top of page
4.png

Etki Alanı(Active Directory) Güvenlik Analizi

Etki Alanı Güvenlik Analizi(EAGA), şirket  genelini hedef alan saldırılar için kullanılabilecek güvenlik açıkları ve sıkılaştırma eksiklikleri konularında size derinlemesine bir bakış sağlamak için tasarlanmış özel bir çalışmadır. Bunu, risk azaltma ve iyileştirme önlemleri için tavsiyeler takip eder.

Active Directory Sıkılaştırma Hizmetleri

Active Directory, bir siber öldürme zincirinin merkezi bir bileşeni olduğundan, kuruluşlar için güvenlik açısından kritik bir unsur olarak kabul edilir. Bu nedenle, Active Directory'nin güvenliğinin sağlanması işletmeler için son derece önemlidir.

Active Directory (AD), işletmelerin çalışmasında kritik bir rol oynar ve kesinti süreleri kabul edilemezdir. Siber suçluların hedefi, işletmenin etki alanı denetleyicilerini tehlikeye atarak tüm mülke erişim sağlamaktır. Güvenli bir AD yapılandırması olmadan, herhangi bir güvenlik çözümü veya kaynak sayısı ortamınızı savunmasız hale getirir. Büyük resmi göz önünde bulundurarak, güvenliğinizi iyileştirin.

Bir Active Directory değerlendirmesi gerçekleştirmek için, görev kapsamında iş bağlamını ve ilişkili varlıkları anlamak önemlidir. Güvenlik değerlendirmelerine yönelik kanıtlanmış yaklaşımımız, on yılı aşkın deneyime, sektör uygulamalarına ve müşteri beklentilerini karşılamanın etkili yollarına dayanmaktadır.

Netlore Siber Güvenlik ekibinin aktif dizin ortamları için inceleme metodolojisi aşağıdaki aşamalara ayrılmıştır:

  1. İlk kapsam ve hedefler

  2. Bilgi toplama

  3. Güvenlik güçlendirme incelemesi

  4. Çevre özellikleri

  5. En iyi güvenlik uygulamaları

  6. Ayrıntılı rapor ve bilgilendirme

AD Pentest: Text

Features

Etki Alanı Güvenlik Analizi'nin Faydaları

Bir iç tehditin verebileceği zararı belirlemek

Firmanızın güvenlik durumunu değerlendirmek

Grup İlke güvenliğinin kurum genelindeki etkinliğini ölçmek

En yaygın saldırı vektörlerini tanımlayarak bunların risklerini gidermek

Etki alanı best-practice yaklaşımlarını iş uygulamalarınıza uygulamak

Belirlenen sorunları çözmek için bir yol haritası oluşturmak

Güvenlik Testi Metodolojisi

1. Kapsam ve Hedeflerin Belirlenmesi

Active Directory güvenlik uzmanlarımız, birincil güvenlik endişelerini ve özel gereksinimleri kapsayan kapsam dahilindeki varlıkları tanımlamak için yanınızda. Bunun gibi özel değerlendirmeler, hem kimliği doğrulanmış hem de kimliği doğrulanmamış saldırı vektörleri etrafında oluşturulmuş test senaryolarıyla tanımlanır.

Bu hedefler ve çevre değişkenleri bu aşamada belirlenir.

2. Keşif ve Bilgi Toplama Çalışmaları 

Bilgi toplama aşaması, AD yapısı ve uygulaması hakkında bilgi ve istihbarat toplamanın ilk alt aşaması olarak çalışır.
Hazırlığın ilk adımı, şirket içi AD, Azure Active Directory veya hibrit modelin kullanımda olup olmadığına bağlıdır. Active Directory etki alanı hizmetleri, sertifika hizmetleri, federasyon hizmetleri (ADFS kullanılıyorsa), LDAP gibi tüm ana bileşenler bu noktada dikkate alınır.
Active Directory etki alanlarının sayısı ve düzeni, genel yapı, şirket hiyerarşisi ve Active Directory ormanı anlayışının tümü bu ilk anlayışa girer.

3. Manuel Sıkılaştırma Kontrolleri

Etki Alanı Denetleyicilerine karşı sertleştirme incelemeleri gibi kontrolleri gerçekleştirmek için manuel bir yaklaşım izlenir - Kullanımdaki hizmetlerin değerlendirilmesini, denetim ve hesap politikalarını, şifre politikalarını ve kerberos ayarlarını kapsar.
Erişim kontrol listesi incelemeleri, DC bilgisayar nesnelerine, etki alanı yöneticileri (DA), kurumsal yöneticiler (EA) ve eşdeğer kullanıcılar/gruplar (yedekleme, operatörler, vb.) gibi kritik gruplara karşı ACL taramalarını içerir.
Bir saldırganın ayrıcalıklı erişim üyeliklerinden dikey veya yatay olarak yararlanmasına yardımcı olacak tüm yükseltme yollarını ve GPO zayıflıklarını belirleyin.

4. Özel Aktiviteler

Bu aşama, bir şirketin şifre kültürünü değerlendirmek için şifre kırma ve istatistiksel analiz gibi belirli faaliyetleri içerir.
Kimlik doğrulama ve yetkilendirme mekanizmaları, aktif dizin ormanı, grup üyeliği, kullanıcı hesapları, ayrıcalıklı erişim (Kurumsal yöneticiler, Etki Alanı Yöneticileri, Yerel Yöneticiler), hizmet hesapları ve erişim kontrolleri çevresinde herhangi bir zayıflık olup olmadığı açısından gözden geçirilir. Güvenlik grubu üyeliklerini, AdminSDHolder, DCSync, güven ilişkilerini, tümleşik hizmetleri (Azure Connect veya diğerleri) kapsayan nesne ACL'lerini denetler.

