Active Directory yani türkçesiyle aktif dizin, güvenlik ekiplerinin korumaya odaklandığı en hassas ve önemli noktadır. Bunun sebebi ise hackerların çoğunlukla aktif dizini hedef almasıdır. Çünkü, kimlik doğrulama, akreditasyon ve network erişimi de dahil aktif dizin birçok savunmasız işlevlerin merkezini oluşturur. Kullanıcılar, uygulamalar, IoT cihazları ve diğer hayati ağ bağlantılarının hepsi, işletmelerin sistemine erişmek istediklerinde AD’yi kullanırlar.
Saldırılar genellikle aynı adımlardan oluşur:
- Kullanıcıları, sunucuları ve bilgisayarları ortaya çıkarmak için AD’de casusluk yapmak.
- Kimlik bilgilerini çalınması.
- Meşru kullanıcılar gibi gözüken sistemlerde oturum açılması.
- Verileri çalmak, sistemleri sabote etmek veya diğer siber suçları işlemek için erişim izinlerini kullanmak.
2018 yılında gerçekleşen Healthcare.gov’a yapılan saldırı, ciddi bir aktif dizin ihlalinin gerçek dünyadaki örneklerinden birisidir. Bu saldırıda, saldırganlar çalınan kimlik bilgilerini kullanarak, yakalanmamayı başararak veri tabanına giriş yapabildi ve kişiyi tanımlamak için kullanılan bilgileri (PII) içeren 75 binden fazla dosyayı açığa çıkardı.
Aktif dizin saldırıları genellikle güvenlik sistemlerinin en zayıf halkası olan insan faktöründen dolayı yaşanmaktadır. Özellikle son zamanlarda kimlik avı (phishing) programlarının korkutucu bir şekilde etkisi artmaya başladı. Hackerlar, önde gelen yöneticiler veya finans kurumları gibi saygın ortakların temsilcileri gibi davranarak, rutin bir halde hiçbir şeyin farkında olmayan çalışanların hayati bilgilerini isteyerek teslim etmeleri konusunda ikna ederler.
Siber suçlular çalışanları genellikle şu konularda ikna eder:
- Sahte hesaplara para aktarma
- Telefon üzerinden oturum açma bilgilerinin paylaşılması
- Erişim ayrıcalıklarını yükseltme
- Özel kişisel verilerin paylaşılması (PPD)
Kuruluşlarınızı koruyabilmek için aktif dizin işlemleriniz için best practice uygulamalarını, iletmek ve uygulamak oldukça önemlidir.
1. Domain Denetleyicilerinizi Güvende Tutun
Domain denetleyicilerinin güvenliğini sağlamak, Active Directory güvenliğinin en temel adımıdır. Domain denetleyicisi, kullanıcı adlarını, parolaları ve diğer kimlik bilgilerini depolanan verilerle kontrol ederek doğrulama isteklerine yanıt veren ve oturum açma kimliklerini doğrulayan bir sunucudur.
Unutmayın:
- Aktif dizin, kimlikleri ve güvenlik erişimini yönetir.
- Domain denetleyicileri, oturum açma ve diğer erişim isteklerinin kimliğini doğrular.
Hackerların verileri çalma ve kurumda hasar oluşturmak için kullanabileceği ağ bilgilerini domain denetleyicisi içerdiğinden dolayı siber suçlular için birincil hedeftir.
Best Practices
- Domain denetleyicilerinin fiziksel güvenliğini sağlayın.
- Domain denetleyicilerine yüklenen yazılımı ve rolleri sınırlandırın.
- Domain denetleyicisi yapılandırmasını standart haline getirin. Örneğin, System Center Configuration Manager gibi dağıtım araçları aracılığıyla yapı otomasyonunu kullanın.
2. Sağlam Parola Policysi Oluşturun
Microsoft Active Directory, hesap kilitleme ayarlarını ve minimum parola uzunluğu gibi parola ölçütlerini denetleyen ayrıntılı parola policyleri hazırlamanızı sağlar. Aktif dizin tarafından yönetilen bir domainde tüm kullanıcılar için bu parola policyleri geçerlidir.
