Active Directory, günümüzde birçok ağ için merkezi kimlik deposu ve kimlik doğrulama sağlayıcısı olduğundan güvenlik açısından son derece önemlidir. Bu doküman da Active Directory’nin güvenliğini etkileyen en önemli 5 değişikliği ele alacak, bu olayları Active Directory’nin yerel denetimini kullanarak bu olayları nasıl denetleyeceğinizi gösterip ve bu olaylara güvenmeden önce bilmeniz gereken kısıtlamaları ve eksiklikleri belirteceğim.
Bu dökümanda ele alınan olayları etki alanı denetleyicileri oluşturur. Bu nedenle varsayılan etki alanı denetleyicisi güvenlik politikası GPO’sunda denetim politikalarını etkinleştirmeniz gerekmektedir.
1-Grup Üyeliği Değişiklikleri
Active Directory grupları, alanınızdaki kaynaklara erişimi kontrol eder. Bu sadece dosya sunucularındaki izinleri değil, aynı zamanda SharePoint, Exchange, SQL Server gibi AD ile entegre olan diğer uygulamalardaki izinleri de içerir ve bulut uygulamalarını da kapsar. Bu nedenle, grup üyeliği değişikliklerinin bir denetim izine ihtiyacınız vardır ve AD’nin dahili ayrıcalıklı grupları gibi önemli grupların değişikliklerini incelemek için gereklidir. Ayrıca, ortamınızdaki kaynaklara ve uygulamalara önemli erişimi olan diğer özel gruplar da belirlenmelidir.
Grup üyeliği değişikliklerini denetlemek için “Güvenlik Grubu Yönetimini Denetle” denetim ilkesini etkinleştirmeniz ve ardından genel, yerel ve evrensel gruplara eklenen yeni üyeleri kapsayan 4728, 4732 ve 4756 olaylarını aramanız gerekir. Bu olaylar değişikliği kimin yaptığını, hangi grubun etkilendiğini ve yeni üyenin kim olduğunu gösterir.
Bir grubun kapsamı (Global, Yerel veya Evrensel) veya türü (Güvenlik/Dağıtım/Uygulama) üzerindeki değişiklikleri de izlemelisiniz. Kapsam değişiklikleri, bir grubun birden çok güvendiği alanda erişime izin verebilir veya başka güvenilen alanlardan üyeleri olabilir. Kötü niyetli bir ayrıcalıklı kullanıcı, yalnızca güvenlik grup değişikliklerini izlediğinize güvenerek, bir Güvenlik grubunu bir Dağıtım grubuna değiştirebilir, yetkisiz bir üye ekleyebilir ve ardından tekrar Güvenlik grubuna çevirebilir Bu tür değişiklikleri yakalamak için de 4764 numaralı olay kimliği oluşumlarını incelemelisiniz.
2- Grup Politikası Değişiklikleri
Grup Politikası nesneleri, etki alanı düzeyindeki güvenlik ayarlarını ve üye sunucuların ve iş istasyonlarının güvenlik yapılandırmasını kontrol eder. Bu nedenle, güvenlik ve uyumluluk sağlamak için Grup Politikası üzerinde etkisi olan herhangi bir değişiklikten haberdar olmanız gerekmektedir. Bu sadece Grup Politikası nesnelerinin kendilerine yapılan değişiklikleri içermez. Organizasyonel Birimler (OU’lar) (aynı zamanda Siteler ve etki alanının kökü) Grup Politikası ile ilgili özelliklere sahiptir ve bu, OU’daki kullanıcılar ve bilgisayarlar üzerinde Grup Politikasının uygulanmasını etkileyebilir. Bu olayları denetlemek için “Dizin hizmeti değişikliklerini denetle” ve “Dizin hizmetine erişimi denetle” politikalarını etkinleştirmeniz gerekmektedir. Ardından, Active Directory kullanıcıları ve bilgisayarları ile nesne düzeyinde denetimi yapılandırmanız gerekmektedir. Etki alanının kök dizininde etkinleştirmeniz gerekenler şunlardır :
Bu denetim özelliklerinin aynı zamanda AD izin değişiklikleri için gerekli nesne düzeyinde denetimi de içerdiğini unutmayın, bunu aşağıda tartışacağız. Sistem ve nesne düzeyinde denetimi etkinleştirdikten sonra, GPO yönetiminin üç yönünü denetlemeyi düşünelim: GPO izinlerinin değiştirilmesi, GPO ayarlarını değiştirme ve bir GPO’nun silinmesi. Bir GPO üzerindeki izinler, GPO’yu kimin düzenleyebileceği ve güvenlik filtrelemesi için kullanılabilir. Böylece GPO’nun yalnızca belirli bir kullanıcı veya bilgisayar alt kümesine uygulanmasını sınırlandırabilir.
GPO’lardaki izin değişikliklerini bulmak için aşağıda gösterildiği gibi olay kimliği 4662’yi arayın, burada Nesne Türü groupPolicyContainer’dir (GPO için AD şema adı) ve Özellikler WRITE_DAC’ı içerir, bu da “İzinleri Değiştir” anlamına gelir.
Bu olaydan da görebileceğiniz gibi, Windows, GPO’nun görüntü adını değil, yalnızca GUID’ini sağlar. Bu, yerel denetimin kısıtlamalarından bir örnektir. GPO’nun Görüntü Adını bulmak için Active Directory Kullanıcıları ve Bilgisayarları’na gidip Görüntü Adını bir sütun olarak eklemeniz gerekecektir. Ardından, System\Policies klasörünü seçerek etki alanındaki tüm GPO’ların GUID ve Görüntü Adı ile bir listesini görebilir ve bunları çapraz referans yapabilirsiniz. Yukarıdaki örnek olayda, Herkese GPO’yu düzenleme yetkisi verilmiş olabilir ve bu çok tehlikeli olabilir. GPO ayarlarına yönelik denetimler de aynı derecede yetersizdir. Ayar değişiklikleri, Sınıf olarak “groupPolicyContainer” ve Öznitelik LDAP Görüntü Adı olarak “versionNumber” olarak kaydedilir.
