CyberFlow Logo CyberFlow BLOG
Soc L2 Infra Ad Cloud

Active Directory Mimarisi: Forest, Domain ve Trust İlişkilerini Anlama Kılavuzu

✍️ Ahmet BİRKAN 📂 Soc L2 Infra Ad Cloud

Active Directory mimarisi hakkında ihtiyaç duyduğunuz bilgiler, Forest, Domain ve Trust ilişkileriyle birlikte burada.

Active Directory Mimarisi: Forest, Domain ve Trust İlişkilerini Anlama Kılavuzu

Bu yazıda Active Directory mimarisi, Forest, Domain ve Trust ilişkileri derinlemesine incelenmektedir. Siber güvenlik dünyasında AD’nin önemini keşfedin.

Giriş ve Konumlandırma

Active Directory Nedir?

Active Directory (AD), Microsoft tarafından geliştirilen ve ağ üzerindeki kaynakların (kullanıcılar, bilgisayarlar, gruplar vb.) yönetilmesini ve kimlik doğrulamasını sağlayan bir dizin hizmetidir. AD, yalnızca kullanıcıların ve bilgisayarların kimlik doğrulamasını yapmakla kalmayıp, aynı zamanda ağ üzerindeki kaynaklara erişimi kontrol ederek, güvenli bir ortam yaratma amacı gütmektedir. Kullanıcıların kimlikleri doğrulandıktan sonra, hangi kaynaklara erişebilecekleri ve bu kaynaklarla ne tür işlemler yapabilecekleri AD ile belirlenir.

Neden Önemli?

Siber güvenlik açısından bakıldığında, Active Directory, bir organizasyonun ağ kaynaklarına kimlerin erişebileceğinin kontrolü için kritik bir bileşendir. AD'nin düzgün yapılandırılması, sadece ağ güvenliğinin sağlanmasını değil, aynı zamanda potansiyel siber tehditlere karşı da korunma sağlayacaktır. Özellikle, AD üzerinde gerçekleştirilen herhangi bir zararlı eylem, bütün organizasyonun güvenlik yapısını tehdit edebilir. Dolayısıyla, AD’nin tüm bileşenlerinin ve ilişkilerinin anlaşılması, siber güvenlik uzmanları için vazgeçilmezdir.

Pentest ve Savunma Açısından Bağlantılar

Sızma testleri (pentest) sırasında, AD yapısının zayıf noktaları araştırılmaktadır. Penetrasyon testçiler, AD üzerinde bulunan güvenlik açıklarını değerlendirerek, bir organizasyonun siber güvenlik düzeyini anlamaya çalışırlar. Örneğin, Active Directory ile ilişkili yanlış yapılandırmaları, zayıf parola politikalarını veya güven ilişkilerindeki eksiklikleri bulmak mümkündür. Ayrıca, saldırganlar bu güvenlik açıklarından yararlanarak, ağ içinde lateral hareketler yapabilirler. Bu nedenle, güvenliğin sağlanması ve zayıf noktaların ortadan kaldırılması, organizasyonların siber savunma stratejileri için kritik bir öneme sahiptir.

Ayrıca, AD içinde bulunan "Trust" ilişkileri, çeşitli domainler arasında güven oluşturarak kaynakların paylaşımını kolaylaştırır; ancak eğer bu ilişkiler yönetilmezse, saldırganların işine yarayabilir. Dolayısıyla, bu kavramı anlamak, potansiyel riskleri minimize etmek adına önemlidir.

Teknik İçeriğe Hazırlık

Bu blog yazısının devamında AD mimarisinin çeşitli bileşenleri üzerinde durulacaktır. Öncelikle, Active Directory’nin hiyerarşisi ve bileşenleri tanıtılacak, ardından Global Catalog, Domain Controller, Güven İlişkileri ve diğer önemli konular ele alınacaktır. Bu kavramlar, AD’nin nasıl çalıştığını anlamada temel teşkil eder ve güvenli bir ortam oluşturmak için bu bileşenlerin etkin yönetimini sağlamak gerekmektedir.

