Active Directory ortamlarının güvenliğini artırmaya çalışan kuruluşlar basit bir sorunla karşı karşıyadır: Saldırganların çok fazla seçeneği vardır. Ortalama bir kurumsal AD ortamında, düşük ayrıcalıklı bir kullanıcıya ilk erişimi olan bir saldırganın ayrıcalığı yükseltmesine, yanal olarak yüksek ayrıcalıklı bir kullanıcıya geçmesine ve ardından ihtisas. Her yanlış yapılandırmayı düzeltmek mümkün olmasa da, güvenlik ve kimlik ve erişim yönetimi yöneticileri, AD’yi güvenceye alma yolunda kesinlikle anlamlı ilerleme kaydedebilir. Ancak bunu başarılı bir şekilde yapmak için işlerine öncelik vermenin bir yoluna ihtiyaçları var.
Saldırı yollarına öncelik vermenin ilk adımı, herhangi bir sıfır seviye varlığa götüren yollara odaklanmaktır. Seviye sıfır varlıklar, güvenliği ihlal edildiğinde bir saldırganın istediği herhangi bir sisteme erişim sağlamasına izin veren AD veya Azure AD’deki hayati sistemlerdir. İster kötü amaçlı yazılım dağıtmak, ister hassas bilgileri çalmak veya kalıcılık oluşturmak olsun, bir saldırgan ne yapmaya çalışırsa çalışsın, sıfır seviye bir sistemin kontrolünü ele geçirmek onların bunu yapmasına izin verecektir.
Bu, hangi sistemlerin sıfır katmanına dahil olduğu sorusunu gündeme getiriyor. Terim, Microsoft’un Gelişmiş Güvenlik Yönetim Ortamı (ESAE – Emekli) modelinden gelir ve ortam üzerinde tam denetime sahip nesneler kümesi anlamına gelir. Ve bu nesneler üzerinde kontrolü olan herhangi bir nesne. ESAE modeli kullanımdan kaldırıldı ve Microsoft’un aynı tavsiyeyi öneren ve artık bu hassas gruba “kontrol düzlemi” olarak atıfta bulunan Kurumsal Erişim Modeli ile değiştirildi. Bununla birlikte, hiçbir model sıfır katmanın parçası olarak kabul edilen sistemlerin bir listesini içermez.
İşte AD güvenliğini araştıran meslektaşlarım ve ben sıfır seviye varlıkları dikkate alıyoruz. Her ortamda her zaman sıfır seviyesi olarak kabul edilmesi gereken birçok AD nesnesi ve grubu vardır, ancak bazıları kuruluştan kuruluşa değişiklik gösterecektir. Son kademe sıfır grubu, her kuruluşa özel olacaktır.
Birinci Grup: Etki Alanı Kontrol Grupları
İlk olarak, bir etki alanının tam denetimini elinde bulunduran veya bu gruplara erişim kazanmak için (etkili) geri alınamaz bir yeteneğe sahip olan nesneleri dahil ediyoruz. Grup izinleri devralındığından, iç içe geçmiş grupları belirlemek için AD’deki tüm ayrıcalıklı grup üyeliklerini incelemeyi unutmayın. Örneğin, bir grup, etki alanı denetleyicilerinde yer alan ikinci bir grup içinde iç içe geçmişse, her iki grubun tüm üyeleri bu ayrıcalıklara sahip olur.
Active Directory’de bunlar, etki alanı baş nesnesini, yerleşik yönetici hesaplarını, etki alanı yöneticilerini içerir; etki alanı denetleyicileri; şema ve kuruluş yöneticileri; kurumsal etki alanı denetleyicileri; anahtar ve kurumsal anahtar yöneticileri; ve genel olarak yöneticiler.
Azure’da sıfır katmanı, bir Azure kiracısının tam denetimini elinde bulunduran veya bu rollere erişim elde etmek için etkili bir şekilde geri alınamaz yeteneğe sahip olan varsayılan rolleri içerir. Bunlara kiracı nesneleri, genel yöneticiler, ayrıcalıklı rol yöneticisi ve ayrıcalıklı kimlik doğrulama yöneticileri dahildir.
