğinizi Artırın
BT altyapınız içinde, Active Directory (AD) kaynaklara erişimi kontrol etmek ve işletmenizi çalışır durumda tutmak için merkezi bir merkezdir. Ancak, Active Directory’nin kuruluşunuz için önemi onu tehdit aktörlerinin hedef tahtasına koyar. Active Directory başarıyla ihlal edilirse, saldırganlar ayrıcalıklı kimlik bilgilerine erişebilir ve potansiyel olarak şirket veri güvenliğini tehlikeye atabilir veya uygulamaları etkileyebilir. Bu nedenle, Active Directory güvenlik en iyi uygulamalarını uygulamak, dijital güvenlik politikası planlamanın önemli bir parçasıdır.
Active Directory (AD), birçok organizasyonun ağlarını ve sistemlerini yönetmek için kullandığı kritik bir bileşendir. Ancak, AD’nin bu kritik rolü, aynı zamanda saldırganlar için cazip bir hedef haline gelmesine neden olur. Bu nedenle, AD’nin güvenliğini sağlamak ve olası saldırılara karşı koruma sağlamak, her IT yöneticisi için öncelikli bir görevdir. İşte Active Directory’nizi güçlendirmek için kullanabileceğiniz 12 noktalık bir kontrol listesi:
1. Hesap Kilitleme Politikalarını Uygulayın
Hesap kilitleme politikaları, tanımlama denemelerini yavaşlatmak için önemlidir. Bu politikalar, saldırganların hesap bilgilerini deneme yanılma yöntemiyle ele geçirmesini zorlaştırır.
2. LDAP Erişimini Sınırlayın
LDAP (Lightweight Directory Access Protocol), özellikle Active Directory gibi dizin hizmetleriyle etkileşimde bulunmak için kullanılan bir protokoldür. LDAP, dizin servislerindeki bilgilerle iletişim kurmak ve yönetmek için yaygın olarak kullanılır. Ancak, LDAP erişiminin sınırlı olmaması, potansiyel güvenlik açıkları yaratabilir. Bu nedenle, LDAP erişimini sınırlamak önemlidir.
LDAP Erişimini Sınırlamanın Yolları
LDAP erişimini sınırlamak, birkaç adımda gerçekleştirilebilir:
Ağ Segmentasyonu ve Güvenlik Grupları
- Ağ Segmentasyonu: LDAP trafiğini, sadece belirli ağ segmentlerine veya VLAN’lara izin vererek sınırlayın. Bu, LDAP trafiğini izole ederek saldırganların bu trafiği ele geçirmesini zorlaştırır.
- Güvenlik Grupları: LDAP erişimini yalnızca belirli kullanıcılar ve bilgisayarlar için izin verin. Güvenlik grupları oluşturun ve yalnızca bu gruplara LDAP erişimi verin.
LDAP Üzerinde TLS/SSL Kullanın
- LDAP trafiğini şifrelemek için TLS/SSL kullanın. Bu, verilerin güvenli bir şekilde iletilmesini sağlar ve ortadaki adam saldırılarını önler.
LDAP İmzalama ve Kanal Bağlama
- LDAP İmzalama: LDAP isteklerinin bütünlüğünü doğrulamak için LDAP imzalamayı etkinleştirin.
- Kanal Bağlama: Kanal bağlama, LDAP isteklerinin kimliğini doğrulamak için ek güvenlik sağlar.
Örnek PowerShell Komutları
LDAP erişimini sınırlamak ve güvenliği artırmak için PowerShell kullanabilirsiniz. İşte bazı örnek komutlar:
LDAP İmzalama ve Kanal Bağlama Ayarlarını Etkinleştirme
Bu ayarlar, LDAP trafiğinin güvenliğini artırmak için gereklidir.
# LDAP imzalama ve kanal bağlama ayarlarını etkinleştirin
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\NTDS\Parameters" -Name "LDAPServerIntegrity" -Value 2
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\NTDS\Parameters" -Name "LDAPServerRequireSigning" -Value 1LDAP Üzerinde TLS/SSL Kullanımı
LDAP trafiğini şifrelemek için bir sertifika yapılandırın ve TLS/SSL kullanın.
# Sertifikayı AD LDS rolüne ekleyin
Import-Module ActiveDirectory
$cert = Get-ChildItem -Path cert:\LocalMachine\My | Where-Object { $_.Subject -match "CN=YourCertificateName" }
Import-AdLdsCertificate -ServiceAccountName "ADAM_SVC" -CertificateThumbprint $cert.Thumbprint -ApplicationPartition "DC=YourPartition,DC=com"LDAP Erişimini Belirli Gruplarla Sınırlandırma
Belirli güvenlik gruplarına LDAP erişimi verin.
