Active Directory Saldırılarını Önlemek ve Kurtarmak için En İyi 10 Eylem

   Ekim 15, 2022  Posted in CyberDefenseMagazine


Sean Deuby, Hizmetler Direktörü, Semperis

Active Directory, günümüzde kurumsal ortamlarda ve bulutta her yerde bulunan şirket içi ve hibrit kimliklerin temelidir. Ayrıca sıfır güven güvenlik mimarisinin anahtarıdır. Sonuç olarak, bir siber saldırının birincil hedefidir: Güvenlik şirketi Mandiant, Active Directory’nin araştırmak için çağrıldığı saldırıların %90’ına dahil olduğunu söylüyor.

Kuruluşunuzu Active Directory saldırılarına karşı korumak için şimdi yapmanız gereken 10 eylem.

  1. İyi kimlik yaşam döngüsü süreçleri uygulayın

Ortamınızdaki kimlikleri ve erişimi korumak, güvenli bir ortam sağlamak için çok önemlidir. Buna yardımcı olacak bazı inanılmaz araçlar var, ancak bir takvim kadar basit bir şeyle kimlik yaşam döngüsü süreçlerinizi iyileştirebilirsiniz. İnceleme tarihlerini ayarlayın, erişimi denetleyin ve aşağıdakiler için düzenli bir süreç çalıştırın:

  • Etkin olmayan kullanıcıları ve bilgisayarları kaldırın
  • Ayrıcalıklı erişimi, özellikle Katman 0 hesaplarına ve sistemlerine giden yolları düzenli olarak gözden geçirin
  • Hizmet hesaplarını uzun, güçlü, rastgele parolalarla düzenli olarak güncelleyin

Bu eylemler, saldırganların etki alanındaki hizmet hesaplarının parolalarına erişim sağlayarak ayrıcalıklarını yükseltmelerini sağlayan Kerberoasting gibi saldırılardan kaçınmaya yardımcı olur.

  1. Güven güvenliğini benimseyin

Ortamınızda en iyi nasıl güven oluşturabileceğinizi düşünün. Tek bir ormanda, tüm etki alanları birbirine güvenir ve güvenliği ihlal edilmiş bir etki alanından diğerlerine geçebilirsiniz. Bir Active Directory Ormanı, ayrı güven ve erişim denetimi alanları oluşturmak için kullanılabilir. Seçici kimlik doğrulama güçleri uygulayarak, “herkese güven” yaklaşımı kullanmak yerine, kimin erişimi olduğu konusunda güvenlik kararları alırsınız. Başarılı olmak için aşağıdakileri aklınızda bulundurun:

  • Active Directory ormanları arasındaki tüm güvenlerde SID filtrelemenin etkin olduğundan emin olun.
  • “Varsayılan izin ver” yerine “varsayılan reddet” güveni oluşturmak için seçici kimlik doğrulamayı etkinleştirmeyi düşünün.
  1. Yedekleme ve kurtarmaya öncelik verin

Yedekleme ve kurtarma planları ve süreçleri, sağlam bir kurtarma planı uygulamak için gereklidir. Planınızın belgelendiğinden emin olun ve en azından yıllık olarak uygulayın; Başarısı felaket kurtarmadan daha çok sürekli uygulamaya bağlı olan hiçbir BT prosedürü yoktur. Bir krizde zaman kritik öneme sahiptir ve kritik sistemlerinizi geri yüklemek için eski bir sürece (veya daha kötüsü, belleğinize) güvenmek istediğiniz zaman bu değildir. Çoğu BT uzmanı, düzenli bakım aralıklarında atmayı planladıkları adımları belgeler. Felaket olduğunda kullanmak için neden daha az şeyiniz olsun ki? Kuru çalıştırma yapmak, Active Directory gibi hizmetlerin gerektirdiği desteklenen yedekleme yöntemlerini doğru şekilde uyguladığınızdan emin olmanıza da yardımcı olur. (Profesyonel ipucu: ekran görüntüleri burada kullanılmaz.) Hatalı bir süreci düzeltmek, kriz modunda olmadığınızda her zaman daha kolaydır. Yedekleme ve kurtarma işleminizi düşünürken aklınızda bulundurmanız gereken bazı temel noktalar şunlardır:

