02232017Prş
Last updatePzt, 20 Şub 2017 11am


GÜVENLİK

Etki Alanı Saldırılarına Karşı Temel Korunma Yöntemleri - 2

Önceki bölümde etki alanı saldırılarının ve etki alanı sızma testlerinin (domain pentest) nasıl gerçekleştirildiği üzerinde durularak, bu saldırılara karşı alınabilecek 3 temel önlemden bahsedilmişti. Etki alanı saldırılarının temel olarak aşağıdaki 5 adım ile gerçekleştirildiği belirtilmişti.

A.1. Fiziksel Operasyon

A.2. Zafiyet Taraması

A.3. Yayılma

A.4. Bilgi Toplama

A.5. Araştırma

Bunun yanında bahsi geçen 3 temel önlem aşağıdaki gibiydi:

B.1. BIOS Yapılandırması

B.2. Ağ Yapılandırması

B.3. Güncelleştirmelerin Gerçekleştirilmesi

Bu bölümde ise, diğer 3 temel önlemden bahsedilecektir:

B.4. İmaj Yapılandırması

B.5. Kritik Hesapların Kullanımı

B.6. Diğer Güvenlik Önlemleri

Bütünlüğün korunması amacıyla konu başlıkları kaldığı yerden devam ettirilecektir.

B) Etki Alanı Sızma Testlerinden Korunma Yolları

B.4. İmaj Yapılandırması

Etki alanı sızma testlerinde gerçekleştirilen yayılma adımında, etki alanındaki bir bilgisayarda bir şekilde elde edilen yerel yönetici kullanıcı parola bilgileri kullanılarak  (özet veya açık halinin) diğer bilgisayarlara erişim sağlanamamalıdır. Bu amaçla, kurum içinde kullanılan imajlar uygun şekilde oluşturulmalı ve özelleştirilerek kullanılmalıdır.
İmaj yapılandırılması için, en az aşağıdaki ayarların uygulanması gerekmektedir.

i. İmajlar güncellenmeli ve en güncel hali ile kullanılması sağlanmalıdır. Sıkılaştırma işlemleri için güvenlik şablonları kullanılabilmektedir. Güvenlik şablonları için aşağıda belirtilen kaynaklar tercih edilebilir:

http://www.bilgiguvenligi.gov.tr/kilavuz-dokumanlar/index.php

https://benchmarks.cisecurity.org/downloads/multiform/

http://web.nvd.nist.gov/view/ncp/repository

ii. Etki alanına eklenen bir bilgisayar özel bir OU altına yönlendirilmesi sağlanarak (redircmp aracıyla veya hazırlanabilecek betiklerle) bu bilgisayarlar için özel grup ilkeleri kullanılmalıdır. Böylece etki alanına eklenen bir bilgisayarın otomatik olarak sıkılaştırılması da gerçekleştirilebilir.

iii. İmajlar kullanılarak işletim sistemi kurulurken, sadece gerektiği kadar kullanıcı oluşturulması saldırı yüzeyini azaltacaktır. Yerel yönetici haklarına sahip kullanıcılar oluşturulmamalı veya kontrollü bir şekilde oluşturulmalıdır.  

iv. Etki alanı saldırılarından korunma için kullanılan en temel yöntemlerden biri de tuzak kullanıcı oluşturmaktır. Bu amaçla, etki alanında kullanılan yerel ilkede üç adım gerçekleştirilebilir.

* Bilgisayardaki gömülü (built-in) yerel yönetici kullanıcısı (Administrator) devre dışı bırakılarak, adı ?Test? veya ?Deneme? gibi şüphe çekmeyecek şekilde güncellenir. Parolası uzun ve karmaşık verilebilir. Bu işlem grup ilkelerindeki Preferences özelliği kullanılarak aşağıdaki gibi gerçekleştirilebilir.