İkinci Grup: Anahtar Kimlik Sistemleri
Ardından, sıfır seviyesi, aşağıdaki sistemlerle ilişkili bilgisayarları ve hizmet hesaplarını içermelidir. Bunlar neredeyse her zaman sıfır seviyesinde olacaktır, ancak bunları tanımlama süreci ortama bağlı olarak değişiklik gösterecektir.
Birincisi, kök sertifika yetkilisi (CA) sunucusu ve bağımlı CA’lar dahil olmak üzere ortak anahtar altyapısı/Active Directory sertifika hizmetleridir. İkincisi, Active Directory federasyon hizmetleridir, ancak Web uygulaması proxy sunucularının ayrı bir AD ormanında (DMZ veya extranet ağı) olması gerektiğini ve sıfır katmanı olarak kabul edilmediklerini unutmayın. Üçüncüsü, doğrudan geçiş kimlik doğrulamasının etkinleştirildiği sunucular dahil olmak üzere Azure AD Connect sunucuları ve hesaplarıdır. Thycotic veya CyberArk gibi ayrıcalıklı erişim yönetimi sistemleri ve Quest GPO admin veya gelişmiş grup ilkesi yöneticisi gibi grup ilkesi nesne yönetimi araçları da sıfır katmanı olarak düşünülmelidir.
Daha önce de belirttiğimiz gibi, sıfır seviyesi her kuruluş için özelleştirilmelidir. Ayrıcalıklı erişime sahip iş istasyonları gibi belirli bir kuruluşun sıfır olarak kabul ettiği herhangi bir şeyle ilişkili bilgisayarlar ve hizmet hesapları yukarıda listelenen sistemlere dahil edilmelidir. Kurumsal salt okunur etki alanı denetleyicileri ve salt okunur etki alanı denetleyicileri, belirli koşullara bağlı olarak katman sıfır veya katman bir olarak kabul edilebilir.
Üçüncü Grup: Kod Yürütme Yeteneğine Sahip Sistemler
Son olarak, sıfır seviyesi, yukarıda listelenen sıfır seviyesi sistemlerinde kod yürütme yeteneğine (veya diğer ayrıcalıklı kontrole) sahip sistemleri içermelidir. Örneğin, etki alanı denetleyicileri Microsoft System Center Configuration Manager’dan (SCCM) yönetiliyorsa, SCCM’nin güvenliğinin aşılması, saldırganın etki alanı denetleyicilerinde kod yürütmesine olanak tanır. SCCM, bu durumda, ortam üzerinde tam denetime giden dolaylı bir yoldur ve bu nedenle, sıfır seviye bir sistemdir. Bu saldırı daha fazla karmaşıklık gerektirir, ancak yine de bir düşman için geçerli bir seçenektir ve kuruluşlar bu olasılığa hazırlıklı olmalıdır.
Genellikle bu kategoride birçok sistem vardır ve bunların hepsini belirlemek önemli bir proje olabilir. Kuruluşların aşamalar halinde çalışması önerilir; önce yukarıda listelenen tüm nesneleri ve hesapları tanımlayın, etraflarına sıfır sınırını çizin ve ardından üzerlerinde kod yürütme yeteneği olan sistemleri belirlemeye devam edin.
Bir kuruluş bu varlıkları belirledikten sonra, güvenlik kaynaklarını bunları korumaya odaklayabilir ve kapatmaya odaklanılacak saldırı yollarını daha iyi değerlendirebilir. Bir kurumsal ağda olası tüm saldırı yollarını kapatmak pratik olarak imkansızdır, ancak çabalarına öncelik vermek, savunucuların sıfır seviye varlıklara yol açan en tehlikeli olanları ortadan kaldırmasına ve genel risklerini önemli ölçüde azaltmasına olanak tanır.