CyberFlow Logo CyberFlow BLOG
Soc L2 Infra Ad Cloud

AD Veritabanı (NTDS.dit) Yapısı ve Korunması: Siber Güvenlikte Temel Bilgiler

✍️ Ahmet BİRKAN 📂 Soc L2 Infra Ad Cloud

NTDS.dit dosyasının yapısını ve korunma yöntemlerini öğrenin. Siber güvenlikte kritik öneme sahip bilgileri keşfedin.

AD Veritabanı (NTDS.dit) Yapısı ve Korunması: Siber Güvenlikte Temel Bilgiler

NTDS.dit dosyası, Active Directory ortamındaki tüm nesneleri ve kullanıcı bilgilerini saklar. Bu blogda, dosyanın yapısını, korunma yöntemlerini ve olası riskleri derinlemesine inceleyeceğiz.

Giriş ve Konumlandırma

NTDS.dit Nedir?

Active Directory (AD) ortamlarındaki en kritik komponentlerden biri olan NTDS.dit dosyası, tüm kullanıcı nesneleri, bilgisayar bilgileri ve parola hash'lerini içeren merkezi bir veritabanıdır. Windows sunucularında, bu dosya, Active Directory’nun düzgün bir şekilde çalışabilmesi için gerekli olan verileri depolar. NTDS.dit, Extensible Storage Engine (ESE) mimarisi ile yapılandırılmıştır ve bu yapı, verilerin hızla işlenmesi ve erişilmesini sağlar.

NTDS.dit, yalnızca kullanıcı bilgilerinin saklandığı bir dosya olmanın ötesinde, siber güvenlik açısından da büyük bir öneme sahiptir. Bir saldırganın bu dosyaya erişimi, tüm AD domeninin güvenliğini tehdit edebilir. Parola hash'lerinin ele geçirilmesi, saldırganların kullanıcı hesaplarını kolayca ele geçirmesine veya kötüye kullanmasına olanak tanır. Bu nedenle, NTDS.dit’in yapısı ve korunması, siber güvenlik uzmanları için kritik bir konu haline gelmiştir.

Veritabanı Motoru ve Konumu

NTDS.dit dosyası varsayılan olarak C:\Windows\NTDS dizininde yer alır. Bu, Active Directory sisteminin temel verilerinin saklandığı yerdir. Veritabanı motoru olan ESE, NTDS.dit’i yönetir ve veri bütünlüğü ile tutarlılığını sağlamak için farklı mekanizmalar kullanır. ESE'nin sunduğu özellikler, verilerin güvenilir bir şekilde depolanmasını ve hızlı bir biçimde erişilebilmesini mümkün kılar.

Ancak, bu dosyanın güvenliği sağlanmadığı takdirde, bir dizi siber tehdit ortaya çıkabilir. NTDS.dit dosyasının yönetimi ve bakımı, siber savunma stratejilerinin bir parçası olarak ele alınmalıdır. Özellikle, veri kaybını önlemek ve saldırılara karşı direnci artırmak için düzenli bakım işlemleri ve güvenlik denetimleri yapılmalıdır.

NTDS.dit Dosyasının Önemi

Siber güvenlik açısından NTDS.dit dosyasının önemi birkaç yönü ile ortaya çıkar. İlk olarak, bu dosya adını duyduğunuzda, muhtemelen bağlantılı olduğu kullanıcı bilgileri ve yetkilendirme bilgileri akla gelir. Bir saldırgan, NTDS.dit dosyasına erişim sağlarsa, kullanıcı hesap bilgilerini çözebilir ve kilitli hesapları açmada önemli avantajlar elde edebilir. Bu durum, kullanıcıların kişisel bilgilerini ve organizasyonların hassas verilerini tehdit altına sokar.

Ayrıca, NTDS.dit dosyasının korunmaması, AD ortamındaki güvenlik açıklarını artırır ve saldırganların sızma girişimlerini kolaylaştırır. Dolayısıyla, bu dosyanın korunması, hem ağ güvenliği hem de veri bütünlüğü açısından hayati bir gerekliliktir.