  • Her etki alanını, özellikle kökü yedekleyin.
  • Etki alanı başına en az iki etki alanı denetleyicisini yedekleyin.
  • Yedeklerinizi düzenli olarak test edin. Bu aslında AD’yi onlardan kurtarmak anlamına gelir; “Yedekleme başarılı” mesajları test değildir.
  • Desteklenen yedekleme yöntemlerini kullanın. Sanallaştırma kontrol noktaları veya anlık görüntüler sayılmaz.
  • Yedeklemelerin kötü amaçlı yazılım içermediğinden emin olun.
  • Yedeklerin çevrimdışı kopyalarını saklamayı unutmayın. Çevrimdışı depolama, yedeklerinizi kötü amaçlı yazılımlardan ve fidye yazılımlarından korumak için gereklidir. Saldırıya uğrayan birçok kuruluş, çevrimiçi yedeklerinin de saldırıya uğradığını ve devre dışı bırakıldığını tespit etti.
  • Yedekleme uygulamanızın yönetimi AD ile entegreyse, AD’nin kullanılamadığı durumlar için bir “cam kırın” acil erişim yöntemine sahip olun.
  1. Kerberos güvenliğinizi düşünün

Kerberos (AD’de kullanılan birincil güvenlik protokolü) saldırıları artıyor. Kerberos güvenliğinizi geliştirmek için atmanız gereken bazı adımlar şunlardır:

  • Her Active Directory Ormanı, kullanıcı Kerberos bilet verme biletlerini (TGT) şifrelemek için kullanılan bir KRBTGT hesabına sahiptir. KRBTGT hesabını korumak, AD ortamınızdaki güvenliği korumanın önemli bir parçasıdır. Altın Bilet saldırılarını azaltmak için her alanda KRBTGT hesabını yıllık olarak sıfırlayın. Meslektaşım Jorge de Almeida Pinto, yaygın olarak kullanılan bir KRBTGT sıfırlama komut dosyasına sahiptir.
  • En son Kerberos güvenlik geliştirmelerinden ve yamalarından yararlanın. Örneğin, eski RC4 şifreleme algoritmasına kıyasla AES şifrelemesinden yararlanmak için Windows Server 2019 etki alanı denetleyicilerinizi yükseltin (yükseltme sonrası adımlar gereklidir).
  • Yönetici hesaplarına atanan Hizmet Asıl Adlarını (SPN’ler) kaldırın. Bu adım, alan hakimiyetine giden favori Kerberoasting yolunu ortadan kaldırır.
  • Güvenliği ihlal edilmiş bir sunucuya, şüphelenmeyen kullanıcılar adına geniş çapta hareket etme yeteneği veren kısıtlamasız yetkilendirmeyi ortadan kaldırın.
  1. yanal hareketi caydırmak

Yanal hareketi caydırmak, bir saldırganın bilgisayardan bilgisayara veya ormanlar arasında sistemler arasında hareket etmesini önlemeye yardımcı olur. Yanal hareketi daha zor hale getirmek için şu adımları atın:

  • Mümkün olduğunda, istemci kullanıcı hesaplarından yerel yönetici haklarını kaldırın. Bazı kullanıcılar için bu eylem, ayrıcalıklı bir erişim yönetimi (PAM) çözümü gerektirebilir.
  • Tüm üye sunucularda ve istemci bilgisayarlarda yerel yönetici parola çözümünü (LAPS) uygulayın.
  • Yerel yönetici grubu üyeliğini mümkün olan en küçük sayıyla sınırlayın.
  1. Ayrıcalıklı kullanıcıları ve grup güvenliğini aktif olarak yönetin

