Aktif Dizin etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster
Aktif Dizin etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster

29 Haziran 2014 Pazar

Aktif Dizin Nesnelerine Ait Denetimler İçin Temel Kontroller

Aktif Dizin Nesnelerine Ait Denetimler İçin Temel Kontroller

Etki alanı (Domain), bir grup bilgisayarın bir araya gelmesiyle oluşan belli kurallar ve prosedürlerle bir merkezden yönetilen mantıksal bir yapıdır. Orta ve büyük ölçekli bütün kurumlarda sistemlerin neredeyse tamamı Microsoft etki alanı yapısıyla direk olarak yönetilirler veya etki alanındaki nesneler (sistem yöneticilerinin hesabı vs) tarafından dolaylı olarak yönetilirler. Bu sebeple, etki alanının güvenilir bir şekilde oluşturulması, yönetilmesi ve korunması kurum için oldukça önemlidir. Etki alanı güvenliğini sağlamak ve kurum etki alanındaki sistemlere karşı yapılabilecek saldırılar için alınması gereken temel önlemler “Etki Alanı Saldırılarına Karşı Temel Korunma Yöntemleri” yazılarında [1] [2] özetlenmişti. Bu yazıda ise etki alanındaki nesnelerin yönetildiği dizin hizmeti olan Aktif Dizin denetimleri incelenecektir. Bu amaçla öncelikle Aktif Dizin kavramından bahsedilecek, daha sonra da Aktif Dizin denetimleri için kontrol maddeleri listelenecektir.

Aktif Dizin Nedir?

Aktif Dizin Servisi (Active Directory Domain Service), Windows Server 2000 ile kullanılmaya başlanan ve etki alanındaki fiziksel ve mantıksal nesnelerin (ve bu nesnelere ait özelliklerin) oluşturulduğu, yönetildiği, ilkelerin belirlendiği, sorgulandığı merkezi dizin servisidir. Aktif Dizin üzerinde tutulan temel nesneler aşağıdaki gibidir:

  • Kullanıcılar (kullanıcı hesapları)
  • Gruplar (yöneticiler, operatörler, kullanıcı grupları vb.)
  • Bilgisayarlar
  • Yazıcılar
  • Sunucular
  • Etki alanları
  • Site’lar

Aktif Dizin servisi, ağ kaynaklarına ait bilgileri kendine ait bir veritabanında (NTDS) tutar, merkezi olarak organize eder, kullanıcıların yetkileri dahilinde erişimlerini denetler. Aktif Dizin servisi, Microsoft sistemlerinin bulunduğu ortamlarda bir çok yarar sağlamaktadır. Bu yararlardan bazıları şunlardır:

  • Merkezi yönetim
  • Ölçeklenebilirlik
  • DNS ile entegrasyon
  • Politika-tabanlı yönetim
  • Multi-master replikasyon
  • Esnek kimlik doğrulama ve yetkilendirme
  • Diğer dizin servisleriyle birlikte çalışabilme
  • İmzalanmış ve şifrelenmiş LDAP trafiği
  • Betikler ile yönetim


Aktif Dizin Kontrol Maddeleri


Aktif Dizin üzerindeki nesnelerin güvenilir bir şekilde yönetilmesi için bir takım kontrol maddeleri bu başlık altında belirtilmiştir. Kontrol maddelerinde ne yapılması gerektiği üzerinde durulmuş olup, nasıl yapılacağı konusu sistem yöneticilerine bırakılmıştır. Kontrol maddelerinde belirtilen nesnelerin otomatik olarak nasıl  tespit edileceği ile ilgili internet üzerinde - başta Powershell olmak üzere - bir çok betik bulunabilir. Ayrıca aşağıdaki maddeleri ve çok daha fazlasını gerçekleştirebilen otomatik denetim araçları da kullanılabilir.

Denetim sonucunda gerçekleştirilmesi gereken işlemler kurum politikasında belirtilmelidir. Örneğin, uzun süre oturum açmayan kullanıcı hesapları tespit edildikten sonra bu hesaplar belli bir süre boyunca devre dışı bırakılabilir ve bir süre sonra da tamamen silinebilir. Benzer olarak tespit edilen nesnelerin ne zaman, hangi kullanıcı tarafından oluşturulduğu da incelenebilir.

