CyberFlow Logo CyberFlow BLOG
Soc L2 Infra Ad Cloud

Active Directory Güvenliği: Kerberos ve Yetki Yönetimi Üzerine Kapsamlı Bir Rehber

✍️ Ahmet BİRKAN 📂 Soc L2 Infra Ad Cloud

Active Directory güvenliği konusunda kritik bilgileri öğrenin. Kerberos, yetki yönetimi ve saldırılara karşı savunma tekniklerini keşfedin.

Active Directory Güvenliği: Kerberos ve Yetki Yönetimi Üzerine Kapsamlı Bir Rehber

Active Directory (AD) güvenliği, kullanıcı ve yetkilere dair en iyi uygulamaları içerir. Bu blogda Kerberos protokolü, yetki yönetimi ve siber saldırılara karşı savunma stratejilerini inceleyin.

Giriş ve Konumlandırma

Giriş

Siber güvenliğin temel yapı taşlarından biri olan Active Directory (AD), özellikle Windows tabanlı ağ ortamlarında kullanıcıların ve kaynakların yönetimi için kritik bir rol oynamaktadır. Kullanıcı hesaplarının, bilgisayarların ve yetkilerin merkezi bir veri tabanında yönetilmesine olanak tanıyan AD, aynı zamanda ağa erişim kontrolü sağlamada önemli bir mekanizma sunar. Ancak, bu güçlü yönetim araçlarının yanlış yapılandırılması ya da saldırganlar tarafından istismar edilmesi, büyük güvenlik açıklarına yol açabilir. İşte bu bağlamda, Active Directory güvenliği, özellikle Kerberos kimlik doğrulama mekanizması ve yetki yönetimi alanında derinlemesine bir anlayış geliştirmek hayati öneme sahiptir.

Kerberos, AD ortamlarında kimlik doğrulama işlemlerinin güvenli bir şekilde gerçekleştirilmesini sağlayan bir protokoldür. Bu protokol, ağ üzerindeki istemcileri ve sunucuları güvenli bir şekilde tanımlayarak, kimlik bilgilerini şifreli hale getirir. Ancak, Kerberos'un sağladığı güvenlik, sistemin doğru bir şekilde yapılandırılmasına bağlıdır. Yanlış ayarlamalar, güvenlik zafiyetlerine neden olabilir ve saldırganlar için bir kapı aralayabilir. Açıklar üzerinde çalışmak, AD'nin düzensiz ya da yanlış yapılandığı durumlarda mümkün hale gelir. Dolayısıyla, Kerberos'un işleyişini ve saldırı yüzeylerini iyi anlamak, sistem yöneticileri ve siber güvenlik uzmanları için önemli bir gereklilik haline gelmektedir.

Aktif dizin güvenliğinde doğru bir yetki yönetimi de son derece önemlidir. Yetki yönetimi, kullanıcılar ve gruplar için belirlenen erişim düzeyleri ve yetkilerin denetlenmesi esasına dayanır. AD üzerinde "Domain Admins" gibi ayrıcalıklı hesaplar, organizasyonun güvenliği açısından kritik öneme sahip olabilir. Bu hesapların yönetilmediği durumlarda veya yanlış kullanıldığında, büyük çaplı güvenlik ihlalleri yaşanabilir. Bu nedenle, yetki yönetimi konusunda iyi bir bilgi birikimine sahip olmak, sadece kullanıcıların ve kaynakların yönetimi için değil, aynı zamanda saldırganların potansiyel olarak erişebileceği alanları sınırlamak açısından da hayati önem taşımaktadır.

Siber Güvenlik ve Penetrasyon Testi Bağlamında Önemi

Siber güvenlik pratiğinde, AD'nin güvenliği ve yönetimi, saldırı yüzeylerinin tespit edilmesi ve değerlendirilmesi açısından kritik bir alandır. Penetrasyon testleri sırasında, AD'nin zayıf noktalarından yararlanmak için tasarlanmış çeşitli senaryolar uygulanmaktadır. Örneğin, "Kerberoasting" olarak bilinen bir saldırı tekniği, saldırganların, Kerberos protokolü aracılığıyla kullanıcı servis hesaplarına ait biletlerin hashlerini elde etmek ve bu bilgileri çevrimdışı kırmak için kullanılmaktadır. Bu nedenle, Kerberos'un nasıl çalıştığını, bu protokolün zayıf noktalarını ve bunları nasıl koruyabileceğimizi bilmek, palyatif çözümlerden daha fazlasını gerektirmektedir.