Active Directory’nin hiyerarşisini kavrayabilmek için aşağıdaki gibi bir temel yapı düşünülmelidir:

Forest (Orman)
 └── Domain (Etki Alanı)
     ├── Organizational Unit (OU)
     └── Domain Controller (DC)

Yukarıdaki yapıda, "Forest" en üst düzey alanı temsil ederken, "Domain", sahip olduğu nesnelerin güvenli sınırlarını belirler. Organizasyonel birimler (OU) ise bu domain içinde nesneleri organize etmek için kullanılır.

Siber güvenlik profesyonellerinin bu yapıyı ve bileşenlerini anlaması, yalnızca teorik bilgi değil, aynı zamanda pratik uygulamalarla da pekiştirilmelidir. AD'nin güvenliğini artırmak için izlenmesi gereken adımlar, siber tehditlerin önüne geçmek adına kritik öneme sahiptir.

Bu makalede, ilerleyen bölümlerde her bir kavram derinlemesine incelenecek ve okurların AD mimarisinin karmaşıklığını kavramalarına yardımcı olunacaktır.

Teknik Analiz ve Uygulama

Active Directory Nedir?

Active Directory (AD), Microsoft tarafından geliştirilmiş bir dizin hizmetidir. AD, bir ağ üzerindeki kaynakların (kullanıcılar, bilgisayarlar, gruplar) yönetilmesini ve bu kaynaklara kimlik doğrulaması sağlamayı amaçlar. Aynı zamanda, bir ağ üzerindeki kaynakların merkezi bir şekilde yönetilmesine olanak tanır. Kullanıcıların kimlik bilgilerini, yetkilerini ve nesne ilişkilerini yöneten karmaşık bir yapı sunar.

AD Hiyerarşisi

Active Directory, mantıksal hiyerarşisi içinde üç ana bileşen içerir: forest (orman), domain (etki alanı) ve organizational unit (organizasyon birimi). Bu yapı, büyük ve karmaşık ağların yönetimi için esneklik sağlar.

Forest (Orman)

Active Directory hiyerarşisinin en üst düzeydeki katmanı "forest"tır. Bir veya daha fazla domain içerebilir ve bu nedenle, geniş kapsamlı veri yapıları sunar. Bir forest, farklı dizinlerde tanımlanmış nesneler arasında var olan ilişkilerin yönetilmesini sağlar.

Domain (Etki Alanı)

Bir domain, belirli bir kullanıcı ve bilgisayar grubu için ortak güvenlik ve yönetim alanı oluşturur. Aynı veritabanını paylaşan bu grup, ağ üzerinde ki kaynaklara erişim hakları ve yetkilendirmeleri ile tanımlanır. 

Get-ADDomain -Identity "domain.local"

Bu komut, tanımlı bir domain bilgilerini almak için kullanılır.

Organizational Unit (OU)

Organizational Unit (OU), domain içindeki nesneleri düzenlemek için kullanılan birimdir. Kullanıcılar, gruplar ve bilgisayarlar buraya organize edilebilir ve ilke (policy) ataması yapılabilir.

Global Catalog (GC)

Global Catalog, forest içindeki en kritik bileşenlerden biridir. AD veritabanının kısmi bir kopyasını tutarak, nesnelerin hızlı aramasına ve erişilmesine olanak tanır. GC, özellikle büyük ağlarda performansı artırır.

Get-ADGlobalCatalog

Bu komut, mevcut global katalog sunucularını listelemek için kullanılır.

Domain Controller (DC)

AD veritabanının bir kopyasını barındıran ve kimlik doğrulama taleplerini yanıtlayan sunuculara Domain Controller (DC) denir. DC'ler, merkezi yönetim ve güvenlik sağlarken, aynı zamanda replikasyon (replication) süreçleri ile verilerin eşzamanlanmasını garanti eder.

