Microsoft Ortamında Salt Okunur Etki Alanı Denetleyicileri (Read-Only Domain Controllers – RODCs)

0
202
views
Salt Okunur Etki Alanı Denetleyicileri (Read-Only Domain Controllers – RODCs), merkez-taşra yapısına sahip olan ve özellikle taşra tarafında fiziksel güvenlik zaafları bulunan kurumlar için oldukça yararlıdır. Bilgi güvenliği bakış açısı ile; salt okunur etki alanı denetleyicilerinin amacı, şubelerde/ofislerde veya taşrada gerçekleşen bir zafiyetin orada kalması olarak özetlenebilir. Bu yazıda Microsoft Ortamında Salt Okunur Etki Alanı Denetleyicileri (Read-Only Domain Controllers – RODCs) incelenecektir.

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

RODC, Windows Server 2008 işletim sistemiyle beraber gelmiştir. Bir salt okunur etki alanı denetleyicisine sahip olabilmek için Windows Server 2003 orman fonksiyonel seviyeye (forest functional level) ve en az bir adet Windows Server 2008 etki alanı denetleyicisine sahip olmak gerekmektedir.

Organizasyonların taşradaki şubelerinin bir etki alanı denetleyicisi ihtiyacını karşılamak amacıyla, bu şubelerin fiziksel güvenliği yeterince sağlanamadığından, yazılabilir bir etki alanı denetleyicisi kurmak yerine bir salt okunur etki alanı denetleyicisi kurmak daha uygun olacaktır. Böylece daha gelişmiş güvenlik özellikleri, daha kısa sisteme giriş süreleri ve ağ üzerindeki kaynaklara daha verimli erişim sağlanmış olacaktır.

Salt okunur etki alanı denetleyicisinde, adından da anlaşıldığı üzere, çevrim içi veya çevrim dışı olarak Aktif Dizin üzerine yazma işlemi gerçekleştirilemez. Sadece diğer etki alanı denetleyicileri üzerindeki bilgileri okurlar.

Salt okunur etki alanı denetleyicisi üzerindeki DNS’de (ForestDNSZone ve DomainDNSZone bölgelerinde) sadece okuma işlemi gerçekleştirir. Üzerinde güncelleştirmeler gerçekleştirilemez. Gelen DNS sorgusunun cevabı kendisinde yoksa ilgili DNS’e gönderir. Gelen cevaba göre senkronize olur. İstemcilerden bir güncelleme gelecek şekilde dinamik güncelleştirmeler etkinleştirilmişse, RODC istemciden gelen SOA (Start of Authority – Yetki Başlangıcı) talebini karşılayamayacağı (kendi DNS kayıtlarına yazamayacağı) için, yazılabilir eki alanı denetleyicisine gönderir. Bir süre sonra da (senkronizasyon sonrasında), kendi üzerine alır.

 

1) Salt Okunur Etki Alanı Denetleyicilerinde Replikasyon

Salt okunur etki alanı denetleyicileri üzerinde replike edilmemesi istenen bilgiler filtrelenmelidir. Örneğin, kullanıcıların bölüm / departman bilgileri salt okunur etki alanı denetleyicileri üzerinde tutulmayabilir. Böylece salt okunur etki alanı denetleyicileri bir saldırgan tarafından ele geçirilse bile etki alanındaki kullanıcıların bölüm / departman bilgileri kaybedilmeyecektir. Buna benzer olarak kullanıcı hesap bilgileri ve KRBTGT hesabı da kritik bilgilerin başında gelmektedir.

Salt okunur etki alanı denetleyicileri üzerinde herhangi bir değişiklik yapılmadığından, salt okunur etki alanı denetleyicilerinden dışarıya doğru bir replikasyona gerek kalmamakta, replikasyon sadece salt okunur etki alanı denetleyicilerine doğru yapılmaktadır, dolayısıyla tek yönlü bir replikasyon söz konusu olmaktadır. Bu da zaten düşük bant genişliğine sahip olan taşra şubelerindeki ağ yükünü azaltan bir avantaj olarak gözükmektedir.

Salt okunur etki alanı denetleyicileri üzerinde replike edilmemesi istenen en kritik bilgilerin başında kullanıcıların parola özet bilgileri gelmektedir. Salt okunur etki alanı denetleyicileri, kullanıcı hesabı parola özetleri (Salt okunur etki alanı denetleyicisi ile aynı Site içerisinde olan kullanıcı ve bilgisayarlar hariç) haricinde yazılabilir bir etki alanı denetleyicisi üzerinde tutulan tüm nesne ve özellikleri (attributes) barındırır. Veritabanında bir değişiklik olacağı zaman salt okunur etki alanı denetleyicisi üzerinde direkt bir değişiklik yapılmaz. Yazılabilir etki alanı denetleyicisi üzerinde değişiklik yapılır, daha sonra bu değişiklik salt okunur etki alanı denetleyicisine replike edilir.

