Etki Alanı Denetleyicisi Rolündeki Sunucular İçin Temel Kontroller

2
672
views
Etki alanı kurumlar için oldukça kritiktir, bu sebeple güvenliğinin korunması için bazı önlemlerin alınması gereklidir. Bu yazıda, Etki Alanı Denetleyicisi (Domain Controller) rolündeki sunucular üzerindeki sıkılaştırma maddeleri incelenecektir.

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

Windows işletim sistemi seviyesindeki sıkılaştırmalar ile ilgili detaylı bilgi için kaynaklardaki Siberportal [1], etki alanı ortamı ile ilgili özellikle Aktif Dizin güvenliği ile ilgili detaylı bilgi için kaynaklardaki Siberportal [2] bağlantısı incelenebilir. Bu başlık altında da Etki Alanı Denetleyicisi rolündeki sunucular özelinde en önemli sıkılaştırma adımları incelenecektir.

Sıkılaştırma maddeleri için ”Default Domain Controllers Policy” kaldırılarak aşağıdaki ayarlar aktif olacak şekilde etki alanı denetleyicileri için ayrı bir grup politika nesnesi oluşturulabilir.

 

1) Güvenli İşletim

Kurumsal ortamlara gerçekleştirilen saldırılarda en önemli hedeflerden birisi etki alanı denetleyicisi rolündeki sunuculardır. Bu sunuculara gerçekleştirilebilecek saldırı yüzeyini en aza indirmek önemlidir.

Tehdit: Etki alanı denetleyicisi rolündeki sunucunun işletilmesi için (diğer sunucular gibi) güvenilir olarak işletilmemesi tüm etki alanını tehlikeye atar.

Öneri: Belirtilen kontrol maddesi için, temel öneriler aşağıdaki gibi sıralanabilir.

  • Güvenilir işletim talimatı hazırlanmalıdır.
  • Talimat içerisinde yönetim, yedekleme, yedekli çalışma, sanal ortam güvenliği gibi konular belirtilmelidir.
  • Bu talimat onaylanmalı, gözden geçirilmeli ve güncellenmelidir.

 

Tehdit: Etki alanı denetleyicisi üzerinde gereksiz servisler, roller ve özellikler kapalı olmalıdır.

Öneri: Belirtilen kontrol maddesi için, temel öneriler aşağıdaki gibi sıralanabilir.

  • Print Spooler gibi sunucu üzerinde çalışan gereksiz servisler durdurulmalı ve devre dışı bırakılmalıdır. Windows işletim sistemi seviyesinde devre dışı bırakılabilecek servislerin listesi ile ilgili detaylı bilgi için kaynaklardaki Siberportal [3] bağlantısı incelenebilir.
  • Etki alanı denetleyicisi olarak kullanılan sunucular üzerinde “Active Directory Domain Services” ve “DNS Server” haricinde bir rol bulunmamalıdır.

 

Tehdit: Etki alanı denetleyicisi için yedeğinin bulunmaması veya yedeğinin güvenliğinin sağlanmaması tüm etki alanını tehlikeye atar.

Öneri: Belirtilen kontrol maddesi için, temel öneriler aşağıdaki gibi sıralanabilir.

  • Sunucunun yedeği harici sistemlere alınmalıdır.
  • Yedekleme için Windows Server Backup özelliği de kullanılabilir.
    • Windows Server Backup özelliğinin kullanımının tespiti Powershell komut satırı ile aşağıda belirtildiği gibi gerçekleştirilebilir:
      • Get-WindowsFeature | where {$_.Name -eq “Windows-Server-Backup”}
  • Yedekleme işlemini yapacak kullanıcı hesabına en az yetki verilmelidir. Bu amaçla “Backup Operators” grubuna üye bir kullanıcı kullanılabilir.
  • Yedeklerin gizliliği, bütünlüğü ve erişilebilirliği garanti altına alınmalıdır. Bu amaçla yedekler güvenliği sağlanan farklı bir sunucuda depolanmalı ve bu sunucu ilgili domainde olmamalı, çevrimdışı olmalı (internet bağlantısı olmamalı), korunaklı olmalıdır.

