Aktif Dizin Nesnelerine Ait Denetimler İçin Temel Kontroller – 3: Grup Nesneleri

0
237
views
Etki alanı kurumlar için oldukça kritiktir, bu sebeple güvenliğinin korunması için bazı önlemlerin alınması gereklidir. Bir yazı dizisinin üçüncüsü olan bu yazıda, Aktif Dizin üzerindeki grup nesnelerinin güvenliği için gerekli kontrol maddeleri incelenecektir.

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

 

A) Ön Bilgilendirmeler

Etki alanı üzerinde bazı gruplar varsayılan olarak diğer gruplardan daha kritiktir. Bu grupların varsayılan durumda bir takım yetkileri bulunmaktadır.

Kritik gruplar aşağıdaki gibi sıralanabilir.

  • Enterprise Admins
  • Domain Admins
  • Administrators
  • DNS Admins
  • Schema Admins
  • Server Operators
  • Pre-Windows 2000 Compatible Access Group Access
  • Account Operators
  • Backup Operators
  • Group Policy Creator Owners
  • Print Operators
  • Enterprise Key Admins

 

Önemli gruplardan birisi de Protected Users isimli gruptur. Bu grubun üyeleri ile ilgili en önemli bilgileri aşağıdaki gibi sıralanabilir.

  • Windows 8.1 / Windows Server 2012 R2 ve sonraki sürümlerde oturum açılabilir.
  • Etki alanı fonksiyonellik seviyesi en az 2012 R2 olmalıdır.
  • NTLM, CredSSP değil sadece Kerberos ile kimlik doğrulaması gerçekleştirilir.
  • Oturum açılırken her defasında TGT istenir, yani kimlik bilgileri bellekte saklanmaz.

 

Belirtilen grupların üyeleri aşağıdaki gibi listelenebilir.

 

 

B) Grup Yönetimi İle İlgili Temel Zorluklar

Kurumlarda grup hesaplarının yönetimi karmaşık bir konu olabilmektedir. Başlıca zorluklar aşağıdaki gibi sıralanabilir.

  • İhtiyaç olmamasına rağmen bazı kullanıcılar kritik gruplara üye edilmektedir.
  • Kısa süreli olarak gruplara eklenen kullanıcılar, daha sonra gruplarda silinmeyebilmektedir.
  • Gruplara gereğinden fazla yetki verilmiş olabilir.

 

C) Grup Yönetimi İle İlgili Denetim Maddeleri

Aktif Dizin içerisindeki grupların güvenliği için denetlenebilecek temel kontrol maddeleri aşağıdaki gibi sıralanabilir.

 

C.1) Varsayılan Gruplar ve Üyeleri

Tehdit: Kritik gruplarda gereksiz kullanıcı hesaplarının bulunması kontrol eksikliğine sebep olur.

Öneri: Belirtilen kontrol maddesi için, temel öneriler aşağıdaki gibi sıralanabilir.

  • Kritik grupların üyelerinin listelenmesi için gerekli Powershell sorguları aşağıdaki gibi gerçekleştirilebilir:

Get-AdGroupMember -Identity “[Grup Adi]”

 

Tehdit: Günümüzde kullanım ihtiyacı duyulmayan grupların üyelerinin olması kontrol eksikliğine sebep olur.

Öneri: Belirtilen kontrol maddesi için, temel öneriler aşağıdaki gibi sıralanabilir.

  • Aşağıdaki grupların üyelikleri boş olmalıdır.
    • Account Operators
    • Backup Operators
    • Server Operators
    • Print Operators

 

Tehdit: Domain Admins grubunda gereksiz kullanıcı hesaplarının bulunması kontrol eksikliğine sebep olur.

Öneri: Belirtilen kontrol maddesi için, temel öneriler aşağıdaki gibi sıralanabilir.

  • Domain Admins grubu üyesi ile sadece aşağıdaki işlemler yapılmalıdır. Diğer yetkiler ihtiyaç süresince, sadece güvenliği sağlanan ve gerekli olan hesaplara delegasyon yöntemi ile verilmeli, Domain Admins grubuna eklenmemelidir.
    • Etki alanı fonksiyonellik seviyesini (Domain Functional Level) yükseltmek
    • Yeni bir etki alanı denetleyicisi (Domain Controller) kurmak (promote)

 

Tehdit: Etki alanı üzerinde kritik yetkileri olan kullanıcı hesaplarına ait kimlik bilgilerinin çalınabilmesi saldırı yüzeyini arttırmaktadır.

