Active Directory Güvenliği ve "Domain Admin" Enflasyonu

Kaleyi Dışarıdan Koruyorsunuz, Ya İçerisi?

Şirketler siber güvenlik denilince genellikle "Dış Kabuğa" odaklanır. Güvenlik duvarları, antivirüsler, dışarıdan gelen saldırıları engellemeye çalışır. Ancak istatistikler acı bir gerçeği gösteriyor: Fidye yazılımı (Ransomware) saldırılarının büyük çoğunluğu, içerideki yetkili bir hesabı ele geçirerek yayılır.

İşletim sistemlerinin ve kullanıcıların yönetildiği Active Directory (AD), şirketinizin kalbidir. Ve maalesef çoğu şirkette bu kalp, yılların birikimiyle oluşmuş "dijital tortularla" doludur: Süresi dolmayan şifreler, unutulmuş servis hesapları ve en tehlikelesi: Gereğinden fazla kişiye verilmiş "Domain Admin" yetkisi.

CATO Teknoloji olarak bu yazımızda, hackerların en sevdiği arka kapı olan Active Directory zafiyetlerini ve "En Az Yetki" (Least Privilege) prensibini nasıl uygulamanız gerektiğini anlatıyoruz.

"Domain Admin" Bağımlılığı ve Riskler

Bir IT teknisyeni veya yazılım geliştirici, işini hızlı yapmak için genellikle "Bana yetki ver" der. Yönetim de iş aksamasın diye o kişiyi "Domain Admins" grubuna ekler. Zamanla bu grup, şirketteki herkesin girdiği bir "VIP Salonuna" dönüşür.

Bu durum neden felakettir? Bir hacker, standart bir personelin bilgisayarına sızdığında (Phishing vb.), ilk yaptığı iş "Yanal Hareket" (Lateral Movement) ile ağda gezinmektir. Eğer o bilgisayara daha önce bir "Domain Admin" giriş yapmışsa, hacker o adminin şifre özetlerini (Hash) çalar.

Sonuç: Hacker artık sizin Domain Admininizdir. Tüm sunucuları şifrelemesi sadece 15 dakika sürer.

Servis Hesapları: Sessiz Tehlike

Yedekleme yazılımları, SQL veritabanları veya tarayıcılar çalışsın diye oluşturulan "Servis Hesapları" (Service Accounts) genellikle şu hatayla yapılandırılır: "Password Never Expires" (Şifre Asla Dolmaz).

5 yıl önce oluşturulmuş, şifresi "Sirket123!" olan ve Domain Admin yetkisine sahip bir servis hesabı, hackerlar için bulunmaz nimettir. Bu hesaplar genellikle denetlenmez ve unutulur. Biz buna "Gölge Adminler" diyoruz.

Çözüm: Tier (Katmanlı) Yönetim Modeli

Microsoft'un ve siber güvenlik otoritelerinin önerdiği yapı, Tiered Administration Model (Katmanlı Yönetim) mimarisidir. Bu yapıda yetkiler kesin sınırlarla ayrılır:

• Tier 0 (En Kritik): Sadece Domain Controller'ları (DC) yöneten hesaplardır. Bu hesaplarla asla sıradan bir bilgisayara giriş yapılmaz, internete çıkılmaz.

• Tier 1 (Sunucular): Uygulama ve dosya sunucularını yöneten hesaplardır.

• Tier 2 (İstemciler): Son kullanıcı bilgisayarlarını (Laptop/PC) yöneten destek masası hesaplarıdır.

Bu model sayesinde, bir destek masası personelinin şifresi çalınsa bile, hacker sadece bilgisayarlara erişebilir; sunuculara veya Domain Controller'a (Ana Kaleye) sıçrayamaz.

AD Health Check (Sağlık Taraması) Neleri Kapsamalı?

Active Directory, "kur ve unut" türü bir sistem değildir. Düzenli olarak şu sorular sorulmalıdır:

1. Etkin Olmayan Hesaplar: Son 90 gündür giriş yapmayan kullanıcılar ve bilgisayarlar neden hala aktif?

2. GPO (Group Policy) Kirliliği: Yıllar önce uygulanmış ama artık kullanılmayan, açılışı yavaşlatan politikalar temizlendi mi?

3. KRBTGT Hesabı: Active Directory'nin en temel şifreleme anahtarı olan bu hesabın şifresi en son ne zaman değiştirildi? (Eğer hiç değiştirilmediyse, Golden Ticket saldırısına açıksınız demektir).

CATO Teknoloji ile Dijital Temizlik Zamanı

Active Directory yapınız, şirketinizin güvenlik duruşunun temelidir. Temeli çürük bir binaya çelik kapı takmanın anlamı yoktur.

CATO Teknoloji olarak;

• Mevcut AD yapınızın Güvenlik Skorunu (Security Assessment) çıkarıyoruz.

• Gereksiz "Domain Admin" yetkilerini temizliyor ve Delegasyon (Yetki Devri) modelini kuruyoruz.

• Servis hesaplarını (gMSA - Group Managed Service Accounts) güvenli hale getiriyoruz.

• Sisteminizi Tier Modeline uygun şekilde yeniden yapılandırıyoruz.

Kalenizin Anahtarlarını Koruyun

Yetki karmaşası, bir güvenlik zafiyetidir. Şirketinizde "kimin neye erişebildiğini" net bir şekilde bilmek ve kontrol etmek zorundasınız. Active Directory yapınızı bir hacker gözüyle değil, bir uzman gözüyle denetlemek için CATO Teknoloji sistem mühendisleriyle iletişime geçin.