# Güvenlik grubu oluşturun
New-ADGroup -Name "LDAPAccessGroup" -SamAccountName "LDAPAccessGroup" -GroupCategory Security -GroupScope Global -DisplayName "LDAP Access Group" -Path "CN=Users,DC=YourDomain,DC=com"
# Kullanıcıları gruba ekleyin
Add-ADGroupMember -Identity "LDAPAccessGroup" -Members "User1", "User2"Firewall Kurallarıyla LDAP Trafiğini Sınırlama
LDAP trafiğini sadece belirli IP adreslerinden gelen isteklerle sınırlandırın.
# Firewall kuralı oluşturun
New-NetFirewallRule -DisplayName "Allow LDAP Traffic" -Direction Inbound -Protocol TCP -LocalPort 389 -RemoteAddress "192.168.1.0/24" -Action Allow3. Güçlü Parola Politikalarını Uygulayın
Her kurumsal saldırının veya güvenlik ihlalinin merkezinde genellikle çalınmış bir parola kimlik bilgisi bulunur. Bu tür kimlik bilgilerini ilk erişim için kullanmanın yanı sıra, tehdit aktörleri kimlik bilgilerini tehlikeye atılmış ortamda yatay olarak hareket etmek için kullanabilir.
Bu nedenle, parola güvenliği en önemli unsurdur. Ancak, büyük bulut hizmeti sağlayıcılarındaki deneyim, geleneksel parola politikalarının modern saldırılara karşı yetersiz olduğunu göstermiştir. NIST ve diğer büyük kuruluşlar, bu gerçeği kabul etmek için parola politikalarını güncellediler.
İnternete bakan hizmetlere yönelik kaba kuvvet saldırıları azaldı. Bunların yerini, bir organizasyondaki birçok kullanıcıya karşı bilinen ortak parolaların denendiği parola püskürtme saldırıları aldı. Bu tür saldırılar artık yaygın ve genellikle başarılı. Parola püskürtme saldırıları, kullanıcıların hatırlaması kolay ve tahmin etmesi kolay parolalar oluşturma eğilimlerini istismar ediyor.
Daha iyi bir strateji, öncelikle Active Directory’den genel parolaları ortadan kaldırmaya odaklanmaktır. Bu, üçüncü taraf parola filtreleri veya Microsoft Azure AD Parola Koruması ile gerçekleştirilebilir.
Güçlü bir parola politikasına giden ikinci adım, karmaşıklığın uygulanmasının kullanıcıların hatırlayamayacağı parolalara ve saldırganların kolayca kırabileceği kolayca tanınabilir kalıplara yol açabileceğini kabul etmektir. Bunun yerine, kullanıcıların hatırlaması kolay ancak saldırganların tahmin etmesi zor parolalara olanak tanıyan sayılar ve özel karakterler eklenerek parola veya parola cümlesi uzunluğunu teşvik edin.
4. Çok Faktörlü Kimlik Doğrulama (MFA) Kullanın
MFA, yetkisiz erişim sağlamak için saldırganların işini zorlaştırır. Ekstra bir güvenlik katmanı ekleyerek kullanıcıların kimlik doğrulama sürecini güçlendirir.
5. LDAP İmzalama ve Kanal Bağlamayı Etkinleştirin
LDAP imzalama ve kanal bağlama, ortadaki adam (Man-in-the-Middle) saldırılarına karşı koruma sağlar ve hizmet hesaplarına yetkisiz erişim riskini azaltır.
6. Grup Yönetilen Hizmet Hesaplarını (gMSA) Kullanın
Grup Yönetilen Hizmet Hesapları (gMSA), otomatik parola yönetimi sağlar ve parola hash maruziyeti riskini azaltır. Bu hesaplar, hizmetlerin güvenliğini artırmada önemli bir rol oynar.
7.Yönetici ayrıcalıklarına sahip güvenli hesaplar
Active Directory’de bir etki alanı oluşturulduğunda, yerel Yönetici hesabı Yönetici etki alanı hesabı ve etki alanının Etki Alanı Yöneticileri ve Yöneticiler gruplarının varsayılan üyesi olur. Etki alanı orman kök etki alanıysa, hesap aynı zamanda Enterprise Admins grubunun da üyesi olur.