Ağınızın güvenliğini arttırabilmek için güvenlik policyleri oluşturmanın en kolay yolu, ayrıcalıklı hesaplara daha katı hesap kilitleme ayarları uygulamaktır. Böylece, değerli verilere ve kritik uygulamalara erişimi olan kullanıcıların hesapları kilitlenirse daha karmaşık bir kimlik doğrulama sürecinden geçmeleri gerekir.
NIST parola yönergelerini izleyin:
- Parolayı bir insan oluşturduğunda, en az sekiz karakter içermelidir veya otomatik bir sistem tarafından oluşturulduğunda altı karakter içermelidir.
- Tek bir güçlü parola kullanmak, zayıf parolaları sürekli güncellemekten daha etkilidir.
- Kullanıcıların zayıf parolalar oluşturmasına veya parolalarını güvenli olmayan bir şekilde saklamalarına yol açabileceğinden, kullanıcı dostu olmayan karmaşıklıklardan kaçının.
- Yönetici parola sıfırlamalarını izleyin. Olağandışı parola sıfırlama işlemi, yönetici hesabının ele geçirildiğinin göstergesi olabilir.
3. Yönetici Parola Çözümü Kullanın
Şirketler genelde, her makine için aynı parolayı kullanarak genel bir Local admin user ID oluşturur. Bu yaklaşım yüzünden bir makineyi tehlikeye atan kötü aktörler, her makineye kolayca saldırır ve bundan dolayı şirketin güvenlik açıkları artmaktadır. Yerel yönetici parolası çözümü (LAPS), her makinede farklı bir yerel yönetici parolasına sahip olmaya zorladığında bu riski azaltmış olur.
Öneriler
- LAPS istemci tarafı uzantısı CSE’yi domain denetleyicilerinde çalıştırmayın.
- Domaine katılmış cihazlarda ek local yönetici parolaları kullanmayın.
- Local yönetici parolalarını ayarlamak için Group Policysi’ni kullanmayın.
4. Group Policysi’nde Görünürlüğü Etkinleştirme
Grup Policysi, birden çok cihaz arasında tutarlı ve güvenli bir kurulumu zorunlu kılmayı sağlayan araçtır. Ancak, Grup Policysi genelde karışık ve dağınık olur, hatta bazı kuruluşlarda birbirini dışlayan Grup Policy ayarları bulunur. Güvenliğiniz adına bu zayıf bağlantıdan korunabilmek için Grup Policy yapınıza ve değişikliklerine ilişkin görünürlüğünüz olmalıdır. Güvenlik grupları; roller ve hesaplar için olanlar olarak iki şekilde gruplandırılabilir.
Güvenlik Grupları
Güvenlik grupları, kaynaklara erişimi denetlemek ve en az ayrıcalık modelini uygulamak için önerilen yoldur. Kişilere tek tek erişim hakları tanımak yerine, güvenlik gruplarına izinler atar ve ardından her kullanıcıyı uygun grupların üyesi yaparsınız.
Öneriler:
- Güvenlik grubu üyeliğindeki değişiklikleri, özellikle hassas verilere erişme, değiştirme veya kaldırma izinlerine sahip gruplarda yapılan değişiklikleri yakından takip edin.
- Yalnızca yetkili çalışanların her grubun üyesi olduğundan emin olmak için güvenlik grubu üyeliğini düzenli olarak kontrol edin.
Hesaplar
Tüm Hesaplar İçin Öneriler:
- Kullanıcı hesaplarına doğrudan ayrıcalıklar tanımayın bunun yerine güvenlik gruplarını kullanabilirsiniz.
- Her kullanıcıya görevlerini tamamlamak için ihtiyaç duydukları minimum izni vererek, en az ayrıcalık modelini dikkatlice gözlemleyin.
- Önerilere dikkat ederek bir yetkilendirme modeli oluşturun.
- Şirketten ayrılan çalışanların hesaplarını derhal devre dışı bırakın.
- Kullanılmayan hesapları izleyin ve gerekirse devre dışı bırakın.
- Minimum ayrıcalıklarla misafir hesapları oluşturun.
- Bir AD kullanıcısında yapılan yetkisiz değişiklikler için kullanıcı hesabı değişikliklerini izleyin.
İdari ve Diğer Güçlü Hesaplar için Ek En İyi Uygulamalar
Saldırganlar, daha çok yönetici ayrıcalıklarına sahip hesaplara veya müşteri kayıtları veya fikri mülkiyet gibi hassas verilere erişim sağlamaya çalışırlar. Bu nedenle, bu güçlü hesaplar konusunda özellikle tetikte olunmalıdır.
