Active Directory Güvenliği
Daha Güvenli Bir Yapının Temeli
Merhaba,
Bu yazımda size hepinizin bildiği, aktif olarak kullandığımız Windows Active Directory’nin (“AD”)güvenliği konusunda birkaç noktaya değinmek istiyorum.
Active Directory belki de bütün kurumların aktif olarak kullandığı ancak yeterli ilginin gösterilmediği bir dizin servisidir.
Yapı içinde oluşturulmamış veya doğru kurgulanmamış parola politikaları, gereğinden fazla yetkilendirilmiş hesaplar, yetkili hesapların ve AD loglarının periyodik olarak gözden geçirilmemesi ve incelenmemesi, kurumların genelde yaptığı hatalar arasındadır.
Neden AD loglarını gözden geçirmeliyiz?
Şirketinize sızan ve sızdıktan hemen sonra yetkili hesap arayan saldırganların yatay hareketlerini takip etmemiz gerekiyor. Bunu yapma yollarının başında logların takibi gelmektedir. Eğer başarısız girişlerin takibini yapmazsanız mutfakta neler oluyor farkına varamazsınız.
Sızıntı sonrasında saldırganlar Pass The Hash, Pass The Ticket, Golden Ticket gibi saldırı metotlarını kullanırken sistem açıklarından yararlanıp yetki yükseltme ataklarında (power up) bulunabilirler. Sistem içine sızan saldırganlar farklı araçlarla domain içinde bilgi alıp yetkili kullanıcı hesaplarını ortaya çıkaracaklardır. Bu araçlardan bir tanesi olan Blood Hound ile yapılacak ufak bir efor ile domain admin kullanıcılarının listesine ulaşılabilir.
İşin güzel yanı bu ürünü güvenlik ekiplerinin AD üzerinde sızma testlerinde de kullanabilmesidir.
Bu noktada kendi kendimize kontrol için kullanabileceğiniz ürünlerden bir tanesi de AD ACL Tool’dur. Bu araç sistem içinde uzun vadeli kalma düşüncesinde olan saldırganın yaptığı hareketleri gözlemlememizi sağlayabilir.
Daha Güvenli Bir AD Oluşturulması
- Yapınızı izole edin, iş istasyonlarınızın sunucu networküne erişimini engelleyin.
Microsoft’un önerdiği aşağıdaki yapı çoğu kurumda uygulanmamaktadır. Bunun sebebi kullanıcı alışkanlıkları ve kullanım kolaylığının ön planda tutulmasıdır.
- Kritik sistemlerinizin yönetimini kendi bilgisayarlarınızdan yapmak yerine PAW (Priviledge Access Workstation)- VDI ya da sıkılaştırılmış sanal makinalar üzerinden yapın.
- Güncel işletim sistemleri kullanın ve güvenlik güncellemelerini takip edip zamanında uygulayın.
- Yetkili kullanıcı hesaplarınızı sınırlayın. Pek çok firmada ihtiyacı olmadığı halde gereksiz yetkilendirilmiş kullanıcı hesaplarını görmek mümkün. Bunları aylık olarak takip etmek ve raporlamak size fayda sağlayacaktır.
- AD audit loglarını açın ve mutlaka AD üzerinde oluşan logları takip edin.
- Ldap sorgularınızı SIEM üzerinden takip ediniz.
- Dns security için gerekli önlemleri alın ve firma ölçeğine göre dns firewall kullanın.
- Ayrıcalıklı kullanıcıların güvenliği için “AdminSDHolder” yetkilendirmesini yapın.
- Ayrıcalıklı kullanıcıların güvenliği için “Protected Users” grubunu kullanın.
- Adminlerin standart işlemleri ve yönetim işlemleri için farklı parolaları olan farklı hesaplar kullanmasını sağlayın.
- Administrator ve Built-in hesaplarını kullanmayın.
- AD üzerinde gereksiz ve kullanılmayan servisleri kapatın.
- Orta ve büyük ölçekli yapılarda PAM ve Microsoft ATA ürünlerini kullanın.
- Ekiplerinizi oluşturun ve rol dağılımı yapın.
Sistem açıklarınız hakkında önce siz bilgi sahibi olun. Saldırganlardan korunmak için sunucularınızın mutlaka zafiyet taramalarını ve sızma testlerinizi yaptırın.
Çıkan sonuçların kapatılması için kendi teknik ekibiniz yeterli değil ise hem ekibinizin eğitim/kariyer planlarını yapın hem de profesyonel destek alın.
Sistemlerinizin güvenliğini aldığınız ürünler değil oluşturduğunuz kurum kültürü ve işlettiğiniz süreçler korur.
Pek çok kurum tabi olduğu regülasyonların sonucunda günlerce süren POC süreçleri sonrasında satın aldıkları ürünleri ilk kullanımdan sonra unutur hale geliyorlar. Bu işlemleri zorunlu olarak yaptırıyor ve çıktılarını takip etmiyorlar.
Ben bu çalışmaların geneline “yasak savar” ismini taktım.
Yasak Savar Nedir? Regülasyonun uymak zorunda bıraktığı kurallara uyar gibi yapmak, ürünü ya da hizmeti alıp süreçleri işletmemektir.
Kurum güvenliğini harcadıkları para ile kıyas eden firmalar olduğu sürece istismar edilen firmaların her geçen gün artması şaşırtıcı değil olağandır.