VSS (Volume Shadow Copy)

Volume Shadow Copy (VSS), NTDS.dit dosyasının güvenli bir şekilde kopyalanmasını sağlayan bir teknolojidir. VSS ile, bir dosya aktifken anlık görüntüsünün alınması mümkündür, bu da dosyanın mevcut durumu hakkında bir yedekleme sağlamaktadır. NTDS.dit dosyası, normal kullanım esnasında kilitlendiği için, doğrudan bir kopyasını almak mümkün değildir. Ancak, VSS kullanılarak, bu dosyanın anlık bir görüntüsü alınabilir ve böylece dosyanın yedeklenmesi sağlanmış olur.

vssadmin create shadow /for=C:

Yukarıdaki komut, C: sürücüsü için bir anlık görüntü oluşturur. Bu tür yedeklemelerin düzenli olarak gerçekleştirilmesi, veritabanının korunması açısından kritik öneme sahiptir.

Çevrimdışı Analiz Riski

NTDS.dit dosyasının ele geçirilmesi durumunda, önemli risklerle karşılaşılır. Saldırganlar, bu dosyayı analiz ederek çevrimdışı olarak kullanıcı şifrelerini kırma şansına sahip olurlar. Bu tür bir saldırının önlenmesi için, NTDS.dit dosyasına erişim kısıtlamaları ve uygun veri koruma önlemleri alınmalıdır.

Bunun yanında, NTDS.dit dosyasını ele geçirmeye yönelik hedeflerin farkında olmak ve uygun güvenlik önlemlerini almak, sistem yöneticileri için hayati bir öneme sahiptir. Veritabanının korunmasını sağlamak için etkili bir siber güvenlik stratejisi geliştirilmesi gerekir.

Sonuç olarak, NTDS.dit yapısı ve korunması, yalnızca daha iyi bir sistem yönetimi sağlamakla kalmaz, aynı zamanda siber güvenlik tehditlerine karşı direncin artırılması açısından da kritik bir rol oynar. Bu nedenle, AD veritabanlarının yönetimi ve güvenliği, siber güvenlik profesyonelleri için temel bir bilgi alanıdır.

Teknik Analiz ve Uygulama

NTDS.dit Nedir?

NTDS.dit, Active Directory (AD) ortamındaki tüm nesnelerin, kullanıcı bilgilerinin ve parola hash'lerinin depolandığı ana veritabanı dosyasıdır. Bu dosya, Microsoft'un NTDS (NT Directory Services) mimarisini temel alarak, kullanıcılara ve bilgisayarlara ait kritik bilgileri içerir. NTDS.dit dosyası, özellikle siber saldırıların hedefi olabilen bir veri kaynağıdır; çünkü ele geçirilmesi durumunda tüm domain şifrelerinin çevrimdışı olarak kırılması mümkün hale gelir.

Veritabanı Motoru ve Konumu

NTDS.dit dosyası, Microsoft'un Extensible Storage Engine (ESE) teknolojisini kullanarak yapılandırılmıştır. Bu veritabanı motoru, veri üzerinde gerçekleştirdiğiniz işlemleri hızlı bir şekilde yönetmenize olanak sağlar. Normalde, NTDS.dit dosyası "C:\Windows\NTDS" dizininde bulunur. Kullanıcı erişimleri ve işlemler bu dosya üzerinden gerçekleştirilir.

C:\Windows\NTDS\NTDS.dit

NTDS.dit Dosyasının Önemi

NTDS.dit dosyası, Active Directory'nin temel taşını oluşturur. Kullanıcı bilgileri, grup bilgileri ve güvenlik bilgilerinin büyük bir kısmı burada saklanmaktadır. Saldırganlar için, bu dosya teşkil ettiği potansiyel bilgi kaynağı nedeniyle oldukça caziptir. Ele geçirildiğinde, bu dosya üzerinden kullanıcılara ait şifre hash’leri elde edilebilir ve siber saldırılar için kullanılabilir.

VSS (Volume Shadow Copy)

NTDS.dit dosyasının yedeğini almak veya dışarı sızdırmak amacıyla kullanılan anlık görüntü teknolojisi olan Volume Shadow Copy (VSS), dosyanın kullanımda olduğu sırada bile yedeğinin alınmasına olanak tanır. VSS, veritabanı dosyası üzerinde geri dönülemez sıkıştırmalar yaptığı için, sistem yöneticileri tarafından dikkatlice kullanılmalıdır.

VSS kullanarak bir anlık görüntü oluşturmak için aşağıdaki komut kullanılabilir:

vssadmin create shadow /for=C:

Bu komut, C: sürücüsü için bir anlık görüntü oluşturur. Anlık görüntü kullanılarak NTDS.dit dosyası kopyalanabilir.