Buna ek olarak, güvenlik izleme süreçlerinin de etkin olarak işleyebilmesi için AD'de meydana gelen olayların detaylı bir biçimde takip edilmesi gerekir. Windows olay günüpleri, AD güvenliği açısından kritik olan birçok bilgiyi içermektedir. Örneğin, Event ID 4768, bir Kerberos TGT (Ticket Granting Ticket) biletinin talep edildiğini gösterirken; Event ID 4769 ise servis biletinin (TGS) talebini ifade eder. Bu kayıtların doğru bir şekilde izlenmesi, güvenlik yönetim süreçlerindeki zayıf noktaların erkenden tespit edilmesine yardımcı olabilir.

Sonuç olarak, Active Directory güvenliği, Kerberos kimlik doğrulama süreci ve yetki yönetimi konularında sağlam bir anlayış geliştirmek, siber güvenlik alanında yetkin bir uzman olmanın yanı sıra, organizasyonların sürekli güvenliğini sağlamak için de kritik bir unsurdur. Bu yazı ile birlikte, AD güvenliğine dair kapsamlı bir anlayış geliştirmek ve potentiyel tehditlere karşı geliştirilmiş stratejileri incelemek üzere derinlemesine bir yolculuğa çıkacağız.

Teknik Analiz ve Uygulama

Active Directory (AD) Nedir?

Active Directory (AD), Windows tabanlı ağlarda kullanıcıları, bilgisayarları ve yetkileri merkezi bir veritabanında yöneten bir dizin servisidir. AD, çeşitli bileşenlerden oluşur ve kullanıcıların ağ kaynaklarına erişimini yönetir. Bu yapı, organizasyonların güvenlik politikalarını uygulamalarını ve kaynakları etkili bir şekilde kullanmalarını sağlar.

Domain Controller (DC) Rolü

Domain Controller, Active Directory servisinin üzerinde çalıştığı ve kimlik doğrulama isteklerine yanıt veren sunuculardır. Bu sunucular, kullanıcıların ve cihazların kimliğini doğrulamak için Kerberos gibi protokolleri kullanarak bir güvenlik katmanı sağlar. Bir DC, Active Directory veritabanını saklamakta ve şemayı yönetmektedir. Ayrıca, kullanıcıların oturum açma işlemlerini ve yetki taleplerini kontrol eder.

Kerberos Kimlik Doğrulama

Kerberos, ağ üzerindeki kimlik doğrulamasını sağlamak için kullanılan bir protokoldür. Bu protokoldaki temel bileşenlerden bazıları şunlardır:

  • KDC (Key Distribution Center): Domain Controller içinde bulunan ve bilet (ticket) dağıtımından sorumlu olan ana merkez.
  • TGT (Ticket Granting Ticket): Kullanıcının sisteme ilk girişte aldığı ana bilet.
  • TGS (Ticket Granting Service): Belirli bir servise erişmek için TGT sunularak alınan servis bileti.

Kimlik doğrulama süreci, kullanıcının TGT almasıyla başlar. Kullanıcı, daha sonra bu TGT ile gerekli servis biletlerini (TGS) alarak ağ üzerindeki kaynaklara erişim sağlar.

Kerberoasting Saldırısı

Kerberoasting, saldırganların servis hesaplarının TGT'lerini ele geçirerek biletlerin hash değerlerini kırmayı hedefleyen bir saldırı yöntemidir. Saldırganlar, kullanıcı servisi için TGS talep ettiklerinde, bu biletlerin hash değerlerini alır ve bunları çevrimdışı sızma araçlarıyla kırmaya çalışırlar.

# Kerberoasting için PowerView ile TGS talep etme örneği
Get-NetUser | Where-Object { $_.ServicePrincipalNames -ne $null } | Select-Object SamAccountName, ServicePrincipalNames

Yukarıdaki örnek, AD'deki servis hesaplarını listelemekte ve her hesap için ilişkilendirilmiş Servis Başlık Adlarını göstermektedir. Saldırganlar bu bilgileri kullanarak hedef servis hesaplarına yönelik saldırılarda bulunabilirler.

Kritik Olay Günlükleri (Event IDs)

Active Directory ortamının izlenmesinde kritik öneme sahip olan bazı Windows olay kimlikleri vardır. Bu olay kimlikleri, güvenlik ihlallerinin tespitine ve izlenmesine yardımcı olur. Aşağıda, AD izleme için en kritik olan bazı olay kimlikleri listelenmiştir:

  • Event ID 4768: Bir Kerberos TGT biletinin talep edildiğini gösterir.
  • Event ID 4769: Bir servis bileti (TGS) talep edildiğini gösterir ve Kerberoasting tespiti için kritiktir.
  • Event ID 4624: Başarılı bir oturum açma işlemini tüm detaylarıyla kayıt altına alır.