Aktif Dizin güvenliği için kontrol edilebilecek temel maddeler aşağıdaki gibidir:

1) Ortak Hesap Kullanan Kullanıcı Hesapları

Ortak hesap kullanımı özellikle yardım masası veya teknik destek gibi vardiyalı çalışan bölümlerde sık karşılaşılabilen durumlardandır. Kurum içerisinde ortak kullanılan kullanıcı hesapları tespit edilmelidir. Aksi halde işlemi gerçekleştiren kullanıcının kimliğinin tespit edilmesi kaydı tutulan başka faktörlerle (IP adresi, çalışılan saat dilimi, …) mümkün olabilmektedir.

2) Uzun Süredir Oturum Açmamış Kullanıcı Hesapları

Kurum içerisinde uzun bir süre (3 hafta gibi) oturum açmayan kullanıcı hesapları tespit edilmelidir. Bu süre kurum politikasına göre değişiklik gösterebilir. Tatil izinleri, yurt dışı gezileri gibi durumlar göz önüne alınarak bu süre ve kapsam belirlenmelidir.

3) Parolasını Hiç Değiştirmemiş Olan Kullanıcı Hesapları

Bir çok kurumda bir kullanıcı hesabı oluşturulurken standart bir parola ile oluşturulurlar. Bu parola o hesabın sahibi olan kullanıcı tarafından ilk oturumda değiştirilmesi gerekmektedir. Parolasını hiç değiştirmemiş olan kullanıcı hesapları tespit edilmelidir.

4) Uzun Süredir Parolasını Değiştirmeyen Kullanıcı Hesapları

Kurum politikasına uygun olacak şekilde kurum içerisinde bir parola politikası oluşturulmalı ve uygulanmalıdır. Parola politikasında parola değiştirme süresi için uygun bir değer verilmelidir. Belirlenen süre boyunca parolasını değiştirmeyen kullanıcı hesapları tespit edilmelidir. Uzun süredir parolasını değiştirmeyen ve parolası saldırganlar tarafından bir şekilde ele geçirilmiş olan bu kullanıcı hesapları etki alanına karşı gerçekleştirilebilecek sonraki saldırılarda kullanılabilmektedir.

5) Parolasını Değiştiremeyen Kullanıcı Hesapları

Uygulama/servis kullanıcıları veya belirli sebeplerle bazı kullanıcı hesaplarının parolalarının değiştirilmemesi gerekebilmektedir. Parolasını değiştiremeyen kullanıcı hesapları tespit edilmelidir.

6) Parola Değiştirmesi Zorunlu Olmayan Kullanıcı Hesapları

Başta uygulama ve servis kullanıcı hesapları olmak üzere, parola politikasına rağmen parola değiştirmesi zorunlu olmayan kullanıcı hesapları tespit edilmelidir.

7) Parolası Sona Ermeyen Kullanıcı Hesapları

Parola politikasına rağmen parolası sona ermeyen kullanıcı hesapları tespit edilmelidir. Özellikle uygulama ve servis kullanıcı hesaplarında görülen bu durum saldırı yüzeyini arttırmaktadır.

8) Parolası Olmayan Kullanıcı Hesapları

Parola politikası sebebiyle, kurumlarda çok sık karşılaşılan bir durum olmasa da, parolası boş olan kullanıcı hesaplarının varlığı tespit edilmelidir.

9) Parolası Olmak Zorunda Olmayan Kullanıcı Hesapları

Önceki kontrol maddesine benzer olarak, parolası olmak zorunda olmayan kullanıcı hesapları tespit edilmelidir.

10) Süresi Geçmiş Kullanıcı Hesapları

Kurum politikası gereği bazı kullanıcı hesapları (danışman, sistem destek, stajyer vs) süreli olarak oluşturulabilmektedir. Bu süre sonrasında bu hesaplar ile işlem yapılamamaktadır. Kurumda süresi geçmiş olan (expire) kullanıcı hesapları tespit edilmelidir.

11) İşten Ayrılmış Kullanıcı Hesapları

Kurumların çoğunda merkezi kimlik yönetimi henüz tam anlamıyla aktif bir şekilde kullanılmamaktadır. İşten ayrılmış olan kullanıcı hesabı ile gerçekleştirilebilecek işlemler sonucunda  kurum ve kurum çalışanları zor durumda kalabilmektedir. Bu sebeple, kurum ile ilişkisi kesilen kullanıcı hesapları tespit edilmelidir. Bunun yanında yetkilendirme işlemleri için kullanıcıdan bağımsız tasarımların kullanılması [3] [4] güvenliği arttırmaktadır.

12) Kurum Personeli Olmayan Kullanıcı Hesapları

Danışmanlık, sistem destek, stajyerlik gibi sebeplerle etki alanında oluşturulan kullanıcı hesapları tespit edilmelidir. Bu hesaplar oluşturulurken süreli bir şekilde oluşturulması tavsiye edilmektedir. Ayrıca bu hesaplar için özel yapısal birimlerin (OU) oluşturulması ve bu OU altındaki nesnelere sıkılaştırılmış grup ilkelerinin uygulanması tavsiye edilmektedir.

13) “Users” Konteynırında Bulunan Kullanıcı Hesapları

Bir kullanıcı oluşturulduğunda varsayılan olarak “Users” adlı verilen konteynır altında oluşmaktadır. Bir konteynır içerisindeki nesnelere varsayılan grup ilkeleri uygulandığı için “Users” altında kullanıcı hesabının bulunması kontrol eksiliğine sebep olmaktadır. Bu sebeple, “Users” konteynırında bulunan kullanıcı hesapları tespit edilmelidir. Etki alanına yeni eklenen kullanıcı hesapları üzerindeki denetimleri arttırmak için ve etki alanına eklenen ancak henüz faal olmayan nesneleri daha iyi takip edebilmek için; bu hesapların sıkılaştırılmış bir OU altında oluşturulması tavsiye edilmektedir. Kullanıcı hesabı ile işlem yapıldıktan ve grup ilkesi alındıktan sonra ilgili OU altına eklenmesi güvenliği arttırmaktadır. Sonuç

14) Dial-in Bağlantı Hakkı Olan Kullanıcı Hesapları

Dial-in bağlantı hakkı olan kullanıcılar tespit edilmelidir. Uzak erişimler için dial-in bağlantı yerine kurum ihtiyacına daha güvenilir bir şekilde cevap verecek yöntemler (SSL VPN gibi) tercih edilmelidir.

15) Gereksiz Tanımlama Bilgisine Sahip Olan Kullanıcı Hesapları

Kullanıcı hesaplarına ait bir çok bilgi, herhangi bir kullanıcı tarafından elde edilebilmektedir. Etki alanına gerçekleştirilen saldırılarda da bu bilgiler kullanılmaktadır. Kullanıcı hesaplarına ait gereksiz bilgilerin Aktif Dizin üzerinde saklanmaması tavsiye edilmektedir.

16) Eksik Tanımlama Bilgisine Sahip Olan Kullanıcı Hesapları

Denetim yönü ile ele alındığında, kurum politikası ile belirlenmiş tanımlamalar her kullanıcı hesabında bulunmalı, standart tanımları bulunmayan kullanıcı hesapları tespit edilmelidir.

17) İsimlendirme Standardına Uymayan Kullanıcı Hesapları

Kurum politikası gereği kullanıcı hesaplarının nasıl oluşturulacağı belirlenmelidir. Sicil numarasının kullanılması (36146), personelin ad ve soyadının farklı şekillerde kullanılması (remzi.karadayioglu, rkaradayioglu, r.karadayioglu, karadayioglu.remzi,…) bir standart olarak belirlenmelidir. Bunun yanında aynı isim ve soy isme, iki ve daha fazla isme veya soy isme sahip personel için de standardın oluşturulması tavsiye edilmektedir. Belirlenen isimlendirme standardına uymayan kullanıcı hesapları tespit edilmelidir.

18) Kritik Gruplara Üye Olan Ortak Kullanılan Kullanıcı Hesapları

Etki alanında bazı grupların yetkileri diğerlerinden daha fazla öneme sahip olmaktadır. Bu gruplardan bazıları yerleşik (built-in) gruplar (Domain Admins, Enterprise Admins, …) olabildiği gibi, bazı gruplar (Oracle Admins, Microsoft Sistem Yöneticileri, Aktif Cihaz Yönetim Grubu,… ) ise daha sonradan oluşturulmuş olabilir. Etki alanında kritik yetkilere sahip olan gruplar belirlenmeli ve bu gruplara üye olan kullanıcı hesapları tespit edilmelidir.

19) Hiçbir Gruba Üye Olmayan Kullanıcı Hesapları

Grup üyeliği bulunmayan kullanıcı hesapları tespit edilmelidir.

20) Üyesi Olmayan Gruplar

İçerisinde hiçbir üyesi olmayan, boş gruplar tespit edilmelidir.

21) İsimlendirme Standardına Uymayan Gruplar

Kullanıcı hesaplarında olduğu gibi, kurum tarafından oluşturulmuş olan isimlendirme standardına uygulan gruplar tespit edilmelidir.

22) Kritik Grupların Yetkilendirmeleri

Etki alanında kullanıcı yerine, grup ve rol bazlı bir yetkilendirme yapılması gerektiği daha önceden belirtilmişti. Bu grupların etki alanındaki yetkileri tespit edilmelidir.

23) Uzun Süredir Kullanılmayan Bilgisayar Hesapları

Kullanıcı hesaplarında olduğu gibi, uzun süredir kullanılmayan bilgisayar hesapları tespit edilmelidir.

24) Adı Standarta Uymayan Bilgisayar Hesapları

Kullanıcı hesaplarında ve gruplarda olduğu gibi, kurum tarafından oluşturulmuş olan isimlendirme standardına uygulan gruplar tespit edilmelidir.

25) Devre Dışı Bırakılmış Bilgisayar Hesapları

Kullanıcı hesaplarında olduğu gibi, devre dışı (disabled) bırakılmış olan bilgisayar hesapları tespit edilmelidir.

26) “Computers” Konteynırında Bulunan Bilgisayar Hesapları

“Users” konteynırında bulunan kullanıcı hesaplarında olduğu gibi, “Computers” konteynırında bulunan bilgisayar hesapları tespit edilmelidir.

27) İçerisinde Nesne Bulunmayan Yapısal Birimler

Gruplarda olduğu gibi, içerisinde hiçbir üyesi olmayan, boş yapısal birimler (OU) tespit edilmelidir.

28) Adı Standarta Uymayan Yapısal Birimler

Kullanıcı ve bilgisayar hesaplarında, gruplarda olduğu gibi, kurum tarafından oluşturulmuş olan isimlendirme standardına uygulan gruplar tespit edilmelidir.

29) Site İçerisinde Belirtilmemiş Olan Yerel Ağlar

Site, birbiri ile ağ iletişimi kuvvetli olan fiziksel yapılardır. Site, ağın hızına ve trafik kapasitesine göre tasarlanır. Özellikle oturum açma ve replikasyon işlemlerinin daha hızlı gerçekleşebilmesi için Site yapısının iyi tasarlanması gerekmektedir. Bir Site içerisinde bir veya daha fazla alt ağ (subnet) bulunabilmektedir. Böylece bir kullanıcı aynı site içerisinde bulunduğu etki alanı denetleyicisini (DC) kullanarak kimlik doğrulatır. Benzer olarak bir etki alanı denetleyicisi aynı site içerisindeki bir etki alanı denetleyicisi ile replikasyon işlemini gerçekleştirmek için oluşturulan Site ve Subnet bilgilerini kullanılır. Aynı site içerisinde etki alanı denetleyicisi bulunamazsa, farklı site üzerindeki etki alanı denetleyicisi arayışında bulunulur.

Kurum içerisindeki her bir yerel ağ (LAN), içerisinde etki alanı denetleyicisi bulundurmasa dahi, Aktif Dizin üzerinde tanımlanması tavsiye edilmektedir. Bu sebeple, Site içerisinde belirtilmemiş yerel ağlar tespit edilmelidir.

30) DNS Üzerinde Kaydedilmemiş Yerel Ağlar

Alan Adı Sistemi (Domain Name System - DNS); ağdaki bilgisayarları ve ağ hizmetlerini adlandırmak için kullanılan bir sistemdir. DNS, Aktif Dizin yapısı için zorunlu bir roldür. Microsoft ortamlarında, istemciler ağdaki etki alanı denetleyicilerinin ve diğer servis sunucularının yerlerini DNS kullanarak tespit ederler. Eğer DNS üzerinde bir problem oluşursa, erişimlerde problem yaşanacaktır. Aktif Dizin ile entegre olarak oluşturulan Microsoft DNS üzerinde tüm yerel ağlara ait kayıtların bulunması tavsiye edilmektedir. Bu sebeple, DNS üzerinde kayıtlı olmayan kuruma ait yerel ağlar tespit edilmelidir.

