[ This article was originally published here ]
Bu yazının içeriği tamamen yazarın sorumluluğundadır. AT&T, yazar tarafından bu makalede sağlanan görüşlerin, konumların veya bilgilerin hiçbirini benimsemez veya desteklemez.
Active Directory’nin (AD) Windows Server 2019’a yüklenmesi, teknik nüansların kapsamlı bir şekilde anlaşılmasını ve en iyi güvenlik uygulamalarına kararlı bir şekilde bağlı olmayı gerektirir. Bu kılavuz, şirketinizdeki bilgi ve kaynaklar için en üst düzeyde koruma sağlayarak, Active Directory’yi güvenli bir şekilde uygulama sürecinde size yol gösterecektir.
Planlama ve tasarım
Dikkatlice planlayarak ve tasarlayarak başlayın. Kuruluşunuzun gereksinimlerini, ağ topolojisini ve güvenlik gereksinimlerini ayrıntılı olarak analiz edin. Gerekli sayıda kuruluş birimi (OU), etki alanı ve kullanıcı ve grup yapısı oluşturun. Kuruluşunuzun uyumluluk standartlarına ve güvenlik yönergelerine uyan kapsamlı bir tasarım planı yapın.
Windows Server 2019’u Yükleme
Windows Server 2019’u sistem minimumlarını karşılayan ayrılmış bir sisteme yükleyin. En yeni Windows Server 2019 ISO’yu kullanın ve güvenli bir kurulum için önerilen prosedürlere uyun. Yönetici hesabı için güçlü bir parola belirleyin ve donanım güvenliği için BIOS/UEFI ayarlarında destekleniyorsa Güvenli Önyüklemeyi etkinleştirin.
Doğru dağıtım türünü seçin
Active Directory dağıtım türü olarak etki alanı denetleyicisi (DC) kurulumunu seçin. Bunu yaparak, sunucunuzun, alanınızın dizin hizmetlerini, kimlik doğrulamasını ve güvenlik politikalarını denetleyen özel bir etki alanı denetleyicisi olduğundan emin olabilirsiniz.
Active Directory Etki Alanı Hizmetleri (AD DS) rolünü yükleyin
Active Directory Etki Alanı Hizmetleri (AD DS) rolünü Windows Server 2019’a ekleyin. Kurulum için Sunucu Yöneticisi veya PowerShell kullanın. Prosedür sırasında uygun orman ve etki alanı işlev düzeylerini seçin ve sunucuyu etki alanı denetleyicisi olarak belirtin.
Uygun bir Orman İşlev Düzeyi (FFL) seçin
Etki alanı denetleyicilerinizle uyumlu en yüksek Orman İşlevsel Düzeyini (FFL) seçin. Bu, en son AD özelliklerine ve güvenlik yükseltmelerine erişim sağlar. FFL belirtimlerini inceleyin ve şu anda kullanımda olan her etki alanı denetleyicisinin seçilen düzeyi destekleyebileceğini onaylayın.
Güvenli DNS yapılandırması
AD, ad çözümlemesi ve hizmet konumu için büyük ölçüde DNS’ye güvenir. DNS’nin şu şekilde güvenli bir şekilde yapılandırıldığından emin olun:
A. DNS depolaması için Active Directory Tümleşik Bölgelerini kullanma, AD aracılığıyla güvenli güncellemeler ve bölge replikasyonu sağlama.
B. DNS verilerinin kurcalanmasına karşı koruma sağlamak ve güvenli bölge imzalamak için DNSSEC’yi uygulama.
C. Bölge aktarımlarını yalnızca yetkili sunucularla sınırlandırarak, DNS verilerine yetkisiz erişimi engeller.
D. DNS denetimi ve sorgu günlüğü gibi araçları kullanarak şüpheli etkinlikler için DNS izleme ve günlük kaydı uygulama.
Güçlü kimlik doğrulama protokolleri kullanın
Active Directory’yi Kerberos gibi güçlü kimlik doğrulama protokollerini kullanacak şekilde yapılandırın. Kimlik bilgilerine dayalı saldırıları durdurmak için NTLM ve LM karmaları gibi daha eski, daha az güvenli protokolleri devre dışı bırakın. Etki alanı denetleyicilerinin, kimlik doğrulama gerçekleştirirken zayıf kimlik doğrulama tekniklerine göre sağlam kimlik doğrulama tekniklerini tercih edecek şekilde ayarlandığından emin olun.
