Active Directory (AD), Windows tabanlı ağların temelini oluşturan bir kimlik ve erişim yönetimi hizmetidir. Bu nedenle, AD’ye yönelik saldırılar, bir kuruluşun verilerini, uygulamalarını ve altyapısını riske atabilir.
Bu blog yazısında, bilmeniz gereken dört önemli AD saldırısını ve bunlara karşı nasıl korunabileceğinizi ele alacağız.
1.LDAP Keşfi
LDAP keşfi, bir saldırganın AD ortamı hakkında bilgi toplamak için LDAP sorgularını kullandığı bir saldırı türüdür. Saldırgan bu yöntemi kullanarak kullanıcıları, grupları ve bilgisayarları keşfedebilir. Bu da hedeflerini bulmalarına ve saldırılarının gelecekteki aşamalarını planlamalarına yardımcı olabilir.
Nasıl Önlenir?
LDAP keşiflerini önlemek çok zordur. Active Directory’deki bilgilerin çoğu varsayılan olarak tüm etki alanı kullanıcı hesapları tarafından kullanılabilir, bu nedenle güvenliği ihlal edilmiş herhangi bir hesap bu tür bir gözetleme gerçekleştirmek için kullanılabilir. LDAP trafiğini izlemek ve anormal sorguları tespit etmek, etki alanı keşfi ile başa çıkmak için en proaktif yaklaşımdır. Riskinizi azaltmanın en iyi yolu, keşfedilen her şeyin size karşı kullanılamayacağından emin olmaktır.
2.BloodHound ile Yerel Yönetici Eşleme
BloodHound, Active Directory ortamlarındaki saldırı yollarını tanımlayan ve görselleştiren bir web uygulamasıdır. Herhangi bir AD hesabından veya makinesinden Domain Admins grubuna üyelik gibi istenen bir hedefe giden en hızlı adım dizisini tanımlar. BloodHound, PowerSploit ve Invoke-UserHunter adlı iki aracı kullanarak önce Yerel Yöneticiler grubuna odaklanarak hangi bilgisayarların hangi kullanıcılar tarafından erişilebilir olduğunu gösteren bir harita oluşturur.
BloodHound kullanarak AD’nizi düzenli olarak kontrol etmek, bir hesabı veya makineyi tehlikeye atmanın bir saldırganın etki alanınızı tehlikeye atmasına olanak vermemesini sağlamanıza yardımcı olan etkili bir savunma mekanizması olabilir.
Nasıl Önlenir?
Bu tür saldırıları önlemenin en basit yöntemi, sunuculara nasıl erişileceğine dair denetimler gerçekleştirmektir. Microsoft en iyi uygulamaları, erişim haklarını sıkı bir şekilde kontrol etmek için Active Directory için katmanlı bir yönetim modeli kullanılmasını önerir. Bu da Active Directory’deki saldırı yollarını en aza indirir. Ayrıca, anormal kimlik doğrulama ve oturum açma etkinliklerine dikkat etmek, saldırı yollarından yararlanma girişimlerini ortaya çıkarmaya yardımcı olabilir.
3.Mimikatz ile Hash’i Geçin
Bir saldırgan ağda varlık gösterdikten sonra, hedefleri ek sistemleri tehlikeye atmak ve görevlerini yerine getirmek için ihtiyaç duydukları ayrıcalıkları elde etmektir. Pass the Hash, bir saldırganın NTLM kimlik doğrulama protokolünü kötüye kullanarak hesabın düz metin parolasını elde etmeden bir kullanıcının kimliğine büründüğü bir kimlik bilgisi hırsızlığı ve yanal hareket tekniğidir. Mimikatz, Pass the Hash saldırılarını gerçekleştirmeyi çok daha kolay hale getiren bir araçtır.
Nasıl Önlenir?
Ayrıcalıklı hesap karmalarınızın asla ayıklanabilecekleri bir yerde saklanmadığından emin olmak için oturum açma kısıtlamalarını kullanmalısınız. Ayrıca, LSA Korumasını etkinleştirmeyi, Korumalı Kullanıcılar güvenlik grubundan yararlanmayı ve Uzak Masaüstü için Kısıtlı Yönetici modunu kullanmayı düşünebilirsiniz.
4.NTDS.dit Çıkarma
Tüm Active Directory verileri her etki alanı denetleyicisindeki ntds.dit dosyasında saklanır. Bir etki alanı denetleyicisindeki ntds.dit dosyasına erişmek için, bir saldırganın öncelikle Active Directory’ye yönetici erişimi kazanması gerekir. Alternatif olarak, saldırgan kuruluşun yedekleme çözümünü tehlikeye atarak ntds.dit dosyasını bir yedekten kopyalayabilir.
Nasıl Önlenir?
Saldırganların ntds.dit dosyanızı ayıklama riskini azaltmak için:
*Grup İlkesi de dahil olmak üzere Active Directory’yi temizleyin. *Etki alanı denetleyicilerinde oturum açabilecek hesap sayısını en aza indirin. *Etki alanı denetleyicileri için temiz kaynak ilkesini izleyin *Etki alanı denetleyicisi makineleri için fiziksel güvenliği sağlayın. *Kullanıcıların güvenlik sınırları ötesinde yönetici ayrıcalıklarına sahip olmasına izin vermeyin.
Netwrix Active Directory Güvenlik Çözümü ile Active Directory’nizi Güvence Altına Alın
Netwrix Active Directory Güvenlik Çözümü, Active Directory güvenliğinizi uçtan uca güçlendirmenize yardımcı olur. Bu çözümün sunduğu avantajlar:
● Active Directory’deki güvenlik risklerini tespit edin ve azaltma çalışmalarınızı önceliklendirin.
● BT altyapınızdaki güvenlik yapılandırmalarını güçlendirin.
● DCSync, NTDS.dit çıkarma ve Golden Ticket gibi gelişmiş tehditleri anında tespit edin ve kontrol altına alın.
● Bilinen tehditlere otomatik yanıt seçenekleri ile hızlı bir şekilde karşılık verin.
● Hızlı Active Directory kurtarma ile iş kesintilerini minimize edin.
Netwrix çözümleri, 2006 yılından bu yana hassas verilerinizi tespit edip koruyarak ihlal riskinizi azaltmanıza, saldırıları tespit etmenize ve etkili bir şekilde yanıtlamanıza yardımcı olmaktadır. Dünya çapında 13.000’den fazla organizasyon, veri, kimlik ve altyapı güvenliği alanlarında Netwrix çözümlerine güvenmektedir.
Netwrix, veri güvenliğinizi kolaylaştırır. Active Directory, organizasyonlar için kritik bir öneme sahiptir ve onu korumak güvenlik ekiplerinin öncelikli hedeflerinden biridir. Netwrix Active Directory çözümü, bu hedeflere ulaşmanıza yardımcı olurken, aynı zamanda olası tehlikelere karşı sizi bilgilendirir ve hazır hale getirir. Active Directory’nin güvenlik temellerini yerine getirdiğinizden emin olun ve potansiyel risklere karşı önlemlerinizi alın.
