OzzTech - Aktif Dizin Önerileri

Aktif Dizin Önerileri

Aktif Dizin Önerileri

Active Directory yani türkçesiyle aktif dizin, güvenlik ekiplerinin korumaya odaklandığı en hassas ve önemli noktadır. Bunun sebebi ise hackerların çoğunlukla aktif dizini hedef almasıdır. Çünkü, kimlik doğrulama, akreditasyon ve network erişimi de dahil aktif dizin birçok savunmasız işlevlerin merkezini oluşturur. Kullanıcılar, uygulamalar, IoT cihazları ve diğer hayati ağ bağlantılarının hepsi, işletmelerin sistemine erişmek istediklerinde AD'yi kullanırlar.

Saldırılar genellikle aynı adımlardan oluşur:

  • Kullanıcıları, sunucuları ve bilgisayarları ortaya çıkarmak için AD'de casusluk yapmak.
  • Kimlik bilgilerini çalınması.
  • Meşru kullanıcılar gibi gözüken sistemlerde oturum açılması.
  • Verileri çalmak, sistemleri sabote etmek veya diğer siber suçları işlemek için erişim izinlerini kullanmak.

2018 yılında gerçekleşen Healthcare.gov'a yapılan saldırı, ciddi bir aktif dizin ihlalinin gerçek dünyadaki örneklerinden birisidir. Bu saldırıda, saldırganlar çalınan kimlik bilgilerini kullanarak, yakalanmamayı başararak veri tabanına giriş yapabildi ve kişiyi tanımlamak için kullanılan bilgileri (PII) içeren 75 binden fazla dosyayı açığa çıkardı.

Aktif dizin saldırıları genellikle güvenlik sistemlerinin en zayıf halkası olan insan faktöründen dolayı yaşanmaktadır. Özellikle son zamanlarda kimlik avı (phishing) programlarının korkutucu bir şekilde etkisi artmaya başladı. Hackerlar, önde gelen yöneticiler veya finans kurumları gibi saygın ortakların temsilcileri gibi davranarak, rutin bir halde hiçbir şeyin farkında olmayan çalışanların hayati bilgilerini isteyerek teslim etmeleri konusunda ikna ederler.

Siber suçlular çalışanları genellikle şu konularda ikna eder:

  • Sahte hesaplara para aktarma
  • Telefon üzerinden oturum açma bilgilerinin paylaşılması
  • Erişim ayrıcalıklarını yükseltme
  • Özel kişisel verilerin paylaşılması (PPD)

Kuruluşlarınızı koruyabilmek için aktif dizin işlemleriniz için best practice uygulamalarını, iletmek ve uygulamak oldukça önemlidir.

1. Domain Denetleyicilerinizi Güvende Tutun

Domain denetleyicilerinin güvenliğini sağlamak, Active Directory güvenliğinin en temel adımıdır. Domain denetleyicisi, kullanıcı adlarını, parolaları ve diğer kimlik bilgilerini depolanan verilerle kontrol ederek doğrulama isteklerine yanıt veren ve oturum açma kimliklerini doğrulayan bir sunucudur.

Unutmayın:

  • Aktif dizin, kimlikleri ve güvenlik erişimini yönetir.
  • Domain denetleyicileri, oturum açma ve diğer erişim isteklerinin kimliğini doğrular.

Hackerların verileri çalma ve kurumda hasar oluşturmak için kullanabileceği ağ bilgilerini domain denetleyicisi içerdiğinden dolayı siber suçlular için birincil hedeftir.

Best Practices

  • Domain denetleyicilerinin fiziksel güvenliğini sağlayın.
  • Domain denetleyicilerine yüklenen yazılımı ve rolleri sınırlandırın.
  • Domain denetleyicisi yapılandırmasını standart haline getirin. Örneğin, System Center Configuration Manager gibi dağıtım araçları aracılığıyla yapı otomasyonunu kullanın.

2. Sağlam Parola Policysi Oluşturun

Microsoft Active Directory, hesap kilitleme ayarlarını ve minimum parola uzunluğu gibi parola ölçütlerini denetleyen ayrıntılı parola policyleri hazırlamanızı sağlar. Aktif dizin tarafından yönetilen bir domainde tüm kullanıcılar için bu parola policyleri geçerlidir.

Ağınızın güvenliğini arttırabilmek için güvenlik policyleri oluşturmanın en kolay yolu, ayrıcalıklı hesaplara daha katı hesap kilitleme ayarları uygulamaktır. Böylece, değerli verilere ve kritik uygulamalara erişimi olan kullanıcıların hesapları kilitlenirse daha karmaşık bir kimlik doğrulama sürecinden geçmeleri gerekir.

