Active Directory (AD), Windows ve uygulamalar için merkezi kimlik doğrulama ve yetkilendirme mekanizmaları sunduğundan kuruluşların iç ağlarındaki kullanıcıları, bilgisayarları ve diğer kaynakları yönetmesine olanak tanıyan en yaygın kullanılan hizmetlerden biridir.
Üstelik Yöneticiler ağ kaynaklarına erişim, güvenlik politikalarını uygulama, cihaz yapılandırmasını yönetme ve çok daha fazlasını kontrol etmeyi kolaylıkla yönetebilir. Ek olarak, Active Directory’nin kurulumu kuruluşlar için nispeten daha kolaydır, bu da onun dünya çapındaki kuruluşlar tarafından yaygın olarak benimsenmesini sağlar.
Active Directory’de çeşitli güvenlik uygulamaları mevcut olsa da, Yöneticilerin bazı varsayılan yapılandırmalardan haberdar olması ve ortamın güvenliğini en iyi uygulamalar ve güvenlik önlemleriyle sağlamak için gerekli önlemleri alması gerekir.
Yaygın Active Directory Yanlış Yapılandırmaları
NVISO Labs raporuna göre, Active Directory uygulayan kuruluşlarda, tehdit aktörlerinin kuruluşlara sızmasına olanak verebilecek çeşitli yanlış yapılandırma olasılıkları bulunmaktadır. Yaygın yanlış yapılandırmalardan bazıları şunlardır:
- Yetki için yönetici hesaplarına izin verilir
- Hizmet hesaplarında AES şifrelemesi zorunlu değildir
- Yazdırma Biriktiricisi Etki Alanı denetleyicilerinde etkinleştirildi
- Kullanıcılar makine hesapları oluşturabilir
- Değiştirilmemiş GPO’lar Etki Alanı Denetleyicilerinde işlenmez
- Şifre politikası ve en az ayrıcalık
- Hizmet hesapları
- KRBTGT hesabı
Yetki için yönetici hesaplarına izin verilir
Active Directory’de, bir uygulamanın bir kullanıcı adı altında hareket edebileceği (Kerberos delegasyonu), ağın herhangi bir yerinde bir kullanıcının kimliğine bürünebileceği (kısıtlanmamış delegasyon) veya yalnızca belirli bir hizmetteki belirli bir hizmette kullanıcının kimliğine bürünebileceği varsayılan bir hesap delegasyonu vardır. bilgisayar (kısıtlı delegasyon).
Bir saldırgan, yetki verilmiş bir yönetici hesabına erişim kazanırsa, bir yönetici hesabının kimliğine bürünerek yanlara doğru hareket etmeye veya etki alanını tehlikeye atmaya çalışabilir.
Hizmet hesaplarında AES şifrelemesi zorunlu değildir
Hizmet hesaplarında AES şifrelemesi etkinleştirilmezse ve RC4 özel olarak devre dışı bırakılmazsa, bir tehdit aktörünün belirli bir SPN için Kerberos bileti talep etmesine ve parolasını kaba kuvvetle zorlamasına olanak tanıyan bir kerberoasting saldırısı mümkündür.
Etki Alanı Denetleyicilerinde yazdırma biriktiricisi etkin
Yazdırma sürecini yöneten yürütülebilir bir dosya olan yazdırma biriktiricisi hizmeti, bir tehdit aktörü tarafından KRBTGT hesabının karma değerine erişim sağlamak için kötüye kullanılabilir. Bu, Active Directory alanına neredeyse sınırsız erişim elde edilmesiyle sonuçlanacaktır.
Kullanıcılar makine Hesapları oluşturabilir
Makine hesabı, etki alanına bağlı bir bilgisayarı veya cihazı temsil eden ve cihaz hakkında bilgi depolayan, güvenlik gruplarının üyesi olabilen, Grup İlkeleri uygulanabilen vb. farklı özelliklere sahip olabilen bir Active Directory nesnesidir.
Etki alanında bir Ortak Anahtar Altyapısının (PKI) mevcut olduğunu varsayalım. Bu durumda bir saldırgan, DCSync saldırısı gerçekleştirmek ve tüm kullanıcıların ve bilgisayarların karmalarını boşaltmak amacıyla varsayılan Makine sertifikası şablonundan yararlanmak için bunu kullanabilir.
Değiştirilmemiş GPO’lar Etki Alanı Denetleyicilerinde yeniden işlenmez
Çoğu GPO ayarı yalnızca yeni olduklarında veya istemcinin son isteğinden bu yana değiştirildiğinde uygulanır; bu, bir tehdit aktörünün, belirli güvenlik önlemlerini devre dışı bırakmak için normalde bir GPO aracılığıyla yönetilen bir kayıt defteri anahtarını değiştirmesine olanak tanıyabilir.
Şifre politikası ve en az ayrıcalık
Hizmet hesapları
Çoğu zaman hizmet hesapları için parola politikaları yoktur. Ek olarak, yöneticilerin kolayca kaba kuvvetle uygulanabilecek zayıf şifreler belirlemesine izin verilir. Diğer durumlarda, hizmet hesaplarının şifreleri açıklamalarına dahil edildi.
KRBTGT hesabı
KRBTGT hesabı, tüm Active Directory etki alanlarında bulunan ve etki alanındaki tüm Kerberos isteklerini işleyen varsayılan bir hesaptır. Bu hesabın ele geçirilmesi, tehdit aktörlerinin etki alanı kaynaklarına erişmesine olanak tanıyacaktır.
NVISO laboratuvarları tarafından Active Directory’deki yaygın yanlış yapılandırmalara ilişkin, saldırı, kötüye kullanım ve hafifletmeler hakkında ayrıntılı bilgi sağlayan eksiksiz bir rapor yayımlandı.
850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Bir dene ücretsiz deneme % 100 güvenlik sağlamak için.