 

Tehdit: Etki alanı denetleyicisinin yedeklerinin güvenilir bir şekilde geri döndürülememesi (restore) tüm etki alanını tehlikeye atar.

Öneri: Belirtilen kontrol maddesi için, temel öneriler aşağıdaki gibi sıralanabilir.

  • Yedekten geri dönme çalışması periyodik olarak yapılmalıdır.
  • Yedekten geri dönme işlemini yapacak kullanıcı hesabına en az yetki verilmelidir. Bu amaçla “Backup Operators” grubuna üye bir kullanıcı kullanılabilir.
  • DSRM (Directory Services Restore Mode) hesabına ait kimlik bilgileri güvenilir bir yerde saklanmalı ve sadece yetkili kişilerin erişebileceği şekilde korunmalıdır.
  • DSRM kimlik bilgileri sadece felaket durumlarında kullanılmalıdır.
  • DSRM kimlik bilgileri periyodik olarak değiştirilmeli ve her etki alanı denetleyicisinde farklı olmalıdır.
  • DSRM parolası blinse veya tespit edilse bile ağ üzerinden işlem yapılamamalıdır.
    • Gerekli ayarlar Kayıt Defteri ile aşağıda belirtildiği gibi gerçekleştirilebilir:
      • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
        • DSRMAdminLogonBehavior (REG_DWORD): 0 veya 1
  • Silinen nesnelerin geri getirilmesi için Restore işlemi yapmaya gerek kalmadan, Recycle Bin özelliği [4] kullanılarak en az yetki ile geri döndürme işlemleri gerçekleştirilebiliyor olmalıdır.
    • Recyle Bin özelliğinin kullanımının tespiti Powershell komut satırı ile aşağıda belirtildiği gibi gerçekleştirilebilir:
      • AD üzerinde silinmiş nesneleri geri getirmek için DA değil daha az yetkili gruplar kullanılmalıdır.
        • Get-ADOptionalFeature “Recycle Bin Feature” | select-object name, EnabledScopes
      • Recyle Bin özelliği ile nesneyi geri döndürme yetkisinin devri Windows komut satırı ile aşağıda belirtildiği gibi gerçekleştirilebilir:
        • dsacls “CN=Deleted Objects,DC=Sirket,DC=com,DC=tr” /g SIRKET\AzYetkiliYeniGrup:LCRPWP

 

2) Kullanıcı Hakları

Microsoft ortamında kullanıcı hakları genel olarak oturum açma hakları ve ayrıcalıklar olmak üzere iki farklı kategoride toplanır. Bunlardan oturum açma hakları sisteme kimin hangi şekilde oturum açabileceğini tanımlarken, ayrıcalıklar bilgisayardaki sistem kaynaklarına olan erişimleri kontrol eder [5].

Kontrol: Kullanıcı haklarının güvenilir olarak ayarlanmaması tüm etki alanı ortamını tehlikeye sokabilir.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • Etki alanı denetleyicisi rolündeki sunucunun işletim sistemi üzerinde verilen ayrıcalığın istismarı ile yetkisiz işlemler gerçekleştirilebilir.
    • Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
      • Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
        • Access this computer from the network –> Administrators, Authenticated Users, Enterprise Domain Controllers
        • Add workstations to a domain –> Administrators
        • Allow log on locally –> Administrators, Backup Operators
        • Backup files and directories –> Administrators, Backup Operators
        • Change the system time –> LOCAL SERVICE, Administrators
        • Debug Programs –> Administrators
        • Deny access to this computer from the network –> Guests
        • Deny log on through Remote Desktop Services –> Guests
        • Enable computer and user accounts to be trusted for delegation –> Administrators
        • Force shutdown from remote system –> Administrators
        • Load and unload device drivers –> Administrators
        • Restore files and directories –> Administrators, Backup Operators
        • Shutdown the system –> Administrators
        • Take ownership of files and objects –> Administrators
        • Synchronize directory service data –> Boş

