Aktif Dizin Nesnelerine Ait Gelişmiş Güvenlik Ayarları

0
558
views
Microsoft ortamında Aktif Dizin nesne erişimlerinin kontrolü, izlenmesi, shipliği için bir takım farklı mekanizmalar kullanılır. Bu yazıda Microsoft ortamında Aktif Dizin nesnelerine ait gelişmiş güvenlik ayarları incelenecektir.

Aktif Dizin üzerindeki her bir nesne için güvenlik tanımları gerçekleştirilebilir. Bu işlem için, öncelikle gelişmiş görünüm özellikleri aktifleştirilir, daha sonra da seçilen bir nesnenin gelişmiş güvenlik özellikleri incelenir.

Active Directory Users and Computers > View > Advanced Features: İşaretlenir
Active Directory Users and Computers > Etki Alanı Adı > Bir Nesne > Properties > Security Sekmesi > Advanced

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

managing-advanced-security-settings-active-directory-01

 

1) Sekmeler

Gelişmiş güvenlik seçeneklerinde 4 sekme bulunmaktadır.

 

1.1) Permissions & Effective Permissions Sekmeleri

Her bir ACE (access control entry) nesnesi bir üst dizinden kalıtım yoluyla aktarılabilir. Bir ACE nesnesinin kalıtım yoluyla aktarılıp aktarılmadığı “Inherited From” kolonundan anlaşılabilir. Eğer ilgili ACE nesnesi bulunduğu dizin üzerinde oluşturulmuşsa, “Inherited From” alanında şekilde görüldüğü gibi “not inherited” yazdığı görülebilir. Kalıtım yoluyla üst dizinlerden aktarılıyorsa yine “Inherited From” alanında ilgili ACE nesnesinin hangi dizinden aktarıldığını gösteren yol (PATH) değeri görülebilir. Kalıtım yoluyla aktarılan izinleri alt dizinlerden değiştirme durumu yoktur ve kalıtım yoluyla aktarılan izinler ara yüzde gri kutucuk şeklinde gözükür ve bu dizinden değiştirilemeyeceğini simgeler.

İstenirse üst klasörden kalıtım yoluyla gelen izinler reddedilebilir. Bunun için “Include inheritable permissions from the object’s parent” kutucuğunun işaretlenmemesi yeterli olacaktır. Bu işaret kaldırıldığında bir uyarı penceresi açılacaktır ve üstten kalıtım yoluyla aktarılan izinlerin ilgili nesne üzerindeki durumları hakkında seçim yapılması istenir. Add seçeneği seçilirse kalıtım yoluyla gelen izinler sanki bu nesne üzerinde verilmiş gibi olacaktır ve bu izinler ilgili dizinde uygulanmaya devam edecektir. Bu izinlerin “Inhereted From” sekmesinde artık üst dizinin yolu yerine “not inherited” görünecektir. Açılan uyarı penceresinde “Remove” seçeneği seçilirse, üst dizinden kalıtım yoluyla gelen tüm izinler ilgili nesneden kaldırılacaktır. İlgili nesnede yalnızca “not inhereted” olarak görünen izinler kalacaktır.

İzinler konusunda dikkat edilmesi gereken bir nokta da, nesneler üzerinde özel olarak verilen bir hak, kalıtımsal olarak verilmiş bir hakkı ezeceğidir. Yani bir kullanıcının bir OU üzerinde kalıtımsal olarak Okuma hakkı varken; bu OU üzerine özel olarak Yazma hakkı da verilirse, kullanıcının bu OU üzerinde Yazma hakkı olacaktır.

 

1.2) Audit Sekmesi

System Access Control List (SACL) ise korunabilen bir nesneye erişme girişiminde bulunan tüm girişimlerin kayıt bilgisinin tutulmasında kullanılır. Nesneler üzerinde başarılı veya başarısız kayıt bilgisi üretilmesi sağlanabilir.

 

1.3) Owner Sekmesi

Security descriptor alanınında bulunan SID değeri ile ilgili nesnenin sahibinin kim olduğunu belirlemede kullanılır. Eğer bir nesne üzerinde herhangi bir güvenlik izni bulunmasa bile, nesnenin sahibi olan kullanıcı veya gruplar nesne üzerinde sahip değişikliği dahil, her türlü değişikliği yapma hakkına sahip olur.

 

2) Yetkileri Güvenlik Araçları ile Yönetim

Aktif Dizin izinlerinin kontrolü için kullanılabilecek birçok araç vardır. Bu araçlardan bazıları şu şekildedir:

  • DSACLS.exe: Aktif Dizin nesnelerinin özelliklerinin listelenmesini ve değiştirilmesini sağlar.
  • ACLDIAG.exe: Aktif Dizin nesnelerine ait izinlerin ve denetimlerin listelenmesini ve şemadaki varsayılan değerlerle karşılaştırılmasını sağlar.
  • SDCHECK.exe: Kalıtımsal olan veya özel olarak verilmiş izinlerin listelenmesini sağlar.
  • DSREVOKE.exe: OU altındaki kullanıcı ve grupların izinlerinin kaldırılmasını ve listelenmesini sağlar.
  • ADSI: Aktif Dizin nesnelerine ait izinlerin VB veya Perl gibi betik dilleri ile yönetilmesini sağlar.

 

3) AdminSDHolder Nesnesi

Aktif Dizin üzerindeki nesnelerin izinleri erişim kontrol listeleri (ACL) ile ayarlanır. Kritik hesaplar/gruplar (AdminCount=1) gibi korunması gereken nesnelerin güvenliği için, bazı erişim kontrol liste değerlerinin yanlışlıkla değiştirilmesinin önüne geçilmelidir. Bu amaçla AdminSDHolder adı verilen bir nesne kullanılır.

LSASS prosesinin bir Thread’i olan AdminSDHolder prosesi, saatte bir çalışarak, tüm Aktif Dizin üzerinde bu kritik nesnelerin erişim kontrol liste değerlerinin üzerine yazar, bu işleme de SDProp prosesi adı verilir. Eğer bir kalıtım (inherit) alınmış olsa bile, bu nesne, kalıtımı da iptal eder. AdminSDHolder konteynır nesnesinin altındaki kritik nesnelerin ACL değerleri değiştirilerek, bu kritik grupların izinleri değiştirilebilir ancak bu durumun dikkatlice kullanılması tavsiye edilmektedir.

AdminSDHolder prosesinin çalışması varsayılan olarak 60 dakikada bir çalışır. Bu değer değiştirilebilir olsa da değiştirilmesi tavsiye edilmemektedir. Bunun yanında AdminSDHolder tarafından korunan ve dolaylı Distribution grup içerisinde olan kullanıcılar AdminSDHolder nesnesinin kontrolünden çıktığı için, bu konteynır içerisinde Nesting Distribution grup kullanılmamalıdır.

 

 

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.