Bu hesabı korumak için Microsoft, “Hesap hassastır ve devredilemez” bayrağını ayarlamanızı önerir. Ayrıca Grup İlkesi Nesnelerinin (GPO’lar) etki alanına katılmış sistemlerde Etki Alanı Yöneticisi ve yerleşik Yönetici hesaplarının kullanımını kısıtlayacak şekilde yapılandırıldığını doğrulayın. Özellikle, bu hesapları şunlardan engelleyin:
- Üyelerin sunucularına ve iş istasyonlarına erişim
- Toplu iş olarak oturum açma
- Hizmet olarak oturum açma
- Uzak Masaüstü Hizmetlerini kullanarak üye sunuculara ve iş istasyonlarına erişim
8. AD CS Yapılandırmalarını Güvenceye Alın
AD CS (Active Directory Certificate Services), Windows Server işletim sisteminin bir bileşeni olarak, dijital sertifikalar oluşturmak, dağıtmak ve yönetmek için kullanılır. Bu sertifikalar, kimlik doğrulama, dijital imzalama, veri şifreleme gibi güvenlik hizmetleri sunar. AD CS yapılandırmalarını güvenceye almak, bu sertifikaların ve sertifika hizmetlerinin güvenliğini sağlamak anlamına gelir. İşte bunu nasıl yapabileceğinize dair detaylar:
AD CS Yapılandırmalarını Güvenceye Almanın Yolları
Sertifika Şablonlarını Sınırlandırma
- Sertifika şablonlarını sadece gerekli izinlere sahip kullanıcılar için sınırlandırın. Bu, gereksiz veya yetkisiz kullanıcıların sertifika taleplerini engeller.
- Şablonların izinlerini dikkatlice yönetin ve sadece yetkili kullanıcıların bu şablonlara erişmesini sağlayın.
Sertifika Taleplerini İzleme ve Denetleme
- Sertifika taleplerini ve verilen sertifikaları düzenli olarak izleyin. Yetkisiz veya şüpheli taleplerin farkında olun.
- Verilen sertifikaların kullanımını ve geçerlilik sürelerini denetleyin.
Sertifika Yetkilisi (CA) Güvenliğini Sağlama
- CA sunucularını fiziksel ve mantıksal olarak güvenli bir yerde barındırın.
- CA sunucularına erişimi sınırlandırın ve sadece yetkili personelin erişimine izin verin.
- CA sunucularında güçlü kimlik doğrulama ve yetkilendirme mekanizmaları kullanın.
CRL (Certificate Revocation List) ve OCSP (Online Certificate Status Protocol) Kullanımı
- Sertifikaların geçerliliğini kontrol etmek için CRL ve OCSP yapılandırmalarını etkinleştirin.
- CRL’leri düzenli olarak güncelleyin ve dağıtın.
- OCSP yanıtlayıcılarını güvenli bir şekilde yapılandırın ve izleyin.
Sertifika Hizmetlerini Yedekleme ve Kurtarma
- CA veritabanını ve yapılandırma dosyalarını düzenli olarak yedekleyin.
- Yedeklemeleri güvenli bir yerde saklayın ve gerektiğinde hızlı bir şekilde kurtarılabileceklerinden emin olun.
- Yedekleme ve kurtarma prosedürlerini düzenli olarak test edin.
Örnek PowerShell Komutları
AD CS yapılandırmalarını güvenceye almak için bazı PowerShell komutları kullanılabilir:
Sertifika Şablonlarının İzinlerini Yapılandırma
Sertifika şablonlarının kimler tarafından kullanılabileceğini sınırlandırmak için aşağıdaki komutları kullanabilirsiniz:
# Sertifika şablonunun izinlerini almak
$TemplateName = "User"
$Template = Get-CATemplate -Name $TemplateName
$Template.SecurityDescriptor
# Sertifika şablonunun izinlerini ayarlamak
$SD = New-Object System.Security.AccessControl.CommonSecurityDescriptor $false, $false, ($Template.SecurityDescriptor.BinaryForm)
$ACE = New-Object System.Security.AccessControl.CommonAce ([System.Security.AccessControl.AceFlags]"ContainerInherit, ObjectInherit", [System.Security.AccessControl.AceQualifier]::AccessAllowed, [System.Security.AccessControl.GenericAccessRights]::GenericRead, [System.Security.Principal.SecurityIdentifier]"S-1-5-21-1234567890-1234567890-1234567890-1001")
$SD.DiscretionaryAcl.AddAccess($ACE)
$Template.SecurityDescriptor = $SD
$Template | Set-CATemplateCRL ve OCSP Yapılandırmalarını Etkinleştirme
CRL ve OCSP yapılandırmalarını etkinleştirerek sertifika geçerliliğini kontrol edebilirsiniz:
# CRL yapılandırmasını ayarlama
Set-CertificationAuthority -Name "MyCA" -CRLPeriodUnits 1 -CRLPeriod "Weeks"
# OCSP yanıtlayıcısını etkinleştirme
Add-CAOCSPResponder -Name "OCSPResponder" -SigningCertificate (Get-Certificate -CertStoreLocation Cert:\LocalMachine\My -FriendlyName "OCSP Signing Certificate")9. En Az Ayrıcalık İlkesini Benimseyin
Aşırı ayrıcalıklara sahip kullanıcılar doğrudan güvenlik ve düzenleyici uyumluluk gerekliliklerine meydan okur. Bu hesaplar tehlikeye atılırsa saldırganların ortamınızda daha büyük bir yer edinmesini sağlar. Ayrıcalıklı kullanıcıları yönetmek, genel Active Directory yönetiminin önemli bir parçasıdır, ancak aynı zamanda zaman alıcı da olabilir. Büyük kuruluşların ayrıcalıklı gruplarda yüzlerce hesabı olabilir.
