AD Güvenlik Sıkılaştırma İçin 10 Kritik Adım

Active Directory, bir şirketin dijital omurgasıdır. Kimlik doğrulama, yetkilendirme, grup politikaları, cihaz yönetimi gibi yüzlerce işlev tek merkezden yürür. Bu kadar merkezi bir yapının saldırıya uğraması, tüm şirketin durması anlamına gelir. Bu nedenle AD Hardening, artık “iyi olur” kategorisinde değil, olmazsa olmaz durumda.

Aşağıda kurumsal yapılarda kullanılan en etkili 10 sertleştirme adımını teknik açıklamalarıyla birlikte paylaşıyorum:

🔸 1. Tier-0 / Tier-1 / Tier-2 Modeli Kullanın

Güvenlik katmanları oluşturmak AD’nin en temel savunma hattıdır.

Tier-0: Domain Admin, Schema Admin, PKI, ADFS
Tier-1: Sunucu yöneticileri
Tier-2: Son kullanıcı ve help desk
Bu model saldırganın yukarı sıçramasını zorlaştırır.

🔸 2. PAW (Privileged Access Workstations) kullanımı

Yönetici hesaplarının internet gezintisi yaptığı cihazda olması intihardır. PAW cihazları izole ve sadece yönetim için kullanılır.

🔸 3. LAPS / LAPS2 zorunlu hale gelmeli

Tüm sunucu ve istemcilerin lokal admin şifresinin farklı, otomatik dönen, şifrelenmiş şekilde tutulması gerekir.

🔸 4. GPO Temizliği

Kurumsal ortamlarda 300+ GPO görmek şaşırtıcı değil. Ancak:

Çakışan politikalar
Disable edilmiş ama ortamda duran GPO’lar
Filtreleri yanlış ayarlanmış GPO’lar
hem güvenlik hem yönetilebilirlik için büyük risktir.

🔸 5. SYSVOL ve NETLOGON İzlemesi

Saldırganların Group Policy Script değiştirerek tüm Domain’i zehirledikleri saldırılar hâlâ çok yaygın. Bu klasörler SIEM üzerinden sürekli izlenmeli.