Öneri: Belirtilen kontrol maddesi için, temel öneriler aşağıdaki gibi sıralanabilir.

  • Servis hesapları, kritik hesaplar, Tier 0 sunucusunda etkin olanların “Protected Users” grubunda olup olmadığının listelenmesi için gerekli Powershell sorguları aşağıdaki gibi gerçekleştirilebilir:

Get-AdGroupMember -Identity “Protected Users”

net user /domain <UserName>

Get-ADPrincipalGroupMembership <UserName> | select name

 

 

C.2) Grup Yönetimi

Tehdit: Grupların belli standartlara göre yönetilmemesi operasyonel zorluklara sebep olur.

Öneri: Belirtilen kontrol maddesi için, temel öneriler aşağıdaki gibi sıralanabilir.

  • Kurum tarafından oluşturulmuş olan isimlendirme standardına göre gruplara isim verilmelidir.

 

Tehdit: Üyesi olmayan grupların mevcudiyeti kontrol eksikliğine sebep olur.

Öneri: Belirtilen kontrol maddesi için, temel öneriler aşağıdaki gibi sıralanabilir.

  • Üyesi olmayan grupların listelenmesi için gerekli Powershell sorguları aşağıdaki gibi gerçekleştirilebilir:

Get-ADGroup -Filter {GroupCategory -eq ‘Security’} | ?{@(Get-ADGroupMember $_).Length -eq 0} | Format-Table -property name, DistinguishedName -AutoSize

Get-ADGroup -Filter * -Properties Members | Where {-not $_.members} | select Nam

 

 

Tehdit: Kritik grupların ve üyelerinin varsayılan yapısal birimde (“Users”) olması kontrol eksikliğine sebep olur.

Öneri: Belirtilen kontrol maddesi için, temel öneriler aşağıdaki gibi sıralanabilir.

  • “Users” yapısal birimindeki kritik kullanıcıların listelenmesi için gerekli Powershell sorguları aşağıdaki gibi gerçekleştirilebilir:

Get-ADUser -Identity <UserName> -Filter * -SearchBase ‘OU=Users,DC=Domain,dc=local’ | Select-Object DistinguishedName, Name, UserPrincipalName

 

C.3) Grup Yetkilendirme

Tehdit: Gruplara gereksiz yetkilerin verilmesi bilgi güvenliği temel prensiplerine aykırıdır.

Öneri: Belirtilen kontrol maddesi için, temel öneriler aşağıdaki gibi sıralanabilir.

  • Gruplara sadece ihtiyacı olan yetkiler verilmelidir.
  • Grupların üye oldukları grupların yetkileri de incelenmelidir.
  • Gruplara bilgisayarlarda yerel yönetici yetkileri verilmemelidir.

 

Tehdit: Kritik grupların yönetimi için gereksiz yetkilendirme yapılması bilgi güvenliği temel prensiplerine aykırıdır.

Öneri: Belirtilen kontrol maddesi için, temel öneriler aşağıdaki gibi sıralanabilir.

  • Kritik grup nesneleri için yetki devirleri incelenmelidir. Örneğin kritik bilgisayarların yerel yönetici üyelerine ekleme/çıkarma yetkisi verilen gruplar, kritik sistemlerin bulunduğu OU’ya basılan GPO’yu yöneten gruplar,… incelenmelidir.

 

Tehdit: Kritik grupların e-posta veya Skype for Business (SfB) gibi Session Initiation Protocol (SIP) bağlantı yetkisinin olması etki alanı ortamını riske atar.

Öneri: Belirtilen kontrol maddesi için, temel öneriler aşağıdaki gibi sıralanabilir.

