Not: Microsoft tarafından PAW, Red Zone gibi yapısal / yönetimsel kontroller veya Etki Alanı Denetleyicileri için sıkılaştırma kontrolleri bulunmaktadır. Bu yazıda ise sadece nesneler üzerindeki güvenlik denetimleri için kullanılabilecek ücretsiz araçlar incelenecektir.
Aktif Dizin üzerindeki denetimler için kullanılabilecek bir çok araç bulunmaktadır. Bu yazıda en önemli görülen ücretsiz araçlar (bir kısmı için de deneme sürümleri) alfabetik olarak listelenecektir. Ekran görüntüleri içerisinde belirtilmemiş olsa da Powershell betikleri için çalıştırma politikasının güncellenmesi gereklidir.
Set-ExecutionPolicy bypass
Uyarı: Betiklerin tamamına yakını Domain Controller üzerinde yetkili kullanıcılar ile çalıştırılması gereklidir. Bu sebeple betiklerinin içerisinin okunması önerilmekte, hatta bu betiklerin (veya çalıştırılabilir dosyaların) izole bir ortama konumlandırılan bir Etki Alanı Denetleyicisi üzerinde çalıştırılması ve raporlar alındıktan sonra da bu sunucunun silinmesi tavsiye edilmektedir. Ayrıca, elde edilen sonuçlar, kurumun Aktif Dizin yöneticileri tarafından incelendikten sonra, ilgili denetçilere verilmesi gerekmektedir. Bu sonuçlar arasında çok kritik veriler (NTDS.dit dosyası gibi) de bulunabilmektedir.
ADACLScanner
Aktif Dizin üzerinde verilen yetkilerin / delegasyonların raporlanması için kullanılabilecek bir Powershell betiğidir.
İndirme bağlantısı aşağıdaki gibidir.
https://github.com/canix1/ADACLScanner
Betiğin temel özellikleri aşağıdaki gibi sıralanabilir.
- Çıktılar CSV veya HTML formatında dışarıya aktarılabilir.
- SACL ve DACL denetimi için kullanılabilir.
- Varsayılan izinlerin (defaultSecurityDescriptor) raporlanmaması ve sadece özelleştirilmiş izinlerin raporlanması sağlanabilir.
- Üst seviyelerden gelen yetkilendirmelerin (kalıtımların) raporlanmaması sağlanabilir.
- OU veya kullanıcı gibi daha düşük seviyedeki bir nesne bazında denetimler gerçekleştirilebilir.
- Farklı zamanlarda alınan raporlar karşılaştırılarak değişiklikler / farklar listelenebilir.
Betiğin çalışması için temel gereksinimler aşağıdaki gibi sıralanabilir.
- Powershell 2.0 +
- Microsoft .NET Framework 4.0 +
Örnek denetim sonucu aşağıdaki gibidir.
.\ADACLScanner.ps1
AdAudit
Aktif Dizin üzerindeki kullanıcı, OU, GPO gibi nesnelerin güvenlik denetimleri için kullanılabilecek bir Powershell betiğidir.
İndirme bağlantısı aşağıdaki gibidir.
https://github.com/phillips321/adaudit
Betiğin temel özellikleri aşağıdaki gibi sıralanabilir.
- Sonuçlar sunucu adıyla oluşturulan bir klasör içerisinde txt uzantı olarak dışarıya aktarılır.
- Etki alanı ve orman fonksiyonellik seviyeleri, mevcut güven ilişkileri gibi bilgileri raporlar.
- SMB sürümü, Null Session gibi güvenlik kontrollerini raporlar.
- Aktif olmayan, devre dışı olan, parolası sonlanmayan, parolasını değiştiremeyecek olan, parolasını değiştirmemiş olan… kullanıcılar listelenir.
- NTDS.dit, SECURITY ve SYSTEM dosyalarını verir.
- Grup ilkelerini HTML ve XML formatında dışarıya aktarır.
- OU izinlerini, LAPS kullanımını, GPO kalıtımlarını, AdminSDHolder nesnesindeki değerleri listeler.
Örnek denetim sonucu aşağıdaki gibidir.
