Microsoft, Windows Admin Center’da (WAC) sertifika tabanlı kimlik doğrulaması uygulamak için kapsamlı bir rehberlik yayınladı ve yöneticilere akıllı kart entegrasyonu ve Active Directory Sertifika hizmetleri aracılığıyla gelişmiş güvenlik sağladı.
Bu kimlik doğrulama yöntemi, yöneticilerin yönetim ağ geçidine erişmeden önce geçerli sertifikalar sunmalarını isteyerek erişim kontrollerini önemli ölçüde güçlendirir ve geleneksel şifrelerin ötesinde güçlü bir ikinci kimlik doğrulama faktörü ekler.
Sertifika Tabanlı Kimlik Doğrulama Kurulumu
Azure Portal ortamında dosya kaşif ve dosya paylaşım araçlarını gösteren Windows Admin Center arayüzü
1. Adım: Active Directory ve Sertifika Hizmetlerini Hazırlayın
Çevrenizin Windows Admin Center Gateway ile tüm ön koşulları karşıladığından ve bir Active Directory alanına katılan idari iş istasyonları ile karşılaştığından emin olun.
Active Directory Sertifika Hizmetleri’ni (AD CS), akıllı kart sertifikaları verilmesi için etki alanı tarafından güvenilen bir Kurumsal Sertifikasyon Kurumu olarak dağıtın.
Yöneticilere fiziksel akıllı kartlar ve okuyucular sağlayın veya oturum açma sertifikalarını güvenli bir şekilde saklayabilen TPM destekli sanal akıllı kartları yapılandırın.
WAC’ın varsayılan kendi kendine imzalanmış ağ geçidi sertifikasını, CA’nız tarafından ağ geçidinin DNS adıyla eşleşen uygun bir SSL sertifikasıyla değiştirin.
Etki alanı denetleyicilerinin geçerli Kerberos pkinit sertifikalarına sahip olduğunu ve sertifika doğrulaması için sertifika iptal listesi dağıtım noktalarına erişebileceğini onaylayın.
Adım 2: AD CS Akıllı Kart Oturum Açma Şablonunu Yapılandırın
Dahili SmartCard Oturum Açma Şablonunu çoğaltarak Sertifika Şablonları Konsolunda Akıllı Kart Oturum Açma Sertifikası Şablonunu oluşturun veya çoğaltın.
2048-bit veya daha yüksek anahtar uzunluğu ve pim yönlendirme dahil olmak üzere güçlü şifreleme ayarlarıyla “IT admin SmartCard Logon” adlı yeni şablonu yapılandırın.
Uygun sertifika eşleme için Kullanıcı Ana Adı (UPN) kullanarak Active Directory bilgilerinden oluşturulacak konu adını ayarlayın.
Akıllı Kart Oturum Açma Genişletilmiş Anahtar Kullanımı (OID 1.3.6.1.4.1.311.20.2.2) ekleyin ve Yönetici Grubuna Sertifika gerektiren kayıt izinleri verin.
Şablonu CA’nızda yayınlayın ve sertifika güven ilişkilerini doğrulayarak certmgr.msc kullanarak her yöneticinin akıllı kartını kaydedin.
Adım 3: Kimlik Doğrulama Mekanizması Güvencesi
AMA Control için doğrudan üye eklemeden Active Directory’de “WAC-Certauth istenen” adlı evrensel bir güvenlik grubu oluşturun.
CN = Public Anahtar Services, CN = Services, CN = yapılandırma ve OID kapsayıcıyı bulmak için yapılandırma bölümüne gitmek için ADSI Düzenle kullanın.
MSPKI-CERT-TEMPLAT-OID özniteliği Sertifika Şablonunuzun OID’sini eşleştiren nesneyi bulun ve nesne tanımlayıcıyı not edin.
Bu OID nesnesinin MSDS-OIDTOGROULLINK özniteliğini “WAC-Certauth-Required” grubunuzun seçkin adına ayarlayın.
Bu haritalama, etki alanı denetleyicilerinin dinamik olarak kullanıcıların Kerberos jetonlarındaki grubu yalnızca akıllı kart sertifikası ile doğrulandığında içermesini sağlar.
4. Adım: Windows Yönetici Merkezi’ni yapılandırın ve test edin
Windows Yönetici Merkezi Ayarları paneline erişin ve Active Directory’yi ağ geçidi kimlik doğrulaması için kimlik sağlayıcısı olarak yapılandırın.
Ağ geçidi erişimini kısıtlamak için kullanıcı erişimi altındaki idari grubunuzu ekleyin ve akıllı kartla güçlendirilmiş grup olarak “WAC-Certauth istenen” i belirleyin.
Yapılandırmayı uygulayın, böylece WAC hem yönetim grubuna hem de sertifika tabanlı kimlik doğrulama grubuna üyelik gerektirir.
HTTP 401/403 inkârına neden olması gereken yalnızca şifre olan oturum açma girişimlerini test edin, ardından sorunsuz erişim vermesi gereken akıllı kart sertifikası girişini test edin.
Grup üyeliğini onaylamak ve kimlik doğrulama olayları için WAC olay günlüklerini gözden geçirmek için WHOAMI /Grupları kullanarak kurulumu doğrulayın.
Kullanıcı, sertifika yetkilisi, anahtar depoları ve korunan kaynakları içeren sertifika tabanlı kimlik doğrulamanın adım adım sürecini gösteren akış şeması
Uygulama, kuruluşlara Windows Altyapı Yönetimi için kurumsal sınıf güvenlik kontrolleri sağlar ve idari erişimin hem uygun yetkilendirme hem de sertifika tabanlı kimlik doğrulama faktörleri gerektirmesini sağlar.
Bu kapsamlı yaklaşım, akıllı kart entegrasyonu yoluyla idari verimliliği korurken güvenlik risklerini önemli ölçüde azaltır.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.