Sonuç

Kurum etki alanının (ve dolayısıyla kurumun) güvenliği için alınması gereken önlemlere [1] [2] ek olarak, saldırı yüzeyini daraltmak için belli aralıklarla risk analizleri ve kontroller gerçekleştirilmelidir. Bu yazıda Aktif Dizin sıkılaştırması için gerekli olan temel kontrol maddeleri üzerinde durulmuştur. Bu yazıda bahsi geçen kontrol maddeleri kurum tarafından belli periyotlarla gözden geçirilmesi, ek kontrol maddeleri ile desteklenmesi, otomatikleştirilmesi için betikler (Powershell gibi bir betik dili kullanılarak) hazırlanması veya otomatik olarak bu işlemleri gerçekleştirebilen araçlarla denetimlerin gerçekleştirilmesi, denetim raporu sonucuna göre gerekli iyileştirmelerin kurum politikasına uygun olarak gerçekleştirilmesi, gerçekleştirilen işlemlerin dokümante edilmesi tavsiye edilmektedir.


Kaynaklar
[1] http://www.bilgiguvenligi.gov.tr/microsoft-guvenligi/etki-alani-saldirilarina-karsi-temel-korunma-yontemleri-1.html
[2] http://www.bilgiguvenligi.gov.tr/siniflandirilmamis/etki-alani-saldirilarina-karsi-temel-korunma-yontemleri-2.html
[3] http://itfreetraining.com/70-640/agdlp/
[4] http://itfreetraining.com/70-640/agudlp/
Gönderen zaman: Hiç yorum yok:
Etiketler: , , , ,

7 Nisan 2013 Pazar

AD-CS: Sertifika Otoriteleri için Katmanlı Yapı

Aktif Dizin Sertifika Servisi: Sertifika Otoriteleri

Sertifikaların Kullanım Alanları
Microsoft PKI yapısında 3 katmanlı sertifika otoritesi bulunmaktadır:
  • Kök (Root) CA: Organizasyon PKI yapısında en güvenilir CA türüdür. Kök Sertifika Otoriteleri, son kullanıcılara da sertifika verebileceği gibi, sadece alt katmanındaki sertifika otoritelerine sertifika vermesi tavsiye edilmektedir. Kendi sertifikalarını kendileri imzalarlar.
  • Orta/Alt (Intermediate / Subordinate) CA: Kök Sertifika Otoriteleri tarafından kendisine sertifika dağıtma yetkisi verilen otoritelerdir. Bu sertifika otoriteleri de direk olarak son kullanıcı ve bilgisayarlara sertifika vermezler, diğer otoritelerin sertifikalarını onaylarlar.
  • Veren/İhraç Eden (Issuing) CA: Direk oalrak son kullancııdan gelen sertifika isteğini işler. Bu amaçla önce bu isteği alır, uygunsa onaylar, gerekli düzenlemeleri yaparak sertifikayı oluşturur ve sonra da yayımlar.
PKI yapısı oldukça iyi tasarlanması gereken bir yapıdır. Bu yapı oldukça esnek ve genişletilebilir. PKI yapısı tasarlanırken, kullanacak bir organizasyonda en az bir tane Kök Sertifika Otoritesinin bulunması zorunludur. Kök SO birden fazla da olabilir. Büyük ölçekli organizasyonlarda 5-6 katmanlı bir yapı, orta ölçekli organizasyonlarda 2 katmanlı bir yapı önerilmektedir. Küçük ölçekli sistemlerde ise sadece Kök SO’nin bulunması yeterli olacaktır.


Hiyerarşik yapının sebepleri
Hiyerarşik yapının oluşmasının birden fazla sebebi olabilir. Bunlardan bazıları şu şekildedir:
  • Kullanım: Sertifikalar posta gönderme, doküman imzalama, disk şifreleme,… gibi farklı amaçlarla kullanılabilmektedir. Bu amaçlara yönelik olarak farklı otoritelerin kullanılması organizasyon için faydalı olabilmektedir.
  • Kuruluş bölümleri: Sertifikalar, varlığın organizasyonundaki rolüne göre dağıtılabilmektedir. Rollere göre dağıtım farklı katmanlardaki otoritelerce gerçekleştirilebilir.
  • Coğrafi bölümler: Farklı lokasyonlardaki sistemler için farklı SO ihtiyacı olabilmektedir.
  • Yük dengeleme: Aynı türden sertifikalar vermek için birden fazla Orta (Intermediate) SO kullanılması ağ yükünü bu otoriteler arasında dağıtır.
  • Yedekleme ve hataya dayanıklılık: Birden fazla SO bulunması, herhangi bir otoritede meydana gelebilecek bir problem sırasında, organizasyondaki operasyonların aksamasının önüne geçecektir.

