Aktif Dizin Nesnelerine Ait Denetimler İçin Temel Kontroller – 5: Güven İlişkileri

0
131
views
Etki alanı kurumlar için oldukça kritiktir, bu sebeple güvenliğinin korunması için bazı önlemlerin alınması gereklidir. Bir yazı dizisinin dördüncüsü olan bu yazıda, Aktif Dizin üzerindeki güven ilişkilerinin (trust relationship) güvenliği için gerekli kontrol maddeleri incelenecektir.

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

 

Güven ilişkileri ile ilgili mevcut ayarları listelemen için gerekli sorgular aşağıdaki gibi gerçekleştirilebilir:

nltest /domain_trusts
adfind -default -f “objectClass=trustedDomain”
adfind -default -f “&(objectClass=trustedDomain)(name=TrustedDomain)”
adfind -default -f “&(objectClass=trustedDomain)(trustedPartner=TrustedDomain)”
adfind -sc trustdmp
dsquery * -filter “(objectClass=trustedDomain)” -attr *
Get-ADObject -Filter {objectClass -eq “trustedDomain”} -Properties TrustPartner,TrustDirection,trustType | FT Name,TrustPartner,TrustDirection,TrustType
Get-ADTrust –Filter * | Select *

 

Güven ilişkileri ile ilgili detaylı bilgi için kaynaklardaki Siberportal yazısı incelenebilir.

 

A) Güven İlişkileri Yönetimi İle İlgili Temel Zorluklar

Kurumlarda güven ilişkilerinin yönetimi karmaşık bir konu olabilmektedir. Başlıca zorluklar aşağıdaki gibi sıralanabilir.

  • Deneme amaçlı veya kısa süreli bir ihtiyaç için oluşturulan güven ilişkileri daha sonra silinmeyebilmektedir.
  • Güven ilişkileri doğru bir şekilde ayarlanmamış olabilmektedir.
  • Güven ilişkilerinin karmaşık bir hal alması.
  • Güven ilişkilerinin güvenliği arttırdığı düşüncesinin hakim olması.
  • Federasyon yerine güven ilişkilerinin kurulması.

 

B) Güven İlişkisi Yönetimi İle İlgili Denetim Maddeleri

Aktif Dizin içerisindeki güven ilişkilerinin güvenliği için denetlenebilecek temel kontrol maddeleri aşağıdaki gibi sıralanabilir.

 

B.1) Güven İlişkisi Yönetimi

Tehdit: Gerekli olmayan güven ilişkileri bulunmamalıdır.

Öneri: Belirtilen kontrol maddesi için, temel öneriler aşağıdaki gibi sıralanabilir.

  • Zorunlu değil ise, güven ilişkisi kurulmamalıdır.
  • Süreli olarak oluşturulan güven ilişkileri ilgili süre sonunda kaldırılmalıdır.
  • Mümkünse, tek yönlü (one-way) güven ilişkisi tercih edilmelidir.
  • Mümkünse, geçişsiz (non-transitive) güven ilişkisi tercih edilmelidir.

 

Tehdit: Güven ilişkilerinde birden fazla yol bulunmamalıdır.

Öneri: Belirtilen kontrol maddesi için, temel öneriler aşağıdaki gibi sıralanabilir.

  • Uygulamalar ihtiyaç duyuyorsa, birden fazla domain ile iletişim kurabilen uygulamalar tercih edilmelidir.
  • Güven ilişkileri olabildiğince sade olmalıdır. Örneğin; iki farklı Forest Root arasında Forest Trust kurulu ise, bu domainlerin çocukları arasında External güven ilişkisi kurulmamalıdır.

 

Tehdit: Bir etki alanının ele geçirilmesi durumunda diğer domainin riske girme riskine karşı SID filtreleme (karantina ayarı) etkin olmalı; diğer bir ifade ile SID geçmişi devre dışı olmalıdır. .

Öneri: Belirtilen kontrol maddesi için, temel öneriler aşağıdaki gibi sıralanabilir.

  • Dış (External) güven ilişkilerinde SID filtreleme (karantina ayarı) etkinliğinin listelenmesi için gerekli batch ve Powershell komutları aşağıdaki gibidir:

netdom trust /d: /quarantine

Get-ADTrust –Filter * | Select SIDFilteringQuarantined

  • Orman (Forest) güven ilişkilerinde SID geçmişi devre dışılığının listelenmesi için gerekli batch komutu aşağıdaki gibidir:

netdom trust /d: /enablesidhistory

  • SID geçmişi olan kullanıcı nesnelerinin listelenmesi için gerekli Powershell sorguları aşağıdaki gibi gerçekleştirilebilir:

Get-ADUser -Filter “SIDHistory -Like ‘*’” -Properties SIDHistory | Select-Object name, sIDHistory -ExpandProperty sidHistory | Format-Table name, sIDHistory –AutoSize

Get-ADObject -LDAPFilter “(SidHistory=*)” -Property objectClass, distinguishedname, samAccountName, objectSID, sIDHistory | Select-Object objectClass, DistinguishedName, SamAccountName, objectSID -ExpandProperty SIDHistory

 

Tehdit: Güven ilişkisi kurulan etki alanları arasında AES şifreleme etkin olmalıdır.

