Şimdi yükleniyor
Bilgi Güvenliği Eğitim Genel Teknoloji , ,

Active Directory Security Hardening – MASTER Liste (30 Adım)

Active Directory Security Hardening – MASTER Liste (30 Adım)

Aşağıdaki liste, kurumların sıfırdan güvenli bir AD yapısı oluşturması için en güncel (2025) tavsiyeleri içerir.

1) Domain Controller Güvenlik Temelleri

2) Password Policies & Account Lockout Policies

3) Kerberos Güvenliği (Ticket Lifetime, AES, PAC Hardening)

4) NTLM Hardening & NTLMv1 Kapatma

5) Admin Hesap Ayrımı (Tiering Model / ESAE Yapısı)

6) Local Administrator Password Solution (LAPS) Zorunlu Kullanım

7) MFA Zorunluluğu (Özellikle Admin Hesaplar)

8) Group Policy Hardening (GPO Yapısının Güvenliği)

9) SYSVOL & NETLOGON Güvenliği (GPO Script Attack Önleme)

10) Privileged Groups Management (Domain Admins, Enterprise Admins)

11) Service Accounts (gMSA, sMSA) Hardening

12) Delegation Güvenliği (Unconstrained / Constrained Delegation)

13) RDP Güvenliği, Jump Server & Bastion Yapılandırması

14) LDAP Signing & LDAP Channel Binding Zorunlu Hale Getirilmesi

15) SMB Signing Zorunlu Kullanımı

16) Event Logging & Monitoring (Advanced Audit Policy)

17) Suspicious Account Detection (Anomali Tespiti – Compromised Accounts)

18) ADCS (Active Directory Certificate Services) Hardening

19) DNS Security (DNSSEC, Zone Transfer Denetimi)

20) Credential Guard, Remote Credential Guard, LSASS Koruması

21) Kerberoasting / AS-REP Roasting Önleyici Ayarlar

22) Mimicatz / Pass-the-Hash / Pass-the-Ticket Önlemleri

23) Lateral Movement Engelleme (Firewall, Network Segmentation)

24) Tier-0 Asset Protection (DC, PKI, ADFS vb.)

25) Stale Objects Cleanup (Inactive users, computers, stale SPNs)

26) SID Filtering, Selective Authentication (Forest Trust Güvenliği)

27) Golden Ticket ve Golden SAML Tespit/Önleme

28) Backup & Recovery Strategy (Authoritative Restore, DC Recovery)

29) Monitoring ve SIEM Korelasyon Kuralları

30) Regular AD Security Assessments (Purple Team, BloodHound Analizi)

MASTER LİSTE

1) Domain Controller Güvenlik Temelleri

Domain Controller (DC), Active Directory yapısının kalbidir. Bir DC’nin ele geçirilmesi, tüm domainin ele geçirilmesi anlamına gelir. Bu yüzden ilk adım: DC’yi fizikselden mantığa kadar kilitlemek.

🔐 Temel Güvenlik Adımları

  • DC’leri yalnızca işletim sistemi ve AD rolleri için kullanın.
  • DC üzerinde:
    • File Server
    • Print Server
    • SQL
    • Any 3rd party uygulama
      KURMAYIN.
  • DC’leri bir Tier-0 segmentinde izole edin.
  • DC üzerinde asla domain kullanıcısı oturum açmasın.

🛡 Sistem Sertleştirme

  • Windows Firewall açık olmalı.
  • Gereksiz servisler kapatılmalı.
  • SMBv1 devre dışı bırakılmalı.
  • Güncellemeler düzenli uygulanmalı.

📊 İzleme

  • Her DC için merkezi log toplanmalı.
  • SYSVOL değişiklikleri izlenmeli.
  • Admin oturumları alert üretmeli.

2) Password Policies & Account Lockout Policies

Güçlü şifre politikası, tüm AD güvenliğinin temelidir.

🔑 Önerilen Şifre Politikası

  • Minimum uzunluk: 12+ karakter
  • Complexity: Açık
  • Max password age: 60–90 gün
  • Reversible encryption: OFF

🔒 Account Lockout

  • Lockout threshold: 5–10 deneme
  • Lockout duration: 15–30 dakika
  • Observation window: 15 dakika

🎯 Ek Tavsiyeler

  • Kullanıcı parolalarını breached password listeleriyle karşılaştırın.
  • Privileged hesaplar için ayrı parola politikası uygulayın.

