Aktif Dizin Nesnelerine Ait Denetimler İçin Temel Kontroller – 6

0
228
views
Etki alanı kurumlar için oldukça kritiktir, bu sebeple güvenliğinin korunması için bazı önlemlerin alınması gereklidir. Bir yazı dizisinin altıncısı olan bu yazıda, Aktif Dizin üzerindeki AdminSDHolder gibi kritik nesnelerin güvenliği ve genel olarak Aktif Dizin nesnelerine ait izinlerin güvenliği için gerekli kontrol maddeleri incelenecektir.

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

 

Aktif Dizin içerisindeki en önemli nesneler aşağıdaki gibi sıralanabilir.

  • Genel Katalog’un bölümleri (Etki Alanı, Konfigürasyon, Şema vb.)
  • Kritik öneme sahip gruplar (Domain Admins vb.)
  • Kritik öneme sahip OU nesneleri (Domain Controllers vb.)
  • AdminSDHolder nesnesi
  • Sistem konteynırları
  • Grup ilke nesneleri (GPO)
  • NTDS.dit, SYSTEM gibi dosyalar
  • SYSVOL, NETLOGON gibi klasörler

 

Nesneler üzerinde verilebilecek en önemli yetkiler aşağıdaki gibi sıralanabilir.

  • DS-Replication-Get-Changes(-All)
  • Tam Kontrol (GenericAll – Full control)
  • Değiştirme (WriteDacl – Modify permission)
  • Yazma (GenericWrite – Write all properties)
  • Sahiplik değiştirme (WriteOwner – Modify owner)
  • Genişletilmiş yetkilendirme (AllExtendedRights – All extended rights)

 

A) Nesne Yönetimi İle İlgili Temel Zorluklar

Kurumlarda nesne yönetimi karmaşık bir konu olabilmektedir. Başlıca zorluklar aşağıdaki gibi sıralanabilir.

  • Deneme amaçlı veya kısa süreli bir ihtiyaç için oluşturulan nesneler daha sonra silinmeyebilmektedir.
  • Nesne yetkilendirmeleri doğru bir şekilde ayarlanmamış olabilmektedir.
  • Nesneler üzerindeki yetkilerin karmaşık bir hal alması.
  • Bir nesnenin başka bir nesne üzerindeki yetkilendirmesinin karmaşık bir hal alması.

 

B) Kritik Nesnesilerin Yönetimi İle İlgili Denetim Maddeleri

Bazı kritik nesnelerin (grup, hesap, OU, GPO gibi) denetimi ile ilgili bazı kontrol maddeleri önceki yazılarda incelenmişti. Bu başlıkta diğer nesneler için gerekli kontrol maddeleri incelenecektir.

 

B.1) AdminSDHolder Nesnesi Yönetimi

AdminSDHolder nesnesi ile ilgili detaylı bilgi için kaynaklardaki Siberportal [i] yazısı incelenebilir.

Tehdit: Kritik öneme sahip nesneler AdminSDHolder prosesi (işlemi)  ile korunmalıdır.

Öneri: Belirtilen kontrol maddesi için, temel öneriler aşağıdaki gibi sıralanabilir.

  • AdminSDHolder prosesi (işlemi)  ile korunan kullanıcıların listelenmesi için gerekli Powershell komutları aşağıdaki gibidir:

Get-ADUser -LDAPFilter “(objectcategory=person)(samaccountname=*)(admincount=1)” | Select Name, SamAccountName, Enabled

  • AdminSDHolder prosesi (işlemi)  ile korunan grupların listelenmesi için gerekli Powershell komutları aşağıdaki gibidir:

Get-ADGroup -LDAPFilter “(objectcategory=group) (admincount=1)”

  • AdminSDHolder prosesi (işlemi)  ile korunan nesnelerin listelenmesi için gerekli ADSIEdit ve Powershell komutları aşağıdaki gibidir:

Get-ADObject -LDAPFilter “(&(admincount=1)(|(objectcategory=person)(objectcategory=group)))” -Properties MemberOf,Created,Modified,AdminCount | FT Name, Modified, MemberOf

([adsisearcher]”(AdminCount=1)”).findall()

 

Tehdit: AdminSDHolder nesnesi üzerinde gereksiz yetki devri bulunmamalıdır.

Öneri: Belirtilen kontrol maddesi için, temel öneriler aşağıdaki gibi sıralanabilir.