01.png  

Şekil - 1: Gömülü Yerel Yönetici Kullanıcı Bilgilerinin Güncellenmesi

** Gerçek yerel yönetici kullanıcısının kimliği güncellendikten sonra, yerel yönetici olarak kullanıcı adı Administrator, tanımı gömülü yerel yönetici tanımı ile aynı olan ("Built-in account for administering the computer/domain") tuzak bir kullanıcı oluşturulur. Tuzak kullanıcı parolası çok uzun ve karmaşık seçilerek parolanın açık halinin elde edilmesi zorlaştırılabilir. Ayrıca bu kullanıcı devre dışı bırakılarak, saldırganın zaman kaybetmesi sağlanabilir.Bu işlem grup ilkelerindeki Preferences özelliği kullanılarak aşağıdaki gibi gerçekleştirilebilir.

  02.png

Şekil - 2: Tuzak Yerel Yönetici Kullanıcısının Oluşturulması

Not: Tuzak kullanıcı yukarıdaki gibi önleyici amaçla kullanılabildiği gibi, tespit amaçlı da kullanılabilir. Bu amaçla, tuzak kullanıcı parolası kolay elde edilebilecek şekilde kısa olarak ayarlanır. Daha sonra bu hesap ile bir kez oturum açılarak hesap etkin olarak bırakılır. Bu hesap ile yapılan işlemlerin denetim kayıtları tutularak bu hesaplar ile yapılan işlemlerden anlık olarak haberdar olunması sağlanabilir. Bu yöntem kullanılırken anlık haberleşme sisteminin etkin şekilde çalıştığından emin olunmalıdır.

*** Son adım olarak da, oluşturulan tuzak kullanıcı Users veya Guests gibi bir gruba üye yapılabilir ve bilgisayar üzerindeki tüm hakları alınır.

03_copy.png

Şekil - 3: Oluşturulan Tuzak Yerel Yönetici Kullanıcısının Guests Grubuna Üye Yapılması

Not: Tuzak kullanıcı oluşturma oldukça yaygın kullanılan bir yöntemdir. Bu sebeple sızma testi sırasında deneyimli kişilerce veya saldırı anında deneyimli saldırganlarca kullanıcıların SID değerleri kontrol edilerek tespit edilebilir. Ayrıca tuzak kullanıcı oluşturulurken Preferences üzerinden parola atanması işlemi çok güvenilir bir yöntem değildir. Konu ile ilgili bir sunum şu şekildedir: http://www.carnal0wnage.com/papers/LARES-GPP.pdf. Bu sebeple, yerel yönetici parolalarının yönetimi için özelleşmiş uygulamaların veya betiklerin kullanılması tavsiye edilmektedir. 

- Bazı özel uygulamalar ile hem parola değişiklikleri otomatik, birbirinden farklı, rastgele ve periyodik olarak sağlanabilmekte; hem de gerektiği süre boyunca bu parolaların hangi kullanıcı tarafından, hangi amaç için kullanıldığı takip edilebilmektedir. Bu uygulamaların kullanılması yerel kullanıcıların yönetimini kolaylaştıracaktır. 

Yerel yöneticilerin parolasının verilmesi betikler kullanılarak da gerçekleştirilebilir. Bu amaçla, bilgisayar adının (hostname) özelleştirilerek kullanılması yerel yönetici parolalarının farklılaşmasını sağlamaktadır. Yerel yöneticilerin ve BIOS şifrelerinin otomatik / birbirinden farklı olarak ayarlanması ve merkezi olarak yönetilmesi konusu ile ilgili bir yazı Bilgi Güvenliği Kapısı'nda yayınlanmıştır: https://www.bilgiguvenligi.gov.tr/kurumsal-guvenlik/merkezi-olmayan-parolalarin-yerel-yonetici-bios-vs.-yonetiminde-guc-parolasi-yaklasimi.html

