Salt Okunur Etki Alanı Denetleyicileri’nde (Read-Only Domain Controllers – RODCs) Parola Politikası Replikasyonunun Gerçekleştirilmesi

0
652
views
Salt okunur etki alanı denetleyicileri üzerinde, varsayılan olarak hiçbir kullanıcı veya bilgisayarın parolası veya parola özeti bulunmamaktadır. Kimlik doğrulaması standart etki alanı denetleyicisi (Read-Writable Domain Controller) üzerinde gerçekleştirilir. Sadece “Allowed RODC Password Replication Group” içerisinde yer alan hesapların parola bilgileri ön bellekte saklanabilir. Bu özelliğe Credential Caching (Kimlik Bilgilerini Ön Bellekte Tutma) adı verilir. Allowed ve Denied RODC Password Replication Group içerisindeki hesapların gözden geçirilmesi önem arz etmektedir. Bu yazıda RODC üzerinde parola bilgilerinin replikasyonu ile ilgili kritik ayarlar incelenecektir.

1) RODC Yöneticilerinin Parolasının Ön Bellekte Tutulması

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

Etki alanı denetleyicisi üzerinde Active Directory Users and Computers uygulaması çalıştırılır ve sırasıyla aşağıdaki adımlar gerçekleştirilir.

Şekil - 1: RODC Makinesinin İzlenmesi
Şekil – 1: RODC Makinesinin İzlenmesi

 

RODC özelliklerinden parola replikasyon üyelikleri incelenebilir. Varsayılan olarak hiçbir kullanıcının parolası RODC üzerinde önbelleğe alınmamaktadır. Ancak RODC güvenilir olmayan bir DC olduğu için bir problem olduğunda bu bilgisayarda Domain Admins gibi bir kullanıcının oturum açmaması için veya networksel bir problem oluştuğunda (DC ile iletişim gerçekleşemediğinde) oturumun sadece kısıtlı yetkiye sahip kullanıcıların (Adana_Teknik Destek grubundakiler) açabilmesi için, kısıtlı yetki verilmiş olan RODC yöneticilerinin parolalarının ön bellekte tutulması tavsiye edilmektedir.

Bu amaçla RODC özelliklerinden parola replikasyon ilkesi sekmesine gelinir ve grup adı çift tıklanarak açılan pencerede kullanıcı üyeliği gerçekleştirilir.

Şekil - 2: RODC Üzerinde Parolası Ön Bellekte Tutulacak Hesabın Eklenmesi - 1
Şekil – 2: RODC Üzerinde Parolası Ön Bellekte Tutulacak Hesabın Eklenmesi – 1

 

Eklenecek grup seçilir.

Şekil - 3: RODC Üzerinde Parolası Ön Bellekte Tutulacak Hesabın Eklenmesi - 2
Şekil – 3: RODC Üzerinde Parolası Ön Bellekte Tutulacak Hesabın Eklenmesi – 2

 

Gruba ekleme işlemi sonucu aşağıdaki gibidir.

Şekil - 4: RODC Üzerinde Parolası Ön Bellekte Tutulacak Hesabın Eklenmesi - 3
Şekil – 4: RODC Üzerinde Parolası Ön Bellekte Tutulacak Hesabın Eklenmesi – 3

 

Önemli Not: “Allowed RODC Password Replication” grubuna eklenen kullanıcılar bütün RODC üzerinde parolası tutulan kullanıcılardır. Bu durumda bu grup üyeleri tüm etki alanlarında çevrim dışı durumda oturum açabilir. Bunu önlemek için, ayrı bir grup oluşturulmalı ve bu grup için yetkilendirmede bulunulmalıdır.

 

2) Parolası Ön Bellekte Tutulmayan Hesapların Ayarlanması

Varsayılan olarak hiçbir kullanıcının parolası önbellekte tutulmazken, bazı kullanıcı ve grupların (yanlışlıkla gerçekleşebilecek işlemlerden dolayı) parolasının önbellekte tutulması ayrıca engellenmiştir.

