Active Directory Honeypot Account Oluşturma yazımızda, Active directory güvenliği konusunda önemli bir noktaya değineceğiz. Active Directory güvenliği için bir denetim politikası oluşturmak ve önemli olayları izlemek önemlidir.
Gelişen Teknoloji ile değişiklileri izlemek çok önemlidir. Özellikle siber saldırıları tespit etmek çok önemlidir. Bunun için domain tarafında yapılabilecek bir çok group policy örnekleri daha önceki yazılarımızda anlattık.
Fakat ağı korumak için yapabileceğiniz şaşırtıcı numaralarda vardır. Bunlardan biri ise bal küpü yönetici hesapları oluşturmaktadır. Bal küpünün ne olduğunu burada açıklamak gerekmektedir.
Siber saldırganlar sistemlerinizi tarayarak sistemlerinizde açık noktalar bulmak ve ayrıca hesap güvenliğine bakmak isterler. Açık nokta bulan saldırganlar yetkili hesapları ele geçirmek ister. Bal arayan saldırgana hiç bir yetkisi bulunmayan fakat admin hesaplarına benzeyen bir hesabı altın tepside sunarsanız, o da bunu bal küpü zanneder . Saldırgan bu hesap üzerinde zaman kaybetmeye başlar. Sizlerde bu arada sisteminizi korumak önlemler almaya başlarsanız. Ayrıca saldırganın yaptığı hareketleri loglamaya başlarsınız.
Active Directory HoneyPot Account
Bilindiği gibi Active Directory içerisinde built-in administrator hesabı bulunmaktadır.
Adım 1
Administrator hesabının adını değiştirin. Normal kullanıcılarınıza benzeyen bir ad tercih ediniz. Ayrıca description kısmında yazan “Built-in account for administering the computer/domain” kısmı kaldırın.
Adım 2
Yeni bir user oluşturun ve adını “Administrator” olarak belirleyin . Ayrıca bu user’ın description kısmına “Built-in account for administering the computer/domain” yapıştırın.
Adım 3
Audit logonları olay günlüklerini aktif edin. Hem başarılı hem başarısızlar için. Audit logon event Success/Fail olarak belirleyin.
Adım 4
Her şey artık hazır honeypot account artık izlenebilir durumda. İsterseniz 3.parti yazılımlar ile , isterseniz ATA üzerine kritik hesap ekleme ile, isterseniz event viewer takibi ile hesabı izleyebilirsiniz.
Sonuç olarak honeypot hesabı ile siber saldırgana karşı yalancı bir hesap ile ufakta olsa bir güvenlik önlemi almış olduk. Bu sayede saldırgan o hesapla uğraşırken sizlerde tespit yapabileceksiniz. Bir sonraki konularımızda honeypot sunucusu kurmayı ve sunucu üzerine saldırganı nasıl çekebileceğimizi ve tespit edeceğimizi göstereceğiz. Diğer yazılarımızı aşağıdaki kategorilerden takip edebilirsiniz.