.\AdAudit.ps1 –all
Adaxes (Deneme Sürümü)
Kullanıcı, bilgisayar, grup, OU gibi nesnelerin güvenlik denetimleri için kullanılabilecek ücretli (30 günlük deneme sürümü kullanılabilen) çalıştırılabilir bir dosyadır.
İndirme bağlantısı aşağıdaki gibidir.
https://www.adaxes.com/download.htm
Not: Bu aracın asıl işlevi Aktif Dizin, Microsoft Exchange ve Office 365 yönetimini kolaylaştırmaktır. Bunun yanında oluşturulan raporlar Aktif Dizin güvenlik denetimleri için de kullanılabilir.
Uygulamanın temel özellikleri aşağıdaki gibi sıralanabilir.
- Devre dışı olan, yönetilmeyen, mail atabilen, mail kutusu olmayan… kullanıcılar listelenebilir.
- Aktif olmayan, devre dışı olan, yeni oluşturulan,… bilgisayarlar listelenebilir.
- Boş, silmeye karşı korunmayan,… gruplar listelenebilir.
- OU izinleri, OU yönetim bilgileri,… listelenebilir.
- Örnek denetim sonucu aşağıdaki gibidir.
ADPasswordHealth
NTDS.dit dosyasını alarak etki alanındaki kullanıcıların parola özetlerini bir sözlük yardımı ile kırmak ve parolaların güçlülüğü hakkında yorum yapmak amacı ile kullanılabilecek Python betiğidir. İndirme bağlantısı aşağıdaki gibidir.
https://github.com/Ne0nd0g/ADPasswordHealth
Örnek denetim sonucu aşağıdaki gibidir.
AD-Reporting
Aktif Dizin üzerindeki kullanıcı, grup, OU, GPO gibi nesnelerin güvenlik denetimleri için kullanılabilecek bir Powershell betiğidir.
İndirme bağlantısı aşağıdaki gibidir.
https://gallery.technet.microsoft.com/scriptcenter/Get-Active-Directory-6a1e5468
Uygulamanın temel özellikleri aşağıdaki gibi sıralanabilir.
- Sonuçlar “AD_Reports_TARIH” adıyla oluşturulan bir klasör içerisinde CSV uzantı olarak dışarıya aktarılır.
- Devre dışı olan, parolası sonlanmayan… kullanıcılar listelenebilir.
- Boş, yetkili,… gruplar listelenebilir.
- Boş OU’lar listelenebilir.
- GPO detayları listelenebilir.
Örnek denetim sonucu aşağıdaki gibidir.
.\AD-Reporting.ps1
ADTidy
Aktif olmayan kullanıcı ve bilgisayar nesnelerinin tespiti ve yönetilmesi için kullanılabilecek EXE formatında ücretli bir araçtır. İndirme bağlantısı aşağıdaki gibidir.
http://www.cjwdev.co.uk/Software/ADTidy/Info.html
Örnek denetim sonucu aşağıdaki gibidir.
Get-GroupReport
Aktif Dizin içerisindeki gruplar ile ilgili detaylı raporlama amacı ile kullanılabilecek Powershell betiğidir. İndirme bağlantısı aşağıdaki gibidir.
http://www.jhouseconsulting.com/2015/01/02/script-to-create-an-overview-and-full-report-of-all-group-objects-in-a-domain-1455
Örnek denetim sonucu aşağıdaki gibidir.
powershell -ExecutionPolicy bypass .\Get-GroupReport.ps1
Get-VulnerableGPO
NT AUTHORITY\Authenticated Users kullanıcısına geniş yetkilendirme (permGPOApply, permGPORead gibi) yapılmış Aktif Dizin grup ilkelerinin raporlanması için kullanılabilecek bir Powershell betiğidir. Kullanımı için GPMC & SDM PowerShell modülüne ihtiyaç duyar.
İndirme bağlantısı aşağıdaki gibidir.
https://github.com/gpoguy/GetVulnerableGPO
Örnek denetim sonucu aşağıdaki gibidir.
.\Get-VulnerableGPO.ps1
Goddi
Aktif Dizin üzerindeki kullanıcı, grup, OU, GPO gibi nesnelerin güvenlik denetimleri için kullanılabilecek bir Go paketidir.
