Active Directory Tiering Model Tasarımı Bölüm-10

Merhaba, uzun bir yoldan geliyoruz. Bu “Active Directory Tiering Model Tasarımı Bölüm” serisinin 10. ve son makalesi. Bu makale serisi ile güvenli Active Directory arayışımıza ışık tutması ve ve fikir vermesi için hazırlandı. Bu son makalede ise “Enhanced Security Admin Environment (ESAE)” ve RedForest mimarisinden bahedeceğiz ve bugüne kadar bahsettiğimiz herşeyi kısaca toplarlayarak makale serisini sonlandıracağız.

Enhanced Security Admin Environment (ESAE) Nedir?

Microsoft’un, özellikle Active Directory yönetimi için geliştirdiği bir yüksek güvenlikli yönetim mimarisidir.
Başka bir deyişle:

Domain Admin gibi kritik yetkili hesapları korumak için ayrılmış,
Yalıtılmış, ekstra güvenli bir yönetim ortamı kurma modelidir.

ESAE’nin Temel Amacı Nedir?

• Domain Admin ve benzeri yetkili kullanıcıları günlük risklerden izole etmek.
• Zararlı yazılım bulaşmış bilgisayarlardan yönetim yapılmasını engellemek.
• Credential theft (kimlik bilgisi çalınması), Pass-the-Hash, Golden Ticket gibi gelişmiş saldırılara karşı koruma sağlamak.
• Active Directory’nin “kalbini” kurtarmak için yönetim kanallarını fiziksel ve mantıksal olarak ayırmak.

ESAE Ortamı Nasıl Kurulur?

Her Tier’ın yönetimi sadece kendi içinde yapılır. Üst Tier, alt Tier’ı yönetemez.

ESAE’nin Sağladığı Faydalar

• Yönetim hesaplarının ele geçirilmesi riskini büyük oranda azaltır.
• Credential hijacking saldırılarına karşı daha sağlam koruma sağlar.
• Active Directory ve diğer kritik sistemlerin kalıcı bir şekilde güvenli kalmasına yardım eder.
• Saldırganların “lateral movement” yaparak tüm ağı ele geçirmesini zorlaştırır.

ESAE ve Red Forest İlişkisi

• ESAE, bir genel güvenlik konseptidir.
  • Yani Enhanced Security Admin Environment aslında bir güvenlik mimarisi.
  • Tier modeli, PAW kullanımı, yönetim ağlarının ayrılması, yönetici hesaplarının ayrılması gibi bütün önlemleri kapsar.
    
• Red Forest, ESAE mimarisi içinde özellikle Active Directory için kurulan ayrı bir ormandır.
  • “Red Forest” ya da “Admin Forest” diye geçer.
  • Sadece yönetim hesaplarını ve yönetim araçlarını barındırır.
  • Domain Admin gibi hesapların normal iş ağında dolaşmasını engeller.

Farklar

Özetle

• ESAE ➔ Bir bütünsel güvenlik stratejisi.
• Red Forest ➔ ESAE stratejisinin içinde kurulan özel bir Active Directory ormanı.

Yani, her Red Forest, ESAE’nin bir parçasıdır,
ama her ESAE sadece Red Forest’tan ibaret değildir.

Güvenli Bir Active Directory Ortamı İçin Yapılması Gerekenler

1. Sistem ve Yazılım Güncellemeleri

• Tüm Windows Server işletim sistemlerini ve uygulamaları düzenli olarak güncelle.
• Kritik güvenlik yamalarını gecikmeden uygula.

2. Antivirus ve Antimalware Koruması

• Tüm sunucularda ve yönetim cihazlarında antivirüs/antimalware aktif olsun.
• Kaldırılma veya devre dışı bırakılma girişimlerini loglarla takip et.

3. Least Privilege Model (En Az Yetki İlkesi)

• Domain Admins, Enterprise Admins gibi yüksek yetkili grupları minimumda tut.
• Admin hesaplarını normal kullanıcı hesaplarından ayır.
• Yönetici hesaplarını günlük işlemler için asla kullanma.

4. Tier Model (Katmanlı Yönetim Yapısı)

• Tier 0: Domain Controller, PKI, kritik sistemler (en yüksek koruma)
• Tier 1: Sunucu yönetimi
• Tier 2: İstemci makineleri
• Her Tier sadece kendi ortamını yönetmeli.

5. Red Forest (Admin Forest) Kullanımı

• Ayrı bir yönetim ormanı (Red Forest) kurarak Domain Admin hesaplarını güvenli bir alana taşı.

6. Secure Administrative Hosts (PAW Kullanımı)

• Yönetim için sadece Privileged Access Workstation (PAW) kullan.
• Yönetici bilgisayarlarında internet, e-posta gibi uygulamalar olmamalı.
• PAW’lar fiziksel ve ağ bazında izole edilmeli.

7. Çok Faktörlü Kimlik Doğrulama (MFA)

• Özellikle tüm yönetici hesapları için MFA zorunlu olsun.
• Eğer mümkünse SmartCard veya FIDO2 güvenlik anahtarları kullan.

8. Domain Controller Güvenliği

• Domain Controller’ları fiziksel olarak güvenli yerlerde barındır.
• Domain Controller’larda gereksiz uygulama kurmaktan kaçın.
• GPO ile güvenlik konfigürasyonu oluştur ve uygula.
• Domain Controller’a sadece PAW cihazlardan erişim ver.

9. Credential Theft Saldırılarına Karşı Koruma

• LSASS koruması (RunAsPPL) aktif olsun.
• Credential Guard, Protected Users Group gibi özellikleri kullan.
• Privileged Access Management (PAM) çözümleri devreye al.

10. Hesap Güvenliği

• Kerberos ticket yaşlarını azaltarak kimlik bilgilerinin ele geçirilmesini zorlaştır.
• Yerel Administrator hesaplarının şifrelerini LSA Protection ile koru.
• LAPS (Local Administrator Password Solution) uygulayarak lokal admin parolalarını yönet.

11. Active Directory İzleme (Monitoring)

• Active Directory Audit Policy etkin olsun.
• Özellikle aşağıdaki olaylar için detaylı log tut:
  • Grup üyeliği değişiklikleri
  • GPO değişiklikleri
  • Şüpheli authentication olayları
  • Privilege escalation girişimleri

12. Delegasyon ve Rollerin Ayrılması

• Domain Controller’lar, DNS, DHCP gibi kritik servisler için rolleri ayır.
• Bir kullanıcıya gerekmedikçe domain-wide yetki verme.

13. Backup ve Recovery Planı

• AD DS Backup günlük olarak alınmalı.
• Recovery testleri yapılmalı (özellikle Authoritative Restore senaryoları).
• Kripto saldırılara karşı offline yedek saklanmalı.

14. Attack Surface Reduction (ASR)

• Gereksiz servisleri, protokolleri ve portları kapat.
• SMBv1 gibi eski protokolleri ortamdan tamamen kaldır.

15. Planlı İhlal (Compromise) Senaryoları

• İhlal durumunda nasıl hareket edeceğini önceden planla (Incident Response Plan).
• Rol ve sorumlulukları belirle (örneğin “kim kiminle iletişime geçecek”).

Evet, güvenli AD arayışımız tabiki son bulmayacak yazacak çok şey söylekecek çok söz var. Bu on makalelik seri umarım sizlere bir fikir verir ve devamı için bir ışık tutar. Keyifli okumalar.