3) Kerberos Güvenliği

Kerberos, AD’nin authentication motorudur. Yanlış yapılandırma → Golden Ticket riskidir.

🧩 Yapılandırmalar

  • AES256 ticket encryption zorunlu hale getirilmeli.
  • Kerberos Ticket Lifetime:
    • TGT lifetime: 10 saat
    • Renewal: 7 gün

🛡 PAC Validation

  • Kerberos PAC Integrity zorunlu yapılmalı (KB patch’leri ile).

👁 İzleme

  • Event ID 4769, 4770, 4771 alarm üretmeli.
  • High-value service accounts (SPN) izlenmeli.

4) NTLM Hardening & NTLMv1 Kapatma

NTLM kimlik doğrulama eski, zayıf ve modern saldırıların hedefi.

🔥 Kritik Ayar

  • NTLMv1 = Disable
  • NTLMv2 = Enforce

🧱 Hangi riskleri engeller?

  • Pass-the-Hash
  • Relay saldırıları
  • Credential harvesting

📘 GPO Ayarları

Network Security: LAN Manager authentication level → Send NTLMv2 only

5) Admin Hesap Ayrımı (Tier Model)

Admin hesaplarının standart kullanıcı hesaplarıyla aynı olmaması gerekir.

🎯 Model

  • Tier 0: DC, ADCS, ADFS, Azure AD Connect
  • Tier 1: Sunucular
  • Tier 2: İstemciler

🧩 Kural

Bir Tier’daki admin başka Tier sisteme giriş YAPMAZ.

🔐 Ayrı Hesaplar

  • Normal kullanıcı hesabı
  • Server admin hesabı
  • Domain admin hesabı → çok sınırlı kullanım

6) LAPS (Local Administrator Password Solution)

LAPS, her makinede benzersiz lokal admin şifresi tutar.

🛡 Neden LAPS?

  • Lateral movement engellenir.
  • Lokal admin parolaları otomatik döner.
  • Parolalar AD üzerinde güvenli saklanır.

📌 Tavsiyeler

  • LAPS’i tüm istemcilere zorunlu kullanın.
  • Password expiry: 30 gün.

7) MFA Zorunluluğu

MFA olmayan bir AD ortamı tehlikelidir.

🎯 Hangi hesaplarda zorunlu?

  • Domain Admins
  • Enterprise Admins
  • Service Desk Admins
  • Azure AD Connect hesabı
  • VPN kullanıcıları

🚀 Öneri

MFA bypass girişimlerini SIEM ile korrele edin.

8) Group Policy Hardening

GPO’lar güçlüdür — yanlış yapılandırılırsa tehlikelidir.

🧱 Temel Güvenlik Adımları

  • GPO’larda kullanıcılara edit hakkı vermeyin.
  • Group Policy Objects:
    • Backup alın
    • Versiyon kontrolü yapın
  • WMI filtreleri güvenli kullanılmalı.

9) SYSVOL & NETLOGON Güvenliği

SYSVOL → GPO scriptlerinin olduğu klasör.
Buraya erişen saldırgan → tüm domaini etkileyebilir.

🔐 Önlemler

  • SYSVOL izinlerini sıkılaştırın.
  • Script dosyaları için integrity kontrolü kurun.
  • SMB signing zorunlu yapın.

10) Privileged Groups Management

Kritik gruplar:

  • Domain Admins
  • Enterprise Admins
  • Schema Admins
  • Backup Operators

🎯 En önemli kural:

Bu grupların üye sayısı minimum olmalı.

🛑 Alert Üretin

Her:

  • Üyelik ekleme
  • Üyelik çıkarma
    olayı SIEM’e düşmeli.

11) Service Accounts (gMSA / sMSA)

Servis hesapları saldırıların en kolay hedefidir.

🧩 Öneriler

  • Classic service account → kullanmayın.
  • gMSA kullanın.
  • Kerberoasting’e karşı güçlü parola zorunlu.

12) Delegation Güvenliği

Unconstrained Delegation tehlikelidir.