B.5. Kritik Hesapların Kullanımı

Etki alanı sızma testlerinde gerçekleştirilen araştırma adımında, oturum açılan bilgisayarlarda kritik kullanıcılara ait bilgilerin elde edilememesi sağlanmalıdır. Bu amaçla, etki alanındaki kritik hesaplar uygun şekilde kullanılmalıdır.
Kritik hesaba sahip kullanıcıların iki ayrı hesabı bulunmalıdır: Etki alanında yönetimsel operasyonlar için kullanılan yetkili kullanıcı hesabı ve bu kritik hesaba sahip yöneticinin günlük işlemlerini gerçekleştirdiği yetkisiz kullanıcı hesabı. Kritik hesapların kullanımı için, en az aşağıdaki önlemlerin uygulanması gerekmektedir.

i. Yetkili hesap ile DC hariç hiçbir bilgisayarda oturum açılmamalıdır. Açılmış oturum varsa, bu oturumlar kapatılmalıdır. Gerekiyorsa etki alanındaki kritik kullanıcıların istemci makinelerde ve DMZ ağındaki bazı sunucular olmak üzere bu hesapların oturum açması gerekmeyen sunucularda oturum açamayacakları şekilde grup ilkeleri düzenlenmelidir. Etki alanında kritik olan gruplar yerine, yardım masası veya destek grupları gibi grupların bu sistemlerde oturum açıp, bakım yapabilmesine izin verilmelidir. İzin verilen bu kullanıcıların da yetkilerinin iyi sınırlandırılmış olması, sadece gerekli izinlerin verildiğiden emin olunması gerekir. Günümüzde sızma testlerinde açık bırakılmış oturumdaki parola bilgilerini RAM?den elde edebilen ve parolaları açık olarak sunan uygulamalar kullanılmaktadır. Bu uygulamalara karşı üç temel önlem alınabilmektedir:

* RAM üzerinde herhangi bir bilginin bulunmaması sağlanmalıdır. Bu amaçla oturum kapatılırken bilgisayarın yeniden başlatılması gerekmektedir.

** Bu uygulamalar güvenlik paketlerini (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages) kullanmaktadır. Bu paketlerden gereksiz olanların kaldırılması saldırı yüzeyini azaltacaktır. Ancak etki alanında gerekli olan TsPkg veya Kerberos gibi paketlerin kaldırılması, kimlik doğrulaması işlemlerinde sıkıntı oluşturabileceği için tavsiye edilmemektedir.

*** RAM üzerinde kalan parola bilgilerinin okunamaması veya tamamının elde edilememesi için ALT tuşu ile kombinasyon oluşturan karakterler ('£', '¨¨', '?', 'æ', 'ß', '´´', vs.) kullanılmalıdır. Etki alanı sızma testlerinde sık sık kullanılan araçlardan biri ile RAM üzerinde oturum açma bilgisi bulunduran kullanıcıların bilgilerinin elde edildiğine dair ekran görüntüsü aşağıdaki gibidir. Aşağıdaki ekran görüntüsünde yerel kullanıcı olan ?Yerel Yonetici? kullanıcısının parolasının ?Aa123456? olduğu aynen görüntülenebiliyorken, parolası ?S1ber%Guv?nl1k? olan etki alanındaki ?sge? kullanıcısının parolasının ?S1ber%GUv?nl1k? olduğu görülmektedir.

04.png 

Şekil - 4: Oturumu Açık Bulunan Kullanıcı Bilgilerinin Elde Edilmesi

Not: Ancak parolanın açık hali elde edilmeden de, kritik kullanıcı gibi birçok işlemin gerçekleştirilebileceği de göz önünde bulundurulmalıdır. Ayrıca daha gelişmiş araçlar kullanılarak veya uygulamadaki karakter kümesi genişletilerek de bu karakterlerin elde edilebilmesi mümkündür. Bunun yanında, standart karakterlerden oluşmayan parolanın kullanımı sırasında bazı sistemler doğru olarak çalışamayabilir. Bu sebeple hiç bir bilgisayarda etki alanındaki kritik kullanıcı prosesinin bulundurulmaması gerekmektedir. Bunun için de, en garanti yöntem olarak, bilgisayarın kesinlikle yeniden başlatılması gerekmektedir.