Veritabanı Tabloları

NTDS.dit içindeki ana veri tabloları, Active Directory'yi yönetmek için kritik öneme sahiptir:

  • datatable: Kullanıcılar ve bilgisayarlar gibi tüm nesne ve öznitelik verilerinin tutulduğu tablo.
  • link_table: Grup üyelikleri gibi nesneler arasındaki ilişkileri tanımlayan tablo.
  • sd_table: Nesnelerin üzerindeki güvenlik izinlerini barındıran tablo.

Bu tablolar arasındaki ilişkiler, Active Directory’nin işlevselliğini yönlendiren temel unsurlardır.

Çevrimdışı Analiz Riski

NTDS.dit dosyası ele geçirildiği takdirde, bir saldırganın elinde tüm domain şifrelerini kırma olasılığı bulunmaktadır. Bu nedenle, veritabanı dosyasının korunması büyük önem taşır. Şifre hash'lerinin çözülmesi için gerekli olan Boot Key, Windows kayıt defterinde bulunan SYSTEM hive dosyasında saklanır. Eğer bu bilgilere ulaşabilen bir saldırgan olursa, NTDS.dit üzerinde zararlı faaliyetlerde bulunma potansiyeline sahip olacaktır.

SYSTEM Hive ve Boot Key

BOOT KEY, NTDS.dit içindeki hash bilgilerini çözmek için gereklidir ve SYSTEM hive dosyasında saklanır. Bu bilgiye erişmek, kötü niyetli bir kişinin NTDS.dit dosyası üzerinde yetkisiz işlemler yapmasına olanak sağlar. Sistem yöneticilerinin bu anahtarı korumak için yüksek güvenlik önlemleri alması gerekmektedir.

Sızdırma Araçları

Siber güvenlik uzmanları, NTDS.dit dosyasını dışarı aktarmak veya dump (veri döküm) almak amacıyla çeşitli araçlar kullanabilirler. Bu araçlardan en bilineni "secretsdump" aracıdır, bu araç sayesinde AD veritabanından hash bilgileri uzaktan veya yerel olarak ayıklanabilir.

secretsdump.py username@domain.local

Yukarıdaki komut, belirtilen kullanıcıdan hash bilgilerini elde etmeye çalışır.

Bütünlük ve Bakım

NTDS.dit dosyasının güvenliğini sağlamak adına, periyodik olarak bakım ve defrag işlemleri gerçekleştirilmelidir. Bakım işlemleri, veritabanının genel sağlığını korumak ve performansını artırmak için kritik öneme sahiptir. Bu işlemler genellikle "ntdsutil" aracı ile gerçekleştirilir.

ntdsutil
activate instance ntds
files
info

Bu komutlar, NTDS veritabanının durumunu kontrol etmenize olanak tanır.

ESE Log Dosyaları

Veritabanına yapılan değişiklikler, henüz diskteki ana dosyaya yazılmadan önce günlük dosyalarında saklanır. Bu dosyalar, "edb.log" olarak adlandırılır. Bu günlükleme işlemi, veri kaybını önlemek ve geri yükleme işlemlerini kolaylaştırmak için oldukça önemlidir. Log dosyaları sayesinde, beklenmeyen bir durumda veritabanı üzerinde geri alma işlemleri gerçekleştirilebilir.

Veritabanlarının sağlıklı bir şekilde çalışması için sık sık kontrol edilmesi ve düzenlenmesi gerekmektedir. Bu işlemler, siber güvenlik açısından hayati bir öneme sahiptir.

Risk, Yorumlama ve Savunma

Siber güvenlik alanında, NTDS.dit dosyası, Active Directory'nın temel yapı taşlarından biridir. Bu dosya, AD ortamında bulunan tüm nesnelerin, kullanıcı bilgilerinin ve parola hash'lerinin saklandığı ana veritabanı olarak işlev görür. Ancak, bu kritik dosyanın güvenliği, zamanında ve etkin bir şekilde sağlanmadığında büyük riskler doğurabilir. Bu bölümde, NTDS.dit dosyasının korunması için riskleri analiz edecek, yapılandırma hatalarının etkilerini açıklayacak ve uygun savunma stratejilerini ele alacağız.