Replika (Replication)

Replika, DC'ler arasında verilerin senkronizasyonu için kullanılan bir mekanizmadır. Bir DC üzerinde yapılan değişiklikler, diğer tüm DC'lere kopyalanır ve bu sayede ağ üzerindeki tüm kullanıcılar ve bilgisayarlar güncel bilgilere erişebilir.

Repadmin /replsummary

Bu komut, replikasyon durumunu ve sorunlarını analiz etmek için kullanılır.

Read-Only Domain Controller (RODC)

RODC, yalnızca okunabilir bir AD veritabanı kopyasını sunan bir DC türüdür ve genellikle fiziksel güvenliğin düşük olduğu şubelerde kullanılır. Bu yapı, ek güvenlik sağlarken, yetkisiz değişikliklere karşı koruma sağlar.

Get-ADDomainController -Filter {IsReadOnly -eq $True}

Yukarıdaki komut, ağ üzerindeki Read-Only Domain Controller'ları listelemek için kullanılabilir.

Güven İlişkileri (Trust)

Güven ilişkileri, farklı domainler veya forest'lar arasındaki güven türlerini belirler. Güven ilişkileri sayesinde, bir domainin (trusting) diğerine (trusted) güvenmesi sağlanır.

Güven Yönü (Trust Direction)

Güven yönü, hangi domainin diğerine erişim yetkisi sağlayacağını belirler. İki tür güven yönü vardır: "One-Way Trust" yalnızca bir tarafın diğerine güvendiği durumu tanımlarken, "Two-Way Trust" her iki tarafın birbirine güvenmesini ifade eder.

FSMO Rolleri

Esnek Tekli Ana Roller (Flexible Single Master Operations – FSMO), AD ortamında çakışmaları önlemek için bazı DC'lere atanmış özel kritik görevlerdir.

FSMO, genel olarak beş farklı rol içerir:

  1. Schema Master
  2. Domain Naming Master
  3. RID Master
  4. PDC Emulator
  5. Infrastructure Master
Get-FsmoRole -Domain "domain.local"

Bu komut, belirtilen domain üzerindeki FSMO rollerini listelemek için kullanılır.

Sonuç

Active Directory mimarisi, özellikle büyük ağların yönetiminde önemli rol oynar. Forest, domain ve organizational unit gibi bileşenler, karmaşık yapılar oluşturulmasına olanak tanırken, güven ilişkileri ve FSMO rolleri güvenlik ve manage edilebilirliği artırır. Bu unsurların hepsinin doğru bir şekilde yönetilmesi, ağ güvenliğinin en üst düzeye çıkarılmasını sağlar.

Risk, Yorumlama ve Savunma

Active Directory (AD) mimarisi, organizasyonların güvenlik ve yönetim yapılarını etkileyen birçok bileşeni içermektedir. Forest, domain ve trust ilişkileri, AD'nin temel taşları olup, güvenlik anlayışını ve risk değerlendirmesini şekillendirmektedir. Bu bölümde, bu yapıların güvenlik anlamını, yanlış yapılandırmaların ve zafiyetlerin etkilerini, ayrıca profesyonel önlemleri ele alacağız.

Risklerin Tanımlanması

Active Directory'deki yapıların yanlış yapılandırılması, siber saldırganlar için birçok fırsat yaratabilir. Örneğin, bir etkin domaine yetkisiz erişim sağlandığında, saldırganlar organizasyon içinde hareket özgürlüğüne sahip olabilirler. Böyle durumlar, bilgi sızıntısına veya veri kaybına yol açabilmektedir. Yanlış yapılandırma, örneğin, gereksiz yere genişletilmiş izinler veya güvenlik duvarı kurallarının yetersizliği gibi durumlar, güvenlik açığı yaratır.

