A) Ön Bilgilendirmeler
Etki alanı üzerinde bazı gruplar varsayılan olarak diğer gruplardan daha kritiktir. Bu grupların varsayılan durumda bir takım yetkileri bulunmaktadır.
Kritik gruplar aşağıdaki gibi sıralanabilir.
- Enterprise Admins
- Domain Admins
- Administrators
- DNS Admins
- Schema Admins
- Server Operators
- Pre-Windows 2000 Compatible Access Group Access
- Account Operators
- Backup Operators
- Group Policy Creator Owners
- Print Operators
- Enterprise Key Admins
Önemli gruplardan birisi de Protected Users isimli gruptur. Bu grubun üyeleri ile ilgili en önemli bilgileri aşağıdaki gibi sıralanabilir.
- Windows 8.1 / Windows Server 2012 R2 ve sonraki sürümlerde oturum açılabilir.
- Etki alanı fonksiyonellik seviyesi en az 2012 R2 olmalıdır.
- NTLM, CredSSP değil sadece Kerberos ile kimlik doğrulaması gerçekleştirilir.
- Oturum açılırken her defasında TGT istenir, yani kimlik bilgileri bellekte saklanmaz.
Belirtilen grupların üyeleri aşağıdaki gibi listelenebilir.
1 2 3 4 5 6 7 8 9 |
$GrupListesi = 'Enterprise Admins', 'Domain Admins', 'Administrators', 'DNS Admins', 'Schema Admins', 'Server Operators', 'Pre-Windows 2000 Compatible Access Group Access', 'Account Operators', 'Backup Operators', 'Group Policy Creator Owners', 'Print Operators', 'Enterprise Key Admins', 'Protected Users' $UyeListesi =@() foreach ($grup in $GrupListesi) { $UyeListesi = Get-ADGroupMember -Identity $grup -Recursive | Select-Object samaccountname, name, SamAccountName, LogonWorkStations, @{Label='Grup Adi';Expression={$grup}} $UyeListesi } |
B) Grup Yönetimi İle İlgili Temel Zorluklar
Kurumlarda grup hesaplarının yönetimi karmaşık bir konu olabilmektedir. Başlıca zorluklar aşağıdaki gibi sıralanabilir.
- İhtiyaç olmamasına rağmen bazı kullanıcılar kritik gruplara üye edilmektedir.
- Kısa süreli olarak gruplara eklenen kullanıcılar, daha sonra gruplarda silinmeyebilmektedir.
- Gruplara gereğinden fazla yetki verilmiş olabilir.
C) Grup Yönetimi İle İlgili Denetim Maddeleri
Aktif Dizin içerisindeki grupların güvenliği için denetlenebilecek temel kontrol maddeleri aşağıdaki gibi sıralanabilir.
C.1) Varsayılan Gruplar ve Üyeleri
Tehdit: Kritik gruplarda gereksiz kullanıcı hesaplarının bulunması kontrol eksikliğine sebep olur.
Öneri: Belirtilen kontrol maddesi için, temel öneriler aşağıdaki gibi sıralanabilir.
- Kritik grupların üyelerinin listelenmesi için gerekli Powershell sorguları aşağıdaki gibi gerçekleştirilebilir:
Get-AdGroupMember -Identity “[Grup Adi]”
Tehdit: Günümüzde kullanım ihtiyacı duyulmayan grupların üyelerinin olması kontrol eksikliğine sebep olur.
Öneri: Belirtilen kontrol maddesi için, temel öneriler aşağıdaki gibi sıralanabilir.
- Aşağıdaki grupların üyelikleri boş olmalıdır.
- Account Operators
- Backup Operators
- Server Operators
- Print Operators
Tehdit: Domain Admins grubunda gereksiz kullanıcı hesaplarının bulunması kontrol eksikliğine sebep olur.
Öneri: Belirtilen kontrol maddesi için, temel öneriler aşağıdaki gibi sıralanabilir.
- Domain Admins grubu üyesi ile sadece aşağıdaki işlemler yapılmalıdır. Diğer yetkiler ihtiyaç süresince, sadece güvenliği sağlanan ve gerekli olan hesaplara delegasyon yöntemi ile verilmeli, Domain Admins grubuna eklenmemelidir.