  • AdminSDHolder nesnesi üzerindeki yetkilendirmelerin listelenmesi için gerekli Powershell komutları aşağıdaki gibidir:

Get-Acl -Path “AD:\CN=AdminSDHolder,CN=System,DC=Domain,DC=local” | Select-Object -ExpandProperty Access | FT IdentityReference, AccessControlType, ActiveDirectoryRights | findstr “GenericAll WriteProperty CreateChild DeleteChild ExtendedRight Delete WriteDacl WriteOwner” | Export-Csv -Encoding Unicode C:\temp\ACL-AdminSDHolder.csv

 

B.2) Yerel Ağ Yönetimi

Microsoft etki alanındaki Site yönetimi ile ilgili detaylı bilgi için kaynaklardaki Siberportal [ii] yazısı incelenebilir.

Tehdit: Site içerisinde tanımlı olmayan yerel ağlar bulunmamalıdır.

Öneri: Belirtilen kontrol maddesi için, temel öneriler aşağıdaki gibi sıralanabilir.

  • Kurum içerisindeki her bir yerel ağ (LAN), içerisinde etki alanı denetleyicisi bulundurmasa dahi, Aktif Dizin üzerinde tanımlanması tavsiye edilmektedir. Bu sebeple, Site içerisinde belirtilmemiş yerel ağlar tespit edilmelidir.

 

Tehdit: DNS kayıtları içerisinde tanımlı olmayan yerel ağlar bulunmamalıdır.

Öneri: Belirtilen kontrol maddesi için, temel öneriler aşağıdaki gibi sıralanabilir.

  • Aktif Dizin ile entegre olarak oluşturulan Microsoft DNS üzerinde tüm yerel ağlara ait kayıtların bulunması tavsiye edilmektedir. Bu sebeple, DNS üzerinde kayıtlı olmayan kuruma ait yerel ağlar tespit edilmelidir.

 

B.3) Fonksiyonellik Seviyeleri

Microsoft ortamındaki fonksiyonellik seviyeleri ile ilgili detaylı bilgi için kaynaklardaki Siberportal [iii] yazısı incelenebilir.

Tehdit: Fonksiyonellik seviyesinin düşük olması saldırı yüzeyini arttırmaktadır.

Öneri: Belirtilen kontrol maddesi için, temel öneriler aşağıdaki gibi sıralanabilir.

  • Etki alanı denetleyicileri en üst seviyeye yükseltilmelidir.
  • Orman ve etki alanı seviyesinde fonksiyonellik seviyeleri en güncel duruma getirilmelidir.
  • Etki alanı fonksiyonellik (DFL) seviyesinin tespiti için gerekli Powershell komutları aşağıdaki gibidir:

Get-ADDomain | FL *

  • Orman fonksiyonellik seviyesinin (FFL) tespiti için gerekli Powershell komutları aşağıdaki gibidir:

Get-ADForest | FL *

 

B.4) Nesne Yetkilendirmesinin İzlenmesi

Tehdit: Kritik nesnelerin yetkilendirmeleri üzerindeki değişiklikler izlenmelidir.

Öneri: Belirtilen kontrol maddesi için, temel öneriler aşağıdaki gibi sıralanabilir.

  • Kritik nesneler üzerindeki yetki değişikliklerinin listelenmesi için gerekli Powershell komutları aşağıdaki gibidir:

Get-EventLog Security -Newest 10 | Where-Object {$_.EventID -eq 5136} | Format-List

 

B.5) Nesne Yetkilendirmesinin Denetlenmesi

Tehdit: Kritik nesnelerin yetkilendirmeleri üzerindeki değişiklikler periyodik olarak denetlenmelidir.

Öneri: Belirtilen kontrol maddesi için, temel öneriler aşağıdaki gibi sıralanabilir.

  • Kritik nesneler üzerindeki mevcut yetkilendirmelerin listelenmesi için gerekli Powershell betiği aşağıdaki gibidir:

ADACLScanner: https://github.com/canix1/ADACLScanner

 

Kaynaklar:

[i] https://www.siberportal.org/blue-team/securing-microsoft-domain-environment/managing-advanced-security-settings-active-directory#AdminSDHolder
[ii] https://www.siberportal.org/blue-team/securing-microsoft-domain-environment/physical-structure-of-active-directory#Site
[iii] https://www.siberportal.org/blue-team/securing-microsoft-domain-environment/active-directory-domain-and-forest-functional-levels/
https://www.netwrix.com/active_directory_delegation.html

How to Detect Who Added a User to Domain Admins Group


https://identityandsecuritydotcom.files.wordpress.com/2020/04/adsa-1-1.pdf
https://docs.microsoft.com/en-us/archive/blogs/pfesweplat/forensics-active-directory-acl-investigation

 

 

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

This site uses Akismet to reduce spam. Learn how your comment data is processed.