Aktif Dizin Nesnelerine Ait Denetimler İçin Temel Kontroller – 4: OU ve GPO

Yazarı:
Ertuğrul BAŞARANOĞLU
-
0
674
views
Etki alanı kurumlar için oldukça kritiktir, bu sebeple güvenliğinin korunması için bazı önlemlerin alınması gereklidir. Bir yazı dizisinin dördüncüsü olan bu yazıda, Aktif Dizin üzerindeki yapısal birim (OU) ve grup ilke (GPO) nesnelerinin güvenliği için gerekli kontrol maddeleri incelenecektir.

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

 

A) OU Nesnesi Yönetimi İle İlgili Temel Zorluklar

Kurumlarda OU yönetimi karmaşık bir konu olabilmektedir. Başlıca zorluklar aşağıdaki gibi sıralanabilir.

  • Deneme amaçlı veya kısa süreli bir ihtiyaç için oluşturulan OU nesneleri daha sonra silinmeyebilmektedir.
  • OU nesneleri üzerinde gereğinden fazla yetki verilmiş olabilir.

 

B) OU Nesnesi Yönetimi İle İlgili Denetim Maddeleri

Aktif Dizin içerisindeki OU nesnelerinin güvenliği için denetlenebilecek temel kontrol maddeleri aşağıdaki gibi sıralanabilir.

 

B.1) OU Yönetimi

Tehdit: OU nesnelerinin belli standartlara göre yönetilmemesi operasyonel zorluklara sebep olur.

Öneri: Belirtilen kontrol maddesi için, temel öneriler aşağıdaki gibi sıralanabilir.

  • Kurum tarafından oluşturulmuş olan isimlendirme standardına göre OU nesnelerine isim verilmelidir.

 

Tehdit: İçerisinde nesne bulunmayan OU nesnelerinin mevcudiyeti kontrol eksikliğine sebep olur.

Öneri: Belirtilen kontrol maddesi için, temel öneriler aşağıdaki gibi sıralanabilir.

  • İçerisinde nesne bulunmayan OU nesnelerinin listelenmesi için gerekli Powershell sorguları aşağıdaki gibi gerçekleştirilebilir:

Get-ADOrganizationalUnit -Filter * | Where-Object {-not ( Get-ADObject -Filter * -SearchBase $_.Distinguishedname -SearchScope OneLevel -ResultSetSize 1 )}

Get-ADOrganizationalUnit -Filter * | ForEach-Object { If ( !( Get-ADObject -Filter * -SearchBase $_ -SearchScope OneLevel) ) { $_ } } | Select-Object Name, DistinguishedName

([adsisearcher]'(objectcategory=organizationalunit)’).FindAll() | Where-Object { -not (-join $_.GetDirectoryEntry().psbase.children) }

([adsisearcher]'(objectclass=organizationalunit)’).FindAll() | Where-Object { (([adsi]$_.Path).psbase.children | Measure-Object).Count -eq 0 }

 

B.2) OU Yetkilendirme

Tehdit: Kritik nesne barındıran OU nesnelerinin yönetimi için gereksiz yetkilendirme yapılması bilgi güvenliği temel prensiplerine aykırıdır.

Öneri: Belirtilen kontrol maddesi için, temel öneriler aşağıdaki gibi sıralanabilir.

  • Kritik nesne barındıran OU nesneleri için yetki devirleri incelenmelidir. Örneğin kritik grupların bulunduğu OU nesneleri üzerindeki yetkilendirmeler, kritik bilgisayarların bulunduğu OU nesneleri üzerindeki yetkilendirmeler,… incelenmelidir. [i]

 

C) GPO Nesnesi Yönetimi İle İlgili Temel Zorluklar

Kurumlarda GPO yönetimi karmaşık bir konu olabilmektedir. Başlıca zorluklar aşağıdaki gibi sıralanabilir.

