Forum

Active Directory Hk...
 
Bildirimler
Hepsini Temizle

[Çözüldü] Active Directory Hk.

Kerem KIZILHAN
(@keremkizilhan)
Üye

Merhabalar;

Buraya bu konuyu açmamın nedeni tamamen bilgi almak amaçlı. Şirketimizde ad tarafında kullanıcılar muhas7 satınalma1 gibi açıyoruz. Ben bu yapıyı kabul etmiyorum isim.soyisim olarak olmasını istiyorum ama yöneticimi ikna edemiyorum. Benim bu konuda ikna edebilmem için nasıl bir sunum hazırlamam lazım. Her yeni gelen kullanıcıyı eski ad üzerine ekleyerek gidiyoruz ve network tarafında fw tarafında loglamada sorun yaşıyorum. Benim yöneticimi kullanıcı oluşturmada isim.soyisim standartdına ikna etmem lazım.

Şimdiden teşekkürler.

Alıntı
Topic starter Gönderildi : 27/05/2021 08:18
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Merhaba,

Anahtar kelime "Generic User Accounts".

ISO 27001 başta tüm güvenlik standartları kullanıcıların generic hesap kullanmalarını önermez. Mutlaka kimlik tanımı yapılacak hesap olması gerekli. Genelde bu tür hesaplar ortak kullanıma da açık olduğu için daha tehlikelidir. Özetle yöneticinize bunun bir endüstri standartı olduğunu ve herkesin bu şekilde kullandığını söylemeniz yeterli. Ama yine ikna olmuyor ise onun vizyonu ile ilgili bir konudur sizin ile ilgili değil.

Dangers of Using Generic User Accounts - Compulite

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 27/05/2021 09:11
Kerem KIZILHAN
(@keremkizilhan)
Üye

@hakanuzuner Her yeni gelen kullanıcıda aynı sorunu yaşıyoruz 3 yıldan beri değiştiremedim şimdi detaylı bir rapor hazırlayıp direk yönetime sunacağım ondan ne kadar veri bulabilirsem o kadar işimi yarayacak hocam bilgilendirme için teşekkür ederim.

CevapAlıntı
Topic starter Gönderildi : 27/05/2021 09:21
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Yani bir yönetici 2021 yılında ahmet, mehmet yerine muhaseb1, muhasebe2 yi sana savunuyor ise bence o şirketten koşarak uzaklaş.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 27/05/2021 15:03
Serkan Ateş
(@SerkanAtes)
Üye

Yöneticinize "artniyetli bir işlem olduğunda bunu nasıl ıspat edeceğiz?" diye sormanız yeterli aslında.

İyi çalışmalar.

CevapAlıntı
Gönderildi : 27/05/2021 15:09
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Ona sorarsan sonuçta generic de olsa o hesabı birisine zimmetliyoruz, örnek muhasebe2 yi o zaman muhasebe çalışanı kim ise ona verdiğimiz için tabiki o kullanıyor diyecek, ben gördüm bu modelden cevap çok bunlarda.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 27/05/2021 15:33
Serkan Ateş
(@SerkanAtes)
Üye

Hesaba ilişkin ıslak imza karşılığı bir belge alıp özlük dosyasında saklıyorlarsa dediğiniz olabilir ama bence gereksiz bir efor olur. Ama yok zaten hangi hesabı kimin kullandığını biz zaten şifahen biliyoruz, kağıt kürek ne gerek var böyle işlere deniyorsa bu network riske açık, ya geçmişte siber saldırı ile bir kayıp yaşamıştır, ya da yakın gelecekte yaşayacaktır.

Maalesef genel alışkanlıklarımız risk oluşmadan ortadan kaldırmak yerine, risk oluşup olan olduktan sonra önlem almak şeklinde olduğundan bazen birşey yapamıyorsunuz. Bu arada ilgili yöneticiye, hiç tanımadığımız halde iyi yükseldik iyi mi? Bu sefer de içerik böyle olsun, hep makale tadında olacak değil ya 🙂

CevapAlıntı
Gönderildi : 27/05/2021 15:49
Kerem KIZILHAN
(@keremkizilhan)
Üye

Bu konu hakkında çok haklısınız. Bir şekilde çözücem artık bu sorunu çok veri gösterdim inatla savunuyor hatta bunla ilgili raporda hazırladık yine ama kabul etmiyor bakalım sorunu bir şekilde çözücez 🙂

CevapAlıntı
Topic starter Gönderildi : 28/05/2021 14:58
Uğur BURMA
(@ugurburma)
Kıdemli Üye Forum Yöneticisi

En azından active directory kullanıcı hesap özelliklerinde ad soyad / görünen adları girin. Logon ismi yine muhasebe1 kalsın. Active directory yetkili olanlar hariç diğerleri göremez.

CevapAlıntı
Gönderildi : 30/05/2021 18:27
Berat Aslan
(@berataslan)
Üye

Merhaba

Tabiki burada vizyon ve yaklaşım oldukça önemli öncelikle bu kültürün değişiyor olması gerekir. Kurumsal olarak yapıyı düşünmek gerekir ise bu konuda bir Denetim departmanına sahipmisiniz yada bir Risk denetim komitesi bulunuyormu. Bu tür durumlarda bireysel kararlar yerine bir komite oluşturulması faydalı olacaktır. Komitelere geçerli sebepler sunularak prosedürler oluşturulup kararları sabitleyebilirsiniz.

CevapAlıntı
Gönderildi : 31/05/2021 10:58
Kerem KIZILHAN
(@keremkizilhan)
Üye

@berataslan Bilgilendirme için teşekkürler. Maalesef böyle bir departmanımız bulunmuyor bu nedenle kendim risk haritası çıkartıp ikna etmem gerekiyor. Ondan benim bildiklerim hariç neler bulabilirim diye siz değerli meslektaşlarımdan bilgi alma için bu başlığı açtım. 

CevapAlıntı
Topic starter Gönderildi : 01/06/2021 14:36
Kerem KIZILHAN
(@keremkizilhan)
Üye

@ugurburmaŞu an bu şekilde kullanıyoruz zaten. Sorun her yeni gelen çalışan eski kullanıcının hesabıyla devam ediyor ve arka taraftaki çöplük durmadan büyüyor.

CevapAlıntı
Topic starter Gönderildi : 01/06/2021 14:37
Berat Aslan
(@berataslan)
Üye

@keremkizilhan dış kaynaklardan bu tür denetimleri yaptırabilirizsiniz, denetimlerde çıkacak olan bulgulara yönelik aksiyon planlarında politikalar oluşturabilirsiniz.

CevapAlıntı
Gönderildi : 02/06/2021 14:25
Paylaş: