Etki Alanı Saldırılarından Korunma Yolları: Kritik Hesapların Kullanımı

Etki Alanı Saldırılarından Korunma Yolları: Kritik Hesapların Kullanımı

Etki alanı sızma testlerinde gerçekleştirilen adımlardan birisi de araştırma adımıdır. Bu adımla ilgili ayrıntılı bilgi için bakınız:

http://ertugrulbasaranoglu.blogspot.com.tr/2013/10/ipucu-yuksek-yetkili-kullanc-haklarnn.html 

http://ertugrulbasaranoglu.blogspot.com.tr/2013/10/ipucu-domainde-yetkili-kullancnn.html

Araştırma adımında, oturum açılan bilgisayarlarda kritik kullanıcılara ait bilgilerin elde edilememesi sağlanmalıdır. Bu amaçla, etki alanındaki kritik hesaplar uygun şekilde kullanılmalıdır.
Kritik hesaba sahip kullanıcıların iki ayrı hesabı bulunmalıdır: Etki alanında yönetimsel operasyonlar için kullanılan yetkili kullanıcı hesabı ve bu kritik hesaba sahip yöneticinin günlük işlemlerini gerçekleştirdiği yetkisiz kullanıcı hesabı. Kritik hesapların kullanımı için, en az aşağıdaki önlemlerin uygulanması gerekmektedir.

a) Yetkili hesap ile DC hariç hiçbir bilgisayarda oturum açılmamalıdır. Açılmış oturum varsa, bu oturumlar kapatılmalıdır. Gerekiyorsa etki alanındaki kritik kullanıcıların istemci makinelerde ve DMZ ağındaki bazı sunucular olmak üzere bu hesapların oturum açması gerekmeyen sunucularda oturum açamayacakları şekilde grup ilkeleri düzenlenmelidir. Etki alanında kritik olan gruplar yerine, yardım masası veya destek grupları gibi grupların bu sistemlerde oturum açıp, bakım yapabilmesine izin verilmelidir. İzin verilen bu kullanıcıların da yetkilerinin iyi sınırlandırılmış olması, sadece gerekli izinlerin verildiğinden emin olunması gerekir. Günümüzde sızma testlerinde açık bırakılmış oturumdaki parola bilgilerini RAM’den elde edebilen ve parolaları açık olarak sunan uygulamalar (WCE, Mimikatz gibi) kullanılmaktadır. Bu uygulamalar hakkında ayrıntılı bilgi için Bellekten Parolaların Elde Edilmesi - 1 ve Bellekten Parolaların Elde Edilmesi - 2 yazıları incelenebilir. Bu uygulamalardan korunmak için çeşitli yöntemler vardır. En önemli önlem ise kritik hesaplarla oturum açıldıktan sonra bilgisayarın yeniden başlatılmasıdır. Diğer güvenlik önlemleri için bakınız: Bellekten Parolaların Elde Edilmesi - 3 

b) Sızma testlerinde, ele geçirilen bilgisayarlar üzerinde kritik kullanıcı hesabı ile başlatılmış prosesler tespit edilerek, o proseslere atlandığı “araştırma” adımında görülmüştü. Bu sebeple etki alanında kritik olan hesaplar ile DC haricinde hiçbir bilgisayarda proses başlatılmamalıdır. Başlatılmış proses varsa, bu prosesler sonlandırılmalıdır. Proseslerin sonlandırılmasının yanında, bilgisayarın yeniden başlatılması tavsiye edilmektedir. 

c) Yetkili hesaplar ile etki alanı denetleyicisi (DC) üzerinde açılan oturumda sadece etki alanı yönetimi ile ilgili işlemler gerçekleştirilmelidir. Özel işlemler için yetkisiz olan hesap ve kritik olmayan bir bilgisayar kullanılmalıdır. 

d) Yetkili hesaplarla gerçekleştirilen kritik işlemler sırasında anlık olarak bilgilendirme sağlanabilmesi için alarmlar oluşturulmalıdır. Alarm oluşturulabilecek bazı durumlar aşağıdaki gibidir:

• Etki alanındaki kritik gruplara kullanıcı ekleme veya kritik gruplardan kullanıcı çıkarma işlemleri

• Etki alanındaki kritik gruplar veya kullanıcılar üzerinde gerçekleştirilen yetki değiştirme işlemleri

• Grup politikaları üzerinde gerçekleştirilen güncelleme, yetki devri, yetki değiştirme işlemleri

• Kritik grupların kapsam (scope) veya tipi (type) üzerindeki değişiklik işlemleri  

e) Yetkili ve yetkisiz kullanıcı hesaplarının adlarının (account name) birbiri ile benzer olmaması gerekmektedir. Böylece etki alanında yönetici konumda olan kişinin bilgisayarının tespiti kısmen de olsa zorlaşır, etki alanı yöneticisine ait bilgisayardan elde edilebilecek kritik bir takım bilgilerin elde edilmesi daha fazla zaman alır. 

f) Bir kullanıcı herhangi bir bilgisayarda ilk kez oturum açtığında bilgisayar üzerinde bazı bilgiler oluşturulmaktadır. Örneğin kayıt defteri (Registry Editor) değerlerinde bazı güncelleştirmeler gerçekleştirilmekte, Windows 7 işletim sisteminde C:\Users altında otomatik olarak bazı dosyalar oluşturulmaktadır. Sızma testleri ve etki alanı saldırılarındaki adımlardan biri olan "Araştırma" adımında otomatik olarak oluşturulan bu bilgiler aranmaktadır. Bu sebeple, kritik kullanıcıların (Domain Admins grubu kullanılmıyorsa Yardım Masası gibi grupların üyeleri kritik grup olarak görülebilir) kendi bilgisayarları haricinde oturum açtığı oturumlar kapatıldığında bu bilgilerin otomatik olarak silinmesi için grup ilkeleri ile betikler kullanılabilir.