A) OU Nesnesi Yönetimi İle İlgili Temel Zorluklar
Kurumlarda OU yönetimi karmaşık bir konu olabilmektedir. Başlıca zorluklar aşağıdaki gibi sıralanabilir.
- Deneme amaçlı veya kısa süreli bir ihtiyaç için oluşturulan OU nesneleri daha sonra silinmeyebilmektedir.
- OU nesneleri üzerinde gereğinden fazla yetki verilmiş olabilir.
B) OU Nesnesi Yönetimi İle İlgili Denetim Maddeleri
Aktif Dizin içerisindeki OU nesnelerinin güvenliği için denetlenebilecek temel kontrol maddeleri aşağıdaki gibi sıralanabilir.
B.1) OU Yönetimi
Tehdit: OU nesnelerinin belli standartlara göre yönetilmemesi operasyonel zorluklara sebep olur.
Öneri: Belirtilen kontrol maddesi için, temel öneriler aşağıdaki gibi sıralanabilir.
- Kurum tarafından oluşturulmuş olan isimlendirme standardına göre OU nesnelerine isim verilmelidir.
Tehdit: İçerisinde nesne bulunmayan OU nesnelerinin mevcudiyeti kontrol eksikliğine sebep olur.
Öneri: Belirtilen kontrol maddesi için, temel öneriler aşağıdaki gibi sıralanabilir.
- İçerisinde nesne bulunmayan OU nesnelerinin listelenmesi için gerekli Powershell sorguları aşağıdaki gibi gerçekleştirilebilir:
Get-ADOrganizationalUnit -Filter * | Where-Object {-not ( Get-ADObject -Filter * -SearchBase $_.Distinguishedname -SearchScope OneLevel -ResultSetSize 1 )}
Get-ADOrganizationalUnit -Filter * | ForEach-Object { If ( !( Get-ADObject -Filter * -SearchBase $_ -SearchScope OneLevel) ) { $_ } } | Select-Object Name, DistinguishedName
([adsisearcher]'(objectcategory=organizationalunit)’).FindAll() | Where-Object { -not (-join $_.GetDirectoryEntry().psbase.children) }
([adsisearcher]'(objectclass=organizationalunit)’).FindAll() | Where-Object { (([adsi]$_.Path).psbase.children | Measure-Object).Count -eq 0 }
B.2) OU Yetkilendirme
Tehdit: Kritik nesne barındıran OU nesnelerinin yönetimi için gereksiz yetkilendirme yapılması bilgi güvenliği temel prensiplerine aykırıdır.
Öneri: Belirtilen kontrol maddesi için, temel öneriler aşağıdaki gibi sıralanabilir.
- Kritik nesne barındıran OU nesneleri için yetki devirleri incelenmelidir. Örneğin kritik grupların bulunduğu OU nesneleri üzerindeki yetkilendirmeler, kritik bilgisayarların bulunduğu OU nesneleri üzerindeki yetkilendirmeler,… incelenmelidir. [i]
C) GPO Nesnesi Yönetimi İle İlgili Temel Zorluklar
Kurumlarda GPO yönetimi karmaşık bir konu olabilmektedir. Başlıca zorluklar aşağıdaki gibi sıralanabilir.
- Deneme amaçlı veya kısa süreli bir ihtiyaç için oluşturulan grup ilke nesneleri daha sonra silinmeyebilmektedir.
- Grup ilke nesneleri üzerinde gereğinden fazla yetki verilmiş olabilir.
D) GPO Nesnesi Yönetimi İle İlgili Denetim Maddeleri
Aktif Dizin içerisindeki grup ilke nesnelerinin güvenliği için denetlenebilecek temel kontrol maddeleri aşağıdaki gibi sıralanabilir.
D.1) GPO Yönetimi
Tehdit: Grup ilke ayarlarında (Group Policy Preferences) kritik bilgiler bulunmamalıdır.
Öneri: Belirtilen kontrol maddesi için, temel öneriler aşağıdaki gibi sıralanabilir.
- Grup ilkesi ayarları (Groups.xml gibi) ile kimlik bilgileri ayarlanmamalıdır.
Tehdit: Grup ilke nesnelerinin belli standartlara göre yönetilmemesi operasyonel zorluklara sebep olur.
Öneri: Belirtilen kontrol maddesi için, temel öneriler aşağıdaki gibi sıralanabilir.
- Kurum tarafından oluşturulmuş olan isimlendirme standardına göre grup ilke nesnelerine isim verilmelidir.
- Güvenliği arttırmak için oluşturulan grup ilke nesneleri için tanımlanmış istisnalar bulunmamalı veya belli bir süre sonra kaldırılması üzere takip edilmelidir.
- Güvenliği arttırmaya yarayan grup ilke nesneleri için tanımlanmış istisnalar bulunmamalı veya belli bir süre sonra bu istisnanın kaldırılması üzere takip edilmelidir.
- Güvenliği azaltmaya sebebiyet veren grup ilke nesneleri bulunmamalı veya belli bir süre sonra bu ilkenin kaldırılması üzere takip edilmelidir.
Tehdit: Grup ilke nesnelerinin gPCFileSysPath isimli attribute içerisinde belirtilen varsayılan dizin (“\\<DomainName>.local\SYSVOL\<DomainName>.local\Policies\”) harici bir konumda olması kontrol eksikliğine sebep olur.