ii. Sızma testlerinde, ele geçirilen bilgisayarlar üzerinde kritik kullanıcı hesabı ile başlatılmış prosesler tespit edilerek, o proseslere atlandığı ?araştırma? adımında görülmüştü. Bu sebeple etki alanında kritik olan hesaplar ile DC haricinde hiçbir bilgisayarda proses başlatılmamalıdır. Başlatılmış proses varsa, bu prosesler sonlandırılmalıdır. Proseslerin sonlandırılmasının yanında, bilgisayarın yeniden başlatılması tavsiye edilmektedir.

iii. Yetkili hesaplar ile etki alanı denetleyicisi (DC) üzerinde açılan oturumda sadece etki alanı yönetimi ile ilgili işlemler gerçekleştirilmelidir. Özel işlemler için yetkisiz olan hesap ve kritik olmayan bir bilgisayar kullanılmalıdır.

iv. Yetkili hesaplarla gerçekleştirilen kritik işlemler sırasında anlık olarak bilgilendirme sağlanabilmesi için alarmlar oluşturulmalıdır. Alarm oluşturulabilecek bazı durumlar aşağıdaki gibidir:

* Etki alanındaki kritik gruplara kullanıcı ekleme veya kritik gruplardan kullanıcı çıkarma işlemleri

** Etki alanındaki kritik gruplar veya kullanıcılar üzerinde gerçekleştirilen yetki değiştirme işlemleri

*** Grup politikaları üzerinde gerçekleştirilen güncelleme, yetki devri, yetki değiştirme işlemleri

**** Kritik grupların kapsam (scope) veya tipi (type) üzerindeki değişiklik işlemleri  

v. Yetkili ve yetkisiz kullanıcı hesaplarının adlarının (account name) birbiri ile benzer olmaması gerekmektedir. Böylece etki alanında yönetici konumda olan kişinin bilgisayarının tespiti kısmen de olsa zorlaşır, etki alanı yöneticisine ait bilgisayardan elde edilebilecek kritik bir takım bilgilerin elde edilmesi daha fazla zaman alır.

vi. Bir kullanıcı herhangi bir bilgisayarda ilk kez oturum açtığında bilgisayar üzerinde bazı bilgiler oluşturulmaktadır. Örneğin kayıt defteri (Registery Editor) değerlerinde bazı güncelleştirmeler gerçekleştirilmekte, Windows 7 işletim sisteminde C:\Users altında otomatik olarak bazı dosyalar oluşturulmaktadır. Sızma testleri ve etki alanı saldırılarındaki adımlardan biri olan "Araştırma" adımında otomatik olarak oluşturulan bu bilgiler aranmaktadır. Bu sebeple, kritik kullanıcıların (Domain Admins grubu kullanılmıyorsa Yardım Masası gibi grupların üyeleri kritik grup olarak görülebilir) kendi bilgisayarları haricinde oturum açtığı oturumlar kapatıldığında bu bilgilerin otomatik olarak silinmesi için grup ilkeleri ile betikler kullanılabilir. 

B.6. Diğer Güvenlik Önlemleri

Etki alanı sızma testlerinden ve etki alanında gerçekleştirilebilecek saldırılardan korunmak için yukarıda bahsi geçen önlemler dışında gerçekleştirilebilecek birçok önlem bulunmaktadır. Diğer temel önlemler şu şekildedir:

i. Kaba kuvvet saldırılarından korunmak için parola ilkesi uygun şekilde ayarlanmalıdır. Bu amaçla karmaşık, uzun, sık sık güncellenen, birbirini tekrar etmeyen parolaların kullanılması sağlanmalıdır. Kritik kullanıcılar için özel parola politikaları belirlenmelidir. Bu amaçla gölge (shadow) gruplar oluşturularak bu gruplara Fine-Grained Parola Politikaları uygulanabilir. 