Hiyerarşik yapının yararları
SO hiyerarşisinin yönetime sağladığı bazı yararlar şu şekildedir:
  • Esnek ve genişletilebilir bir yapı sağlanabilmektedir.
  • Farklı departmanlarda, lokasyonlarda farklı PKI güvenlik ilkeleri uygulanabilmektedir.
  • Orta veya daha alttaki bir SO’nin saldırıya maruz kalması diğer SO’lerine bağlı sistemlerin işleyişini etkilemez.
  • Alt sistemlerin kontrolü yetki devri sayesinde departman sorumlularına veya yöneticilerine verilebilir.


Gönderen zaman: Hiç yorum yok:
Etiketler: , , , , ,

AD-CS: Sertifikalar

Aktif Dizin Sertifika Servisi: Sertifikalar

Microsoft Office Communications Server (OCS), Microsoft Exchange Server, IIS sunucular ve bir çok Microsoft sistemi sertifikalara ihtiyaç duymaktadır. Bu sertifikaların üretilmesi, geçerliliğinin kontrol edilmesi, yetkilendirme yapılması gibi merkezi bir yönetimin sağlanması, sertifika taleplerinin otomatik olarak gerçekleştirilebilmesi için bir otorite oluşturulması, PKI adı verilen bir alt yapının kurulması ihtiyaç olmuştur. Bu amaçla, Windows Server 2003’te Certificate Services olarak, Windows Server 2008’de ise Active Directory Certificate Service adı verilen bir hizmet kullanılmaktadır.

Burada bahsedilen otomatik talep (auto enrollment) ile Windows bilgisayarlar Enterprise olarak kurulum gerçekleştirilen CA’lar üzerinden otomatik olarak sertifika kaydı gerçekleştirebilirler. Bir bilgisayar etki alanından grup ilkelerini indirince sertifikalarını da günceller. Eksik tipte bir sertifika mevcutsa bu sertifikayı Enterprise CA’dan talep eder, geçersiz olanlar ya iptal edilir ya da güncellenir.

Sertifikaların Kullanım Alanları
AD-CS tarafından desteklenen uygulamalardan bazıları şu şekildedir:
  • S/Mime (Secure / Multipurpose Internet Mail Extensions) ve elektronik posta iletişimi
  • Kablosuz bağlantılarda güvenlik
  • VPN
  • IPSec ile güvenilir veri iletişimi
  • Web browser’daki sertifika ile kimlik doğrulama
  • EFS ile veri şifrelemesi
  • Akıllı kart ile kimlik doğrulama ve oturum açma
  • SSL ve TLS ile güvenilir veri iletişimi, LDAP
  • Dijital imza ile belge imzalama

Yararları
  • Klasik PKI tarafından sunulan yararlar Windows PKI tarafında da geçerlidir.
  • AD CS, organizasyonlara sertifika yönetimi ve dağıtımı için düşük maliyetli, verimli ve güvenli bir yol sunar.
  • Son kullanıcı AD üzerinde kimlik doğruladıktan sonra, kendilerine özel anahtarları kullanmaları sağlanır. Böylece transparanlık sağlanır.
  • Yazılımcılar Windows tarafından sunulan API’leri kullanarak kendilerine özel uygulamalar geliştirebilirler.

Sertifikaların İptali
Sertifikaların iptal edildiği durumlarda, sertifikaların geçerliliğini doğrulama girişiminde bulunan kişilere, bilgisayarlara ve uygulamalara sertifika iptali bilgilerini dağıtma gereği ortaya çıkar. İptal bilgileri verme gereği ve bunların zamanlanması, uygulamaya ve uygulamanın sertifika iptali denetimine bağlı olarak değişir.