Öneriler:
- Yöneticileri, yönetici hesaplarını, kimlik bilgileri hırsızlığı riskini azaltmak için sadece gerektiği zaman kullanmaları konusunda eğitin.
- İdeal olan, ayrıcalıklı bir hesap yönetimi (PAM) çözümü uygulayın. Eğer PAM yapamıyorsanız, Domain Yöneticisi grubunda yalnızca varsayılan domain yöneticisini kullanın ve işlerini tamamlayana kadar diğer hesapları bu gruba sadece geçici olarak ekleyin.
5. Uzlaşma İşaretleri için Aktif Dizin’i İzleyin
Aktif dizin yoğun bir ortamdır. Saldırıları tespit edebilmek için olay verilerinde ne aramanız gerektiğini bilmeniz oldukça önemlidir. İzlenmesi gereken ilk 5 işlem:
5.1 Kullanıcı Hesabı Değişiklikleri
Bir AD kullanıcı hesabında beklenmeyen değişikliklere karşı hazırlıklı olmalısınız. Aşağıda paylaşılan soruları yanıtlamanızı sağlayacak araçlara yatırım yapmanız önerilir:
- Hangi kullanıcı hesaplarında ne tür değişiklikler yapıldı?
- Bu değişiklikleri kim yaptı?
- Değişim ne zaman oldu?
- Değişiklik nereden yapıldı?
5.2 Yöneticiler Tarafından Parola Sıfırlamaları
Domain yöneticileri, kullanıcı kimlik bilgilerini sıfırlarken her zaman belirlenmiş best practice uygulanmaları izlemelidir. Kaliteli bir izleme aracı aşağıda örneği verilen soruları yanıtlayabilmelidir.
- Hangi kullanıcı hesaplarının şifreleri sıfırlandı?
- Şifreyi kim sıfırladı?
- Sıfırlama ne zaman oldu?
- Yönetici şifreyi nerede sıfırladı?
5.3 Güvenlik Grubu Üyeliğindeki Değişiklikler
Güvenlik grubu üyeliğinde beklenmeyen bir anda yapılan; ayrıcalık yükseltme veya diğer içeriden gelen tehditler gibi kötü niyetli etkinliklerin habercisi olabilir.
Unutmayın:
- Kimler eklendi veya kaldırıldı?
- Değişikliği yapan kim ?
- Değişim ne zaman oldu?
- Güvenlik grubu değişikliği nerede yapıldı?
5.4 Tek Bir Kullanıcının Birden Çok Uç Noktadan Oturum Açma Denemeleri
Tek bir kullanıcı hesabının iki farklı uç noktadan oturum açılmaya çalışılması genellikle birinin hesabının kontrolünü ele geçirdiğinin veya almaya çalıştığının bir göstergesidir. Bu yüzden aşağıda verilen soruların cevabını bulmak için bu işlemi takip etmek ve araştırmak çok önemlidir:
- Hangi hesap birden çok uç noktadan oturum açmaya çalıştı?
- Uç noktalar nedir?
- Her bir uç noktadan kaç farklı deneme yapıldı?
- Şüpheli işlemler ne zaman başladı?
5.5 Grup Policysi’ndeki Değişiklikler
Grup Policysinde yapılacak tek bir uygunsuz değişiklik bile, ihlal veya başka bir güvenlik olayı riskinizi ciddi derecede arttırır. Bu etkinliği izlemek için bir araç kullandığınızda acil soruları yanıtlamanız kolaylaşır:
- Grup Policysinde hangi değişiklikler yapıldı?
- Her bir değişikliği kim yaptı?
- Değişiklikler ne zaman yapıldı?
Uzun lafın kısası Active Directory güvenlik best practiseleri sayesinde, güvenlik duruşunuzu daha da güçlendirebilmeniz için gereklidir. AD güvenliğini etkileyebilecek ağda yapılan tüm hareketlerin dikkatli bir şekilde yönetilmesi, saldırıya uğrama ihtimalinizi azaltmanıza ve tehditleri anında tespit edip cevap oluşturmanızı sağlayacak ve ciddi bir güvenlik sorunu yaşamanızı önleyecektir.