Son zamanlarda duyurulan kötü amaçlı yazılım ve fidye yazılımı saldırılarının ışığında, kuruluşlar AD’de kimlerin ayrıcalıklı erişime sahip olduğunu etkin bir şekilde yönetmeli ve orman genelinde en az ayrıcalığı zorunlu kılmalıdır. Erişim haklarının neden azaltılması gerektiğini açıklamak zor olsa da, değişiklik iyi yönetişim için gereklidir. İşte atmanız gereken bazı adımlar:

  • Ayrıcalıklı grup üyeliğini en aza indirin. Operatörler, Etki Alanı Yöneticisi haklarına ihtiyaç duymamalıdır.
  • Hizmet hesaplarına verilen yönetici izinlerini kaldırın. Uygulamalar, Etki Alanı Yöneticisi hakları gerektirmemelidir.
  • En düşük ayrıcalık erişimini gereken en düşük düzeye devredin.
  • AdminSDholder nesnesindeki izin değişikliklerini izleyin. (Burada bir değişiklik görürseniz, hesabın güvenliği ihlal edilmiş olabilir.)
  1. Bağımlılıklarınızı güvence altına alın

Ortamınızın ve Active Directory’nin güvenliğini düşündüğünüzde, tüm soyutlama katmanlarını ve bunların nasıl güvence altına alındığını göz önünde bulundurun. Bu katmanların her biri saldırı yüzeyinizi genişletir, bu nedenle nasıl korunduklarını anlamak için zaman ayırın ve onlara güvenlik eklemeyi düşünün. Başlamak için şu adımları uygulayın:

  • Hiper yönetici yönetici ayrıcalıklarını sınırlayın.
  • Yedekler ve IFM (ortamdan yükleme) AD kopyaları gibi Active Directory .dit veritabanı dosyasının kopyalarını içeren depolamaya erişimi kısıtlayın.
  • Yüksek erişime sahip denetim yönetimi araçları ve hizmetleri.
  • PAM araçlarını değerlendirin.
  1. Etki alanı denetleyicinizi sağlamlaştırın

Etki alanı denetleyiciniz, gerçekleştirdiği diğer işlevlere ek olarak, Active Directory veritabanı için fiziksel depolama sağlar. Soyutlama katmanları bir saldırgan tarafından kötüye kullanılabildiği gibi, etki alanı denetleyiciniz de olabilir. Etki alanı denetleyicinizin güvenliği ihlal edilmişse, siz temiz bir yedeklemeyi geri yükleyene ve güvenlik açığına yol açan boşlukların kapatıldığından emin olana kadar Active Directory ormanınız güvenilmez olarak kabul edilir. Etki alanı denetleyicinizi sağlamlaştırmak için şu adımları izleyin:

  • Etki alanı denetleyicilerinizi, yapılandırılmış AES şifrelemesi ile minimum Windows Server 2019 işletim sistemi düzeyine yükseltin.
  • Gereksiz sunucu rollerini ve aracıları kaldırın.
  • Tüm etki alanı denetleyicilerinde Yazdırma Biriktiricisi hizmetini devre dışı bırakın.
  • DC’nin saldırı yüzeyini azaltmak için sunucu çekirdeğini kullanmayı düşünün.
  1. Ayrıcalıklı erişimi sağlamlaştırın

Ayrıcalıklı erişime sahip hesapları güçlendirmek, AD’nin saldırı yüzeyini azaltır ve bu hesapların potansiyel olarak ele geçirilmesi olasılığını azaltır. Ayrıcalıklı hesapları korumak için atabileceğiniz bazı adımlar şunlardır:

  • AD’yi desteklemek için tasarlanmış bir MFA hizmeti uygulayın.
  • Ayrı olarak adlandırılmış yönetici hesapları kullanın ve bunları yalnızca yönetim amacıyla kilitleyin.
  • Acil durumlarda kullanmak için cam kırma hesapları oluşturun.
  • Katman 0 hesaplarına ve sistemlerine erişimi korumaya odaklanan katmanlı bir yönetim modeli dağıtın.
  • Ayrıcalıklı hesaplara tam zamanında erişim sağlamak için bir PAM çözümü kullanın.
  • Saldırı giriş noktası olarak kullanılma olasılığını sınırlamak için özel olarak güçlendirilmiş ayrıcalıklı erişim iş istasyonlarını kullanın.
  1. Olağandışı etkinlik için izleme

