Active Directory Security Politikaları
Arkadaşlar , Bu yazımda sizlere bir çok sistemde hali hazırda kullanılmakta olan Active Directory(AD) güvenliği konusunda kritik noktalara değinmek istiyorum.
AD yapısında eksik ve yanlış güvenlik politikalar yüzünden sistemlerin ne kadar tehlikede olduğunu biliyor musunuz? ad yapısına ne kadar özen gösteriyoruz.
Sizlerle AD kurulumundan başlayarak nasıl güvenlik önlemleri alacağız bunlar konusunda bilgi paylaşımı yapacağım.
PLANLAMA
1.İşletim Sistemi Belirlenmesi
Active Directory olarak kullanılacak makinenin üzerine kurulacak İşletim Sistemi’ni önceden planlayın. Bu planlamayı başta yapın çünkü örnek olarak ortamda Windows 7 ler veya Windows Server 2008 makineler varsa bu makineye Windows Server 2019 kurulumu yapılırsa yönetim gerçekleştirilmez. Bu sebepten dolayı sisteminizde yer alacak makinelerin OS Versiyonlarını planlayın. . Bu işletim sistemine ait lisans bilgileri elinizde olsun. AD kurulacak Bu makinenin sistemin büyüklüğüne göre hardware özelliklerini planlayınız ve requirements’leri kontrol ediniz.
2.Sürücüler
Active Directory makinesinin sürücülerini kesinlikle makinenin üreticisin sitesinden edininiz. Başka sitelerde bulunan driverları yüklemeyiniz. Gerekli olursa üreticiden talep ediniz. Sektörde genel olarak sunucu üreticileri makineye ait driverları göndermektedir. Gerekli olan tüm driverlarını yükleyiniz.
3.Güvenlik Güncellemeleri
İşletim Sistemine ait tüm güvenlik güncellemelerini kontrol ediniz. AD rolü kurmadan önce tüm güvenlik güncellemelerini kontrol ediniz. Kurulumdan sonra bir kez daha check etmek gerekmektedir.
4.Administrator Password
AD kurulumundan sonra oluşturulan standart hesaplardan biri olan Administrator kullanıcısının hesap şifresini güçlü bir şifre koymanızda yarar vardır. Ayrıca administrator hesabı konusunda ileride çok daha farklı bir noktaya değineceğim.
5.OU yapısı
AD yapısında OU yapısını çok iyi planlamak gerekmektedir. Kullanıcıların hepsini aynı OU arasına koymakta bir seçenek ama uygulanacak group policyleri düşünerek hareket etmek en mantıklısı olmaktadır. Ayrıca belirli sitelarınız (Ankara-İstanbul) gibi onlara göre bir OU yapısı belirleyin. Yönetici hesaplarını kullanıcılarla aynı OU yapısında tutmakta ilerde sizlere güvenlik açıkları olarak dönmektedir.
6.Yöneticiler ve Kullanıcılar
Yöneticilerinizi belirleyin. Bu yöneticilere verilecek yetkileri planlayın. Kimseye fazladan yetki vermeyin. En az yetki ile iş yapabilme olanağı sağlayınız. Kullanıcılara verilecek yetkileri planlayın. Örnek olarak kullanıcılar command prompt’a erişim sağlayacak mı? USB kullanacak mı gibi bütün verilecek yetkileri planlayın. Ve AD yapısı içerisinde yetki verilecek kullanıcılara ilişkin gruplar oluşturun. Örnek olarak; USB yetkisi olacak kullanıcılara ait bir grup. Bu oluşturulan grupları ilerdede anlatacağımız gibi takibini yapmayı unutmayın. Grup isimlerini kurum tarafından oluşturulan isim standartlarına göre veriniz.
Burada önemli bir konuya değinmek istiyorum. İsim standartları konusunu gerçekten önemlidir. Kullanıcılar ve bilgisayarlar için kesinlikle bir isim standartı belirleyin. Hem yönetilmesini kolaylaştırır hem de güvenlik olarak önemli bir konudur.
Ayrıca kullanıcıları USERS OU’sunun altında tutmayın , Bilgisayarları ise Computers Ou’sunun altında tutmayınız.