  • Deneme amaçlı veya kısa süreli bir ihtiyaç için oluşturulan grup ilke nesneleri daha sonra silinmeyebilmektedir.
  • Grup ilke nesneleri üzerinde gereğinden fazla yetki verilmiş olabilir.

 

D) GPO Nesnesi Yönetimi İle İlgili Denetim Maddeleri

Aktif Dizin içerisindeki grup ilke nesnelerinin güvenliği için denetlenebilecek temel kontrol maddeleri aşağıdaki gibi sıralanabilir.

 

D.1) GPO Yönetimi

Tehdit: Grup ilke ayarlarında (Group Policy Preferences) kritik bilgiler bulunmamalıdır.

Öneri: Belirtilen kontrol maddesi için, temel öneriler aşağıdaki gibi sıralanabilir.

  • Grup ilkesi ayarları (Groups.xml gibi) ile kimlik bilgileri ayarlanmamalıdır.

 

Tehdit: Grup ilke nesnelerinin belli standartlara göre yönetilmemesi operasyonel zorluklara sebep olur.

Öneri: Belirtilen kontrol maddesi için, temel öneriler aşağıdaki gibi sıralanabilir.

  • Kurum tarafından oluşturulmuş olan isimlendirme standardına göre grup ilke nesnelerine isim verilmelidir.
  • Güvenliği arttırmak için oluşturulan grup ilke nesneleri için tanımlanmış istisnalar bulunmamalı veya belli bir süre sonra kaldırılması üzere takip edilmelidir.
  • Güvenliği arttırmaya yarayan grup ilke nesneleri için tanımlanmış istisnalar bulunmamalı veya belli bir süre sonra bu istisnanın kaldırılması üzere takip edilmelidir.
  • Güvenliği azaltmaya sebebiyet veren grup ilke nesneleri bulunmamalı veya belli bir süre sonra bu ilkenin kaldırılması üzere takip edilmelidir.

 

Tehdit: Grup ilke nesnelerinin gPCFileSysPath isimli attribute içerisinde belirtilen varsayılan dizin (“\\<DomainName>.local\SYSVOL\<DomainName>.local\Policies\”) harici bir konumda olması kontrol eksikliğine sebep olur.

Öneri: Belirtilen kontrol maddesi için, temel öneriler aşağıdaki gibi sıralanabilir.

  • Grup ilke nesnelerinin bulunduğu konumların listelenmesi için gerekli Powershell sorguları aşağıdaki gibi gerçekleştirilebilir:

Get-ADObject -LDAPFilter ‘(objectCategory=groupPolicyContainer)’ -Properties DisplayName, DistinguishedName, Name, gPCFileSysPath, whenCreated, whenChanged

 

Tehdit: Linklenmemiş (Orphaned) grup ilke nesnelerinin mevcudiyeti kontrol eksikliğine sebep olur.

Öneri: Belirtilen kontrol maddesi için, temel öneriler aşağıdaki gibi sıralanabilir.

  • Linklenmemiş grup ilke nesnelerinin listelenmesi için gerekli Powershell sorguları aşağıdaki gibi gerçekleştirilebilir:

Get-GPO -All | Sort-Object displayname | Where-Object { If ( $_ | Get-GPOReport -ReportType XML | Select-String -NotMatch “<LinksTo>” ) {$_.DisplayName } }

Get-GPO -All | ForEach-Object { if ($_.Computer.DSVersion -eq 0 -and $_.User.DSVersion -eq 0) { $_ } } | Select-Object Name, DistinguishedName

 

Tehdit: Devre dışı bırakılmış grup ilke nesnelerinin mevcudiyeti yönetim ve performans eksikliğine sebep olur.

Öneri: Belirtilen kontrol maddesi için, temel öneriler aşağıdaki gibi sıralanabilir.

