top of page

Etki Alanı(Active Directory) Güvenlik Analizi

Etki Alanı Güvenlik Analizi(EAGA), şirket  genelini hedef alan saldırılar için kullanılabilecek güvenlik açıkları ve sıkılaştırma eksiklikleri konularında size derinlemesine bir bakış sağlamak için tasarlanmış özel bir çalışmadır. Bunu, risk azaltma ve iyileştirme önlemleri için tavsiyeler takip eder.

AD Pentest: Headliner

Active Directory güvenliği neden önemlidir?

Aktif dizin, bir siber öldürme zincirinin tüm adımlarının merkezi bir bileşenidir. Active Directory güvenliğinin kuruluşlar için kritik bir unsur olmasının başlıca nedeni budur.

Aktif dizin ("reklam" olarak da bilinir), kurumsal ortamları çalışır durumda tutmak için kritik bir unsurdur ve bu gün ve çağda kesinti süreleri düşünülemez. Herhangi bir siber suçlunun nihai hedefi, herhangi bir ağ kaynağının kalbi olan bir işletmenin etki alanı denetleyicilerini tehlikeye atmaktır. Bir kez tehlikeye atıldığında, tüm mülke açık erişime izin verir.


Kelimenin tam anlamıyla, personel e-postalarına doğrudan erişim, farklı ağ portalları ve uygulamaları etrafında açık erişim, herhangi bir kullanıcının parola karmaları ve güvenilir etki alanı ilişkileri (üçüncü taraflar, birden çok bölge vb. ile) durumunda birden çok ağ üzerinden sızmadır.

Kaç tane güvenlik çözümü dağıtmış olursanız olun, elinizde kaç tane güvenlik kaynağına sahip olursanız olun – güvenli Active Directory güvenlik yanlış yapılandırmaları olmadan, ortamınız saldırganlar için birer meyvedir. İster içeriden bir saldırgan, ister harici bir saldırgan veya tedarik zinciri saldırı vektörü olsun – her şey bir, iki veya üç güvenlik ilkesinden (Gizlilik, Bütünlük ve Kullanılabilirlik) ödün verilmesine bağlıdır.

Bugün büyük resmi iyileştirin.

AD Pentest: Text

1. Kapsam ve Hedeflerin Belirlenmesi

Active Directory güvenlik uzmanlarımız, birincil güvenlik endişelerini ve özel gereksinimleri kapsayan kapsam dahilindeki varlıkları tanımlamak için yanınızda. Bunun gibi özel değerlendirmeler, hem kimliği doğrulanmış hem de kimliği doğrulanmamış saldırı vektörleri etrafında oluşturulmuş test senaryolarıyla tanımlanır.

Bu hedefler ve çevre değişkenleri bu aşamada belirlenir.

2. Keşif ve Bilgi Toplama Çalışmaları 

Bilgi toplama aşaması, AD yapısı ve uygulaması hakkında bilgi ve istihbarat toplamanın ilk alt aşaması olarak çalışır.
Hazırlığın ilk adımı, şirket içi AD, Azure Active Directory veya hibrit modelin kullanımda olup olmadığına bağlıdır. Active Directory etki alanı hizmetleri, sertifika hizmetleri, federasyon hizmetleri (ADFS kullanılıyorsa), LDAP gibi tüm ana bileşenler bu noktada dikkate alınır.
Active Directory etki alanlarının sayısı ve düzeni, genel yapı, şirket hiyerarşisi ve Active Directory ormanı anlayışının tümü bu ilk anlayışa girer.

3. Manuel Sıkılaştırma Kontrolleri

Etki Alanı Denetleyicilerine karşı sertleştirme incelemeleri gibi kontrolleri gerçekleştirmek için manuel bir yaklaşım izlenir - Kullanımdaki hizmetlerin değerlendirilmesini, denetim ve hesap politikalarını, şifre politikalarını ve kerberos ayarlarını kapsar.
Erişim kontrol listesi incelemeleri, DC bilgisayar nesnelerine, etki alanı yöneticileri (DA), kurumsal yöneticiler (EA) ve eşdeğer kullanıcılar/gruplar (yedekleme, operatörler, vb.) gibi kritik gruplara karşı ACL taramalarını içerir.
Bir saldırganın ayrıcalıklı erişim üyeliklerinden dikey veya yatay olarak yararlanmasına yardımcı olacak tüm yükseltme yollarını ve GPO zayıflıklarını belirleyin.