7.Parola Politikaları
Parola politikalarını önceden belirleyiniz. Yöneticiler için uzun karmaşık erken yenilenen ve eski şifrelerini kullanımına izin vermeyen parola politikası belirleyiniz. Kullanıcılara yine aynı politikalarını kullanabilirsiniz fakat fazla abartmadan yapmak en mantıklısı olacaktır.
Örnek olarak;
Yönetici için 16 hane içerisinde büyük ve küçük harf , noktalama işareti , sayı bulundurma zorunluluğu olan 25 günde yenilenen ve son 10 şifreyi koymasına izin vermeyen bir politika olabilir.
Kullanıcılar için 12 hane büyük ve küçük harf , noktalama işareti , sayı bulundurma zorunluluğu olan 40 günde yenilenen ve son 8 şifreyi koymasına izin vermeyen bir politika olabilir.
Kesinlikle kullanıcılara ve yöneticilere password never expire kullanıcı parolası hakkı vermeyin.
Password never expire konusunda bilgilenmek için sitemizden password never expire users adlı makaleye bakınız.
8.Audit Log ve SIEM ürünleri
Active directory audit logların kesinlikle açık olması gerekmektedir. Active directory güvenliği açısından önemli bir konudur. Bu logların açık olduğundan emin olunuz. Bu loglar üzerinden bir çok analiz yapılabilme yeteneği vardır. Ayrıca saldırı durumlarında bizlere yol gösterici olacaktır.
Sisteminizde çalışacak SIEM ürünü bulundurun. Bu ürün üzerinden active directory içerisinde olup biteni , gruplarda olan değişikler , group policy değişiklikleri , domaine alınan makinelerin ve kullanıcı hareketleri gibi birçok konuyu takip edin ve raporlayın.
9.Kullanılacak Diğer Ürünler
Active directory güvenliği için diğer kullanılacak bir çok ürün bulunmaktadır. Bunlarında sistemde bulunması sizlere ekstra olarak katkıda kesinlikle bulunacaktır. Bu konuda bir kaç ürüne değineceğim.
Ürünlerden bir tanesi Microsoft ATA ürünü gerçekten önemli bir üründür. Kullanıcı hareketlerini analiz eden ATA sizlere sensitive kullanıcıların hareketleri , cleartext passwordler ve en çok tehdit alan hesaplar gibi bir çok işlev sunmaktadır. Ayrıca Pass The Hash, Pass The Ticket, Golden Ticket gibi saldırı konularında çok çok yardımcı olacaktır.
Ürünlerden ikinci Microsoft SCOM ürünüde güzel yapılandırıldığında bizlere bir çok metric konusunda yardımcı olabilmektedir. Group policy değişikleri , kritik gruplara olan ekleme/çıkarma , local account yaratılması gibi gibi bir çok konuda alarm üretebilmektedir.
Ürünlerden son olarak Manage Engine ürünü policy değişikleri , kullanıcı değişikleri gibi bir çok konuda analiz ve rapor sunabilmektedir.
Tabiki bu ürünlere bağlı kalmak zorunda değilsiniz, bunlarda dünyada bir çok sistemde kullanılan diğer yazılımlar sizlerde kendinize ait bir izleme yazılımı belirleyin.
10. Backup ve Felakat Senaryoları
Active Directory için en önemli güvenlik önlemlerinden biri kesinlikle yedeklemedir. Bu konuda windows server backup bare metal yedekleme kullanabilirsiniz. Yine yedekleme konusunda piyasada bir çok ürün bulunmaktadır. Bunlardan bir tanesini belirleyin ve kesinlikle sisteminize entegre ediniz. Entegre sonrası backup prosedürleriniz ve geri dönüş politikalarını dokümante etmekte fayda olmaktadır.
Ayrıca kendinizi kesinlikli felaket senaryolarına hazır ediniz. DC nizin bir yedeğinizin başka bir lokasyon da olması , backuplarınızın yine başka bir yerde daha bulundurma gibi güvenlik önlemleri alınız ve dokümente ediniz.
Bu yazımızın devamını Active Directory Güvenliği için Yapılması Gerekenler Part 2 de bulabilirsiniz.