- Etki alanı fonksiyonellik seviyesini (Domain Functional Level) yükseltmek
- Yeni bir etki alanı denetleyicisi (Domain Controller) kurmak (promote)
Tehdit: Etki alanı üzerinde kritik yetkileri olan kullanıcı hesaplarına ait kimlik bilgilerinin çalınabilmesi saldırı yüzeyini arttırmaktadır.
Öneri: Belirtilen kontrol maddesi için, temel öneriler aşağıdaki gibi sıralanabilir.
- Servis hesapları, kritik hesaplar, Tier 0 sunucusunda etkin olanların “Protected Users” grubunda olup olmadığının listelenmesi için gerekli Powershell sorguları aşağıdaki gibi gerçekleştirilebilir:
Get-AdGroupMember -Identity “Protected Users”
net user /domain <UserName>
Get-ADPrincipalGroupMembership <UserName> | select name
C.2) Grup Yönetimi
Tehdit: Grupların belli standartlara göre yönetilmemesi operasyonel zorluklara sebep olur.
Öneri: Belirtilen kontrol maddesi için, temel öneriler aşağıdaki gibi sıralanabilir.
- Kurum tarafından oluşturulmuş olan isimlendirme standardına göre gruplara isim verilmelidir.
Tehdit: Üyesi olmayan grupların mevcudiyeti kontrol eksikliğine sebep olur.
Öneri: Belirtilen kontrol maddesi için, temel öneriler aşağıdaki gibi sıralanabilir.
- Üyesi olmayan grupların listelenmesi için gerekli Powershell sorguları aşağıdaki gibi gerçekleştirilebilir:
Get-ADGroup -Filter {GroupCategory -eq ‘Security’} | ?{@(Get-ADGroupMember $_).Length -eq 0} | Format-Table -property name, DistinguishedName -AutoSize
Get-ADGroup -Filter * -Properties Members | Where {-not $_.members} | select Nam
Tehdit: Kritik grupların ve üyelerinin varsayılan yapısal birimde (“Users”) olması kontrol eksikliğine sebep olur.
Öneri: Belirtilen kontrol maddesi için, temel öneriler aşağıdaki gibi sıralanabilir.
- “Users” yapısal birimindeki kritik kullanıcıların listelenmesi için gerekli Powershell sorguları aşağıdaki gibi gerçekleştirilebilir:
Get-ADUser -Identity <UserName> -Filter * -SearchBase ‘OU=Users,DC=Domain,dc=local’ | Select-Object DistinguishedName, Name, UserPrincipalName
C.3) Grup Yetkilendirme
Tehdit: Gruplara gereksiz yetkilerin verilmesi bilgi güvenliği temel prensiplerine aykırıdır.
Öneri: Belirtilen kontrol maddesi için, temel öneriler aşağıdaki gibi sıralanabilir.
- Gruplara sadece ihtiyacı olan yetkiler verilmelidir.
- Grupların üye oldukları grupların yetkileri de incelenmelidir.
- Gruplara bilgisayarlarda yerel yönetici yetkileri verilmemelidir.
Tehdit: Kritik grupların yönetimi için gereksiz yetkilendirme yapılması bilgi güvenliği temel prensiplerine aykırıdır.
Öneri: Belirtilen kontrol maddesi için, temel öneriler aşağıdaki gibi sıralanabilir.
- Kritik grup nesneleri için yetki devirleri incelenmelidir. Örneğin kritik bilgisayarların yerel yönetici üyelerine ekleme/çıkarma yetkisi verilen gruplar, kritik sistemlerin bulunduğu OU’ya basılan GPO’yu yöneten gruplar,… incelenmelidir.
Tehdit: Kritik grupların e-posta veya Skype for Business (SfB) gibi Session Initiation Protocol (SIP) bağlantı yetkisinin olması etki alanı ortamını riske atar.
Öneri: Belirtilen kontrol maddesi için, temel öneriler aşağıdaki gibi sıralanabilir.
