Active Directory Tier Model Uygulaması

Active Directory Tier Model uygulamasından bu yazımızda detaylı olarak bahsedeceğiz. Modelin bizlere kattığı güvenlik katmanlarını ve artılarını göreceğiz. Ayrıca bu modeli nasıl oluşturacağız ve uygulayacağız bunları göreceğiz.

Tier Model Nedir?

Tier Model Active Directory hesaplarının yanlış kullanımı sonucunda oluşabilecek problemlerin önüne geçmek için kullanılır. Bu modelde 3 farklı hesap kullanılır. Bu hesapların yetkileri ve bağlantıları sayesinde domain seviyesinin yüzey alanları küçültülür. Her hesap türünün belirli makineler üzerinde yetkileri vardır. Örnek olarak T2 hesapları bilgisayarlar üzerinde yetkiliyken T1 sunucularda yetkilidir.

Eski sistemlerde domain admin kullanıcıları tüm sistemlerde kullanılırdı bu nedenle Bu hesapların ele geçirilmesi ile domain sunucuları ve bütün sistem tehlikeye girmekteydi. Kötü amaçlı kişilerin ilk hedefi genellikle bu hesaplar olmaktaydı. Bu problemin önüne geçmek için TIER model karşımıza çıkmaktadır.

İlk önce Tier modelin mantığını anlatalım ve hesaplara detaylıca değinelim.

Tier Modeli bir Üçgen gibi düşünelim en tepesinde en kritik sunucularımız yani domain controller makineleri vardır. Bir altında sunucularımız onunda altında bilgisayarlarımız vardır.

Tier Hesaplarını sıralayacak olursak;

• 2 Hesapları: Bilgisayarları kullanan kullanıcı hesabımız.
• 1 Hesapları: Sunuculara bağlanmak için kullandığımız hesabımız.
• 0 Hesapları: Domain Controller sunucusuna bağlanmak için kullandığımız hesabımız.

Sonuç olarak kurallarımız;

• 1: Tier 0 hesabı ile sunuculara ve bilgisayarlara bağlanamayız.
• 2: Tier 1 hesabı ile bilgisayarlara ve domain controller sunucularına bağlanamayız.
• 3: Tier 2 hesabı ile sunuculara ve domain controller sunucularına bağlanamayız.

Bu sayede sayesinde domain controller sunucularının bağlantı yüzey alanını küçültmüş olduk. Bilgisayarlarınızda olabilecek kötü amaçlı yazılımlar ile hesabınız ele geçirilse bile domain controller sunucusuna erişimi olmayacaktır. Ayrıca bu sayede yetki yükseltme olayını çok çok zorlaştırmış olacağız.

Active Directory Tier Model OU Yapısı, Kullanıcılar, Gruplar

Uygulamaya nasıl geçireceğiz konusunda sizlere yardımcı olacağım. Öncellikle sizlere uygulama için önceden neler yapmamız gerekir onları sıralayacağım.Değerli okurlar öncellikle bu yapıyı oluştururken iyi planlama yapmak gerekmektedir.

• Öncellikle OU yapısını oluşturmak. Servers,Computers,Tier ve altında Tier0,1,2
• Sonra Tier altında bulunan OU larda birer hesap ve birer grup

OU YAPISI: Servers ve PCler olarak OU oluşturdum. Ayrıca Tier yapısı gibi aşağıdaki gibi OU yapısı oluşturun.

Daha sonra Tier OU sunda Tier-0,1,2 olarak yine ou oluşturun ve aşağıdaki gibi bir grup ve bir kullanıcı oluşturun.

Gruplara hesapları ekleyelim. Tier 0 kullanıcısını T0_Tüm_Hesaplar gibi.

Tier Model Uygulanması Group Policy

Group Policy tarafında ile bütün işlemleri yaparak tier modeline ulaşacağız. Her şeyden önce Değerli okurlar öncellikle bu yapıyı oluştururken iyi planlama yapmak gerekmektedir. Group Policy planı;

1. T2 HESABI EKLEME DİĞERLERİNİ KALDIRMA ADINDA POLICY OLUŞTURUN.
2. T2 hesaplarını bilgisayarların lokal grubuna ekleyeceğiz.
3. Bilgisayarlardan Domain Admins ve T1 hesapların bulunduğu grupları kaldıracağız. İsterseniz bütün grup ve userları kaldırıp sadece 1. adımıda yapabilirsiniz. Policyi PCLER OU suna link ediyoruz.
4. T1 HESABI EKLEME DİĞERLERİNİ KALDIRMA ADINDA POLICY OLUŞTURUN.
5. T1 hesaplarını serverların lokal grubuna ekleyeceğiz.
6. Sunuculardan Domain Admins ve T2 hesapların bulunduğu grupları kaldıracağız. İsterseniz bütün grup ve userları kaldırıp sadece 1. adımıda yapabilirsiniz. Policyi SERVERS OU suna link ediyoruz.
7. TIER WORKSTATION GİRİŞLERİ ENGELLEME ADINDA POLICY OLUŞTURALIM
8. Bilgisayarlara girişleri engelleme yapacağız(T0,T1,Domain Admins)
9. TIER SERVERS GİRİŞLERİ ENGELLEME ADINDA POLICY OLUŞTURALIM
10. Serverlara girişleri engelleyeceğiz.(T0,T2,Domain Admins)
11. TIER DOMAIN CONTROLLER GİRİŞLERİ ENGELLEME ADINDA POLICY OLUŞTURALIM.
12. Domain Controllera girişleri engellemek(T1,T2)
13. Ek olarak T0 grubunu Domain Admins grubuna ekleme

1.2. VE 3. Adımlar

Bu adımdan sonra bu policy’i PCLER OU suna linkliyoruz.

4.5. VE 6. Adımlar

Bu adımdan sonra bu policy’i SERVERS OU suna linkliyoruz.

7. VE 8. Adımlar

İlk Önce Allow olarak T2 hesapları ve Administrators verdik

Deny olarak T1,Domain Admins isterseniz T0 da verebilirsiniz.

Daha sonra bu policy’i PCLER OUsuna link ediyoruz.

9. VE 10. Adımlar

İlk önce Allow olarak T1 hesapları ve Administrators verdik

Deny olarak T2,Domain Admins isterseniz T0 da verebilirsiniz.

Daha sonra bu policy’i SERVERS OUsuna link ediyoruz.

11. VE 12. Adımlar

İlk önce Allow olarak Domain Admins,Enterprise Admins,Administrators verdik

İkinci olarak Deny olarak T1 ve T2 veriyoruz.

Daha sonra bu policy’i Domain Controller OUsuna link ediyoruz.

13. Adım

SONUÇ

Son olarak denemek için Domain Controller sunucusuna T2 ve T1 hesapları ile giriş yapmaya çalıştım ve hata ile karşılaştım.

Son olarak Değerli okurlar active directory güvenliği konusunda tier modeling kısmına değindik ve uygulamasını yaptık. Ek olarak active directory yapısında alınması gereken birçok yöntem için sitemizi takipte kalın. Diğer yazılarımız için aşağıdaki kategorilerden takip edebilirsiniz.

• Active Directory
• ADFS
• AZURE
• Cyber Security
• Exchange
• Group Policy
• MIM/FIM
• Orchestrator
• Power BI
• Powershell
• SCCM
• SCOM
• SQL
• Uncategorized
• Windows

• How to find Certification Authorities
• Orchestrator Runbook Throttling
• System Center Orchestrator Integration Packs Install
• Orchestrator Additional RunBook Server
• System Center Orchestrator Install Step by Step