🎯 Kullan:

  • Constrained Delegation
  • Resource-based Constrained Delegation

🧨 Risk

Hatalı delegation = TGT çalınabilir.

13) RDP Güvenliği / Jump Server

Adminler doğrudan DC’ye bağlanmaz.

🛡 Model

  • Jump Server (PAW)
  • MFA zorunlu
  • Clipboard disable
  • File transfer kapalı

14) LDAP Signing & Channel Binding

LDAP üzerinde cleartext kimlik doğrulama kapanmalı.

🔐 GPO Ayarı

LDAP signing = Required

Sonuç:

  • Relay saldırılarını durdurur.

15) SMB Signing Zorunluluğu

SMB signing olmayan ağlar, relay saldırılarına açıktır.

🧱 Ayar

Microsoft network server: Digitally sign communications (always) → Enabled

16) Advanced Audit Policy

Gelişmiş audit logs → SIEM için altın değerindedir.

📌 İzlenmesi gereken log setleri:

  • Kerberos
  • Account logon
  • Account management
  • Object access
  • Directory service changes

17) Suspected Compromised Accounts (Anomali Tespiti)

(Bu kısmı zaten detaylı verdim.)

18) ADCS Hardening (Sertifika Otoritesi)

ADCS yanlış yapılandırılırsa → Golden Certificate saldırıları mümkün olur.

🧩 Adımlar

  • NTLM üzerinden enroll kapatın.
  • EKU izinlerini azaltın.
  • Certificate Template’leri gözden geçirin.
  • CA sunucusunu Tier-0 cihazı olarak yönetin.

19) DNS Security

AD DNS, saldırı yüzeyi taşır.

🔐 Güvenlik Adımları

  • DNS zone transfer → LIMIT
  • DNSSEC → Enabled
  • Dynamic updates → Secure only
  • Aging & scavenging aktif

20) Credential Guard / LSASS Protection

Credential theft %90 azalır.

🔥 Açılması gerekenler

  • Credential Guard
  • LSA Protection (RunAsPPL)

21) Kerberoasting & AS-REP Roasting Önleme

🛡 Önlemler

  • SPN’lere sahip kullanıcıları güçlü parola ile koruyun.
  • Preauthentication disable edilmiş hesap bırakmayın.
  • AES256 kullanın.

22) Pass-the-Hash / Pass-the-Ticket Önleme

🔒 Teknikler

  • RDP Restricted Admin Mode
  • Credential Guard
  • Kerberos Armoring
  • LAPS
  • Network segmentation

23) Lateral Movement Engelleme

🧱 Yöntemler

  • Tier modeli
  • Firewall segmentation
  • JIT PAM erişimleri
  • Admin hesabıyla workstation’a giriş yapmama politikası

24) Tier-0 Asset Protection

Tier-0 varlıklar:

  • DC’ler
  • CA sunucuları
  • ADFS
  • Azure AD Connect

Bu sistemlere yalnızca Tier-0 admin erişebilir.

25) Stale Objects Cleanup

AD’de ölü kullanıcı & bilgisayar hesabı kalmamalı.

🔧 Araçlar

  • dsquery
  • Powershell AD modülü
  • AD Admin Center Lifecycle

26) SID Filtering ve Selective Authentication

Forest trust ilişkilerinde altın kural:

Tüm forest’ı değil; sadece gereken objeleri yetkilendir.

27) Golden Ticket / Golden SAML Önleme

🔐 Koruma

  • KRBTGT parolasını periyodik reset
  • Kerberos AES encryption
  • ADCS hardening
  • ADFS iç inceden izleme

28) Backup & Recovery Strategy

🎯 Gerekenler

  • System State backup zorunlu
  • DC recovery adımlarının test edilmesi
  • Authoritative restore senaryosu

29) Monitoring & SIEM Korelasyon Kuralları

İzlenmeli:

  • Admin changes
  • Group membership
  • Lateral movement
  • Kerberoasting
  • DNS zone changes

30) Security Assessment & BloodHound Analizi

BloodHound ile AD’deki gerçek saldırı yolları bulunur.

🧩 Öneri

  • Çeyrekte bir BloodHound analizi yapın.
  • Privilege escalation yollarını kapatın.
Etiket

İlgili Yazılar

Kaçırmış Olabilirsiniz