Microsoft Domain Environment

Güven İlişkisi Kurulan Etki Alanları Arasında Seçmeli Kimlik Doğrulamanın Sağlanması

Yazarı:

04/04/2016

327

views

Kurumlarda etki alanlarını yönetilebilir bir çatı altında toplamak için güven ilişkisi kurulma ihtiyacı olabilir. Bu yazıda güvenilen etki alanındaki (sirket.com.tr) bir kullanıcının ve grubun, güven duyan etki alanının (ornek.com.tr) kaynağına erişmesi sağlanacaktır.

Kaynağa Erişecek Grubun ve Kullanıcının Oluşturulması

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

Güven duyulan “sirket.com.tr” etki alanı içerisinde hedef kaynağa (Grup01.ornek.com.tr) erişecek kullanıcı; OU=KULLANICILAR, OU=Bilgi İşlem altındaki OU=Yönetici içerisinde “Ahmet Akpınar” adı ile oluşturulabilir.

Şekil - 1: Ahmet Akpınar Kullanıcısının Oluşturulması - 1 — Şekil – 1: Ahmet Akpınar Kullanıcısının Oluşturulması – 1

Bu kullanıcıya parola verilir. Sonraki oturumda parolasını değiştirmemesi sağlanır. (Sebebi yazının sonunda belirtilecektir)

Şekil - 2: Ahmet Akpınar Kullanıcısının Oluşturulması - 2 — Şekil – 2: Ahmet Akpınar Kullanıcısının Oluşturulması – 2

İşlem sonlandırılır.

Şekil - 3: Ahmet Akpınar Kullanıcısının Oluşturulması - 3 — Şekil – 3: Ahmet Akpınar Kullanıcısının Oluşturulması – 3

Daha sonra aynı OU içerisinde “Erişim Hakkına Sahip Kullanıcılar” adında bir genel güvenlik (Global Security) grubu oluşturulur.

Şekil - 4: "Erişim Hakkına Sahip Kullanıcılar" Adlı Grubun Oluşturulması — Şekil – 4: “Erişim Hakkına Sahip Kullanıcılar” Adlı Grubun Oluşturulması

Böylece; kullanıcı ve grup oluşturulmuştur.

Şekil - 5: Kullanıcı ve Grup Oluşturma Sonucunun İzlenmesi — Şekil – 5: Kullanıcı ve Grup Oluşturma Sonucunun İzlenmesi

Oluşturulan gruba, Ahmet Akpınar kullanıcısı üye yapılır.

Şekil - 6: Oluşturulan Gruba Ahmet Akpınar Kullanıcısının Üye Yapılması - 1 — Şekil – 6: Oluşturulan Gruba Ahmet Akpınar Kullanıcısının Üye Yapılması – 1

Şekil - 7: Oluşturulan Gruba Ahmet Akpınar Kullanıcısının Üye Yapılması - 2 — Şekil – 7: Oluşturulan Gruba Ahmet Akpınar Kullanıcısının Üye Yapılması – 2

Erişilecek Kaynak Üzerinde Kimlik Doğrulamanın Aktifleştirilmesi

Kaynağı açacak olan etki alanındaki (ornek.com.tr) etki alanı denetleyicilerinde Active Directory Users and Computers açılır ve Computers konteynırı açılır.

Şekil - 8: 'Computers' Konteynırı — Şekil – 8: ‘Computers’ Konteynırı

Öncelikle nesneler üzerindeki güvenlik ayarlarının incelenebilmesi için görünüm ayarlarından gelişmiş özellikler etkinleştirilir.

Şekil - 9: Gelişmiş Görünüm Ayarlarının Etkinleştirilmesi — Şekil – 9: Gelişmiş Görünüm Ayarlarının Etkinleştirilmesi

Computers sekmesinin sağında istenilen Computer nesnesine çift tıklanarak özelliklerinin açılması sağlanır. Özelliklerden Security sekmesine tıklanarak aşağıdaki resme benzer şekilde Add butonuna tıklanır.

Şekil - 10: İlgili Bilgisayar Nesnesi Üzerine Yetkili Kullanıcı Ekleme - 1 — Şekil – 10: İlgili Bilgisayar Nesnesi Üzerine Yetkili Kullanıcı Ekleme – 1

Kaynaklara erişim yetkisi verilecek kullanıcı seçilir. Bu amaçla öncelikle izin verilecek kullanıcının hesabının bulunduğu yer (etki alanı) belirlenir.

Şekil - 11: İlgili Bilgisayar Nesnesi Üzerine Yetkili Kullanıcı Ekleme - 2 — Şekil – 11: İlgili Bilgisayar Nesnesi Üzerine Yetkili Kullanıcı Ekleme – 2

Şekil - 12: İlgili Bilgisayar Nesnesi Üzerine Yetkili Kullanıcı Ekleme - 3 — Şekil – 12: İlgili Bilgisayar Nesnesi Üzerine Yetkili Kullanıcı Ekleme – 3

Daha sonra Advanced butonu ile gelişmiş arama ekranına geçilir.