ii. Kullanıcıların bilgisayarlarında yönetici olarak oturum açmaması sağlanmalıdır. Yönetici hakkı ile gerçekleştirilmesi gereken işlemler özel bir grup (yardım masası gibi) tarafından gerçekleştirilmeli ve gerekli işlemler gerçekleştirildikten sonra bilgisayar yeniden başlatılmalıdır.

iii. En az yetki prensibi doğrultusunda, yerel bilgisayarlardaki ve etki alanındaki kullanıcılara sadece görevleri doğrultusunda haklar verilmelidir. Kısa süreli olarak gerekli olan haklar ise, takip edilmeli ve denetlenmelidir; işlem bittikten sonra bu haklar geri alınmalıdır. Özellikle antivirüs, DLP gibi ajanlarla çalışan sistemler etki alanındaki kritik kullanıcıların hakları ile çalıştırılmamalı, özel olarak oluşturulmuş ve yetkilendirme yapılmış servis hesapları ile çalıştırılmalıdır. Kritik hesap yetkileri ile çalıştırılması durumunda, ilgili makinede yönetici yetkisi olan bir kullanıcı saldırı araçları ile o hesabın jetonu (token) alarak veya prosesine sıçrayarak etki alanında yönetici durumuna geçebilir ve kendisine Domain Admins veya Enterprise Admins gruplarına üye olan bir kullanıcı oluşturabilir (alarm oluşturulmamışsa bu durumdan haberdar olunmaz). En az yetki prensibinin bir tarafı da yetkinin uygulandığı alan olarak düşünülebilir. Özellikle kritik işlemler için, işlemi yapan kullanıcının yetkisinin sınırlı olması yetmez, yetkinin kullanıldığı sistemin (bilgisayarın) da sınırlı yetkilendirmeye sahip bir bilgisayar olması tavsiye edilmektedir. Şöyle ki, yardım masası gibi belli yetkileri olan kullanıcıların, RDP veya bazı sistemler kullanarak kurum personelinin bilgisayarına eriştiği makinenin (kurumsal görevi için kullandığı makinenin), günlük işlemler için kullandığı makine haricinde olması, mümkinse de bir sanal makine veya uzak makine olması güvenliği bir kat daha arttıracaktır.

iv. Linkedin, Hotmail, Facebook gibi sitelerdeki üyelerin parolaları veya parolaların özetlerinin saldırganlar tarafından ele geçirildiği sık sık gündeme gelmektedir. Bu sebeple etki alanındaki (özellikle kritik sistemlere erişen) personelin oturum açmak için ve kurum içindeki sistemlere bağlantı için kullandıkları parolalarını, kurum dışındaki sistemlerde (bloglar, sosyal paylaşım siteleri, haber siteleri vs) kullanmamaları önerilmelidir. Ayrıca parolalarının da bu sitelerdeki parolalarıyla benzer olmaması - tahmin edilebilir olmaması - da tavsiye edilmektedir. 

v. Kurumdaki personelin kurum ile ilgili parolalarını açık olarak saklamamaları, parola saklama programları veya en azından MS Ofis programları içerisinde şifreli olarak saklamaları tavsiye edilmektedir. Sızma testi adımlarında bahsi geçen "Araştırma" adımında bazı anahtar kelimelere göre (parola, şifre, password, root, admin vs) bilgisayarlar taranarak parola dosyaları arandığı göz önüne alındığında, parolaların saklandığı dosyaların adının kolay tahmin edilebilir olmaması ek güvenlik sağlayacaktır. Parola güvenliği ile ilgili bir yazı Bilgi Güvenliği Kapısı'nda yayınlanmıştır: https://www.bilgiguvenligi.gov.tr/web-guvenligi/parola-analizi.html