  • Mail kutusu veya SIP bağlantı yetkisi olan kritik hesaplarının listelenmesi için gerekli Powershell sorguları aşağıdaki gibi gerçekleştirilebilir:

Get-AdUser -Filter * -Properties * | Select-Object samaccountname, description, mail, proxyAddresses, otherMailbox

Get-ADObject -LDAPFilter ‘(|(Mail=*)(proxyAddresses=*)(otherMailbox=*))’ -ResultPageSize $PageSize -Properties *

Get-AdUser -Filter * -Properties * | Select-Object samaccountname, description, msRTCSIP-PrimaryUserAddress

Get-ADObject -LDAPFilter ‘(|(msRTCSIP-PrimaryUserAddress=*))’ -ResultPageSize $PageSize -Properties *

 

C.4) Oturum Yönetimi

Tehdit: Kritik grupların üyeleri ile oturum açılabilecek makineler sınırlandırılmalıdır.

Öneri: Belirtilen kontrol maddesi için, temel öneriler aşağıdaki gibi sıralanabilir.

  • Kritik grup üyeleri ile gündelik işlemler gerçekleştirilmemelidir.
  • Etki alanı yönetimi için 3 katmanlı (Tier 0 – 1 – 2) güvenlik mimarisi uygulanmalıdır.
  • Kritik grup üyelerinin oturum açabilmesini engellenmelidir.
    • Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
      • Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignments
        • Deny access to this computer from the network
        • Deny log on as a batch job
        • Deny log on as a service
        • Deny log on locally
        • Deny log on through Remote Desktop Services
  • Kritik grup üyeleri ile belirlenen sistemler haricindeki sistemlerde oturum açma denemeleri izlenmelidir.

 

Sonuç

Kurum etki alanının (ve dolayısıyla kurumun) güvenliği için sunucu ve istemci sıkılaştırmalarına [1-6] ek olarak, saldırı yüzeyini daraltmak için belli aralıklarla risk analizleri ve kontroller gerçekleştirilmelidir. Bu yazıda Aktif Dizin sıkılaştırması için gerekli olan temel kontrol maddeleri üzerinde durulmuştur. Bu yazıda bahsi geçen kontrol maddeleri kurum tarafından belli periyotlarla gözden geçirilmesi, ek kontrol maddeleri ile desteklenmesi, otomatikleştirilmesi için betikler (Powershell gibi bir betik dili kullanılarak) hazırlanması veya otomatik olarak bu işlemleri gerçekleştirebilen araçlarla denetimlerin gerçekleştirilmesi, denetim raporu sonucuna göre gerekli iyileştirmelerin kurum politikasına uygun olarak gerçekleştirilmesi, gerçekleştirilen işlemlerin dokümante edilmesi tavsiye edilmektedir.

 

Kaynaklar:

[0] https://www.siberportal.org/red-team/microsoft-domain-environment-penetration-tests/kurumsal-aglarda-etki-alani-sizma-testi-metodolojisi/
[1] https://www.siberportal.org/blue-team/securing-windows-operating-system/windows-isletim-sistemi-sikilastirmalarina-yonelik-temel-kontrol-maddeleri-1/
[2] https://www.siberportal.org/blue-team/securing-windows-operating-system/windows-isletim-sistemi-sikilastirmalarina-yonelik-temel-kontrol-maddeleri-2/
[3] https://www.siberportal.org/blue-team/securing-windows-operating-system/windows-isletim-sistemi-sikilastirmalarina-yonelik-temel-kontrol-maddeleri-3/
[4] https://www.siberportal.org/blue-team/securing-windows-operating-system/windows-isletim-sistemi-sikilastirmalarina-yonelik-temel-kontrol-maddeleri-4/
[5] https://www.siberportal.org/blue-team/securing-windows-operating-system/windows-isletim-sistemi-sikilastirmalarina-yonelik-temel-kontrol-maddeleri-5/
[6] https://www.siberportal.org/blue-team/securing-windows-operating-system/windows-isletim-sistemi-sikilastirmalarina-yonelik-temel-kontrol-maddeleri-6/
[7] http://itfreetraining.com/70-640/agdlp/
[8] http://itfreetraining.com/70-640/agudlp/
https://www.linkedin.com/posts/ethical-hackers-academy_active-directory-security-assessment-ugcPost-6774018561942917120-0jmF
http://hosteddocs.ittoolbox.com/quest072904.pdf
https://activedirectorypro.com/active-directory-security-best-practices/

 

 

 

 

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.