Şekil - 5: RODC Üzerinde Parolası Ön Bellekte Tutulmayacak Hesapların Listelenmesi
Şekil – 5: RODC Üzerinde Parolası Ön Bellekte Tutulmayacak Hesapların Listelenmesi

 

Eğer istenirse bu gruba, parolası RODC üzerinde ön bellekte tutulmaması istenilen hesaplar eklenebilir.

 

3) RODC Üzerinde Parolası Saklanan Hesapların Listelenmesi

RODC üzerinde parolası saklanan hesapları listelemek için RODC özelliklerindeki gelişmiş parola replikasyon ayarları kullanılır.

Şekil - 6: RODC Üzerinde Parolası Tutulan Hesapların Listelenmesi
Şekil – 6: RODC Üzerinde Parolası Tutulan Hesapların Listelenmesi

 

Görüldüğü gibi, sadece makinenin ve o makinede kimlik doğrulama işlemini gerçekleştiren Kerberos TGT servis kullanıcısının parolaları bulunmaktadır. Bu servis kullanıcısının adı her grupta farklılık gösterebilir.

 

4) RODC Üzerinde Kimlik Doğrulaması Gerçekleştirmiş Olan Hesapların Listelenmesi

RODC üzerinde parolası saklanan hesapları listelemek için RODC özelliklerindeki gelişmiş parola replikasyon ayarları kullanılır.

Şekil - 7: RODC Üzerinde Kimlik Doğrulayan Hesapların Listelenmesi
Şekil – 7: RODC Üzerinde Kimlik Doğrulayan Hesapların Listelenmesi

 

Bu kullanıcılar izlenerek, “Allowed RODC Password Replication” grubuna eklenebilir.

 

5) Parolası Ön Belleğe Alınan Hesapların Belirlenmesi

Parola bilgisi RODC ön belleğinde saklanan hesapları belirlemek için, gelişmiş parola replikasyon ilkesine ait penceredeki “Resultant Policy” sekmesi kullanılır.

Şekil - 8: Parolası Ön Belleğe Alınan Hesapların Belirlenmesi - 1
Şekil – 8: Parolası Ön Belleğe Alınan Hesapların Belirlenmesi – 1

 

Ekleme işlemi ile sorgulama yapılacak hesaplar eklenebilir.

Şekil - 9: Parolası Ön Belleğe Alınan Hesapların Belirlenmesi - 2
Şekil – 9: Parolası Ön Belleğe Alınan Hesapların Belirlenmesi – 2

 

Üç farklı kullanıcıya ait durum aşağıdaki gibidir.

Şekil - 10: Parolası Ön Belleğe Alınan Hesapların Belirlenmesi - 3
Şekil – 10: Parolası Ön Belleğe Alınan Hesapların Belirlenmesi – 3

 

6) Parolaların Önceden Üretilmesi

Parolaların RODC üzerinde önceden üretilmesinin iki temel amacı vardır:

  • DC (RWDC) erişimi yokken, bir kullanıcının RODC üzerinden kimlik doğrulaması sağlanabilir.
  • Kurulan ve taşraya taşınan bir RODC üzerinde, taşradaki bazı kullanıcıların parolası önceden oluşturularak, bu kullanıcıların RWDC üzerinde kimlik doğrulaması gerçekleştirmemesi sağlanabilir. Böylece kullanıcı ilk oturumunu açarken gecikme yaşanmayacaktır.

Bu işlemi gerçekleştirmek için RODC özelliklerindeki gelişmiş parola replikasyon ayarları kullanılır.

Şekil - 11: Parolası Önceden Üretilecek Hesapların Belirlenmesi
Şekil – 11: Parolası Önceden Üretilecek Hesapların Belirlenmesi

 

Kaynak:

https://technet.microsoft.com/en-us/library/rodc-guidance-for-administering-the-password-replication-policy(v=ws.10).aspx

 

 

 

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.