 vi. Bilgisayarlardaki güvenlik duvarları, UAC gibi güvenlik sistemleri etkin olmalıdır. Hak yükseltme işlemleri sırasında işletim sistemi tarafından yönetici onay modunun etkinleştirilmesi tavsiye edilmektedir. Konu ile ilgili bir yazı Bilgi Güvenliği Kapısı'nda yayınlanmıştır: https://www.bilgiguvenligi.gov.tr/sizma-testleri/pass-the-hash-saldirilari-ve-korunma-yontemleri.html

vii. Bilgisayarlar veya paylaşımlar üzerinde kritik bilgiler bulunmamalıdır. Bu kritik bilgilerden bazıları aşağıdaki gibidir:

* Şifresiz olarak saklanan kritik bilgiler (özellikle kritik kullanıcılara ait parola ve kritik sunuculara ait IP veya oturum bilgileri)

** Zamanlanmış görevler veya özel operasyonlar için kullanılan betikler içerisinde kullanıcı hesabı ve sistem bilgileri

*** Kritik sistemlere bağlantı için kullanılan ve oturum bilgileri içerisinde kayıtlı olan RDP, SSH veya FTP bağlantı dosyaları

viii. Etki alanı denetleyicisi (DC) gibi kritik sunuculara uzaktan erişimler (RDP,SSH, FTP,... vs.) engellenmelidir. Kritik sunuculara fiziksel güvenlik önlemlerinin alındığı ortamlardan erişilebilmelidir. Bu önlemin mümkün olmadığı durumlarda sadece belli adreslerden uzak bağlantı yapılmasına izin verilmelidir. Bunun yanı sıra güvenliğin yeteri kadar sağlanamadığı ortamlara etki alanı denetleyicisi kurulması gerekiyorsa RODC sunucularının kullanılması tavsiye edilmektedir. RODC ile iligli ayrıntılı bir yazı Bilgi Güvenliği Kapısı'nda yayınlanmıştır: http://www.bilgiguvenligi.gov.tr/microsoft-guvenligi/windows-server-2008-salt-okunur-etki-alani-denetcileri.html

ix. Gerçekleştirilecek her güvenlik önlemi iyi planlanmalı, test edilmeli, daha sonra uygulanmalıdır. Gerçekleştirilen önlemler öncesinde ve sonrasında denetlenmelidir.

x. Farklı etki alanlarına sahip kurumlarda, sızılan bir etki alanından diğer etki alanlarına erişilememesi için, her etki alanı diğer etki alanları ile olabildiğince soyutlanmalıdır. Bu amaça boş kök etki alanı (empty root domain) kullanılabilir. Ayrıca, kök etki alanında bulunan kritik gruplardaki (Enterprise Admins) kullanıcılar, alt etki alanlarında oturum açmamalıdır. Bunun yanında etki alanları arasında kurulan güven ilişkilerinde (trust relationship); ilişkinin geçişliliği, yönü ve türü konularına dikkat edilmeli, seçmeli kimlimlik doğrulama (selective authentication) kullanılmalıdır. Böylece saldırı yüzeyi daraltılmaktadır.

xi. DMZ içerisindeki sunucular tekil (stand-alone) olarak çalışmalı veya kuruma ait etki alanı dışında ayrı bir etki alanı ile yönetilmelidir. Ayrı olarak oluşturulacak yeni etki alanının, kurum etki alanıyla ilişkisi bulunmamalıdır. İki farklı etki alanının yöneten sistem yöneticileri farklı olmalı veya farklı/benzer olmayan hesap bilgileri kullanmalıdırlar.