 

3) Güvenlik Seçenekleri

Kontrol: Güvenlik seçeneklerinin güvenilir olarak ayarlanmaması tüm etki alanı ortamını tehlikeye sokabilir.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • Etki alanı denetleyicisi rolündeki sunucunun yapılandırma ayarlarının istismarı ile yetkisiz işlemler gerçekleştirilebilir.
    • Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
      • Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> Security Options
        • Devices: Prevent users from installing printer drivers –> Enabled
        • Domain Controller: Allow server operator to schedule tasks –> Disabled
        • Network access: Do not allow anonymous enumeration of SAM accounts –> Enabled
        • Network access: Do not allow anonymous enumeration of SAM accounts and shares –> Enabled
        • Network security: LAN Manager authentication level –> Send NTLMv2 response only. Refuse LM & NTLM
        • Network access: Named Pipes that can be accessed anonymously –> LSARPC & NETLOGON & SAMR
        • Network security: Restrict NTLM: Audit Incoming NTLM Traffic –> Enable auditing for domain accounts
        • Network security: Restrict NTLM: Audit NTLM authentication in this domain –> Enable all
        • Domain controller: Allow server operators to schedule tasks -> Disabled
        • Domain controller: Allow vulnerable Netlogon secure channel connections -> Disabled
        • Domain controller: Refuse machine account password changes -> Disabled

Not: “Network security: LAN Manager authentication level –> Send NTLMv2 response only. Refuse LM & NTLM” ayarından önce, etki alanı içerisinde mevcut durum için izleme yapılmalıdır.

Get-WinEvent -FilterHashtable @{logname=’Security’ ; ID=4624} | where {$_.message -match “ntlm v1”} | fl

 

4) Kerberos Güvenlik Politikaları

Kerberos kimlik doğrulamasının güvenilir bir şekilde işletilmesi etki alanındaki kimlik doğrulama mekanizması için önemlidir. Kerberos kimlik doğrulaması ile ilgili detaylı bilgi için kaynaklardaki Siberportal [6] bağlantısı incelenebilir.

Kontrol: Kerberos güvenlik politikalarının güvenilir olarak ayarlanmaması tüm etki alanı ortamını tehlikeye sokabilir.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • Etki alanı denetleyicisi rolündeki sunucunun yapılandırma ayarlarının istismarı ile yetkisiz işlemler gerçekleştirilebilir.
    • Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
      • Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Account Policies –> Kerberos Policy
        • Enforce User Logon Restrictions: Enabled
        • Maximum Lifetime For Service Ticket: 5 dakika
        • Maximum Lifetime For User Ticket: 600 dakika (10 saat)
        • Maximum Lifetime For User Ticket Renewal: 7 gün
        • Maximum Tolerance For Computer Clock Synchronization: 10 saat

Not: Servis/Oturum biletinin (Service Ticket) en uzun geçerlilik süresinin, TGT’nin en uzun geçerlilik süresinden (User Ticket) kısa olması gereklidir.

 

5) LDAP Güvenliği

LDAP (Lightweight Directory Access Protocol), OpenLDAP, Sun Directory Server, Microsoft Active Directory gibi indeks sunucuları üzerinde bağlantı kurma, sorgulamaya ve değişiklik yapmaya yarayan bir protololdür. Etki alanı üzerindeki sistemlerin, etki alanı denetleyicisi ile iletişiminde bu protokolün imza ile kimlik doğrulaması ve TLS üzerinden bir kanal ile iletişim kurması güvenliği arttırıcı bir unsurdur.

