Güven İlişkisi Kurulan Etki Alanları Arasında Seçmeli Kimlik Doğrulamanın Sağlanması

0
357
views
Kurumlarda etki alanlarını yönetilebilir bir çatı altında toplamak için güven ilişkisi kurulma ihtiyacı olabilir. Bu yazıda güvenilen etki alanındaki (sirket.com.tr) bir kullanıcının ve grubun, güven duyan etki alanının (ornek.com.tr) kaynağına erişmesi sağlanacaktır.

Kaynağa Erişecek Grubun ve Kullanıcının Oluşturulması

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

Güven duyulan “sirket.com.tr” etki alanı içerisinde hedef kaynağa (Grup01.ornek.com.tr) erişecek kullanıcı; OU=KULLANICILAR, OU=Bilgi İşlem altındaki OU=Yönetici içerisinde “Ahmet Akpınar” adı ile oluşturulabilir.

Şekil - 1: Ahmet Akpınar Kullanıcısının Oluşturulması - 1
Şekil – 1: Ahmet Akpınar Kullanıcısının Oluşturulması – 1

 

Bu kullanıcıya parola verilir. Sonraki oturumda parolasını değiştirmemesi sağlanır. (Sebebi yazının sonunda belirtilecektir)

Şekil - 2: Ahmet Akpınar Kullanıcısının Oluşturulması - 2
Şekil – 2: Ahmet Akpınar Kullanıcısının Oluşturulması – 2

 

İşlem sonlandırılır.

Şekil - 3: Ahmet Akpınar Kullanıcısının Oluşturulması - 3
Şekil – 3: Ahmet Akpınar Kullanıcısının Oluşturulması – 3

 

Daha sonra aynı OU içerisinde “Erişim Hakkına Sahip Kullanıcılar” adında bir genel güvenlik (Global Security) grubu oluşturulur.

Şekil - 4: "Erişim Hakkına Sahip Kullanıcılar" Adlı Grubun Oluşturulması
Şekil – 4: “Erişim Hakkına Sahip Kullanıcılar” Adlı Grubun Oluşturulması

 

Böylece; kullanıcı ve grup oluşturulmuştur.

Şekil - 5: Kullanıcı ve Grup Oluşturma Sonucunun İzlenmesi
Şekil – 5: Kullanıcı ve Grup Oluşturma Sonucunun İzlenmesi

 

Oluşturulan gruba, Ahmet Akpınar kullanıcısı üye yapılır.

Şekil - 6: Oluşturulan Gruba Ahmet Akpınar Kullanıcısının Üye Yapılması - 1
Şekil – 6: Oluşturulan Gruba Ahmet Akpınar Kullanıcısının Üye Yapılması – 1
Şekil - 7: Oluşturulan Gruba Ahmet Akpınar Kullanıcısının Üye Yapılması - 2
Şekil – 7: Oluşturulan Gruba Ahmet Akpınar Kullanıcısının Üye Yapılması – 2

 

 

Erişilecek Kaynak Üzerinde Kimlik Doğrulamanın Aktifleştirilmesi

Kaynağı açacak olan etki alanındaki (ornek.com.tr) etki alanı denetleyicilerinde Active Directory Users and Computers açılır ve Computers konteynırı açılır.

Şekil - 8: 'Computers' Konteynırı
Şekil – 8: ‘Computers’ Konteynırı

 

Öncelikle nesneler üzerindeki güvenlik ayarlarının incelenebilmesi için görünüm ayarlarından gelişmiş özellikler etkinleştirilir.

Şekil - 9: Gelişmiş Görünüm Ayarlarının Etkinleştirilmesi
Şekil – 9: Gelişmiş Görünüm Ayarlarının Etkinleştirilmesi

 

Computers sekmesinin sağında istenilen Computer nesnesine çift tıklanarak özelliklerinin açılması sağlanır. Özelliklerden Security sekmesine tıklanarak aşağıdaki resme benzer şekilde Add butonuna tıklanır.

Şekil - 10: İlgili Bilgisayar Nesnesi Üzerine Yetkili Kullanıcı Ekleme - 1
Şekil – 10: İlgili Bilgisayar Nesnesi Üzerine Yetkili Kullanıcı Ekleme – 1

 

Kaynaklara erişim yetkisi verilecek kullanıcı seçilir. Bu amaçla öncelikle izin verilecek kullanıcının hesabının bulunduğu yer (etki alanı) belirlenir.

Şekil - 11: İlgili Bilgisayar Nesnesi Üzerine Yetkili Kullanıcı Ekleme - 2
Şekil – 11: İlgili Bilgisayar Nesnesi Üzerine Yetkili Kullanıcı Ekleme – 2
Şekil - 12: İlgili Bilgisayar Nesnesi Üzerine Yetkili Kullanıcı Ekleme - 3
Şekil – 12: İlgili Bilgisayar Nesnesi Üzerine Yetkili Kullanıcı Ekleme – 3

 

Daha sonra Advanced butonu ile gelişmiş arama ekranına geçilir.

Şekil - 13: Gelişmiş Arama Seçenekleri
Şekil – 13: Gelişmiş Arama Seçenekleri

 

Gelişmiş arama seçeneklerinde Find Now seçeneği işaretlendikten sonra “sirket.com.tr” etki alanına ait yetkili bir kullanıcı hesap bilgilerinin girilmesi gerekmektedir. Çünkü “sirket.com.tr” etki alanı; “ornek.com.tr” etki alanına güvenmemektedir.