Bu olay, belirtilen bir kullanıcının (etkinlik ayrıntısının “Konu” bölümünde belirtilir) bir GPO’yu değiştirdiğini söyler, ancak hangi ayarların değiştirildiğini, üzerinde değişiklik yapılan GPO’nun öncesi ve sonrası değerlerini belirtmez. Ve yine, olaydaki GUID’i GPO’nun Görüntü Adı ile çapraz referans yapmak için çevirmeniz gerekmektedir. Son olarak, kritik güvenlik ayarlarının tüm koleksiyonunu silme durumlarını da izlemelisiniz. Tüm GPO’ları silebilecek olayları aramak için yine Sınıf olarak “groupPolicyContainer” başlıklı olaya bakın.
3- AD İzin Değişiklikleri
Active Directory (AD), etki alanınızdaki tüm nesnelere izin değişikliklerini günlüğe kaydetmektedir. Bu izin değişiklikleri, AD nesnelerine erişim için bazı yetkilerin devredildiğini gösterir. Active Directory ‘deki izin değişiklikleri, bir kullanıcıyı Domain Admins grubuna eklemek kadar güçlü olabilir. Örnek olarak, bir kullanıcı Everyone grubuna etki alanın kök dizininde Tam Kontrol yetkisi verirse, bunu bilmek istersiniz.
OU’lara veya etki alanı kök dizini değişiklikleri, yukarıda açıklanan GPO izin değişiklikleriyle aynı şekilde günlüğe kaydedilir. Ancak Nesne Türü “organizationalUnit” veya “domainDNS” olacaktır. Bu izin değişikliklerini, AD üzerinde ayrıcalıklı yetkinin zayıflatılmadığından emin olmak için araştırmanız gerekir. Ancak, GPO izin değişikliklerini etkileyen yerel denetimle aynı sınırlamayla karşılaşıyoruz. AD, Bob’un OU’daki izinleri değiştirdiğini bize söyler, ancak yeni izinlerin ne olduğunu söylemez. AD’deki nesnenin güvenlik ayarlarına bakmanız ve geçerli izinlerin uygun olup olmadığını değerlendirmeniz gerekir.
AD izin değişikliklerini izlemek, AD’deki ayrıcalıklı yetkinin zayıflatılmadığından emin olmak için önemlidir. Bu izin değişikliklerini izleyerek, kimlerin AD nesnelerine erişim izni aldığını ve bu izinlerin ne olduğunu görebilirsiniz. Bu, AD’yi güvende tutmak için kritik bir bilgidir.
4- Yeni ve Yetkilendirilmiş Kullanıcı Hesapları
Yeni kullanıcı hesapları, ortamınıza erişim sağlayan yeni kimlik bilgilerini temsil eder. Bu eklemeleri AD’de gözden geçirmek, uygunsuz hesaplara veya normal kontroller dışında oluşturulan hesaplara veya APT’ler ve diğer saldırganlar tarafından oluşturulan arka kapı hesaplarına hızlı bir şekilde yanıt vermenizi sağlar. Benzer şekilde, önceden devre dışı bırakılmış ancak birdenbire etkinleştirilen hesaplar da gözden geçirilmelidir, çünkü bunlar oldukça nadir olmalı ve yeni oluşturulmuş hesaplarla aynı riski temsil etmelidir. AD kullanıcı hesaplarındaki bu ve diğer değişiklikleri takip etmek için “Kullanıcı hesabı yönetimini denetle” denetim politikasını etkinleştirin. Ardından, kullanıcı hesabı oluşturma (4720) ve kullanıcı hesabı etkinleştirme (4722) olay kimliklerini inceleyin. Bu olaylar oldukça açıktır, ancak yanlış pozitif durumu dikkate almalısınız: İlk olarak bir kullanıcı hesabı oluşturduğunuzda, AD hesabı devre dışı bırakır, birkaç başlangıç güncellemesi yapar ve hemen ardından etkinleştirir. Bu nedenle her yeni oluşturulan hesapla ilişkilendirilmiş bir tür sahte kullanıcı hesabı etkinleştirme olayını (4722) her zaman göreceksiniz ve bunları göz ardı etmeniz gerekecektir.
5- Güven İlişkisi Değişiklikleri
Güven ilişkisi değişiklikleri nadir görülse de büyük güvenlik sonuçları doğurabilir. Başka bir etki alanına veya ormana güvendiğinizde, bilgisayarlarınızın tümü bu kullanıcı kimliklerini kabul eder. Ve eğer izinlerin verildiği kaynaklarınızda “Herkes” veya “Doğrulanmış Kullanıcılar” grubuna izinler verildiyse, yeni güvendiğiniz etki alanının kullanıcıları bu izinleri anında devralır. Güven ilişkilerini denetlemek için “Kimlik doğrulama politikası değişikliklerini denetle” denetim politikasını etkinleştirin ardından olay kimleri 4706, 4707, 4716, 4865, 4866 ve 4867’yi takip edin. Windows bazı olayları çoğaltır ve terimleri “güvendiğiniz” ve “güvenen” olarak her zaman doğru kullanmaz, bu nedenle bu olayların yeni durumu incelemeniz için tetikleyici olması gerektiğini unutmayın. Tekrar belirtmek gerekirse, bu olaylar, Active Directory Etki Alanları ve Güvenleri’ndeki güven ilişkilerinin yeni durumunu araştırmanız için bir işaret olmalıdır.
