Eğitim
Genel
Nasıl Yapılır?
Teknoloji
4624 – Logon başarılı, 4625 – Logon başarısız, 4720 – Yeni kullanıcı oluşturma, 4728 – AD group membership değişikliği, 4740 – Hesap kilitlenmesi, 4768/4769 – Kerberos ticket kullanımı, 5136 – AD nesnesinde değişiklik, active directory, Active Directory Hardening, active directory security, AD Health Check, Authenticated Users, Authenticator, Azure, BloodHound, Credential Guard, DC, domain controller, Enterprise Admin, gMSA, GPO, Group Managed Service Accounts, Grup Policy, Honeytoken, Kerberos Only Authentication, LAPS, LAPS NG, Lateral movement, LDAP Signing, LDAPS, Loglama ve İzleme, MITM, Network Segmentasyonu, NTLM, Passwordless, penetrasyon, PingCastle, PoLP, RDP, relay, SIEM, SMB, SMB Signing, svc_not_exists, SYSVOL, Tiered Admin
Yasin Yiğit
0 Yorumlar
Active Directory Güvenliği Rehberi
Kurumsal BT altyapılarının bel kemiği olan Active Directory (AD), sızmaların %70’inden fazlasında ilk hedef olarak kullanılıyor. Çünkü bir kere ele geçirildiğinde tüm organizasyonun kontrolü saldırganın eline geçebilir.
Bu nedenle AD güvenliği, yalnızca BT’nin değil, tüm kurumun siber güvenlik seviyesini doğrudan belirler.
Aşağıdaki rehber, hem küçük hem büyük ölçekli şirketlerde uygulanabilir, pratik, modern ve BT yöneticisi odaklı bir güvenlik yol haritasıdır.
1) Domain Controller (DC) Güvenliği
✔ Fiziksel ve Mantıksal Güvenlik
- DC’leri sanallaştırıyorsanız yalnızca güvenilir hypervisorlarda tutun.
- DC’lere internet çıkışı kesinlikle olmamalı.
- Lokal admin parolaları benzersiz olmalı ve LAPS/LAPS NG kullanılmalı.
✔ Güncellemeler
- DC’ler her ay en güncel güvenlik yamalarıyla güncel tutulmalı.
✔ Gerekli olmayan servisleri kapatın
- Web browser’ları kaldırın, PowerShell Remoting’i sınırlandırın.
2) Hesap ve Yetki Yönetimi
✔ Admin hesapları ayrı olmalı
- Kullanıcıların günlük kullanım hesabı ile admin hesabı aynı olmamalı.
- AdminUp@domain formatında ayrı hesaplar oluşturun.
✔ En az yetki prensibi (PoLP)
- Domain Admin rolü yalnızca birkaç kişide olmalı (ideal: 1–2).
- Zorunlu olmadıkça Enterprise Admin kullanmayın.
✔ Şüpheli yetkileri düzenli tarayın
- “Password never expires”
- “Domain Admins” içinde unutulan hesaplar
- Etki alanı dışı servis hesapları
3) Parola ve MFA Politikaları
✔ Güçlü parola zorunluluğu
- Minimum 12–14 karakter
- Parola geçmişi: 24
- Lockout threshold: 3–5 deneme
✔ MFA zorunlu
- Özellikle:
- Domain Admin
- VPN kullanıcıları
- O365 & Azure girişleri
- Kritik sunucu oturumları
✔ Passwordless seçenekler
- Windows Hello
- FIDO2 USB anahtarlar
- Authenticator uygulamaları
4) Tiered Admin Modeli (Tier-0 / Tier-1 / Tier-2)
Microsoft’un uzun süredir önerdiği ve en etkili güvenlik mimarilerinden biri.
Tier-0:
Domain Controllers, ADFS, PKI, Azure Connect, AD yapısının kalbi.
Tier-1:
Sunucular ve servisler (Exchange, SQL, ERP vb.)
Tier-2:
Kullanıcı bilgisayarları, standart iş istasyonları.
Kural:
Tier-0 yöneticisi Tier-1’e dokunamaz, Tier-1 yöneticisi Tier-2’ye.
Bu yapı lateral movement riskini %85 azaltır.
5) Active Directory Hardening Adımları
✔ Kerberos Only Authentication
NTLM’i kapatın veya kısıtlayın. Mümkünse tüm uygulamaları Kerberos’a taşıyın.
✔ LDAP Signing & LDAPS Zorunlu
- LDAP signing etkin değilse saldırganlar MITM yapabilir.
- Sertifikasyon altyapısı ile LDAPS zorunlu hale getirilmeli.
✔ SMB Signing
Resim çalınması (relay) saldırılarını ciddi oranda azaltır.
✔ Credential Guard
Özellikle yönetici cihazlarında zorunlu olsun.
6) Grup Policy (GPO) Güvenliği
✔ GPO yönetim yetkilerini sınırlandırın
- GPO’ya dokunabilen kişi sayısı minimum olmalı.
✔ Yönetici haklarını düzenli tarayın
- “Authenticated Users” gibi geniş kapsamlı izinler kaldırılmalı.
✔ SYSVOL temizliği
SYSVOL’daki yetki açıkları saldırganlara her şeyi değiştirme şansı verir.
7) Loglama ve İzleme (SIEM Entegrasyonu)
Mutlaka izlenmesi gereken kritik loglar:
- 4624 – Logon başarılı
- 4625 – Logon başarısız
- 4720 – Yeni kullanıcı oluşturma
- 4728 – AD group membership değişikliği
- 4740 – Hesap kilitlenmesi
- 4768/4769 – Kerberos ticket kullanımı
- 5136 – AD nesnesinde değişiklik
Ek olarak:
- Honeytoken kullanıcıları oluşturun (ör: svc_not_exists).
- Bu kullanıcıya giriş denemesi → Anında alarm.
8) Servis Hesapları ve Uygulama Güvenliği
✔ Parolaları asla sabit bırakmayın
Mümkünse Group Managed Service Accounts (gMSA) kullanın.
✔ Uygulamaların domain admin istemesini engelleyin
%90’ı gereksiz, sadece yanlış yazılmıştır.
Uygulama izinlerini doğru analiz edin.
9) SMB, RDP ve Network Segmentasyonu
✔ RDP tamamen kapalı olmalı
Sadece Jump Server üzerinden yönetici bağlantısına izin verin.
✔ Sunucu VLAN’larını ayırın
Kullanıcı segmentinden yönetim segmentine direkt geçiş engellenmeli.
✔ Firewall ile DC’lere erişim çok sıkı kısıtlanmalı.
10) Düzenli Güvenlik Testleri
✔ Yıllık penetrasyon testi
✔ AD Health Check
Microsoft’un IDL, DC Replication, SYSVOL, DNS kontrolleri.
✔ BloodHound & PingCastle ile iç denetim
Saldırgan bakış açısıyla yetki zincirlerini görürsünüz.
Sonuç
Active Directory, kurumun en kritik altyapısıdır ve güvenliği tek seferlik değil devamlı bir süreçtir.
Bu rehberdeki adımları uygulayan kurumlar:
- Lateral movement riskini azaltır
- Kimlik hırsızlığına karşı güçlenir
- AD yapılarını modern güvenlik standartlarına taşır