4. Özel Aktiviteler

Bu aşama, bir şirketin şifre kültürünü değerlendirmek için şifre kırma ve istatistiksel analiz gibi belirli faaliyetleri içerir.
Kimlik doğrulama ve yetkilendirme mekanizmaları, aktif dizin ormanı, grup üyeliği, kullanıcı hesapları, ayrıcalıklı erişim (Kurumsal yöneticiler, Etki Alanı Yöneticileri, Yerel Yöneticiler), hizmet hesapları ve erişim kontrolleri çevresinde herhangi bir zayıflık olup olmadığı açısından gözden geçirilir. Güvenlik grubu üyeliklerini, AdminSDHolder, DCSync, güven ilişkilerini, tümleşik hizmetleri (Azure Connect veya diğerleri) kapsayan nesne ACL'lerini denetler.

5. AD Güvenliği Best-Practice Kontrolleri

Aktif dizin güvenliği en iyi uygulamaları aşağıdaki alanlara göre kontrol edilir:

  • AD altyapısı, mantıksal yapı

  • Grup İlkesi Güvenlik kontrolleri

  • Etki Alanı Denetleyicisi Güvenlik yapılandırması

  • Siteler, Hizmetler, Ad Alanı, Bölgeler

  • Kimlik Doğrulama ve Yetkilendirme Mekanizmaları

  • Şifre Kırma, Hashing, Veritabanları

  • AD delegasyonu, Kullanıcı ve Ayrıcalıklı Erişim Yönetimi

  • Günlüğe Kaydetme ve İzleme

  • Güvensiz Bilgi Depolama Uygulamaları

  • İdari iş istasyonları

  • Anti-virüs, Yama, Yedekleme, Hizmetler ve Etki Alanı Denetleyicisi kontrolleri

6. Raporlama ve Bildirim

Bu, belirlenen güvenlik sorunlarını gidermek için eylem planları sağlamadan önce test çıktısı üzerinde analiz, Active Directory risk etkisinin ve saldırı olasılığının değerlendirilmesini içerir. Tüm raporlarımız, stratejik ve taktik düzeylerde azaltma önlemleri de dahil olmak üzere ham hassas verileri destekleyen teknik hedef kitlenin yanı sıra iş dünyasına da hitap etmektedir.
Katılım sürecimiz, yönetime ve teknik ekiplere ücretsiz bilgi vermeyi içerir.
Cyphere ayrıca risk azaltma planını tanımladığımız ve uyguladığımız bir iyileştirme danışmanlığı da sağlar.

AD Pentest: List

Active Directory Yaygın Güvenlik Zafiyetleri

Grup İlkesi düzeyinde güvenlik yapılandırma kusurları

Hassas parola politikaları ve ayrıcalıklı erişim kontrolleri

Kerberos (kerberoasting), NTLM , LDAP zayıflıkları

Yuvalama, izinler, aşırı ayrıcalıklar nedeniyle OU ve gruplarda güvenlik kusurları

Güvenli olmayan denetleme/kayıt ve izleme

Güvenlik duruşunu etkileyen doğrudan sistem açıkları

Ortama özgü güvenlik kusurları (uygulama beyaz listesi, gelişmiş denetim, uç nokta koruması)

AD Pentest: List

Active Directory Olgunluk Modeli

Active Directory, Microsoft bilgi sistemlerinin güvenlik açısından merkezi bir unsur olup, hesapların, kaynakların ve izinlerin merkezi yönetimini sağlayan kritik bir öğedir. Bu rehber üzerinde yüksek ayrıcalıklar elde etmek, yönetilen tüm kaynakların anında ve tamamen kontrol edilmesine yol açar.