NIST parola yönergelerini izleyin:

  • Parolayı bir insan oluşturduğunda, en az sekiz karakter içermelidir veya otomatik bir sistem tarafından oluşturulduğunda altı karakter içermelidir.
  • Tek bir güçlü parola kullanmak, zayıf parolaları sürekli güncellemekten daha etkilidir.
  • Kullanıcıların zayıf parolalar oluşturmasına veya parolalarını güvenli olmayan bir şekilde saklamalarına yol açabileceğinden, kullanıcı dostu olmayan karmaşıklıklardan kaçının.
  • Yönetici parola sıfırlamalarını izleyin. Olağandışı parola sıfırlama işlemi, yönetici hesabının ele geçirildiğinin göstergesi olabilir.

3. Yönetici Parola Çözümü Kullanın

Şirketler genelde, her makine için aynı parolayı kullanarak genel bir Local admin user ID oluşturur. Bu yaklaşım yüzünden bir makineyi tehlikeye atan kötü aktörler, her makineye kolayca saldırır ve bundan dolayı şirketin güvenlik açıkları artmaktadır. Yerel yönetici parolası çözümü (LAPS), her makinede farklı bir yerel yönetici parolasına sahip olmaya zorladığında bu riski azaltmış olur.

Öneriler

  • LAPS istemci tarafı uzantısı CSE'yi domain denetleyicilerinde çalıştırmayın.
  • Domaine katılmış cihazlarda ek local yönetici parolaları kullanmayın.
  • Local yönetici parolalarını ayarlamak için Group Policysi'ni kullanmayın.

4. Group Policysi'nde Görünürlüğü Etkinleştirme

Grup Policysi, birden çok cihaz arasında tutarlı ve güvenli bir kurulumu zorunlu kılmayı sağlayan araçtır. Ancak, Grup Policysi genelde karışık ve dağınık olur, hatta bazı kuruluşlarda birbirini dışlayan Grup Policy ayarları bulunur. Güvenliğiniz adına bu zayıf bağlantıdan korunabilmek için Grup Policy yapınıza ve değişikliklerine ilişkin görünürlüğünüz olmalıdır. Güvenlik grupları; roller ve hesaplar için olanlar olarak iki şekilde gruplandırılabilir.

Güvenlik Grupları

Güvenlik grupları, kaynaklara erişimi denetlemek ve en az ayrıcalık modelini uygulamak için önerilen yoldur. Kişilere tek tek erişim hakları tanımak yerine, güvenlik gruplarına izinler atar ve ardından her kullanıcıyı uygun grupların üyesi yaparsınız.

Öneriler:

  • Güvenlik grubu üyeliğindeki değişiklikleri, özellikle hassas verilere erişme, değiştirme veya kaldırma izinlerine sahip gruplarda yapılan değişiklikleri yakından takip edin.
  • Yalnızca yetkili çalışanların her grubun üyesi olduğundan emin olmak için güvenlik grubu üyeliğini düzenli olarak kontrol edin.

Hesaplar

Tüm Hesaplar İçin Öneriler:

  • Kullanıcı hesaplarına doğrudan ayrıcalıklar tanımayın bunun yerine güvenlik gruplarını kullanabilirsiniz.
  • Her kullanıcıya görevlerini tamamlamak için ihtiyaç duydukları minimum izni vererek, en az ayrıcalık modelini dikkatlice gözlemleyin.
  • Önerilere dikkat ederek bir yetkilendirme modeli oluşturun.
  • Şirketten ayrılan çalışanların hesaplarını derhal devre dışı bırakın.
  • Kullanılmayan hesapları izleyin ve gerekirse devre dışı bırakın.
  • Minimum ayrıcalıklarla misafir hesapları oluşturun.
  • Bir AD kullanıcısında yapılan yetkisiz değişiklikler için kullanıcı hesabı değişikliklerini izleyin.

İdari ve Diğer Güçlü Hesaplar için Ek En İyi Uygulamalar

Saldırganlar, daha çok yönetici ayrıcalıklarına sahip hesaplara veya müşteri kayıtları veya fikri mülkiyet gibi hassas verilere erişim sağlamaya çalışırlar. Bu nedenle, bu güçlü hesaplar konusunda özellikle tetikte olunmalıdır.

Öneriler:

  • Yöneticileri, yönetici hesaplarını, kimlik bilgileri hırsızlığı riskini azaltmak için sadece gerektiği zaman kullanmaları konusunda eğitin.
  • İdeal olan, ayrıcalıklı bir hesap yönetimi (PAM) çözümü uygulayın. Eğer PAM yapamıyorsanız, Domain Yöneticisi grubunda yalnızca varsayılan domain yöneticisini kullanın ve işlerini tamamlayana kadar diğer hesapları bu gruba sadece geçici olarak ekleyin.

