8 Mart 2014 Cumartesi

Etki Alanı Saldırılarından Korunma Yolları: İmaj Yapılandırması

Etki Alanı Saldırılarından Korunma Yolları: İmaj Yapılandırması

Etki alanı sızma testlerinde gerçekleştirilen adımlardan birisi de yayılma adımıdır. Bir bilgisayardan yerel yöneticilerinin parolaları alındıktan sonra, aynı kullanıcı bilgilerini kullanan diğer bilgisayarlara giriş yapılmaya çalışılır. Bu amaçla aşağıdaki 2 yazı incelenebilir:
http://ertugrulbasaranoglu.blogspot.com.tr/2013/10/ipucu-smblogin-modulu-ile-yaylabilecek.html
http://ertugrulbasaranoglu.blogspot.com.tr/2013/10/ipucu-psexec-modulu-ile-yeni.html
Bu adımlardan gerçekleştirilmesinin önüne geçilmesi için etki alanındaki bir bilgisayarda bir şekilde elde edilen yerel yönetici kullanıcı parola bilgileri kullanılarak  (özet veya açık halinin) diğer bilgisayarlara erişim sağlanamamalıdır. Bu amaçla, kurum içinde kullanılan imajlar uygun şekilde oluşturulmalı ve özelleştirilerek kullanılmalıdır.
İmaj yapılandırılması için, en az aşağıdaki ayarların uygulanması gerekmektedir.
a) İmajlar güncellenmeli ve en güncel hali ile kullanılması sağlanmalıdır. Sıkılaştırma işlemleri için güvenlik şablonları kullanılabilmektedir. Güvenlik şablonları için aşağıda belirtilen kaynaklar tercih edilebilir:
http://www.bilgiguvenligi.gov.tr/kilavuz-dokumanlar/index.phphttps://benchmarks.cisecurity.org/downloads/multiform/http://web.nvd.nist.gov/view/ncp/repository
b) Etki alanına eklenen bir bilgisayar özel bir OU altına yönlendirilmesi sağlanarak (redircmp aracıyla veya hazırlanabilecek betiklerle) bu bilgisayarlar için özel grup ilkeleri kullanılmalıdır. Böylece etki alanına eklenen bir bilgisayarın otomatik olarak sıkılaştırılması da gerçekleştirilebilir. 
c) İmajlar kullanılarak işletim sistemi kurulurken, sadece gerektiği kadar kullanıcı oluşturulması saldırı yüzeyini azaltacaktır. Yerel yönetici haklarına sahip kullanıcılar oluşturulmamalı veya kontrollü bir şekilde oluşturulmalıdır. 
d) Etki alanı saldırılarından korunma için kullanılan en temel yöntemlerden biri de tuzak kullanıcı oluşturmaktır. Bu amaçla, etki alanında kullanılan yerel ilkede üç adım gerçekleştirilebilir.
  • Bilgisayardaki gömülü (built-in) yerel yönetici kullanıcısı (Administrator) devre dışı bırakılarak, adı “Test” veya “Deneme” gibi şüphe çekmeyecek şekilde güncellenir. Parolası uzun ve karmaşık verilebilir. Bu işlem grup ilkelerindeki Preferences özelliği kullanılarak aşağıdaki gibi gerçekleştirilebilir.
Gömülü Yerel Yönetici Kullanıcı Bilgilerinin Güncellenmesi
  • Gerçek yerel yönetici kullanıcısının kimliği güncellendikten sonra, yerel yönetici olarak kullanıcı adı Administrator, tanımı gömülü yerel yönetici tanımı ile aynı olan ("Built-in account for administering the computer/domain") tuzak bir kullanıcı oluşturulur. Tuzak kullanıcı parolası çok uzun ve karmaşık seçilerek parolanın açık halinin elde edilmesi zorlaştırılabilir. Ayrıca bu kullanıcı devre dışı bırakılarak, saldırganın zaman kaybetmesi sağlanabilir.Bu işlem grup ilkelerindeki Preferences özelliği kullanılarak aşağıdaki gibi gerçekleştirilebilir.
Tuzak Yerel Yönetici Kullanıcısının Oluşturulması
Not: Tuzak kullanıcı yukarıdaki gibi önleyici amaçla kullanılabildiği gibi, tespit amaçlı da kullanılabilir. Bu amaçla, tuzak kullanıcı parolası kolay elde edilebilecek şekilde kısa olarak ayarlanır. Daha sonra bu hesap ile bir kez oturum açılarak hesap etkin olarak bırakılır. Bu hesap ile yapılan işlemlerin denetim kayıtları tutularak bu hesaplar ile yapılan işlemlerden anlık olarak haberdar olunması sağlanabilir. Bu yöntem kullanılırken anlık haberleşme sisteminin etkin şekilde çalıştığından emin olunmalıdır.
  • Son adım olarak da, oluşturulan tuzak kullanıcı Users veya Guests gibi bir gruba üye yapılabilir ve bilgisayar üzerindeki tüm hakları alınır.
 
Oluşturulan Tuzak Yerel Yönetici Kullanıcısının Guests Grubuna Üye Yapılması
Not: Tuzak kullanıcı oluşturma oldukça yaygın kullanılan bir yöntemdir. Bu sebeple sızma testi sırasında deneyimli kişilerce veya saldırı anında deneyimli saldırganlarca kullanıcıların SID değerleri kontrol edilerek tespit edilebilir. Ayrıca tuzak kullanıcı oluşturulurken Preferences üzerinden parola atanması işlemi çok güvenilir bir yöntem değildir. Konu ile ilgili bir sunum için bakınız. Bu sebeple, yerel yönetici parolalarının yönetimi için özelleşmiş uygulamaların veya betiklerin kullanılması tavsiye edilmektedir. 
- Bazı özel uygulamalar ile hem parola değişiklikleri otomatik, birbirinden farklı, rastgele ve periyodik olarak sağlanabilmekte; hem de gerektiği süre boyunca bu parolaların hangi kullanıcı tarafından, hangi amaç için kullanıldığı takip edilebilmektedir. Bu uygulamaların kullanılması yerel kullanıcıların yönetimini kolaylaştıracaktır. 
- Yerel yöneticilerin parolasının verilmesi betikler kullanılarak da gerçekleştirilebilir. Bu amaçla, bilgisayar adının (hostname) özelleştirilerek kullanılması yerel yönetici parolalarının farklılaşmasını sağlamaktadır. Yerel yöneticilerin ve BIOS şifrelerinin otomatik / birbirinden farklı olarak ayarlanması ve merkezi olarak yönetilmesi konusu ile ilgili bir yazı Bilgi Güvenliği Kapısı'nda yayınlanmıştır.

Gönderen zaman:
Etiketler: , , , , , , , , , , , , , , ,

Hiç yorum yok:

Yorum Gönder

Kaydol: Kayıt Yorumları (Atom)