13 Ağustos 2013 Salı

Etki Alanı Saldırılarından Korunma Yolları: Fiziksel Yapılandırma

Etki Alanı Saldırılarından Korunma Yolları: Fiziksel Yapılandırma

Etki alanına karşı yapılan saldırılar ve sızma testleri sırasında, fiziksel olarak erişim sağlanan bir bilgisayardan - SAM ve SYSTEM dosyalarına erişim sağlanarak - yerel kullanıcıların (özellikle yerel yöneticinin) kimlik bilgileri (kullanıcı adı ve parolası / parolasının özeti) alınmaktadır. Yerel yöneticilerin kimlik bilgilerinin saldırgan tarafından ele geçirilmesi çevrimiçi veya çevrimdışı yollarla gerçekleştirilebilir.  Bu tip saldırılar aşağıdaki gibi gerçekleştirilmektedir:

Samdump, Ophcrack, Cain & Abel gibi araçlar kullanılarak bu dosyalardan yerel kullanıcı hesap bilgileri elde edilebilir.
Bilgisayarların fiziksel yapılandırılması için, en az aşağıdaki ayarların uygulanması gerekmektedir.
  • Kritik sistemlere fiziksel erişimler kısıtlanmalıdır. Bu amaçla fiziksel güvenliğe önem verilmelidir.
  • Kayıt defterinden SAM ve SYSTEM dosyalarının elde edilememesi için veya Cain&Abel gibi uygulamalarla çevrim içi yollarla yerel kullanıcı hesap bilgilerinin alınamaması için mevcut kullanıcıların yönetici hakları ile oturum açmaması gerekmektedir. Yerel yönetici hakkına sahip kullanıcılardan bu hakların alınması veya süreli olarak verilmesi tavsiye edilmektedir.
  • Bilgisayarın BIOS ayarı yapılandırılmasında parola koruması eklenmelidir. Bu parolalar oldukça karmaşık ve her bilgisayar için farklı olması tavsiye edilmektedir. Bilgisayarın pili çıkarıldığında BIOS şifresinin sıfırlanmaması için özel ve yeni donanımlar tercih edilmelidir.

  • Bilgisayarın BIOS ayarı kontrol edilmeli ve öncelikle hard diskten başlatıldığından emin olunmalıdır.
  • USB veya CD-ROM / DVD-ROM gibi aygıtların kurum politikasına uygun olarak kullanılması ve gerek duyulmuyorsa, bu aygıtların devre dışı bırakılması veya donanımsal olarak bulundurulmaması tavsiye edilmektedir.
  • BIOS ayarı uygun şekilde yapılandırılmış olsa bile harici donanımlar kullanılarak harddisk içerisindeki bilgiler okunabilmektedir. Böylece BIOS ayarı yapılmış olsa bile, bilgisayardaki verilere (SAM ve SYSTEM dosyalarına) erişilebilmektedir. Bilgisayarlar çevrim dışı olarak açıldığında içerisindeki verilere erişilememesi için, Bitlocker / Truecrypt gibi çözümler kullanılarak (tam) disk şifreleme gerçekleştirilmelidir. Böylece,  kullanılan uygulamanın bir zafiyeti bulunmadığı takdirde, disk içerisindeki veriler elde edilemeyecektir. Disk şifreleme işleminde her bilgisayar için farklı bir parolanın / özel anahtarın kullanılması saldırı yüzeyini daraltacaktır.
  • Yerel kullanıcıların bilgilerine erişilebilse bile, parolanın açık halinin elde edilmesinin zorlaştırılması için hem LM özetlerinin kaydedilmemesi hem de parola oldukça karmaşık olarak belirlenmesi gerekmektedir. LM özetinin zayıflıkları konusu ile ilgili bir yazı Bilgi Güvenliği Kapısı'nda yayınlanmıştır: https://www.bilgiguvenligi.gov.tr/microsoft-guvenligi/lanman-sifre-ozetinin-zayifliklari.html. Ancak Windows işletim sistemindeki kimlik doğrulama mekanizmalarındaki zayıflıktan dolayı parolaların açık hali elde edilmeden de, parola özetleri kullanılarak diğer bilgisayarlara yayılma gerçekleşebilir (Pass The Hash). Bu sebeple, BIOS yapılandırılması ve özellikle disk şifreleme gerçekleştirilerek, SAM ve SYSTEM dosyasına erişilememesi sağlanmalıdır.
Gönderen zaman:
Etiketler: , , , , , , , , , , , , , , , , ,

Hiç yorum yok:

Yorum Gönder

Kaydol: Kayıt Yorumları (Atom)