Son dönemdeki saldırıların işleyiş şekillerinin analizi, Active Directory rehberlerine yönelik saldırıların artışını göstermekte, bunun nedeni de bu rehberlerin çoğu bilgi sisteminde temel bir rol oynamasıdır. Gerçekten de, saldırgan rehbere yüksek haklar elde ettiğinde, tüm bilgi sistemine zararlı yük dağıtabilir, özellikle GPO kullanarak veya doğrudan bağlantılar (psexec, wmiexec) ile. Sonuç olarak, rehberlerin düşük güvenlik seviyesi, bilgi sistemlerinin genel güvenliğini tehlikeye atmakta ve kuruluşlara sistematik bir risk yüklemektedir.

ANSSI'nin gözlemleri, Active Directory rehberlerinin güvenliği konusunda kritik ve sürekli bir olgunluk eksikliğini ortaya koymaktadır. Güvenlik seviyesi, zamanla ve rehberin nesnelerinin manipülasyonu veya yönetim eylemlerinin hızına bağlı olarak önemli ölçüde azalmaktadır.

Bu artan riske yanıt olarak, ANSSI, DSI ve SSI zincirlerine Active Directory rehberlerinin güvenlik seviyesini izlemelerinde yardımcı olmak için bir kontrol noktaları koleksiyonu geliştirmiş ve sunmuştur. Bu koleksiyon, araştırma çalışmalarına, denetimlerde gözlemlenen pratiklere ve düşman operasyonel yöntemlerinin analizine bağlı olarak düzenli olarak zenginleştirilmeye yöneliktir.

Olgunluk Seviyeleri

Her kontrol noktası, güvenlik seviyesini zayıflatabilecek ve bir saldırıda kullanılabilecek olası bir uygulamanın olmamasını doğrulamayı amaçlamaktadır. Bulunan zayıflıklara göre, Active Directory rehberine bir seviye atanmaktadır:

2015-2017

Degree
University Name

Briefly describe your degree and any other highlights about your studies you want to share. Be sure to include relevant skills you gained, accomplishments you achieved or milestones you reached during your education.

2011-2014

Degree
University Name

Briefly describe your degree and any other highlights about your studies you want to share. Be sure to include relevant skills you gained, accomplishments you achieved or milestones you reached during your education.

2007-2010

Degree
University Name

Briefly describe your degree and any other highlights about your studies you want to share. Be sure to include relevant skills you gained, accomplishments you achieved or milestones you reached during your education.

Etki Alanı Güvenlik Analizi'nin Faydaları

Bir iç tehditin verebileceği zararı belirlemek

Firmanızın güvenlik durumunu değerlendirmek

Grup İlke güvenliğinin kurum genelindeki etkinliğini ölçmek

En yaygın saldırı vektörlerini tanımlayarak bunların risklerini gidermek

Etki alanı best-practice yaklaşımlarını iş uygulamalarınıza uygulamak

Belirlenen sorunları çözmek için bir yol haritası oluşturmak

AD Pentest: List
4.png

Etki Alanı Güvenlik Testi Metodolojisi

Bir Active Directory değerlendirmesi gerçekleştirmek için, görev kapsamında iş bağlamını ve ilişkili varlıkları anlamak önemlidir. Güvenlik değerlendirmelerine yönelik kanıtlanmış yaklaşımımız, on yılı aşkın deneyime, sektör uygulamalarına ve müşteri beklentilerini karşılamanın etkili yollarına dayanmaktadır.

Netlore Siber Güvenlik ekibinin aktif dizin ortamları için inceleme metodolojisi aşağıdaki aşamalara ayrılmıştır:

  1. İlk kapsam ve hedefler

  2. Bilgi toplama

  3. Güvenlik güçlendirme incelemesi

  4. Çevre özellikleri

  5. En iyi güvenlik uygulamaları

  6. Ayrıntılı rapor ve bilgilendirme

Active Directory Security Testing

AD Pentest: Text
bottom of page