Windows

Active Directory təhlükəsizliyini təmin etmək

 

Active Directory təhlükəsizliyini necə təmin etmək olar?

Təşkilatınızın kiber hücumçulara və zərərli proqramlara qarşı kibertəhlükəsizlik səviyyəsini təyin edən mühüm amillərdən biri də istifadəçi hesablarının təhlükəsizliyidir. KVKK uyğunluğu bir çox məqamlarda istifadəçi təhlükəsizliyinə xüsusi diqqət yetirməyi tələb edir, lakin burada biz məsələni uyğunluqdan daha çox təhlükəsizlik baxımından müzakirə edəcəyik.

 

  1. Mərkəzləşdirilmiş İdarəetmə: İstifadəçi hesabları, qruplar, kompüterlər və digər şəbəkə resurslarını mərkəzləşdirilmiş şəkildə idarə edir.
  2. Şəbəkə Təhlükəsizliyi: İcazələri və kimlik doğrulamasını təmin edir, bu da təhlükəsizlik siyasətlərinin tətbiqini asanlaşdırır.
  3. Resursların İdarə Edilməsi: Şəbəkə resurslarına (məsələn, printerlər, fayl serverləri) daxil olma hüquqlarını idarə edir.
  4. Şəbəkə Strukturunun Yaradılması: Domainlər, təşkilati unitələr (OU) və qruplar vasitəsilə şəbəkə strukturunu təyin edir.

Active Directory Qurulması

Active Directory-nin qurulması bir neçə əsas mərhələdən ibarətdir. Burada, Windows Server mühitində AD-nin necə qurulacağını addım-addım izah edən bir baxış təqdim edirəm:

1. Hazırlıq

  • Tələblərin Təhlili: Şəbəkə strukturunu və təhlükəsizlik tələblərini müəyyənləşdirin.
  • Təhlükəsizlik və Yedəkləmə Planları: Məlumatların qorunması üçün təhlükəsizlik və yedəkləmə planlarını hazırlayın.

2. Windows Server İnstallasiyası

  • Serverin Hazırlanması: Windows Server əməliyyat sistemini uyğun serverə quraşdırın.
  • Təhlükəsizlik Yeniləmələri: Ən son təhlükəsizlik yeniləmələrini tətbiq edin.

3. Active Directory Rolunun Quraşdırılması

  1. Server Manager açın:
    • “Server Manager” proqramını açın.
  2. AD DS (Active Directory Domain Services) Rolu əlavə edin:
    • “Add roles and features” seçiminə gedin.
    • “Role-based or feature-based installation” seçin.
    • “Active Directory Domain Services” rolunu seçin və quraşdırma təlimatlarını izləyin.
  3. Active Directory-nin Qurulması:
    • Rolu quraşdırdıqdan sonra, Server Manager içərisində “AD DS” və “Post-installation tasks” bölməsinə gedin.
    • “Promote this server to a domain controller” seçimini seçin.

4. Domain Konfiqurasiyası

  1. Yeni Domain və ya Domain Controller əlavə edin:
    • “Deployment Configuration” ekranında, yeni bir domain yaradın və ya mövcud bir domainə qoşulun.
    • Domain adı (FQDN) daxil edin. Məsələn, example.local.
  2. Directory Services Restore Mode (DSRM) Parolu Təyin Edin:
    • Bu, AD-nin bərpası zamanı istifadə ediləcək admin paroludur.
  3. Domain Controller Konfiqurasiyası:
    • DNS serveri və Global Catalog seçimlərini təsdiqləyin.
  4. Quraşdırma Yoxlaması və Tamamlanma:
    • Quraşdırma parametrlərini yoxlayın və quraşdırmanı tamamlayın.
    • Server yenidən başladılacaq.

5. Post-Quraşdırma Konfiqurasiyası

  • Təşkilati Unitlərin (OU) Yaradılması: Domain içərisində təşkilati unitlər yaradın və istifadəçi hesablarını, qrupları bu OUlərlə təşkil edin.
  • İstifadəçi Hesablarının və Qrupların Yaradılması: İstifadəçi hesablarını və qrupları yaradın və icazələri təyin edin.
  • Group Policy Konfiqurasiyası: Şəbəkə təhlükəsizliyi və idarəetmə üçün Group Policy obyektlərini yaradın və konfiqurasiya edin.

6. Monitorinq və İdarəetmə

  • Active Directory Users and Computers (ADUC): İstifadəçi hesabları, qruplar və kompüterlərin idarə edilməsi üçün bu vasitəni istifadə edin.
  • Active Directory Sites and Services: Şəbəkə replikasiyalarını və domain controller-ləri idarə edin.
  • Active Directory Domains and Trusts: Domainlər arası etibarlılıq əlaqələrini idarə edin.

Əlavə Qeydlər

  • Təhlükəsizlik Təlimatları: AD-nin təhlükəsizliyini təmin etmək üçün mütəmadi olaraq təhlükəsizlik yoxlamaları və auditlər aparın.
  • Davamlı Yeniləmələr: Windows Server və Active Directory xidmətlərinin yeniləmələrini və təhlükəsizlik yamalarını müntəzəm olaraq tətbiq edin.

Bu addımlar Active Directory-nin düzgün qurulmasını təmin edəcək və təşkilatınızın identifikasiya və icazə strukturlarını effektiv şəkildə idarə etməyə kömək edəcək.