Şekil - 13: Gelişmiş Arama Seçenekleri — Şekil – 13: Gelişmiş Arama Seçenekleri

Gelişmiş arama seçeneklerinde Find Now seçeneği işaretlendikten sonra “sirket.com.tr” etki alanına ait yetkili bir kullanıcı hesap bilgilerinin girilmesi gerekmektedir. Çünkü “sirket.com.tr” etki alanı; “ornek.com.tr” etki alanına güvenmemektedir.

Şekil - 14: Güvenilen Etki Alanında Sorgulama İşlemi İçin Kimlik Bilgisinin Girilmesi — Şekil – 14: Güvenilen Etki Alanında Sorgulama İşlemi İçin Kimlik Bilgisinin Girilmesi

Yetki olan kullanıcıya ait bilgiler girildikten sonra aşağıdaki gibi “sirket.com.tr” etki alanına ait gruplar ve kullanıcılar listelenir.

Şekil - 15: Erişim Hakkına Sahip Olacak Kullanıcıların Belirlenmesi - 1 — Şekil – 15: Erişim Hakkına Sahip Olacak Kullanıcıların Belirlenmesi – 1

Yukarıdaki ekranda “Erişim Hakkına Sahip Kullanıcılar” eklenmiştir.

Şekil - 16: Erişim Hakkına Sahip Olacak Kullanıcıların Belirlenmesi - 2 — Şekil – 16: Erişim Hakkına Sahip Olacak Kullanıcıların Belirlenmesi – 2

Grup eklendikten sonra aşağıdaki ekrandaki gibi “Allowed to authenticate” seçeneği işaretlenerek işlem tamamlanır.

Şekil - 17: "Allowed to authenticate" Yetkisinin Aktif Edilmesi — Şekil – 17: “Allowed to authenticate” Yetkisinin Aktif Edilmesi

Tüm açık pencereler kapatılır.

Not: Etki alanındaki bir bilgisayara erişim hakkı verilmesi işlemini varsayılan olarak sadece aşağıdaki gruplar gerçekleştirebilir ve bilgisayarın yerel yöneticisinin etki alanları seviyesinde gerçekleşen bu işlemi gerçekleştirmeye yetkisi yoktur.

Account Operators
Administrators (Etki alanındaki)
Domain Admins
Enterprise Admins
SYSTEM

Erişimin Test Edilmesi

Güven duyan etki alanında (ornek.com.tr) bulunan ve güvenilen etki alanındaki (sirket.com.tr) “Erişim Hakkına Sahip Kullanıcılar” adlı grubun erişimine açılan kaynakta (Grup01-PC.ornek.com.tr bilgisayarında) oturum açma testi gerçekleştirilecektir.

Not: Test işlemi sırasında güvenlik duvarlarında ilgili portların izinli olduğundan emin olunmalıdır.

Güven duyulan etki alanındaki “Erişim Hakkına Sahip Kullanıcılar” grubunda bulunan Ahmet Akpınar kullanıcısı, Grup01-PC üzerinde oturum açabilmektedir.

Şekil - 18: Güven Duyan Etki Alanında, Güvenilen Kullanıcının Oturum Açması — Şekil – 18: Güven Duyan Etki Alanında, Güvenilen Kullanıcının Oturum Açması

Kimlik doğrulamasını gerçekleştiren etki alanı denetleyicisinin güven duyulan etki alanına (sirket.com.tr) ait sunucu (Grup00-DC.sirket.com.tr) olduğuna dikkat edilmelidir. Bu kullanıcı oturum açtığı bilgisayarın bulunduğu etki alanında (ornek.com.tr) sorgu yapabilme hakkı olmadığı için kullanıcıları çekememektedir.

Şekil - 19: Yetki Verilen Kullanıcının Açtığı Oturumun Gözlenmesi — Şekil – 19: Yetki Verilen Kullanıcının Açtığı Oturumun Gözlenmesi

Benzer şekilde güven duyulan etki alanının (sirket.com.tr) yöneticisi bile, herhangi bir şekilde yetki verilmediği için güven duyan (ornek.com.tr) etki alanındaki kullanıcıları listeleyememekte, hatta “ornek.com.tr” etki alanındaki kaynakta (Grup01-PC) oturum bile açamamaktadır.

Şekil - 20: Yetkisiz ve Yetkili Kullanıcı İle Yapılan İşlemlerin İzlenmesi — Şekil – 20: Yetkisiz ve Yetkili Kullanıcı İle Yapılan İşlemlerin İzlenmesi

Not: Seçmeli Kimlik Doğrulama (Selective Authentication) işleminin özellikle sunucular veya kritik kaynaklar için gerçekleştirilmesi gerekmektedir.

Bilgilendirme

Güven duyulan etki alanında (sirket) kullanıcı oluşturulurken, parolası bir sonraki oturumda değiştirilmesine zorlanmamıştı. Eğer sonraki oturumda parolası değiştirilmesi zorunlu tutulsaydı; ilk kez güven duyan etki alanında (ornek) oturum açılması aşağıdaki gibi gerçekleşirdi.