Active Directory’de Administrative (Priveleged) hesaplarını koruma


Bu makalede, Windows ağında güvenliği artırmak için kuruluştaki ayrıcalıklı / yönetici hesaplarını kullanmanın tüm önemli kurumsal ve teknik kurallarını toplamaya çalıştım. Bu önerilerin ardından, Active Directory etki alanındaki bilgisayar ve sunucuların korunmasını, yaz olayına benzer saldırılara karşı, alan bilgisayarlarının LSASS belleğinden alınan yönetici kimlik bilgilerini kullanarak uzaktan erişen Petya fidye yazılımından önemli ölçüde korunacaksınız. Bazı öneriler, belirli durumlarda tartışılabilir veya uygulanamaz olabilir.

Kullanmanız gereken ana kural, hem kullanıcılar hem de yöneticiler için yönetimsel ayrıcalıkların azami kısıtlamasıdır . Kullanıcılara ve destek ekiplerine yalnızca günlük görevleri yerine getirmek için gerekli olan minimum izinleri vermelisiniz.

Temel kural listesi:

Etki alanı / kuruluş yöneticisi hesapları yalnızca etki alanı veya etki alanı denetleyicilerini yönetmek için kullanılmalıdır. İş istasyonlarınıza erişmek ve yönetmek için bu hesapları kullanmayın. Benzer bir gereksinim, sunucu yöneticisi hesapları için de geçerlidir.

Alan adı yöneticisi hesapları için iki faktörlü kimlik doğrulamayı (2FA) kullanmayı tercih edebilirsiniz.

Yöneticiler, iş istasyonlarında normal (sınırlı) kullanıcı hesaplarını kullanarak giriş yapmalıdır.

Ayrıcalıklı hesapları (etki alanı, Exchange, sunucu yöneticileri) korumak için, Protected Users grubunun özelliğini kullanmayı düşünün.

Dağıtılmış paylaşılan yönetim hesaplarını asla kullanmayın. Tüm yönetici hesapları kişileştirilmelidir.

Yönetici hesaplarını kullanarak hiçbir hizmeti hiçbir zaman çalıştırma (aynı etki alanı yönetici hesabı için geçerlidir), özel hesapları veya service account kullanmak daha iyidir.

Kullanıcıların yerel yönetici ayrıcalıklarıyla çalışmalarına izin vermeyin.

GPO’yu kullanarak hem kullanıcılar hem de yöneticiler için hesap kilitleme ayarlarının yanı sıra yeterli parola uzunluğu ve karmaşıklığı sağlayan ilkeleri etkinleştirmeniz gerekir. Bu ilkeler Computer Configuration -> Windows Settings -> Security Settings -> Account Policies bölümünde bulunur.

  • Password Policy
  • Account Lockout Policy

Aktif dizin yöneticileri şifre politikaları Fine-Grained Password Policies yardımıyla yöneticiler için uzunluk ve depolanan parola geçmişine daha sıkı gereksinimler oluşturabilirsiniz.

Kullanıcıların bilgisayarlarındaki yerleşik hesaplara gelince, tüm PC’lerde aynı yerel yönetici şifrelerini kullanmamalısınız. Yerel yönetici hesabını tamamen devre dışı bırakmak (veya en azından yeniden adlandırmak) daha iyidir. Bu hesap için ağınızdaki her bilgisayarda benzersiz bir şifre değişikliği sağlamak için LAPS’yi kullanabilirsiniz.

GPO yardımıyla, yerel hesaplar altındaki bilgisayarlara uzaktan erişimi ve RDP’yi (NT AUTHORITY \ Local accounts ve Administrators grubunun üyesi) kullanarak uzaktan erişimi engelleyin. Bu ayarlar GPO’dan yapabilirsiniz. Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assignment.

  • Deny access to this computer from the network
  • Deny log on through Remote Desktop Services
  • Deny log on as a batch job
  • Denylog on as a service

Ayrıca, aşağıdaki bölümde bulunan ilkeleri kullanarak RDS sunucularında boşta / devre dışı bırakılmış oturumları zorla sonlandırabilirsiniz: Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Session Host -> Session Time Limits.

Windows Server 2016 etki alanında, geçici yönetim ayrıcalıkları vermek için Temporary Group Membership özelliğini kullanabilirsiniz.

Bu makalede, Windows etki alanınızdaki yönetim hesaplarının korunmasını geliştirmenize yardımcı olacak en önemli kuralları açıkladım. Aslında, bu makale yönetici hesaplarının güvenlik ve ayrıcalık sınırlaması hakkında tam bir kılavuz sağlamaz, ancak güvenli bir altyapı oluşturmak için bir başlangıç ​​noktası olarak kullanılabilir. Daha fazla bilgi almak için, Microsoft Directory’nin, Best Practices for Securing Active Directory dökümanına göz atmanızı öneririm.

KAYNAKWINDOWS