Salt okunur etki alanı denetleyicileri üzerinde, varsayılan olarak hiçbir kullanıcı veya bilgisayarın parolası veya parola özeti bulunmamaktadır. Kimlik doğrulaması standart etki alanı denetleyicisi (Read-Writable Domain Controller) üzerinde gerçekleştirilir. Sadece “Allowed RODC Password Replication Group” içerisinde yer alan hesapların parola bilgileri ön bellekte saklanabilir. Bu özelliğe Credential Caching (Kimlik Bilgilerini Ön Bellekte Tutma) adı verilir. Allowed ve Denied RODC Password Replication Group içerisindeki hesapların gözden geçirilmesi önem arz etmektedir. Mümkünse hiçbir hesaba ait parola bilgisinin RODC üzerinde tutulmaması tavsiye edilmektedir. Veya en azından RODC kurulu lokasyondaki kullanıcıların parola bilgisi ön bellekte saklanmalıdır. Domain Admins veya Enterprise Admins gibi etki alanı üzerinde yetkili olan hesapların parola bilgileri kesinlikle ön bellekte tutulmamalıdır.

Bir salt okunur etki alanı denetleyicisi eğer saldırganlar tarafından ele geçirilirse, salt okunur etki alanı denetleyicisi üzerinde mevcut olan parola özetleri saldırganlarca ele geçirilebilir. Bu sebeple, ya parola replikasyonu gerçekleştirilmemeli, ya da saldırı gerçekleşmesi durumunda salt okunur etki alanı denetleyicisi üzerinde parolası bulunan kullanıcılar, parola değiştirmeye zorlanmalıdır.

Kullanıcılara ait parola özet bilgileri, standart bir etki alanı denetleyicisi üzerinde tutulan yegâne kritik değerler değildir. KRBTGT hesabı her bir etki alanı denetleyicisinde çalışan Kerberos Key Distribution Center (KDC) servisi için anahtarlar içerir. Tipik olarak etki alanındaki her bir KDC aynı KRBTGT hesabını paylaşır. Dolayısıyla saldırgan standart bir etki alanı denetleyicisini ele geçirdiğinde bu hesapları da ele geçirmiş olur ve etki alanının tümüne saldırabilir. Fakat yeni sistemde her bir alt okunur etki alanı denetleyicisine ait KRBTGT hesabı vardır.

 

2) Salt Okunur Etki Alanı Denetleyicilerinde Yetkilendirme

Bir kullanıcıya salt okunur etki alanı denetleyicisi üzerinde yönetici yetkisi verilse bile, salt okunur etki alanı denetleyicisi üzerinde gerçekleştirilen bir işlem etki alanındaki diğer salt okunur etki alanı denetleyicileri üzerinde yetki sahibi yapmayacaktır. Bu kullanıcı yetkisini sadece yetkilendirildiği salt okunur etki alanı denetleyicisi üzerinde bakım işlemleri gerçekleştirmek için kullanılabilecektir.

Salt okunur etki alanı denetleyicisi üzerindeki yetkili kullanıcının makine üzerinde yerel yönetici rolüne (Administrators grubu değil) sahip olması gerekmektedir. Bu kullanıcının yerel yönetici grubunda olmaması önem arz etmektedir. Kullanıcıya yerel yönetici rolü verilmesi ile kullanıcı sadece yerel yöneticilerin sahip oldukları RID (544) değerine sahip olur, ancak o grup içerisinde yer almaz.

 

3) Salt Okunur Etki Alanı Denetleyicisinin Tehdit Altına Girmesi

Bir RODC eğer saldırganlar tarafından ele geçirilirse, RODC üzerinde mevcut olan parola özetleri saldırganlarca ele geçirilebilir. Bu sebeple, ya parola replikasyonu gerçekleştirilmemeli, ya da saldırı gerçekleşmesi durumunda RODC üzerinde parolası bulunan kullanıcılar, parola değiştirmeye zorlanmalıdır.

 

Kaynak:

http://www.bilgiguvenligi.gov.tr/microsoft-guvenligi/windows-server-2008-salt-okunur-etki-alani-denetcileri.html

 

 

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.