Göremediğiniz şeyi güvence altına alamazsınız! Güvenlik duruşunuzdaki değişiklikleri anlamak ve en erken uzlaşma göstergelerini bulmak için izleme gereklidir. İzleme stratejinizi geliştirirken bu hususları göz önünde bulundurun:

  • Kullanıcı ve varlık davranışı analitiği (UEBA) yetenekleriyle bir güvenlik olayı ve olay yönetimi SIEM) çözümü uygulayın.
  • Üyelik değişiklikleri için ayrıcalıklı grupları izleyin.
  • Hassas nesnelerdeki erişim kontrol listesi (ACL) değişikliklerini izleyin.

Önleme ve iyileşme yolu

Bu 10 eylemle, her büyüklükteki kuruluş, saldırı yüzeylerini önemli ölçüde azaltabilir ve Active Directory örneklerini koruyabilir. Active Directory’nin güvenliğini sağlamak neden bu kadar önemli? Ortamınızda güven oluşturmak ve sürdürmek için çok önemlidir. Saldırganların kontrolü ele geçirmesi için de merkezidir. Başarılı saldırılar, bir saldırganın AD kimlik bilgilerini çalma veya kötü amaçlı yazılım içeren bir AD hesabının güvenliğini aşma becerisine odaklanır. Buna sahip olduklarında, sistemlerinizdeki herhangi bir şeye erişim elde etmek için ayrıcalıkları yükseltebilirler. Bu erişimi engellemek ve bir şey olursa daha hızlı iyileşmeye giden bir yolunuz olduğundan emin olmak için yapabileceğiniz her şey buna değer.

AD güvenlik durumunuzu değerlendirmenin hızlı ve acısız bir yolu, ücretsiz Purple Knight yardımcı programını indirip çalıştırmaktır. Araç, herhangi bir özel izin gerektirmez ve size Active Directory’niz hakkında bir “saldırgan görünümü” ve kötü niyetli aktörleri kabul edebilecek boşluklar verir. Kerberos, Grup İlkesi ve hesap güvenliği dahil olmak üzere çeşitli kategorilerde bireysel puanların yanı sıra genel bir güvenlik puanı alırsınız. Ayrıca, Purple Knight, savunmanızı güçlendirmek için çabalarınızı nereye odaklayacağınızı bilmeniz için, hem maruz kalma göstergeleri hem de uzlaşma göstergeleri olmak üzere bir güvenlik göstergeleri listesi sunar.

AD’ye kötü niyetli erişimi önlemek ve bir şey olursa daha hızlı bir kurtarma yoluna sahip olduğunuzdan emin olmak için yapabileceğiniz her şey, harcanan zamana değer.

yazar hakkında

Sean Deuby YazarSean Deuby, kurumsal BT ve hibrit kimlik alanındaki 30 yıllık deneyimini Semperis’teki Hizmetler Direktörü rolüne getiriyor. Intel’in Active Directory’sinin, Texas Instrument’ın NT ağının ve 15 kez MVP mezunu olan Sean’ın özgün bir mimarı ve teknik lideri olan Sean, kuruluşundan bu yana Microsoft kimliğiyle ilgilenmektedir. O zamandan beri, birçok Fortune 500 şirketinde kimlik stratejisi danışmanı olarak edindiği deneyim, ona günümüzün kimlik merkezli güvenliğinin zorlukları hakkında geniş bir bakış açısı kazandırıyor. Sean bir endüstri gazeteciliği emektarıdır; Windows IT Pro’nun eski teknik direktörü olarak AD, hibrit kimlik ve Windows Server hakkında 400’den fazla yayınlanmış makalesi vardır. Sean’a [email protected] adresinden çevrimiçi olarak ulaşılabilir, @shorinsean ve https://www.semperis.com/ adresinde.





Source link