Active Directory etki alanına katılma hesapları, yöneticiler Microsoft’un resmi yönergelerini izlese bile kurumsal ortamları sistematik olarak tehlikeye atıyor.
Kapsamlı bir güvenlik analizi, bu özel hesapların varsayılan olarak aşırı ayrıcalıkları devraldığını ve saldırganların erişimi dahili ağlardan tam etki alanı kontrolüne yükseltmeleri için doğrudan bir yol oluşturduğunu ortaya koyuyor.
Güvenlik değerlendirmeleri sırasında, etki alanına katılma hesaplarının, Active Directory ortamlarını tehlikeye atmak için en güvenilir giriş noktalarından biri olduğu kanıtlanmıştır.
Bu hesaplar, bilgisayar nesneleri oluşturmak ve makineleri etki alanına birleştirmek için gereken yükseltilmiş izinlere sahip standart kullanıcı hesapları olarak işlev görür.
Ancak tasarımları, mevcut güçlendirme kılavuzunun yeterince ele alamadığı çok sayıda kritik güvenlik açığını beraberinde getiriyor.
Temel sorun işletim sistemi dağıtımı sırasında başlıyor. Yardım Masası teknisyeni yeni bir dizüstü bilgisayar açtığında, onu PXE aracılığıyla önyüklediğinde ve Windows 11 kurulumunu başlattığında sistem, dağıtım sürecine dahil edilen etki alanına katılma hesabının düz metin parolasını alır.
Dahili ağ üzerinde herhangi bir yere konumlanan bir saldırganın, bu son derece ayrıcalıklı kimlik bilgilerine erişim sağlamak için önyükleme sırasında yalnızca F12 tuşuna basması gerekir.
Bu parolaları içeren yapılandırma dosyaları, PXE dizileri, unattend.xml dosyaları, MDT komut dosyaları ve yapılandırma yönetimi araçları dahil olmak üzere birden çok konumda görünür.
Bir etki alanına katılma hesabı, Active Directory’de bilgisayar nesneleri oluşturduğunda, bu nesnelerin sahibi haline gelir ve saldırganların kendilerine tam kontrol atamasına ve LAPS parolasını açığa vurma, Kaynak Tabanlı Kısıtlı Yetkiyi kötüye kullanma ve Gölge Kimlik Bilgilerinden yararlanma işlemlerini gerçekleştirmesine olanak tanır.
Yöneticiler kapsayıcı düzeyinde “Tüm özellikleri okuma” izinlerini kaldırdıktan sonra bile, yeni oluşturulan bilgisayar nesneleri, varsayılan güvenlik tanımlayıcıları aracılığıyla Oluşturucu Sahibine otomatik olarak okuma yetenekleri verir ve ms-Mcs-AdmPwd özelliği aracılığıyla LAPS parolasının çıkarılmasına olanak tanır.
Kritik Sertleştirme Uygulamaları
Kuruluşların üç temel güvenlik kontrolünü uygulaması gerekir. İlk olarak, makine hesabı kota kısıtlamalarını sıfıra ayarlayın:
Set-ADDomain -Identity test.local -Replace @{ 'ms-DS-MachineAccountQuota' = 0 } -Verboseİkinci olarak, LAPS parola koruması için reddetme ACE’lerini uygulayın:
$entity = "domainjoin"
$guid = "ad27bc2b-cf04-424d-b705-5df50c7d5d37"
$adRights = [System.DirectoryServices.ActiveDirectoryRights]::ReadProperty
$accessControlType = [System.Security.AccessControl.AccessControlType]::Deny
$identityReference = New-Object System.Security.Principal.NTAccount($entity)
$ace = New-Object System.DirectoryServices.ActiveDirectoryAccessRule($identityReference, $adRights, $accessControlType, (New-Object Guid $guid))Üçüncüsü, Kaynak Tabanlı Kısıtlanmış Yetkinin kötüye kullanımını engelleyin:
$entity = "domainjoin"
$guid = "3f78c3e5-f79a-46bd-a0b8-9d18116ddc79"
$adRights = [System.DirectoryServices.ActiveDirectoryRights]::WriteProperty
$accessControlType = [System.Security.AccessControl.AccessControlType]::Deny
$ace = New-Object System.DirectoryServices.ActiveDirectoryAccessRule($identityReference, $adRights, $accessControlType, (New-Object Guid $guid))Microsoft’un gecikmiş yanıtı (başlangıçta Ekim 2021’de güvenlik güncellemeleri yayınlamayı reddetmesi), yöneticilerin yıllarca doğrulanmamış kaynaklara bağımlı kalmasına neden oldu.
Ancak Microsoft nihayet Ağustos 2025’te bu izinleri yönetmenin karmaşıklığını kabul eden resmi bir kılavuz yayınladı.
Etkili koruma, sahibin yeniden atanması, izin verme uygulaması ve kota kısıtlamaları yoluyla birden fazla kontrolün katmanlandırılmasını gerektirir.
Güvenlik ekipleri, etki alanına katılma hesabı güvenliğinin onay kutusu tabanlı uyumluluk yaklaşımları yerine sürekli taahhüt gerektirdiğinin bilincinde olarak, işlevselliği karmaşık saldırı zincirlerine karşı dengelemelidir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.