Bu olay kimliklerinin doğru bir şekilde izlenmesi, bir saldırının erken aşamalarında tespit edilmesine olanak tanır.

Privileged Accounts (Ayrıcalıklı Hesaplar)

Active Directory ortamında en yüksek yetkiye sahip hesaplar "Domain Admins" grubunu oluşturur. Bu hesapların güvenliği, ağın toplam güvenliği açısından kritik öneme sahiptir. Ayrıcalıklı hesapların kötüye kullanımı, sistemde büyük hasarlara yol açabilir. Bu nedenle, yönetici hesapları, risk profili yüksek iş istasyonlarında oturum açmamalı ve yönetim bölümlerine ayrılarak katmanlı bir yapı oluşturulmalıdır.

# Ayrıcalıklı hesapları listeleme örneği
Get-ADGroupMember -Identity "Domain Admins"

Yukarıdaki PowerShell komutu ile "Domain Admins" grubundaki bütün üye hesaplar görüntülenebilir. Bu bilgilerin düzenli olarak izlenmesi ve analizi, güvenlik açıklarını azaltmaya yardımcı olur.

GPO (Group Policy Object) İzleme

GPO, Active Directory yöneticilerinin, kullanıcı ve bilgisayar hesaplarının yapılandırmalarını merkezi olarak yönetmelerini sağlar. GPO'lar üzerinden yapılan yetkisiz değişiklikler, tüm ağa zararlı yazılım yaymak için kullanılabilir. Bu nedenle GPO üzerinde yapılan değişikliklerin düzenli olarak izlenmesi ve kaydedilmesi büyük önem taşır.

BloodHound ve Yol Analizi

BloodHound, Active Directory içindeki karmaşık yetki ilişkilerini analiz eden ve saldırı yollarını görselleştiren bir araçtır. Bu araç, AD’deki kullanıcı hesapları ve onların ilişkileri hakkında bilgi toplayarak, potansiyel tehditler ve zafiyetler konusunda analiz yapılmasına olanak tanır.

Kalıcılık: Golden Ticket

Golden Ticket, saldırganların KRBTGT hesabının hash’ini kullanarak sahte bir TGT üretmelerine ve dolayısıyla sınırsız yetki kazanmalarına olanak veren bir tekniktir. Bu nedenle, KRBTGT hesabının güvenliği son derece önemlidir ve düzenli aralıklarla değiştirilen karmaşık parolalarla korunmalıdır.

Tiered Administration Model

Katmanlı yönetim modeli, Active Directory üzerinde güvenliği artırmak için önerilen bir yaklaşımdır. Bu model, ayrıcalıklı hesapların çeşitli seviyelerde yönetim haklarına sahip olmasını ve potansiyel riskleri azaltarak güvenlik ihlallerini minimize etmeyi hedefler.

Sonuç olarak, Active Directory güvenliğinin sağlanması, doğru kimlik doğrulama protokollerinin uygulanması ve sürekli izleme ile mümkün olmaktadır. Bu süreçte Kerberos, yetki yönetimi ve güvenliğin sağlanmasına yönelik diğer önlemler hayati bir rol oynamaktadır.

Risk, Yorumlama ve Savunma

Risk Değerlendirme ve Savunma

Active Directory (AD) ortamlarında güvenlik, kimlik doğrulama süreçleri ve yetki yönetimi ile doğrudan ilişkilidir. Kerberos protokolü, bu yapıların güvenliğini sağlamak için kritik bir rol oynar. Ancak, bu sistemlerin yanlış yapılandırılması veya ortaya çıkan zafiyetler, ciddi güvenlik açıklarına yol açabilir. Bu bölümde, AD’ye yönelik riskleri, bu risklerin yorumlanmasını ve olası savunma stratejilerini inceleyeceğiz.

Risklerin Yorumlanması

AD’nin temel bileşenleri, kimlik doğrulama ve yetki yönetimi süreçlerinin güvenliğini sağlamak amacıyla bir araya gelir. Kerberos, TGT'ler (Ticket Granting Ticket) ve TGS'ler (Ticket Granting Service) aracılığıyla kullanıcıların ve servislerin kimliklerini doğrular. Ancak, saldırganlar bu süreci hedef alarak çeşitli zafiyetleri kullanabilirler.