xii. Sızma testleri ve etki alanı saldırıları sırasında etki alanındaki hesapların ve kurumda bulunan bilgisayarlardaki yerel hesapların parolaları açık olarak ve özet halinde elde edilebilmektedir. Bu sebeple bir saldırı durumunda veya etki alanı sızma testinden sonra, bilgisayarlardaki yerel kullanıcıların (local users) ve etki alanındaki kullanıcıların (domain users) parolaları değiştirilmelidir. Etki alanındaki kullanıcıların parolalarını değiştimeleri için grup ilkeleri ile değişikliğin gerçekleştirilmesi beklenebilir, ancak kritik sistemlere (veritabanı, aktif cihaz gibi) erişimi olan veya kurum için kritik varlıklara (müşteri bilgileri gibi) erişimi olan personelin parolalarını derhal değiştirmeleri tavsiye edilmektedir. Benzer şekilde kritik makinelerdeki yerel kullanıcıların parolaları değiştirilmeli,  yerel yönetici parolaları birbirinden farklı olarak ayarlanmalıdır.

Not: Etki alanı sızma testlerinden önce (ve saldırının her an olabileceği düşüncesi ile belli periyotlarla) kritik sistemlere ait yedeklerin alınması ve güvenilir şekilde korunması tavsiye edilmektedir. Bir problem durumunda gerçekleştirilecek işlemler için de acil eylem planlarının hazır olması tavsiye edilmektedir.

xiii. Kimlik doğrulamasını etki alanı denetleyicilerine sorgulatan ara sistemlerden (örneğin, Exchange Server 2010 için CAS rolüne sahip sunuculardan) personelin parolaları, bazı proseslerden açık olarak alınabilmektedir. Bu durum kurumda bir takım iyileştirmeler için de kullanılabilir. Örneğin;

* İç eğitimlerde kullanılabilir. Personele, özel hayatında kullandığı parolalara benzer parolalar kullanmaması gerektiği belirtilebilir. Özellikle kritik sistemlere ve verilere erişimi olan personelin parolalarını farklı oluşturmaları sağlanmalıdır.

** Denetimlerde kullanılabilir. Bu sunuculardaki proseslerinin dump'ının alınması da dahil olmak üzere, belirli nesnelere erişimlere erişimleri kayıtları alınmalı ve bu kayıtlar güçler ayrılığı prensibine uygun olacak şekilde (Güvenlik Birimi gibi sistemin yöneticileri haricinde bir grup tarafından) denetlenmelidir. 

*** Sıkılaştırmalarda kullanılabilir. Elde edilen parolalar kullanılarak, personelin kullandığı parolaların güçlü olup olmadığı incelenebilir. Kolay parola kullanan, kaba kuvvet saldırıları ile parolası tespit edilebilecek personel uyarılmalıdır.

xiv. Microsoft, sistemin sürekliliğinin sağlanması için önbelleğe alınmış kimlik bilgileri (cached credentials) kullanmaktadır. Bu bilgiler sayesinde etki alanı denetleyicisine erişim sağlanamadan etki alanı hesabı ile oturum açılabilmekte ve bazı sistemlere erişim sağlanabilmektedir. Ancak bu durum saldırganlar tarafından kötüye kullanılabilmektedir. Bilgisayarı ele geçiren ve kaba kuvvet saldırısı gerçekleştiren saldırgan - hesap kilitleme, loglanma, parola kırma gibi dertleri olmadan - kullanıcıya ait kimlik bilgilerini ele geçirebilir. Bu sebeple özellikle kritik kullanıcıların son oturumlarına ait bilgilerinin bilgisayar üzerinde saklanmaması tavsiye edilmektedir.  

xv. Sızma testleri sırasında, sızma testlerini gerçekleştiren kullanıcılara ve bu kullanıcıların bilgisayarlarına verilen tüm yetkilerin geri alınması unutulmamalıdır. Ayrıca sızma testlerini gerçekleştiren personelin, test sırasında oluşturduğu tüm kullanıcılar ve gerçekleştirdikleri tüm değişiklikler geri alnmalıdır.

xvi. Gerçekleştirilecek teknik önlemler haricinde iki temel noktaya daha dikkat çekilmesinde fayda bulunmaktadır.