5. Uzlaşma İşaretleri için Aktif Dizin'i İzleyin

Aktif dizin yoğun bir ortamdır. Saldırıları tespit edebilmek için olay verilerinde ne aramanız gerektiğini bilmeniz oldukça önemlidir. İzlenmesi gereken ilk 5 işlem:

5.1 Kullanıcı Hesabı Değişiklikleri

Bir AD kullanıcı hesabında beklenmeyen değişikliklere karşı hazırlıklı olmalısınız. Aşağıda paylaşılan soruları yanıtlamanızı sağlayacak araçlara yatırım yapmanız önerilir:

  • Hangi kullanıcı hesaplarında ne tür değişiklikler yapıldı?
  • Bu değişiklikleri kim yaptı?
  • Değişim ne zaman oldu?
  • Değişiklik nereden yapıldı?

5.2 Yöneticiler Tarafından Parola Sıfırlamaları

Domain yöneticileri, kullanıcı kimlik bilgilerini sıfırlarken her zaman belirlenmiş best practice uygulanmaları izlemelidir. Kaliteli bir izleme aracı aşağıda örneği verilen soruları yanıtlayabilmelidir.

  • Hangi kullanıcı hesaplarının şifreleri sıfırlandı?
  • Şifreyi kim sıfırladı?
  • Sıfırlama ne zaman oldu?
  • Yönetici şifreyi nerede sıfırladı?

5.3 Güvenlik Grubu Üyeliğindeki Değişiklikler

Güvenlik grubu üyeliğinde beklenmeyen bir anda yapılan; ayrıcalık yükseltme veya diğer içeriden gelen tehditler gibi kötü niyetli etkinliklerin habercisi olabilir.

Unutmayın:

  • Kimler eklendi veya kaldırıldı?
  • Değişikliği yapan kim ?
  • Değişim ne zaman oldu?
  • Güvenlik grubu değişikliği nerede yapıldı?

5.4 Tek Bir Kullanıcının Birden Çok Uç Noktadan Oturum Açma Denemeleri

Tek bir kullanıcı hesabının iki farklı uç noktadan oturum açılmaya çalışılması genellikle birinin hesabının kontrolünü ele geçirdiğinin veya almaya çalıştığının bir göstergesidir. Bu yüzden aşağıda verilen soruların cevabını bulmak için bu işlemi takip etmek ve araştırmak çok önemlidir:

  • Hangi hesap birden çok uç noktadan oturum açmaya çalıştı?
  • Uç noktalar nedir?
  • Her bir uç noktadan kaç farklı deneme yapıldı?
  • Şüpheli işlemler ne zaman başladı?

5.5 Grup Policysi'ndeki Değişiklikler

Grup Policysinde yapılacak tek bir uygunsuz değişiklik bile, ihlal veya başka bir güvenlik olayı riskinizi ciddi derecede arttırır. Bu etkinliği izlemek için bir araç kullandığınızda acil soruları yanıtlamanız kolaylaşır:

  • Grup Policysinde hangi değişiklikler yapıldı?
  • Her bir değişikliği kim yaptı?
  • Değişiklikler ne zaman yapıldı?

Uzun lafın kısası Active Directory güvenlik best practiseleri sayesinde, güvenlik duruşunuzu daha da güçlendirebilmeniz için gereklidir. AD güvenliğini etkileyebilecek ağda yapılan tüm hareketlerin dikkatli bir şekilde yönetilmesi, saldırıya uğrama ihtimalinizi azaltmanıza ve tehditleri anında tespit edip cevap oluşturmanızı sağlayacak ve ciddi bir güvenlik sorunu yaşamanızı önleyecektir.


İlginizi Çekebilecek Makaleler
FortiGate ACME Sertifika Desteği
Siber Güvenlik

FortiGate ACME Sertifika Desteği

Ocak 24, 2022 1:22

Otomatik Sertifika Yönetim Ortamı (ACME), RFC 8555’te tanımlandığı üzere, ücretsiz SSL sunucu sertifikaları sağlamak için genel Let’s...

Android Reverse Mühendisliği Araçları Örnek Vakalar
Siber Güvenlik

Android Reverse Mühendisliği Araçları Örnek Vakalar

Ocak 24, 2022 12:39

Bir önceki yazıda yeni çıkan android reverse mühendisliği araçları hakkında bilgi vermiştim. Bu yazımda...

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor
Siber Güvenlik

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor

Ocak 24, 2022 9:44

Emotet kötü amaçlı yazılım botnetinin dağıtımını içeren sosyal mühendislik kampanyaları, güvenlik çözümlerinin tespitinden kaçınmak...

FortiWeb Kurulumu 5-Operation Modu
Siber Güvenlik

FortiWeb Kurulumu 5-Operation Modu

Ocak 24, 2022 7:49

FortiWeb kurulumunu anlattığımız beşinci yazımızda operation modu ve FortiWeb cihazı açıldıktan sonra, FortiWeb cihazını...

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.