- Mail kutusu veya SIP bağlantı yetkisi olan kritik hesaplarının listelenmesi için gerekli Powershell sorguları aşağıdaki gibi gerçekleştirilebilir:
Get-AdUser -Filter * -Properties * | Select-Object samaccountname, description, mail, proxyAddresses, otherMailbox
Get-ADObject -LDAPFilter ‘(|(Mail=*)(proxyAddresses=*)(otherMailbox=*))’ -ResultPageSize $PageSize -Properties *
Get-AdUser -Filter * -Properties * | Select-Object samaccountname, description, msRTCSIP-PrimaryUserAddress
Get-ADObject -LDAPFilter ‘(|(msRTCSIP-PrimaryUserAddress=*))’ -ResultPageSize $PageSize -Properties *
C.4) Oturum Yönetimi
Tehdit: Kritik grupların üyeleri ile oturum açılabilecek makineler sınırlandırılmalıdır.
Öneri: Belirtilen kontrol maddesi için, temel öneriler aşağıdaki gibi sıralanabilir.
- Kritik grup üyeleri ile gündelik işlemler gerçekleştirilmemelidir.
- Etki alanı yönetimi için 3 katmanlı (Tier 0 – 1 – 2) güvenlik mimarisi uygulanmalıdır.
- Kritik grup üyelerinin oturum açabilmesini engellenmelidir.
- Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
- Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignments
- Deny access to this computer from the network
- Deny log on as a batch job
- Deny log on as a service
- Deny log on locally
- Deny log on through Remote Desktop Services
- Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignments
- Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
- Kritik grup üyeleri ile belirlenen sistemler haricindeki sistemlerde oturum açma denemeleri izlenmelidir.
Sonuç
Kurum etki alanının (ve dolayısıyla kurumun) güvenliği için sunucu ve istemci sıkılaştırmalarına [1-6] ek olarak, saldırı yüzeyini daraltmak için belli aralıklarla risk analizleri ve kontroller gerçekleştirilmelidir. Bu yazıda Aktif Dizin sıkılaştırması için gerekli olan temel kontrol maddeleri üzerinde durulmuştur. Bu yazıda bahsi geçen kontrol maddeleri kurum tarafından belli periyotlarla gözden geçirilmesi, ek kontrol maddeleri ile desteklenmesi, otomatikleştirilmesi için betikler (Powershell gibi bir betik dili kullanılarak) hazırlanması veya otomatik olarak bu işlemleri gerçekleştirebilen araçlarla denetimlerin gerçekleştirilmesi, denetim raporu sonucuna göre gerekli iyileştirmelerin kurum politikasına uygun olarak gerçekleştirilmesi, gerçekleştirilen işlemlerin dokümante edilmesi tavsiye edilmektedir.
Kaynaklar:
[0] https://www.siberportal.org/red-team/microsoft-domain-environment-penetration-tests/kurumsal-aglarda-etki-alani-sizma-testi-metodolojisi/
[1] https://www.siberportal.org/blue-team/securing-windows-operating-system/windows-isletim-sistemi-sikilastirmalarina-yonelik-temel-kontrol-maddeleri-1/
[2] https://www.siberportal.org/blue-team/securing-windows-operating-system/windows-isletim-sistemi-sikilastirmalarina-yonelik-temel-kontrol-maddeleri-2/
[3] https://www.siberportal.org/blue-team/securing-windows-operating-system/windows-isletim-sistemi-sikilastirmalarina-yonelik-temel-kontrol-maddeleri-3/
[4] https://www.siberportal.org/blue-team/securing-windows-operating-system/windows-isletim-sistemi-sikilastirmalarina-yonelik-temel-kontrol-maddeleri-4/
[5] https://www.siberportal.org/blue-team/securing-windows-operating-system/windows-isletim-sistemi-sikilastirmalarina-yonelik-temel-kontrol-maddeleri-5/
[6] https://www.siberportal.org/blue-team/securing-windows-operating-system/windows-isletim-sistemi-sikilastirmalarina-yonelik-temel-kontrol-maddeleri-6/
[7] http://itfreetraining.com/70-640/agdlp/
[8] http://itfreetraining.com/70-640/agudlp/
https://www.linkedin.com/posts/ethical-hackers-academy_active-directory-security-assessment-ugcPost-6774018561942917120-0jmF
http://hosteddocs.ittoolbox.com/quest072904.pdf
https://activedirectorypro.com/active-directory-security-best-practices/