Kontrol: Etki alanı denetleyicisi rolündeki sunucuya anonim olarak bağlanılamamalı ve Aktif Dizin bölümlerine anonim olarak sorgulama yapılamamalıdır.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • Etki alanı denetleyicisi rolündeki sunucunun LDAP imzalamayı zorunlu olarak tutmaması trafiiğin güvenliğini tehlikeye atar.
      • Anonim erişim ile ilgili gerekli ayarlar ADSI Edit ile aşağıda belirtildiği gibi gerçekleştirilebilir:
        • Configuration container -> Services -> Windows NT –> CN=Directory Service –> Properties
          • dSHeuristics: Ayarlı değil veya 0

 

Kontrol: LDAP sunucusu ve istemcisi tarafında LDAP trafiğini imzalamanın zorunlu tutulmaması güvenilir olmayan bağlantılara (SASL LDAP bağlantı isteklerine veya LDAP simple binds over a Non-SSL/TLS bağlantılarına) sebep olur..

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • Etki alanı denetleyicisi rolündeki sunucunun LDAP imzalamayı zorunlu olarak tutmaması trafiiğin güvenliğini tehlikeye atar.
      • LDAP trafiğinin imzalanması ile ilgili gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
        • Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> Security Options
          • Network security: LDAP client signing requirements -> Require signing
          • Domain controller: LDAP server signing requirements -> Require signing
      • Gerekli ayarlar Kayıt Defteri ile aşağıda belirtildiği gibi gerçekleştirilebilir:
        • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
          • LDAPServerIntegrity (REG_DWORD): 2
        • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LDAP\
          • LDAPClientIntegrity (REG_DWORD): 2

 

Kontrol: LDAP SSL/TLS içerisinden şifreli olarak gitmemesi iletişim güvenliğini tehlikeye atar. (Bu ayar 10 Mart 2020 güncellemesi ile sunulmaya başlanmıştır)

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • Etki alanı denetleyicisi (Active Directory Domain Services (AD DS) / Active Directory Lightweight Directory Services (AD LDS)) rolündeki sunucunun LDAP trafiğini şifreli olarak yapmaması trafiiğin güvenliğini tehlikeye atar.
    • LDAP trafiğinin imzalanması ile ilgili gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
      • Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> Security Options
        • Domain controller: LDAP server channel binding token requirements -> (En az) When Supported
    • Gerekli ayarlar Kayıt Defteri ile aşağıda belirtildiği gibi gerçekleştirilebilir:
        • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
          • LdapEnforceChannelBinding (REG_DWORD): (En az) 2
      • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS instance Adı>\Parameters
        • LdapEnforceChannelBinding (REG_DWORD): (En az) 2

 

 

Kaynaklar:

[1] https://www.siberportal.org/category/blue-team/hardening/hardening-windows-operating-system/
[2] https://www.siberportal.org/category/blue-team/hardening/hardening-microsoft-domain-environment/
[3] https://www.siberportal.org/blue-team/securing-microsoft-domain-environment/hardening-services-on-microsoft-environment/
[4] https://www.siberportal.org/blue-team/securing-microsoft-domain-environment/windows-server-2008-r2-sonrasinda-aktif-dizin-nesnelerini-geri-dondurme-islemi/
[5] https://www.siberportal.org/blue-team/securing-microsoft-domain-environment/user-right-management-in-microsoft-environment/
[6] https://www.siberportal.org/blue-team/securing-microsoft-domain-environment/kerberos-authentication-on-microsoft-environments/
[7] https://identityandsecuritydotcom.files.wordpress.com/2020/04/adsa-1-1.pdf
[8] https://www.priviasecurity.com/windows-guvenlik-sikilastirmalari/

 

 

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

2 YORUMLAR

    • Merhabalar

      Teşekkürler

      Linkleri tıklayınca değil, kopyala-yapıştır ile gidilebiliyor. Bilerek bu şekilde bırakılmıştır.

      İyi günler

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

This site uses Akismet to reduce spam. Learn how your comment data is processed.