Yönetim hesaplarının güvenliğini sağlama
Yönetici hesaplarını şu şekilde koruyun:
A. Her yönetici hesabı için karmaşık, türünün tek örneği parolalar oluşturmak, parola politikası yönergelerini takip etmek ve parolaları sık sık değiştirmek.
B. Giriş güvenliğini artırmak ve kimlik bilgilerinin çalınması riskini azaltmak için tüm yönetici hesaplarına çok faktörlü kimlik doğrulama (MFA) ekleme.
C. En az ayrıcalık, rol tabanlı erişim denetimi (RBAC) ilkesini uygulamak ve yönetici hesaplarının kullanımını yalnızca yetkili personelle sınırlamak.
D. Saldırı yüzeyini ve potansiyel içeriden gelen tehditleri azaltmak için yönetici hesabı ayrıcalıkları düzenli olarak gözden geçirilmeli ve fazladan erişim hakları kaldırılmalıdır.
Grup ilkeleri uygulanıyor
Active Directory etki alanınızda güvenlik ayarlarını ve standartlarını uygulamak için Grup İlkesi Nesnelerinden (GPO’lar) yararlanın. Genel güvenlik duruşunu iyileştirmek için parola ilkelerini, hesap kilitleme ilkelerini ve diğer güvenlikle ilgili yapılandırmaları uygulayın.
Etki alanı denetleyicilerini koruma
Etki alanı denetleyicileri, Active Directory’nin omurgasıdır. Onları şu şekilde koruyun:
A. Saldırı yüzeyini en aza indirmek ve yanal hareketi önlemek için etki alanı denetleyicilerini ayrı bir ağ segmentinde veya VLAN’da izole etme.
B. Kritik verileri fiziksel hırsızlıktan veya yetkisiz erişimden korumak için etki alanı denetleyicisinin sistem biriminde BitLocker Sürücü Şifrelemesini etkinleştirme.
C. Kritik AD hizmetlerine gelen trafiği kısıtlamak ve potansiyel tehlikeleri engellemek için Windows Güvenlik Duvarı kurallarının ayarlanması.
D. Veri bütünlüğünü korumak ve olağanüstü durum kurtarmayı hızlandırmak için düzenli etki alanı denetleyicisi yedeklemeleri gerçekleştirmek ve bu yedekleri güvenli bir şekilde depolamak. Windows Server Yedekleme özelliğini kullanarak sistem durumu yedekleri oluşturun ve yedeklilik için tesis dışı depolamayı kullanmayı düşünün.
İzleme ve denetleme
Potansiyel güvenlik ihlallerini ve yetkisiz erişimi tespit etmek için güçlü bir izleme ve denetim sistemi uygulayın. Kapsamlı tehdit izleme için Güvenlik Bilgileri ve Olay Yönetimi (SIEM) çözümlerini kullanın, önemli güvenlik olayları için gerçek zamanlı uyarılar ayarlayın ve analiz için günlük verilerini merkezileştirmek üzere Windows Olay Yönlendirmeyi kullanın.
Düzenli yedeklemeler gerçekleştirin
Veri kaybı veya felaket durumunda veri bütünlüğünü ve hızlı kurtarmayı sağlamak için Active Directory’nin düzenli sistem durumu yedeklerini oluşturun. Etkinliğini doğrulamak ve yedeklerin tesis dışında güvenli bir şekilde saklanmasını garanti etmek için geri yükleme prosedürünü periyodik olarak test edin.
Çözüm
Bu teknik kılavuzu takip ederek Active Directory’yi Windows Server 2019’da güvenle ve güvenli bir şekilde uygulayabilir, kuruluşunuzun değerli varlıkları ve hassas verileri sürekli değişen tehdit ortamından koruyan sağlam, güvenilir, yüksek düzeyde güvenli bir Active Directory ortamına sahip olmasını sağlayabilirsiniz. Güvenliğin sürekli bir süreç olduğunu ve dayanıklı bir AD altyapısının sürdürülmesinin en son güvenlik önlemleriyle güncel kalmasını gerektirdiğini her zaman unutmayın.
reklam