Active Directory (AD), birçok kuruluşta kimlik (veya erişim ve yetkilendirme) sistemi olarak kritik rolü nedeniyle tehdit aktörleri için oldukça çekici bir hedeftir. AD, kullanıcı kimlik bilgilerini, güvenlik parametrelerini ve diğer görev açısından kritik kimlik ve erişim bileşenlerini içeren temel varlıkları barındırır.
Başarılı bir AD ihlali, hem yetkisiz erişime hem de tüm ortam üzerinde tam kontrole yol açabilir.
İş operasyonlarını olası yıkıcı kesintilerden korumak için, aşağıda listelenenler gibi yaygın AD güvenlik açıklarına karşı tetikte olmak çok önemlidir. Specops Parola Politikası gibi bir güvenlik çözümünün dağıtılması, saldırganlar tarafından sıklıkla ilk giriş noktası olarak kullanılan parolaların korunmasını artırır.
Kerbero kızartma
Kerberos kimlik doğrulama protokolü, AD için merkezi bir güvenlik mekanizmasıdır. Kullanıcılar veya hizmetler, bir uygulama veya belge gibi bir ağ kaynağına erişmeleri gerektiğinde, Anahtar Dağıtım Merkezi’nde (KDC) kimliklerini doğrular ve bir Bilet Verme Bileti (TGT) alırlar. Bu TGT daha sonra belirli kaynaklara yönelik hizmet biletleri talep etmek için kullanılır.
Kerberoasting, bir hizmeti bir AD hesabına bağlayan benzersiz bir tanımlayıcı olan ilişkili Hizmet Asıl Adına (SPN) sahip AD’deki hizmet hesaplarını hedef alan bir saldırı yöntemidir. Bu saldırıda fail, genellikle yasal erişime sahip, güvenliği ihlal edilmiş düşük düzeyli bir hesap kullanarak, SPN’li hesaplar için hizmet biletleri talep eder.
Bu biletler hizmet hesabının şifresiyle şifrelenir. Saldırgan daha sonra TGT’nin değil, elde edilen hizmet biletinin şifrelenmesine kaba kuvvet uygulayarak şifreyi çevrimdışı olarak kırmaya çalışır.
Kerberoasting saldırılarına karşı savunmada güçlü, karmaşık parolalar hayati önem taşır. Sağlam şifre politikaları uygulamak ve olağandışı hizmet bileti isteklerini izlemek, riski önemli ölçüde azaltabilir. Specops Şifre Denetçisi gibi araçlar, ihlal edilen şifre listelerinde bulunanlar da dahil olmak üzere AD içindeki zayıf şifrelerin taranmasını ve tespit edilmesini sağladığından faydalıdır. Araç ayrıca Kerberoasting saldırılarına karşı özellikle savunmasız olan eski hesapların görünürlüğünü de sağlar.
Hizmet hesapları için daha uzun ve daha karmaşık parolalar kullanmak, Kerberos için AES şifrelemesini etkinleştirmek ve SPN’li hizmet hesaplarının sayısını en aza indirmek gibi ek önlemler, bu tür saldırılara karşı güvenliği daha da artırabilir.
Şifre püskürtme
Diğer kaba kuvvet saldırıları gibi, parola püskürtme de hacim oyunu oynar. Saldırganlar, manuel olarak veya otomasyon araçları aracılığıyla, bir kullanıcı adı-şifre eşleşmesi bulmayı umarak kuruluş genelindeki çeşitli kullanıcı hesaplarında en yaygın şifreleri dener.
Bu saldırı işe yarıyor çünkü insanlar genellikle kolaylığa öncelik veriyor ve hatırlanması kolay basit şifreler benimsiyor. Bu nedenle, daha uzun parolaların kullanılmasını zorunlu kılabilecek ve yüksek olasılıklı parolaların kullanımını engelleyebilecek bir üçüncü taraf parola çözümü en iyi yaklaşımdır.
Varsayılan kimlik bilgileri
AD’deki varsayılan veya aynı kimlik bilgileri çeşitli senaryolardan kaynaklanabilir. Yaygın bir senaryo, yeni kullanıcı hesaplarının komut dosyalarıyla oluşturulmasıdır; bu da genellikle kullanıcıların aynı varsayılan parolaya sahip olmasına neden olur. Diğer bir senaryo ise kullanıcıların yönetici ve normal kullanıcı hesabı gibi birden fazla hesaba sahip olması ve birden fazla şifreyi hatırlama zahmetinden kaçınmak için aynı şifreyi kullanmayı tercih etmesidir.
Bu senaryolar, saldırganların sistemlere ve hassas verilere yetkisiz erişim sağlamak için varsayılan kimlik bilgilerinden yararlanabilmesi nedeniyle önemli güvenlik riskleri oluşturur.
Bu sorunu azaltmak için Specops Password Auditor, AD’de aynı parolaya sahip kullanıcıları tanımlayarak kuruluşların varsayılan kimlik bilgilerinden kaynaklanan güvenlik açıklarını gidermesine olanak tanır.
Ayrıcalık artışı
Ayrıcalık yükseltme, saldırganların bir kuruluşun ağı üzerinde tam kontrol elde etmek için kullandıkları bir taktiktir. Saldırganlar ya sistemdeki bir güvenlik açığından yararlanacak, kullanıcı kimlik bilgilerini çalacak ya da daha yüksek izinler elde etmek için ayrıcalıklı hesapların şifrelerini tahmin edecek.
Bu yıkıcı saldırıların önlenmesi, özellikle ayrıcalıklı kullanıcılar için şifre politikalarının güçlü bir şekilde uygulanmasını gerektirir.
Active Directory’nizi Specops Şifre Politikası ile koruyun
Active Directory, BT kaynaklarını, kullanıcıları ve cihazları yönetmek için merkezi bir merkez görevi görerek onu siber saldırganlar için çekici bir hedef haline getiriyor. Specops Şifre Politikası, güçlü şifre politikaları uygulayarak AD’deki güvenlik kontrollerini geliştirir.
Temel özelliklerinden biri, 4 milyardan fazla bilinen güvenliği ihlal edilmiş şifrenin kullanılmasını engelleyen İhlal Edilmiş Şifre Korumasıdır. Bu, parola saldırıları ve parolanın yeniden kullanımıyla ilişkili risklerin azaltılmasına yardımcı olur.
AD’nizin güvenliğini daha fazla değerlendirmek için AD’nizi 950 milyondan fazla ele geçirilmiş parola, boş parola, aynı parola ve parolayla ilgili diğer güvenlik açıklarına karşı tarayan ücretsiz, salt okunur bir raporlama aracı olan Specops Password Auditor’ı indirebilirsiniz.
Specops Software tarafından desteklenmiş ve yazılmıştır.