İndirme bağlantısı aşağıdaki gibidir.
https://github.com/NetSPI/goddi/releases
Aracın temel özellikleri aşağıdaki gibi sıralanabilir.
- Sonuçlar sunucu adıyla oluşturulan bir klasör içerisinde txt uzantı olarak dışarıya aktarılır.
- DC’ler, Etki alanı ve orman fonksiyonellik seviyeleri, mevcut güven ilişkileri, subnet ve site gibi bilgileri raporlar.
- Aktif olmayan, devre dışı olan, kilitli olan, parolası sonlanmayan… kullanıcılar listelenir.
- Parola politikası, LAPS kullanımını, grup ilkeleri, GPP bilgisi, SPN’ler listelenir.
Örnek denetim sonucu aşağıdaki gibidir.
goddi-windows-amd64.exe -dc=”192.168.245.149″ -domain=”sirket.local” -username=”Yonetici” -password=”Yy123456″ -unsafe
Gold Finger
Aktif Dizin üzerindeki kullanıcı, grup, bilgisayar, OU, GPO, contact, yazıcı, konteynır gibi nesnelerin güvenlik denetimleri için kullanılabilecek ücretli (ücretsiz sürümü çok sınırlı özelliklere sahip olan) bir MSI paketidir.
İndirme bağlantısı aşağıdaki gibidir.
https://www.paramountdefenses.com/goldfinger.html
Örnek denetim sonucu aşağıdaki gibidir.
Liza
Aktif Dizin üzerindeki nesnelerin yetkilendirmeleri için kullanılabilecek bir çalıştırılabilir dosyadır.
İndirme bağlantısı aşağıdaki gibidir.
http://www.ldapexplorer.com/en/liza.htm
Örnek denetim sonucu aşağıdaki gibidir.
New-ADAssetReportGUI
Aktif Dizin üzerindeki kullanıcı, grup, bilgisayar, GPO gibi nesnelerin güvenlik denetimleri için kullanılabilecek bir PowerShell betiğidir.
İndirme bağlantısı aşağıdaki gibidir.
https://gallery.technet.microsoft.com/office/Active-Directory-Audit-7754a877
Aracın temel özellikleri aşağıdaki gibi sıralanabilir.
- Sonuçlar çeşitli formatlarda (CSV, HTML, txt) dışarıya aktarılır.
- DC’ler, Etki alanı ve orman fonksiyonellik seviyeleri, mevcut güven ilişkileri, subnet ve site gibi bilgileri raporlar.
- Aktif olmayan, devre dışı olan, kilitli olan, parolası sonlanmayan… kullanıcılar listelenir.
- Kritik grupların üyeleri, Exchange ve Lync sunucuları listelenir.
Örnek denetim sonucu aşağıdaki gibidir.
NTFSSecurity
Etki alanı denetleyicisi (Domain Controller) üzerindeki dizinlerin NTFS erişimlerini denetlemek için kullanılabilecek bir PowerShell modülüdür.
İndirme bağlantısı aşağıdaki gibidir.
https://gallery.technet.microsoft.com/scriptcenter/1abd77a5-9c0b-4a2b-acef-90dbb2b84e85
Örnek denetim sonucu aşağıdaki gibidir.
dir C:\Users\<KullaniciAdi>\Documents\WindowsPowerShell\Modules
Import-Module NTFSSecurity
Get-ChildItem -Path C:\,K:\ | Get-NTFSAccess -ExcludeInherited | Export-Csv Izinler.cxv
OU_permissions
Aktif Dizin üzerindeki OU’ların yetkilendirmeleri için kullanılabilecek bir PowerShell betiğidir.
İndirme bağlantısı aşağıdaki gibidir.
https://gallery.technet.microsoft.com/Active-Directory-OU-1d09f989
Örnek denetim sonucu aşağıdaki gibidir.
.\OU_permissions.ps1
Ping Castle
Aktif Dizin üzerindeki kullanıcılar, gruplar, bilgisayarlar gibi nesnelerin risk skorlaması için kullanılabilecek bir C# projesidir.
İndirme bağlantısı aşağıdaki gibidir.
https://www.pingcastle.com/download/
Örnek denetim sonucu aşağıdaki gibidir.