Active Directory təhlükəsizliyini necə təmin etmək olar?

Active Directory strukturu istifadəçi idarəetməsinin ən vacib komponentlərindən biridir. Penetrasiya testlərinin mühüm mərhələsi, Domain Controller-də Domain Admin imtiyazları olan bir istifadəçinin açılması kimi görünür. Aşağıdakı fotoşəkil bir çox cəhətdən təşkilatınızın şəbəkəsinin tam pozulması kimi görünə bilər:

Qeyd; Active Directory bəlkə də bütün qurumlar tərəfindən fəal şəkildə istifadə edilən, lakin kifayət qədər diqqət görməyən xidmətidir.

Şirkətlər daxilində yaradılmayan və ya düzgün konfiqurasiya edilməmiş parol siyasətləri, həddindən artıq səlahiyyətli hesablar, səlahiyyətli hesabların və AD qeydlərinin vaxtaşırı nəzərdən keçirilməməsi və araşdırılmaması təşkilatların ümumiyyətlə etdiyi səhvlər arasındadır.

Niyə biz AD loglarını nəzərdən keçirməliyik?

Şirkətinizə sızan xakerlərin yanal hərəkətlərini izləməli və sızdıqdan dərhal sonra səlahiyyətli hesabları axtarmalıyıq. Bunun yollarından biri də logları izləməkdir. Uğursuz girişləri izləməsəniz, Yoxsa AD nə baş verdiyini dərk etməyəcəksiniz.

Pis niyətli xakerlər komputerə sızmadan sonra Pass The Hash, Pass The Ticket, Golden Ticket kimi hücum üsullarından istifadə edərkən sistem zəifliklərindən istifadə edə və gücləndirici hücumlar həyata keçirə bilərlər. Sistemə sızan hücumçular domen daxilində məlumat əldə etmək və səlahiyyətli istifadəçi hesablarını aşkar etmək üçün müxtəlif vasitələrdən istifadə edəcəklər. Bu vasitələrdən biri olan Blood Hound ilə siz bir az səylə domen admin istifadəçilərinin siyahısına daxil ola bilərsiniz.Yaxşısı budur ki, təhlükəsizlik qrupları bu məhsulu AD-də nüfuz testlərində də istifadə edə bilər.Bu nöqtədə, özünüzün sisteminin  yoxlamaq üçün istifadə edə biləcəyiniz məhsullardan biri də AD ACL Alətidir. Bu alət bizə sistemdə uzun müddət qalmaq niyyətində olan təcavüzkarın hərəkətlərini müşahidə etməyə imkan verə bilər.

Daha təhlükəsiz AD yaratmaq üçün

Strukturunuzu izole edin, iş stansiyalarının server struktruna daxil olmasının qarşısını alın.

Microsoft tərəfindən tövsiyə olunan aşağıdakı struktur əksər şirkətlər tərəfindən tətbiq edilmir. Bunun səbəbi user vərdişləri və istifadə rahatlığının ön planda olmasıdır.

 

* Kritik sistemlərinizi öz kompüterlərinizdən idarə etmək əvəzinə, onları PAW (Privileged Access Workstation) – VDI və ya bərkidilmiş virtual maşınlar vasitəsilə idarə edin.

* Cari əməliyyat sistemi istifadəsini və təhlükəsizlik yeniləmələrini izləyin və onları vaxtında tətbiq edin.

* Ən müasir əməliyyat sistemlərindən istifadə edin və təhlükəsizlik yeniləmələrini vaxtında edin

* Səlahiyyətli userl hesablarınızı məhdudlaşdırın. Bir çox şirkətdə, ehtiyac olmadığı halda, lazımsız səlahiyyətli istifadəçi hesablarını görmək mümkündür. Bunları aylıq izləmək və hesabat vermək sizə fayda verəcəkdir.

* AD audit loglarını açın və AD-də yaradılmış logları izlədiyinizə əmin olun.

* SIEM vasitəsilə LDAP  sorğularınızı izləyin.

* DNS təhlükəsizliyi üçün lazımi tədbirləri alın və şirkət miqyasına uyğun olaraq DNS firewall istifadə edin.

*İcazəli istifadəçilərin təhlükəsizliyi üçün “AdminSDHolder”a icazə verin.

* İcazəli istifadəçilərin təhlükəsizliyi üçün “Protected Users” qrupundan istifadə edin.

* Adminlərə standart görülən işlər üçün və Admin işləri üçün fərqli parollarla fərqli hesablardan istifadə etsinlər.

* Administrator və Built -in hesablardan istifadə etməyin.

* AD-də lazımsız və istifadə olunmayan servisləri söndürün.

* Orta və böyük strukturlarda PAM və Microsoft ATA məhsullarından istifadə edin.

* Sistem zəiflikləri haqqında ilk siz xəbərdar olmaq üçün. Pis niyətli xakerlərdən qorunmaq üçün serverinizin zəifliyini skan etdiyinizdən və aAD infrastrukturu pentest etdirin.

* Sistemlərinizin təhlükəsizliyi satın aldığınız məhsullarla deyil, yaratdığınız korporativ mədəniyyət və işlədiyiniz təhlükəsizlik proseslərlə qorunur.

Related Articles

Bir cavab yazın

Sizin e-poçt ünvanınız dərc edilməyəcəkdir. Gərəkli sahələr * ilə işarələnmişdir

Back to top button