Örneğin, Event ID 4768 ve Event ID 4769 gibi olay kimlikleri, Kerberos biletlerinin talep edilmesini izlemek için kritik öneme sahiptir. Bu olayların kötüye kullanımı, Kerberoasting saldırılarının gerçekleştirilmesine olanak tanır. Bu tür saldırılarda, saldırganlar servis hesapları için bilet talep eder ve bu biletlerin hash değerlerini kırmaya çalışır.

Böyle bir durumu tespit edebilmek için aşağıdaki gibi bir log izleme sistemi kullanılabilir:

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4768,4769} | Format-List

Bu komut, AD ortamındaki Kerberos ile ilgili kritik oturum açma olaylarını görüntülemenize yardımcı olur. Herhangi bir anormallik durumu, örneğin çok fazla başarısız bilet talebi veya sahte bilet oluşturma girişimleri, potansiyel bir saldırının habercisi olabilir.

Yanlış Yapılandırmalar ve Zafiyetler

Yanlış yapılandırmalar, kritik sistem bileşenleri üzerinde zayıf noktalara neden olabilir. Örneğin, Privileged Accounts (Ayrıcalıklı Hesaplar) her zaman dikkatli bir şekilde yönetilmelidir. Domain Admins grubunda yer alan hesapların yetkilendirilmesi, iç tehditler veya dış saldırılarla karşılaşma riskini artırabilir.

Ayrıca, GPO (Group Policy Object) üzerinden yapılan yetkisiz değişiklikler, ağa zararlı yazılımların yayılması için kullanılabilir. GPO'lar, ağdaki kullanıcıların ve cihazların güvenlik ayarlarını kontrol etmek için kritik öneme sahiptir. Bu ayarların yanlış yapılandırılması, zararlı etkinlikler için bir kapı açabilir.

Sızan Verilerin Etkisi

Sızan verilerin türü ve önemi, bir saldırının etkisini belirlemede kritik bir faktördür. Örneğin, Golden Ticket ve Silver Ticket saldırıları, AD ortamında kalıcılık sağlamaya yönelik tekniklerdir. Golden Ticket, saldırganların KRBTGT hesabının hash'ini kullanarak sahte TGT ürünleri üretmelerine olanak tanır. Böylece sınırsız yetki elde edebilirler. Bu durum, tüm ağda kullanıcıların kimliklerini ele geçirme ve yetki aşımı yapma riskini doğurur.

Özellikle kritik bilgiler içeren domain controller'ların güvenliği, bu tür saldırılara karşı son derece önemlidir. Aşağıda, AD ortamında bu tür saldırılara karşı alınabilecek profesyonel önlemler sıralanmıştır:

Savunma Stratejileri

  1. Ayrıcalıklı Hesap Yönetimi: Yönetici hesaplarının ayrıcalıklarının doğru bir şekilde yönetilmesi, hem fiziksel hem de sanal ortamlarda güvenlik açığını en aza indirir. Yönetici hesapları her zaman en güvenli iş istasyonlarında kullanılmalıdır.

  2. Karmaşık Parolalar: Tüm hesaplar için karmaşık ve benzersiz parolaların kullanılması, saldırganların parolaları kırması durumunda erişim sağlama olasılığını azaltır.

  3. Günlük İzleme: AD ortamındaki olayları ve değişiklikleri izlemenin etkin bir yöntemi olarak gerçek zamanlı izleme sistemleri kullanılmalıdır. Düzensiz veya şüpheli aktivitelerin hızlıca tespit edilmesi sağlanmalıdır.

  4. İki Faktörlü Kimlik Doğrulama: Hem kullanıcılar hem de yönetici hesapları için çok faktörlü kimlik doğrulama (MFA) kullanımı, yetkisiz erişimin önüne geçilebilir.

  5. Sızma Testleri: Periyodik olarak yapılan sızma testleri, zayıflıkların önceden tespit edilmesini sağlar ve saldırı yüzeyini azaltır. Uygulama, servis veya yapılandırma eksiklikleri belirlenmeli ve anında ele alınmalıdır.

Sonuç

Active Directory güvenliği, işletmelerin siber güvenlik stratejilerinin en kritik parçasıdır. Kerberos ve yetki yönetimi süreçlerinin doğru bir şekilde uygulanması, potansiyel saldırıların etkisini azaltmada önemli bir rol oynamaktadır. Yanlış yapılandırmalar veya zafiyetler, ciddi riskler doğurabileceği için sistem yöneticileri tarafından sürekli olarak izlenmeli ve gerekli önlemler alınmalıdır. Yukarıda önerilen stratejiler, AD güvenliğini güçlendirmek ve siber tehditlere karşı dayanıklılığı artırmak için etkili yöntemlerdir.