Bazı hesaplara yeni uygulamaların hızlı bir şekilde çalışması için aşırı izinler verilmiş olabilir. Diğerleri artık ihtiyaç duymadıkları izinleri devralmış olabilir. Erişimi vermekten siz sorumluysanız, bu zorluğun üstesinden gelmek için en az ayrıcalık ilkesini anlamanız ve bunu kullanarak her kullanıcının veya grubun işlerini etkili bir şekilde yapması için hangi izinlere ihtiyaç duyduğunu belirlemeniz gerekir.
Her üyenin dahil edilmek için meşru bir nedeninin olduğundan emin olmak için öncelikle aşağıdaki grupları inceleyin:
- İşletme Yöneticileri
- Şema Yöneticileri
- Alan Adı Yöneticileri
- Hesap Operatörleri (varsa)
- Sunucu Operatörleri (eğer varsa)
- Yazdırma Operatörleri (eğer varsa)
- DHCP Yöneticileri
- DNSAdminleri
10. AD CS Kurulumunuzu Denetleyin
AD CS kurulumunuzu periyodik olarak denetlemek, yanlış yapılandırmaları veya istismar edilebilecek potansiyel zayıflıkları kontrol etmek anlamına gelir. Bu denetimler, güvenlik açıklarını kapatmada önemli bir rol oynar.
11.Şüpheli etkinlik ve güvenli olmayan yapılandırmalar için Active Directory’yi izleyin
Saldırganlar genellikle ayrıcalıkları hızla artırmalarına ve ortamınızda fark edilmeden kalmalarına olanak tanıyan yapılandırmaları kullanırlar. Bu nedenle, bir saldırının devam ettiğine veya kuruluşunuzun saldırıya açık olduğuna dair herhangi bir belirti olup olmadığını görmek için erişim haklarını düzenli olarak denetleyin ve izleyin.
AdminSDHolder nesnesi gibi bazı nesneler nadiren meşru bir şekilde değiştirilir. AdminSDHolder nesnesi, bir etki alanındaki korumalı gruplar ve hesaplar için izinlerin bir şablonu olarak hizmet eder. Miras etkinleştirilirse, bir saldırgan AdminSDHolder tarafından kontrol edilen ayrıcalıklı nesnelerdeki izinleri değiştirmeye çalışıyor olabilir .
Yöneticiler bir değişiklik yapıldığını bilmeli ve değişikliğin nedenini açıklayabilmelidir. Değişiklik kasıtlı değilse, tehlikeye girme olasılığı yüksektir. Bu tür etkinliklerin izlenmesi, saldırıları hızla yakalamak ve ayarların istismar edilmesini önlemek için kritik öneme sahiptir.
12. Güvenlik İzleme ve Uyarılarını Uygulayın
Şüpheli etkinlikler için uyarılar ayarlamak, güvenlik ihlallerini erken tespit etmenize yardımcı olur. Örneğin, yetkisiz replikasyon talepleri, bilinen DCSync ile ilgili araçların kullanımı ve bilinen Golden Ticket ile ilgili araçların kullanımı gibi Mimikatz tarafından oluşturulan tehditlere karşı uyarılar oluşturabilirsiniz.
Secure Fors ile Güvenliğinizi Bir Adım Öteye Taşıyın
Active Directory’nin güvenliğini sağlamak, organizasyonunuzun genel güvenlik duruşunu güçlendirmenin sadece bir parçasıdır. Secure Fors, işletmenizin güvenlik ihtiyaçlarını karşılamak için kapsamlı çözümler sunar. Siber güvenlik danışmanlığından, yönetilen güvenlik hizmetlerine kadar geniş bir yelpazede hizmet sunarak, sistemlerinizi ve verilerinizi korumanıza yardımcı olur.
Secure Fors’un uzman ekibi, en son teknolojileri ve en iyi uygulamaları kullanarak, organizasyonunuzun güvenlik altyapısını güçlendirir ve saldırılara karşı koruma sağlar. Daha fazla bilgi için Secure Fors web sitemizi ziyaret edin ve güvenliğinizi bir üst seviyeye taşıyın.