  • Devre dışı bırakılmış grup ilke nesnelerinin listelenmesi için gerekli Powershell sorguları aşağıdaki gibi gerçekleştirilebilir:

Get-GPO -All | where {$_.GPOStatus -eq “AllSettingsDisabled”} | Sort-Object DisplayName

 

D.2) GPO Yetkilendirme

Tehdit: Kritik nesnelere uygulanan grup ilke nesnelerinin yönetimi için gereksiz yetkilendirme yapılması bilgi güvenliği temel prensiplerine aykırıdır.

Öneri: Belirtilen kontrol maddesi için, temel öneriler aşağıdaki gibi sıralanabilir.

  • Kritik nesnelere başta olmak üzere tüm grup ilke nesneleri için yetki devirleri incelenmelidir. Örneğin kritik grupların yönetimi için kullanılan grup ilke nesneleri üzerindeki yetkilendirmeler, kritik bilgisayarların yönetimi için kullanılan grup ilke nesneleri üzerindeki yetkilendirmeler,… incelenmelidir.

 

 

Sonuç

Kurum etki alanının (ve dolayısıyla kurumun) güvenliği için sunucu ve istemci sıkılaştırmalarına [1-6] ek olarak, saldırı yüzeyini daraltmak için belli aralıklarla risk analizleri ve kontroller gerçekleştirilmelidir. Bu yazıda Aktif Dizin sıkılaştırması için gerekli olan temel kontrol maddeleri üzerinde durulmuştur. Bu yazıda bahsi geçen kontrol maddeleri kurum tarafından belli periyotlarla gözden geçirilmesi, ek kontrol maddeleri ile desteklenmesi, otomatikleştirilmesi için betikler (Powershell gibi bir betik dili kullanılarak) hazırlanması veya otomatik olarak bu işlemleri gerçekleştirebilen araçlarla denetimlerin gerçekleştirilmesi, denetim raporu sonucuna göre gerekli iyileştirmelerin kurum politikasına uygun olarak gerçekleştirilmesi, gerçekleştirilen işlemlerin dokümante edilmesi tavsiye edilmektedir.

 

Kaynaklar:

[0] https://www.siberportal.org/red-team/microsoft-domain-environment-penetration-tests/kurumsal-aglarda-etki-alani-sizma-testi-metodolojisi/
[1] https://www.siberportal.org/blue-team/securing-windows-operating-system/windows-isletim-sistemi-sikilastirmalarina-yonelik-temel-kontrol-maddeleri-1/
[2] https://www.siberportal.org/blue-team/securing-windows-operating-system/windows-isletim-sistemi-sikilastirmalarina-yonelik-temel-kontrol-maddeleri-2/
[3] https://www.siberportal.org/blue-team/securing-windows-operating-system/windows-isletim-sistemi-sikilastirmalarina-yonelik-temel-kontrol-maddeleri-3/
[4] https://www.siberportal.org/blue-team/securing-windows-operating-system/windows-isletim-sistemi-sikilastirmalarina-yonelik-temel-kontrol-maddeleri-4/
[5] https://www.siberportal.org/blue-team/securing-windows-operating-system/windows-isletim-sistemi-sikilastirmalarina-yonelik-temel-kontrol-maddeleri-5/
[6] https://www.siberportal.org/blue-team/securing-windows-operating-system/windows-isletim-sistemi-sikilastirmalarina-yonelik-temel-kontrol-maddeleri-6/
[7] http://itfreetraining.com/70-640/agdlp/
[8] http://itfreetraining.com/70-640/agudlp/
https://www.linkedin.com/posts/ethical-hackers-academy_active-directory-security-assessment-ugcPost-6774018561942917120-0jmF
http://hosteddocs.ittoolbox.com/quest072904.pdf

Top 25 Active Directory Security Best Practices


[i] https://www.netwrix.com/how_to_generate_active_directory_ou_permissions_report.html

 

 

 

 

 

İlişkili Yazılar:
Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

Benzer YazılarYAZARIN DİĞER İÇERİKLERİ

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.