AD-CS: Temel Güvenlik Önlemleri

Aktif Dizin Sertifika Servisi: Temel Güvenlik Önlemleri

Bir organizasyonda Aktif Dizin Sertifika Servisi için tavsiye edilen temel güvenlik önlemleri şu şekildedir:

• Kök ve Ara Sertifika Otoriteleri, sadece kendisinin altındaki otoritelere sertifika dağıtımı yaparken açık olmalı, diğer zamanlarda çevrimdışı çalışmalıdır. Bu otoriteler, direk olarak son kullanıcı sertifikalarının yayımlanması ile ilgilenmemelidir. Çevrimdışı tutulan bu Sertifika Otoriteleri Hyper-V ile sanallaştırılmalıdır. Fiziksel olarak korumak daha kolay ise, sanallaştırma yerine fiziksel sunucular kullanılmalıdır.
• Kök veya Ara Sertifika Otoriteleri’nden sertifika taşınması için USB veya floppy disk kullanılmalıdır, ağ bağlantısının kurulmasından kaçınılmalıdır.
• Donanım güvenlik modülü (Hardware Security Module - HSM) ile bir sertifika yetkilisinin (CA) ve ortak anahtar altyapısının (PKI) güvenliği arttırılır. HSM, işletim sisteminden ayrı olarak yönetilen, tahsis edilmiş bir donanım aygıtıdır. Bu modüller ile hem imzalama ve şifreleme işlemleri hızlanır, hem de SO anahtarları için de güvenli bir donanım depo sağlanır. 
• SYSKEY.exe aracı kullanılarak anahtarlar depolanmalıdır.
• Sertifika otoritesi ile olan iletişim şifreli olmalıdır. Özellikle Web tabanlı sertifika kaydı için SSL üzerinden iletişim gerçekleştirilmelidir.
• Kritik sertifika verme işlemlerinin otomatik olarak onaylanılmasından kaçınılmalıdır. Bir yönetici tarafından onaylanması ve onaylanmadan önce farklı yollarla (mail/telefon vs) bu talebin onaylanması gerekmektedir.
• CA sunucusunda oturum açılma işlemlerinde sıkı güvenlik politikaları uygulanmalıdır. Kimlik doğrulama işleminin akıllı kartlar ile gerçekleştirilmesine özen gösterilmelidir.
• CA tarafından verilen sertifikanın kullanım amacı belirtilmeli ve sadece bu amaç için kullanılabilmesi sağlanmalıdır. Posta yollamak için verilen sertifika, doküman imzalamak için kullanılmayacaksa, imzalama yetkisine sahip olmamalıdır.
• Grup ilkeleri ile sertifika yönetimi sağlanmaya çalışılmalıdır. Manuel operasyonlardan kaçınılmalıdır.
• Kullanıcılar Kök Sertifikalarını kendileri güncelleyememeleri sağlanmalıdır. Böylece zararlı bir sertifika otoritesine ait sertifika depolanmamış olur.
• Güven yapısının olduğu sistemlerde PKI yapısına dikkat edilmelidir. Güven duyulan tarafa sertifika üretme yetkisi verilecekse, bu süre kısa tutulmalı ve verilen sertifikalar kontrol edilmelidir.
• Etki alanındaki kimlik doğrulamış grupların (Authenticated Users), organizasyondaki Sertifika Otoriteleri üzerinde hiçbir hakkı olmamalıdır. Sertifika isteyebilecek grupların (bilgisayar veya kullanıcı) ise, sadece sertifika talep etme (Request Certificates) haklarının olması gerekmektedir.
• Her bir Sertifika Otoritesi’nde yerel bir grup oluşturulmalı ve bu gruba CA’yı yönetmesi için gerekli haklar verilmelidir.
• İstemcilerde ve CA’larda gizli anahtarların bulunduğu dizinler özel olarak korunmalıdır. Bu dizinler şu şekildedir:
• Windows Vista/2008/7 istemcilerde, %APPDATA%\Microsoft\Crypto\Keys
• Windows 2003/XP istemcilerde, %APPDATA%\Microsoft\Crypto
• Windows Server 2003 CA’da, %ALLUSERSPROFILE%\Application Data\Microsoft\Crypto
• Windows Server 2008 / 2008 R2 CA’da, %ALLUSERSPROFILE%\Application Data\Microsoft\Crypto, %WINDIR%\ServiceProfiles
• Bir Sertifika Otoritesi üzerinde gerçekleşen olaylar için denetimler uygun şekilde yapılandırılmalıdır. Ayrıntılı bilgi için: http://technet.microsoft.com/tr-tr/library/cc772451.aspx
• Bir Sertifika otoritesinde kritik bir olay meydana geldiğinde bu olay anlık olarak ilgili yöneticiye bildirilmelidir. Ayrıntılı bilgi için: http://technet.microsoft.com/en-us/library/cc731934.aspx
• PKI ortamının yönetimi için rol tabanlı bir yönetim uygulanabilmektedir. Kullanıcı ve grupların yapabilecekleri operasyonlar sahip oldukları rollere göre gerçekleştirilmelidir. AD-CS üzerindeki rol tabanlı yönetim kuralları için bakınız: http://technet.microsoft.com/tr-tr/library/cc732590(v=ws.10).aspx
• Veritabanı ve loglar ayrı disklerde tutulmalıdır.
• Sertifika otoritesine ait veritabanı, sertifikalar ve anahtarlar yedeklenmelidir.
• Uygulamalar sertifika geçerliliği kontrolü gerçekleştirilirken sertifikanın iptal olup olmadığı kontrolünü gerçekleştirecek şekilde ayarlanmalıdır. /NoCRLCheck parametresi kullanılması durumunda HTTPS bağlantısı öncesinde CRL kontrolünün yapılmayacağı göz önünde bulundurulmalıdır.