Şekil - 14: Güvenilen Etki Alanında Sorgulama İşlemi İçin Kimlik Bilgisinin Girilmesi
Şekil – 14: Güvenilen Etki Alanında Sorgulama İşlemi İçin Kimlik Bilgisinin Girilmesi

 

Yetki olan kullanıcıya ait bilgiler girildikten sonra aşağıdaki gibi “sirket.com.tr” etki alanına ait gruplar ve kullanıcılar listelenir.

Şekil - 15: Erişim Hakkına Sahip Olacak Kullanıcıların Belirlenmesi - 1
Şekil – 15: Erişim Hakkına Sahip Olacak Kullanıcıların Belirlenmesi – 1

 

Yukarıdaki ekranda “Erişim Hakkına Sahip Kullanıcılar” eklenmiştir.

Şekil - 16: Erişim Hakkına Sahip Olacak Kullanıcıların Belirlenmesi - 2
Şekil – 16: Erişim Hakkına Sahip Olacak Kullanıcıların Belirlenmesi – 2

 

Grup eklendikten sonra aşağıdaki ekrandaki gibi “Allowed to authenticate” seçeneği işaretlenerek işlem tamamlanır.

Şekil - 17: "Allowed to authenticate" Yetkisinin Aktif Edilmesi
Şekil – 17: “Allowed to authenticate” Yetkisinin Aktif Edilmesi

 

Tüm açık pencereler kapatılır.

Not: Etki alanındaki bir bilgisayara erişim hakkı verilmesi işlemini varsayılan olarak sadece aşağıdaki gruplar gerçekleştirebilir ve bilgisayarın yerel yöneticisinin etki alanları seviyesinde gerçekleşen bu işlemi gerçekleştirmeye yetkisi yoktur.

  • Account Operators
  • Administrators (Etki alanındaki)
  • Domain Admins
  • Enterprise Admins
  • SYSTEM

 

Erişimin Test Edilmesi

Güven duyan etki alanında (ornek.com.tr) bulunan ve güvenilen etki alanındaki (sirket.com.tr) “Erişim Hakkına Sahip Kullanıcılar” adlı grubun erişimine açılan kaynakta (Grup01-PC.ornek.com.tr bilgisayarında) oturum açma testi gerçekleştirilecektir.

Not: Test işlemi sırasında güvenlik duvarlarında ilgili portların izinli olduğundan emin olunmalıdır.

Güven duyulan etki alanındaki “Erişim Hakkına Sahip Kullanıcılar” grubunda bulunan Ahmet Akpınar kullanıcısı, Grup01-PC üzerinde oturum açabilmektedir.

Şekil - 18: Güven Duyan Etki Alanında, Güvenilen Kullanıcının Oturum Açması
Şekil – 18: Güven Duyan Etki Alanında, Güvenilen Kullanıcının Oturum Açması

 

Kimlik doğrulamasını gerçekleştiren etki alanı denetleyicisinin güven duyulan etki alanına (sirket.com.tr) ait sunucu (Grup00-DC.sirket.com.tr) olduğuna dikkat edilmelidir. Bu kullanıcı oturum açtığı bilgisayarın bulunduğu etki alanında (ornek.com.tr) sorgu yapabilme hakkı olmadığı için kullanıcıları çekememektedir.

Şekil - 19: Yetki Verilen Kullanıcının Açtığı Oturumun Gözlenmesi
Şekil – 19: Yetki Verilen Kullanıcının Açtığı Oturumun Gözlenmesi

 

Benzer şekilde güven duyulan etki alanının (sirket.com.tr) yöneticisi bile, herhangi bir şekilde yetki verilmediği için güven duyan (ornek.com.tr) etki alanındaki kullanıcıları listeleyememekte, hatta “ornek.com.tr” etki alanındaki kaynakta (Grup01-PC) oturum bile açamamaktadır.

Şekil - 20: Yetkisiz ve Yetkili Kullanıcı İle Yapılan İşlemlerin İzlenmesi
Şekil – 20: Yetkisiz ve Yetkili Kullanıcı İle Yapılan İşlemlerin İzlenmesi

 

Not: Seçmeli Kimlik Doğrulama (Selective Authentication) işleminin özellikle sunucular veya kritik kaynaklar için gerçekleştirilmesi gerekmektedir.

 

Bilgilendirme

Güven duyulan etki alanında (sirket) kullanıcı oluşturulurken, parolası bir sonraki oturumda değiştirilmesine zorlanmamıştı. Eğer sonraki oturumda parolası değiştirilmesi zorunlu tutulsaydı; ilk kez güven duyan etki alanında (ornek) oturum açılması aşağıdaki gibi gerçekleşirdi.

Şekil - 21: Oturum Açma Denemesi
Şekil – 21: Oturum Açma Denemesi

 

Kullanıcı parolasının değiştirilmesi talep edilir.

Şekil - 22: Parola Değiştirme Talebinin Gerçekleştirilmesi - 1
Şekil – 22: Parola Değiştirme Talebinin Gerçekleştirilmesi – 1

 

Kullanıcı parolası oluşturulur.

Şekil - 23: Parola Değiştirme Talebinin Gerçekleştirilmesi - 2
Şekil – 23: Parola Değiştirme Talebinin Gerçekleştirilmesi – 2

 

Değişiklik güven duyan etki alanında gerçekleştirilmeye çalışılır.

Şekil - 24: Parola Değiştirme Talebinin Karşılanması
Şekil – 24: Parola Değiştirme Talebinin Karşılanması

 

Ancak değiştirme işlemi başarılı olmaz.

Şekil - 25: Parola Değiştirme Sırasında Alınan Hatanın İzlenmesi
Şekil – 25: Parola Değiştirme Sırasında Alınan Hatanın İzlenmesi

 

Bu hatanın sebebi, Şekil-17’de parola değiştirme yetkisinin verilmemiş olmamasıdır.

 

 

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.