* Kurumda çalışan personel belki de kurum için en zayıf halka niteliğindedir. Nasıl ki bir zincir en zayıf halkası kadar güçlü ise, bir kurumun güvenliği de en zayıf bileşeni kadar güvenilir sayılır. Bu sebeple kurum personeline gerekli güvenlik eğitimlerinin verildiğine ve bilinçlenmenin sağlandığına emin olunmalıdır. Yeni işe başlayan veya teknik işlerde çalışmayan personel de dahil olmak üzere uygun seviyede bilinçlendirme eğitimleri düzenlenmeli, bu eğitimler ölçülmeli, iyileştirilmeli ve sürekliliği sağlanmalıdır. Özellikle sosyal mühendislik saldırılarına karşı bilinçlendirme sağlanmalıdır.

** Belki de en önemli önlem: Üst Yönetim Desteği. Etki alanı saldırılarına karşı teknik operasyonların uygulanması ve sürekliliğin sağlanması oldukça önemli konulardır. Ancak gerçekleştirilen bu önlemler kurum personelinin tepkisine yol açabilecektir. Örneğin; personelin parolasını en az 8 karakter olarak oluşturmak zorunda olması, bilgisayarlarında yerel yönetici haklarına sahip olan personelden bu hakların alınması,... gibi durumlarda karşılaşılabilecek tepkilere karşı üst yönetim maddi ve manevi destekten kaçınmamalıdır. Böylece sadece kurum bilgisi ve imajı korunmayacak, ayrıca ülkeyi zor durumda bırakacak durumlara karşı da tedbir alınmış olunacaktır.

D) Yazı Sonu

Bu yazının amacı etki alanı saldırılarına karşı alınması gereken en temel önlemleri belirtmektir. Korunma işleminden önce de saldırıların genel olarak nasıl gerçekleştiği üzerinde durulmuştur. Gerçekleştirilen saldırılar çok daha karmaşık olabildiği düşünüldüğünde, gerekli korunma önlemlerinin de çok daha fazla olması gerektiği göz önünde bulundurulmalıdır. Bu sebeple kurum içerisinde çok daha geniş kapsamlı önlemlerin alınması gerekmektedir. Microsoft tarafından yayınlanan ve Aktif Dizin'i daha güvenilir yönetmek için hazırlanmış ayrıntılı dokümanı MICROSOFT bağlantısını kullanarak edinebilirsiniz. Bu dökümanın özet haline SANS bağlantısını kullanarak erişebilirsiniz.

Gerçekleştirilecek korunma yöntemlerinin iyi planlanması ve daha sonra uygulanması gerekmektedir. Uygulanacak bu yöntemlerle, güvenliğin hiçbir zaman yüzde yüz sağlanamayacağı ancak saldırı yüzeyinin olabildiğince daraltılabileceği unutulmamalıdır. Uygulanan korunma yöntemlerinin işlevselliğinin kontrolü için belli periyotlarla iç / dış sızma testlerinin ve denetimlerin (audit) gerçekleştirilmesi sağlanmalıdır. Bu kontrollerin farklı, güvenilir ve deneyimli kurumlarca gerçekleştirilmesi, farklı bakış açılarıyla sistemlerin değerlendirilmesini sağlayabilecektir. Gerçekleştirilen korunma yöntemlerine karşı bir süre sonra yeni bir saldırı geliştirilebildiği düşünüldüğünde, bu korunma yöntemlerinin periyodik olarak gözden geçirilmesi, gerekli iyileştirmelerin yapılması ve geliştirilen yeni saldırı türlerine göre yeni önlemlerin alınması tavsiye edilmektedir. Bu sebeple bilgi güvenliği ile ilgili kaynakların sürekli olarak takip edilmesi, gerekli danışmanlıkların veya eğitimlerin alınması tavsiye edilmektedir.

 

Kaynak :  http://www.bilgiguvenligi.gov.tr/

Yorum ekle


Güvenlik kodu
Yenile

FACEBOOK'TA TAKİP EDİN