5. AD Güvenliği Best-Practice Kontrolleri

Aktif dizin güvenliği en iyi uygulamaları aşağıdaki alanlara göre kontrol edilir:

  • AD altyapısı, mantıksal yapı

  • Grup İlkesi Güvenlik kontrolleri

  • Etki Alanı Denetleyicisi Güvenlik yapılandırması

  • Siteler, Hizmetler, Ad Alanı, Bölgeler

  • Kimlik Doğrulama ve Yetkilendirme Mekanizmaları

  • Şifre Kırma, Hashing, Veritabanları

  • AD delegasyonu, Kullanıcı ve Ayrıcalıklı Erişim Yönetimi

  • Günlüğe Kaydetme ve İzleme

  • Güvensiz Bilgi Depolama Uygulamaları

  • İdari iş istasyonları

  • Anti-virüs, Yama, Yedekleme, Hizmetler ve Etki Alanı Denetleyicisi kontrolleri

6. Raporlama ve Bildirim

Bu, belirlenen güvenlik sorunlarını gidermek için eylem planları sağlamadan önce test çıktısı üzerinde analiz, Active Directory risk etkisinin ve saldırı olasılığının değerlendirilmesini içerir. Tüm raporlarımız, stratejik ve taktik düzeylerde azaltma önlemleri de dahil olmak üzere ham hassas verileri destekleyen teknik hedef kitlenin yanı sıra iş dünyasına da hitap etmektedir.
Katılım sürecimiz, yönetime ve teknik ekiplere ücretsiz bilgi vermeyi içerir.
Cyphere ayrıca risk azaltma planını tanımladığımız ve uyguladığımız bir iyileştirme danışmanlığı da sağlar.

AD Pentest: List

Active Directory Yaygın Güvenlik Zafiyetleri

  • Grup İlkesi düzeyinde güvenlik yapılandırma kusurları

  • Hassas parola politikaları ve ayrıcalıklı erişim kontrolleri

  • Kerberos (kerberoasting), NTLM , LDAP zayıflıkları

  • Yuvalama, izinler, aşırı ayrıcalıklar nedeniyle OU ve gruplarda güvenlik kusurları

  • Güvenli olmayan denetleme/kayıt ve izleme

  • Güvenlik duruşunu etkileyen doğrudan sistem açıkları

  • Ortama özgü güvenlik kusurları (uygulama beyaz listesi, gelişmiş denetim, uç nokta koruması)

Active Directory Olgunluk Modeli

Active Directory, Microsoft bilgi sistemlerinin güvenlik açısından merkezi bir unsur olup, hesapların, kaynakların ve izinlerin merkezi yönetimini sağlayan kritik bir öğedir. Bu rehber üzerinde yüksek ayrıcalıklar elde etmek, yönetilen tüm kaynakların anında ve tamamen kontrol edilmesine yol açar.

Son dönemdeki saldırıların işleyiş şekillerinin analizi, Active Directory rehberlerine yönelik saldırıların artışını göstermekte, bunun nedeni de bu rehberlerin çoğu bilgi sisteminde temel bir rol oynamasıdır. Gerçekten de, saldırgan rehbere yüksek haklar elde ettiğinde, tüm bilgi sistemine zararlı yük dağıtabilir, özellikle GPO kullanarak veya doğrudan bağlantılar (psexec, wmiexec) ile. Sonuç olarak, rehberlerin düşük güvenlik seviyesi, bilgi sistemlerinin genel güvenliğini tehlikeye atmakta ve kuruluşlara sistematik bir risk yüklemektedir.

ANSSI'nin gözlemleri, Active Directory rehberlerinin güvenliği konusunda kritik ve sürekli bir olgunluk eksikliğini ortaya koymaktadır. Güvenlik seviyesi, zamanla ve rehberin nesnelerinin manipülasyonu veya yönetim eylemlerinin hızına bağlı olarak önemli ölçüde azalmaktadır.

Bu artan riske yanıt olarak, ANSSI, DSI ve SSI zincirlerine Active Directory rehberlerinin güvenlik seviyesini izlemelerinde yardımcı olmak için bir kontrol noktaları koleksiyonu geliştirmiş ve sunmuştur. Bu koleksiyon, araştırma çalışmalarına, denetimlerde gözlemlenen pratiklere ve düşman operasyonel yöntemlerinin analizine bağlı olarak düzenli olarak zenginleştirilmeye yöneliktir.

Olgunluk Seviyeleri

Her kontrol noktası, güvenlik seviyesini zayıflatabilecek ve bir saldırıda kullanılabilecek olası bir uygulamanın olmamasını doğrulamayı amaçlamaktadır. Bulunan zayıflıklara göre, Active Directory rehberine bir seviye atanmaktadır:

  • Risk Seviyesi 1: Active Directory'de, barındırılan tüm kaynakları anında risk altına sokan kritik yapılandırma sorunları vardır. Düzeltici eylemler mümkün olduğu kadar çabuk gerçekleştirilmelidir.

  • Risk Seviyesi 2: Active Directory, barındırılan tüm kaynakları riske atmaya yetecek düzeyde yapılandırma ve yönetim eksikliklerine sahiptir. Kısa vadede düzeltici eylemler gerçekleştirilmelidir.

  • Risk Seviyesi 3: Active Directory, kurulumundan bu yana zayıflamayan temel bir güvenlik düzeyine sahiptir.

  • Risk Seviyesi 4: Active Directory'nin güvenliği iyi düzeydedir.

  • Risk Seviyesi 5: Active Directory en gelişmiş güvenlik düzeyine sahiptir.

bottom of page