Sertifika durumu ile ilgili iletişim için iki yol vardır:
  • Sertifika İptal Listeleri (CRL): Düzenli olarak dağıtılan ve iptal edilen veya askıya alınan tüm sertifikaların seri numaraları gibi bazı bilgileri içerir. Bir istemcinin sertifika iptal durumunu denetleyebilmesi için, CA tarafından iptal edilen tüm sertifikalarla ilgili bilgilerin yer aldığı bir CRL'yi karşıdan yüklemesi gerekir. Bu durum hem fazla bant genişliği harcanmasına hem de fazla depo alanı istemektedir. Ayrıca bu listelerin sık sık değişmesi maliyeti arttırırken, uzun süre değişmemesi ise güvenliğe tehdit oluşturmaktadır. Tüm iptal edilen sertifikaların bulunduğu listeye Full CRL, Full CRL alındıktan sonra güncelleme yapılan iptal listesine ise Delta CRL adı verilir.
  • Çevrimiçi Yanıtlayıcı: Çevrimiçi Sertifika Durumu Protokolü'ne (OCSP) dayanır. Çevrimiçi Yanıtlayıcılar kullanıldığında, hedef istemciler tüm sertifika iptal verilerini almaz sadece sorgulama yaptıkları sertifikanın durumunu alır. Sertifika durumunu imzalı olarak döner. Sonuçta Sertifika Otoritesi’ndeki sertifika veritabanında iptal edilmiş kaç sertifika olursa olsun, istek başına alınan veri miktarı sabittir.

Grup ilkeleri ile sertifikaların yönetimi
Bir Active Directory Etki Alanı Hizmetleri (AD DS) ortamında, sertifikalarla ilgili bazı işlemleri yönetmek için grup ilkeleri kullanılabilir. Grup ilkeleri ile gerçekleştirilebilecek bazı işlemler şunlardır:
  • Kimlik bilgisi dolaşımı: AD DS'deki bir kullanıcıya özel X.509 sertifikalarının, sertifika isteklerinin ve özel anahtarların kullanıcı profilinden bağımsız olarak depolanmasına ve ağdaki herhangi bir bilgisayarda kullanılmasına olanak sağlar. Böylece, istemcilerin sertifikaları ve gizli anahtarları, istemcinin oturum açtığı bilgisayar ile AD üzerinde senkron olarak saklanabilmektedir. Bu durumda, daha yeni olan sertifika veya anahtar diğerini günceller ve istemci başka bir bilgisayarda oturum açtığında, güncel sertifikaları kullanarak işlemlerini gerçekleştirir. Sonuç olarak, hem istemci eski anahtar ve sertifikaları kullanmamış olur, hem de sertifika ve anahtarların bir bilgisayardan diğerine taşınması için operasyon yapılmasına gerek kalmaz.
  • Sertifikaların otomatik kaydı: Grup ilkeleri kullanılarak; kullanıcılar, bilgisayarlar veya hizmetler sertifikalara otomatik olarak kaydettirilir. Kullanıcı ve bilgisayarlara verilen kayıt işlemleri otomatik olarak gerçekleştirilirken, ya şablonlar kullanılmalıdır ya da grup ilkeleri yapılandırılmalıdır.
  • Sertifika yolu doğrulama: Grup ilkelerindeki sertifika yolu doğrulama ayarları ile Ara (Intermediate) Sertifika Otoritesi’ne ait sertifikaları dağıtma, güvenilmeyen sertifikaları engelleme, kod imzalama için kullanılan sertifikaları yönetme, sertifikalar ve sertifika iptal listeleri (CRL) için alma ayarlarını yapılandırma gibi bir çok işlem gerçekleştirilebilir.
  • Sertifika dağıtımı: Sertifikalara olan güvenin yönetilmesi sağlanır. Grup ilkeleri ile güvenilir sertifikalar belirlenebilir, Verisign gibi dış Sertifika Otoriteleri’nden alınan ve iptal edilemeyen sertifikaların kullanımı sınırlandırılabilir veya önlenebilir. Not: Grup ilkeleri ile, bilgisayarların Trusted Root Certification Authorities konteynırına Sertifika Otoritesi sertifikaları eklenebilirken, kullanıcıların grup ilkelerine eklenememektedir.
Gönderen zaman: Hiç yorum yok:
Etiketler: , , , , , , , , , , , , , ,
Kaydol: Yorumlar (Atom)