Öneri: Belirtilen kontrol maddesi için, temel öneriler aşağıdaki gibi sıralanabilir.
- Grup ilke nesnelerinin bulunduğu konumların listelenmesi için gerekli Powershell sorguları aşağıdaki gibi gerçekleştirilebilir:
Get-ADObject -LDAPFilter ‘(objectCategory=groupPolicyContainer)’ -Properties DisplayName, DistinguishedName, Name, gPCFileSysPath, whenCreated, whenChanged
Tehdit: Linklenmemiş (Orphaned) grup ilke nesnelerinin mevcudiyeti kontrol eksikliğine sebep olur.
Öneri: Belirtilen kontrol maddesi için, temel öneriler aşağıdaki gibi sıralanabilir.
- Linklenmemiş grup ilke nesnelerinin listelenmesi için gerekli Powershell sorguları aşağıdaki gibi gerçekleştirilebilir:
Get-GPO -All | Sort-Object displayname | Where-Object { If ( $_ | Get-GPOReport -ReportType XML | Select-String -NotMatch “<LinksTo>” ) {$_.DisplayName } }
Get-GPO -All | ForEach-Object { if ($_.Computer.DSVersion -eq 0 -and $_.User.DSVersion -eq 0) { $_ } } | Select-Object Name, DistinguishedName
Tehdit: Devre dışı bırakılmış grup ilke nesnelerinin mevcudiyeti yönetim ve performans eksikliğine sebep olur.
Öneri: Belirtilen kontrol maddesi için, temel öneriler aşağıdaki gibi sıralanabilir.
- Devre dışı bırakılmış grup ilke nesnelerinin listelenmesi için gerekli Powershell sorguları aşağıdaki gibi gerçekleştirilebilir:
Get-GPO -All | where {$_.GPOStatus -eq “AllSettingsDisabled”} | Sort-Object DisplayName
D.2) GPO Yetkilendirme
Tehdit: Kritik nesnelere uygulanan grup ilke nesnelerinin yönetimi için gereksiz yetkilendirme yapılması bilgi güvenliği temel prensiplerine aykırıdır.
Öneri: Belirtilen kontrol maddesi için, temel öneriler aşağıdaki gibi sıralanabilir.
- Kritik nesnelere başta olmak üzere tüm grup ilke nesneleri için yetki devirleri incelenmelidir. Örneğin kritik grupların yönetimi için kullanılan grup ilke nesneleri üzerindeki yetkilendirmeler, kritik bilgisayarların yönetimi için kullanılan grup ilke nesneleri üzerindeki yetkilendirmeler,… incelenmelidir.
Sonuç
Kurum etki alanının (ve dolayısıyla kurumun) güvenliği için sunucu ve istemci sıkılaştırmalarına [1-6] ek olarak, saldırı yüzeyini daraltmak için belli aralıklarla risk analizleri ve kontroller gerçekleştirilmelidir. Bu yazıda Aktif Dizin sıkılaştırması için gerekli olan temel kontrol maddeleri üzerinde durulmuştur. Bu yazıda bahsi geçen kontrol maddeleri kurum tarafından belli periyotlarla gözden geçirilmesi, ek kontrol maddeleri ile desteklenmesi, otomatikleştirilmesi için betikler (Powershell gibi bir betik dili kullanılarak) hazırlanması veya otomatik olarak bu işlemleri gerçekleştirebilen araçlarla denetimlerin gerçekleştirilmesi, denetim raporu sonucuna göre gerekli iyileştirmelerin kurum politikasına uygun olarak gerçekleştirilmesi, gerçekleştirilen işlemlerin dokümante edilmesi tavsiye edilmektedir.
Kaynaklar:
[0] https://www.siberportal.org/red-team/microsoft-domain-environment-penetration-tests/kurumsal-aglarda-etki-alani-sizma-testi-metodolojisi/
[1] https://www.siberportal.org/blue-team/securing-windows-operating-system/windows-isletim-sistemi-sikilastirmalarina-yonelik-temel-kontrol-maddeleri-1/
[2] https://www.siberportal.org/blue-team/securing-windows-operating-system/windows-isletim-sistemi-sikilastirmalarina-yonelik-temel-kontrol-maddeleri-2/
[3] https://www.siberportal.org/blue-team/securing-windows-operating-system/windows-isletim-sistemi-sikilastirmalarina-yonelik-temel-kontrol-maddeleri-3/
[4] https://www.siberportal.org/blue-team/securing-windows-operating-system/windows-isletim-sistemi-sikilastirmalarina-yonelik-temel-kontrol-maddeleri-4/
[5] https://www.siberportal.org/blue-team/securing-windows-operating-system/windows-isletim-sistemi-sikilastirmalarina-yonelik-temel-kontrol-maddeleri-5/
[6] https://www.siberportal.org/blue-team/securing-windows-operating-system/windows-isletim-sistemi-sikilastirmalarina-yonelik-temel-kontrol-maddeleri-6/
[7] http://itfreetraining.com/70-640/agdlp/
[8] http://itfreetraining.com/70-640/agudlp/
https://www.linkedin.com/posts/ethical-hackers-academy_active-directory-security-assessment-ugcPost-6774018561942917120-0jmF
http://hosteddocs.ittoolbox.com/quest072904.pdf
[i] https://www.netwrix.com/how_to_generate_active_directory_ou_permissions_report.html