Öneri: Belirtilen kontrol maddesi için, temel öneriler aşağıdaki gibi sıralanabilir.

  • Kerberos için şifreleme tipini güvenilir olarak etkileştirmek için gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
    • Computer Configuration –> Windows Settings –> Security Settings –> Local Policies –> Security Options:
      • Network security: Configure encryption types allowed for Kerberos –> Enabled –> AES128_HMAC_SHA1; AES256_HMAC_SHA1; Future encryption types
  • Gerekli ayarlar Kayıt Defteri ile aşağıda belirtildiği gibi gerçekleştirilebilir.
    • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters\
      • SupportedEncryptionTypes (REG_DWORD): 0x7ffffff8 (2147483640)
  • Dış güven ilişkisi yerine orman güven ilişkileri tercih edilmelidir.

 

B.2) Güven İlişkilerinde Yetkilendirme

Tehdit: Mevcut etki alanlarındaki kaynaklar üzerinde yönetimsel hiç bir erişim veya yetki, uzaktaki etki alanındaki nesnelere verilmemelidir.

Öneri: Belirtilen kontrol maddesi için, temel öneriler aşağıdaki gibi sıralanabilir.

  • Yetkilendirmeler gözden geçirilmelidir.

 

Tehdit: Uzaktaki etki alanının ele geçirilmesi durumunda, mevcut etki alanındaki kritik kaynaklara erişimin engellenmesi için seçimli kimlik doğrulama (selective authentication) etkin olmalıdır.

Öneri: Belirtilen kontrol maddesi için, temel öneriler aşağıdaki gibi sıralanabilir.

  • Seçmeli kimlik doğrulama (selective authentication) etkinliğinin listelenmesi için gerekli Powershell sorguları aşağıdaki gibidir:

Get-ADTrust –Filter * | Select SIDFilteringForestAware, SelectiveAuthentication

  • Bir saldırı durumunda, seçimli kimlik doğrulama kaldırılmalı ve ALLOWED TO AUTHENITCATE yetkisi verilen nesneler üzerindeki işlemler/kayıtlar gözden geçirilmelidir.

Not: Domain Controller gibi nesneler için bu şekilde yetkilendirme verilememesi gerekir.

 

Tehdit: Etki alanı üzerinde yetki devri için tüm ortamda güvenilir olarak tanımlanan güven ilişkilerinin güvenilir olarak yönetilmemesi durumunda güven ilişkileri arasında TGT Delegation saldırısına maruz kalınabilir.

Öneri: Belirtilen kontrol maddesi için, temel öneriler aşağıdaki gibi sıralanabilir.

  • Güven ilişkilerinde TGT delegasonunun devre dışı bırakılmasının sorgulanması için gerekli Powershell ve batch sorguları aşağıdaki gibi gerçekleştirilebilir:

Get-ADTrust -Filter {Direction -eq “Inbound”} | ft Name,TGTDelegation

 

 

B.3) Güven İlişkilerinde İzleme

Tehdit: Etki alanları arasındaki güven ilişkileri için gerekli izleme ayarları gerçekleştirilmelidir.

Öneri: Belirtilen kontrol maddesi için, temel öneriler aşağıdaki gibi sıralanabilir.

  • Güven ilişkilerini izlemek için takip edilebilecek en önemli olay kayıtları aşağıdaki gibi listelenebilir:
    • 4670: Permissions on an object were changed
    • 4706: A new trust was created ta domain.
    • 4707: A trust ta domain was removed.
    • 4716: Trusted domain information was modified.
    • 4713: Kerberos policy was changed.
    • 4717: System security access was granted tan account.
    • 4718: System security access was removed from an account.
    • 4739: Domain Policy was changed.
    • 4864: A namespace collision was detected.
    • 4865: A trusted forest information entry was added.
    • 4866: A trusted forest information entry was removed.
    • 4867: A trusted forest information entry was modified.

 

 

 

Kaynaklar:

https://www.siberportal.org/blue-team/securing-microsoft-domain-environment/active-directory-trust-relationships-on-microsoft-environment
https://www.linkedin.com/posts/ethical-hackers-academy_active-directory-security-assessment-ugcPost-6774018561942917120-0jmF
http://hosteddocs.ittoolbox.com/quest072904.pdf

Top 25 Active Directory Security Best Practices


[i] https://www.netwrix.com/how_to_generate_active_directory_ou_permissions_report.html
https://static.ernw.de/whitepaper/ERNW_Whitepaper67_ADTrustConsiderations.pdf
https://www.harmj0y.net/blog/redteaming/not-a-security-boundary-breaking-forest-trusts/

 

 

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

This site uses Akismet to reduce spam. Learn how your comment data is processed.