NTDS.dit Dosyasının Güvenlik Riskleri

NTDS.dit dosyasının ele geçirilmesi, bir saldırgan için büyük bir avantaj sağlar. Özellikle, bu dosyanın içeriği şifrelenmiş parola hash'leri ve kullanıcı bilgileri içerdiğinden, kötü niyetli kişiler bu bilgilere ulaşarak ağa sızabilir ve kullanıcı hesaplarını ele geçirebilir. Saldırganlar, NTDS.dit dosyasını kullanarak aşağıdaki riskleri artırabilir:

  • Çevrimdışı Kırma: Saldırganlar, NTDS.dit dosyasını ele geçirip parola hash'lerini alarak, çevrimdışı kırma yöntemleri (brute force ve dictionary attack gibi) kullanabilirler.
  • Kullanıcı Bilgilerinin Sızdırılması: Ele geçirilen kullanıcı bilgileri, sosyal mühendislik saldırıları veya daha kapsamlı siber saldırılar için kullanılabilir.
  • Sistemin İhlali: NTDS.dit dosyasının içeriğine erişim sağlayan bir saldırgan, Active Directory içerisindeki diğer kritik verilere ve sistem kaynaklarına da erişim kazanabilir.

Bu risklerin etkili bir şekilde yönetilmesi gerekmektedir.

Yanlış Yapılandırma ve Zafiyetler

Yanlış yapılandırmalar, NTDS.dit dosyasının güvenliğini tehlikeye atan etkenlerden biridir. Örneğin:

  • Yetersiz Erişim Kontrolleri: NTDS.dit dosyasına erişimi olan kullanıcıların sadece gerekli yetkilere sahip olması zorunludur. Aksi durumda, yetkisiz kullanıcıların dosyaya erişim sağlaması mümkün olabilir.

  • Güncellenmemiş Yazılım: Windows sistemleri ve Active Directory, periyodik olarak güncellemeler gerektirir. Güvenlik yamalarının uygulanmaması, saldırganların sistemdeki bilgilere erişimini kolaylaştırır.

Güvenlik zafiyetlerini tespit etmek için düzenli güvenlik denetimleri yapılmalı ve en iyi uygulamalara uygun bir yapılandırma oluşturulmalıdır.

Profesyonel Önlemler ve Hardening Önerileri

NTDS.dit dosyasının korunması için çeşitli profesyonel önlemler alınabilir:

  1. Erişim Kontrollerinin Sıkılaştırılması: NTDS.dit dosyasına olan erişim, yalnızca gerekli kullanıcılarla sınırlandırılmalıdır. Özellikle, Domain Administrator yetkisi olan kullanıcıların sayısı minimumda tutulmalıdır. 

    net localgroup "Administrators" "kullanici_adi" /add

  2. Yedekleme Stratejileri: NTDS.dit dosyasının düzenli aralıklarla yedeklenmesi esastır. Shadow Copy teknolojisi (VSS), bu dosyanın kopyasını alırken sistem çalışır durumda olmasını sağlar.

    vssadmin create shadow /for=C:

  3. Veritabanı Bakım Prosedürleri: NTDS.dit dosyasının sağlığını korumak için düzenli bakımlar, temizleme ve defrag işlemleri gerçekleştirilmelidir. Bu, veritabanının performansını artırır ve potansiyel zafiyetleri azaltır.

  4. Gelişmiş İzleme ve Analiz Araçları: Sistem loglarının ve veritabanı aktivitelerinin düzenli olarak izlenmesi, olağan dışı aktivitelerin erkenden tespit edilmesine yardımcı olur. Örnek olarak, ntdsutil ve secretsdump gibi araçlar kullanılabilir.

    ntdsutil.exe

Sonuç

NTDS.dit dosyası, Active Directory'nun kalbi konumundadır ve bu yüzden yanlış yapılandırma veya zafiyetler büyük riskler taşır. Kullanıcı bilgilerinin ve sistemin bütünlüğünün korunması için, erişim kontrollerinin sıkılaştırılması, yedekleme stratejilerinin uygulanması ve düzenli bakım işlemlerinin gerçekleştirilmesi gereklidir. Siber güvenlik alanında tüm bu önlemler, sistemin güvenliğini artırmak ve olası tehditlere karşı hazırlıklı olmak amacıyla büyük önem taşımaktadır. Unutulmamalıdır ki, siber güvenlik proaktif bir yaklaşım gerektirir ve bu nedenle sürekli izleme ve güncellemelerle sistemin güvenliğini sağlamak mümkün olacaktır.