Bir başka önemli risk ise trust ilişkilerinin yanlış yönetilmesidir. Trust ilişkileri, farklı domainler ya da forest'lar arasında kaynak paylaşımını mümkün kılar. Ancak, yanlış yapılandırılmış bir trust ilişkisi, saldırganların bir domain üzerinden diğerine geçmesine olanak tanıyabilir. Bu bağlamda, trust türleri ve yönlerinin doğru şekilde tanımlanması kritik öneme sahiptir.

Yorumlama ve Analiz

Sızma testleri ve güvenlik denetimleri, Active Directory mimarisinin güvenlik durumu hakkında önemli bulgular sağlar. Elde edilen verileri yorumlamak, bu bulguların organizasyon üzerindeki potansiyel etkilerini anlamak açısından hayati bir adımdır. Örneğin, bir domain'teki kullanıcıların büyük bir çoğunluğunun yönetici haklarına sahip olduğu tespit edilirse, bu durum içeriden bir tehdit oluşturabilir. Aşağıda bir örnek üzerinden açıklama yapalım:

Domain: Company.com
Yönetici Haklarına Sahip Kullanıcı Sayısı: 150
Normal Kullanıcı Sayısı: 600

Bu bulgu, güvenlik politikalarının zayıf olduğunu gösterir. Uzun vadede bu tür yapılandırmalar, kullanıcı hesaplarının kötüye kullanılmasına ve yetkisiz erişimlere neden olabilir.

Ayrıca, AD'de kullanıcı ve grup yapılarının doğru şekilde lokalize edilmesi önemlidir. Global Catalog (GC) ile erişim sağlanan verilerin optimizasyonu sayesinde, yanlış erişimlerin önüne geçilmiş olur. Ancak, GC'nin doğru yapılandırılması gerektiği unutulmamalıdır; aksi takdirde bilgiler dışarıdan kolayca elde edilebilir.

Savunma Stratejileri

Yanlış yapılandırma ve potansiyel zafiyetlerin etkilerini azaltmak için cerrahi müdahale ve hardening önerileri uygulamak gereklidir. Aşağıda bazı uzman görüşleri ve önlemler sıralanmıştır:

  1. Minimum İzin Politikası: Kullanıcılara yalnızca gerekli erişim izinleri verilmelidir. Bu, riskleri azaltır ve saldırganların hareket alanını daraltır.

  2. Güvenli Trust Yönetimi: Trust ilişkileri düzenli olarak gözden geçirilmeli ve gereksiz olanlar kaldırılmalıdır. Trust türlerinin ve yönlerinin doğru olduğu doğrulanmalıdır.

  3. Active Directory Audit: Düzenli auditler yapılmalı, şüpheli aktiviteler ve değişiklikler tespit edilmelidir. Sistemdeki tüm değişiklikler kaydedilmeli ve izlenmelidir.

  4. Güçlü Kimlik Doğrulama: Kullanıcıların kimliklerini doğrulamak için çok faktörlü kimlik doğrulama sistemleri entegre edilmelidir.

  5. Patch Yönetimi: Active Directory sunucuları dahil olmak üzere ağdaki tüm sistemlerin güncel tutulması büyük önem taşır. Yazılım zafiyetleri, siber saldırganlar için birer kapı açar.

Sonuç

Active Directory mimarisi, doğru yönetilmediği takdirde birçok siber güvenlik sorununa yol açabilir. Forest, domain ve trust ilişkilerinin eksiksiz bir şekilde anlaşılması, risklerin minimize edilmesine yardımcı olur. Uzun vadeli güvenlik stratejileri, organizasyonların güvenlik açıklarını kapatıp sistemin bütünlüğünü korumasına olanak tanır. Bilinçli yapılandırma ve düzenli izleme, tüm bu süreçlerin hayati unsurlarıdır. Unutulmaması gereken en önemli nokta, siber güvenlik sürekli bir süreçtir ve proaktif olmak, sorunlarla başa çıkmanın en etkili yoludur.