Bildiğiniz gibi Microsoft ekosisteminde veya diğer altyapılarda her zaman kimlik çok önemli bir bileşen olmuştur. Çünkü kimlik, pek çok sisteme ve kaynağa ulaşmak için kullanılan temel anahtardır. Hele ki bu kimlik yönetici yetkisine sahip ise işler daha da değişebilir. Son yıllarda kimlik avı dolandırıcılığı veya kimlik özelindeki ataklar nedeni ile özellikle yönetici hesaplarında çoklu doğrulama özelliğine sahip ürünler ile 2FA veya MFA gibi koruma çözümlerinin kullanıldığını görüyoruz. Bunun yanında bağlantı kurulan ip adresi, lokasyon, cihaz gibi daha fazla değişken ile bu kimlik bilgisini korumak mümkün. Ancak her zaman bu kadar çok cihaz, ürün kullanma şansınız olmayabilir veya dış dünya için sağlanan bu koruma özellikleri basit bir işlerim sistemine loginde sağlanamayabilir. Bu nedenle çok basit ve bedava olan bir özellikten bahsetmek istiyorum.
Kimliği her türlü korumamız gerekiyor ve bunun için özel iş istasyonlarından sisteme bağlandı, çoklu kimlik doğrulama, ip doğrulama, sezgisel analiz yapan ürünler mutlaka kullanın tabi ama birde size önerim “Protected Users Security Group” kullanmanızdır.
Protected Users Security Group Nedir?
Bu grubun amacı kritik yetkiye sahip hesaplar için varsayılan güvenlik önlemlerine ek olarak daha sıkı bir güvenlik politikası uygulanarak hesapların özellikle şifrelerinin çalınmasını engellemeyi amaçlar. Daha basit anlatım ile zayıf kimlik doğrulama protokollerini kullanamazlar. Bu sayede NTLM vb çok kolay bir şekilde hash çalabileceğiniz yöntemler ile bu grubun üyelerinin şifrelerini çalamazsınız.
Öncelikle bu senaryoyu kullanmak için sunucu işletim sisteminde minimum 2012 R2, client tarafında ise minimum windows 8.1 ve sonrası işletim sistemine ihtiyacınız vardır. Eğer Windows 7, Windows Server 2008 R2 ve Windows Server 2012 ile çalışmak istiyorsanız aşağıdaki linki inceleyin lütfen;
https://learn.microsoft.com/en-us/security-updates/SecurityAdvisories/2016/2871997
Peki daha önemli olan kısma gelelim. Biz kritik hesaplarımızı bu gruba eklersek daha güvenli oluyorlar, cümle bu peki bunu bir etki ve riski yok mu? İnternette her okuduğunuz bilgi ile tabiki gerçek ortamlarınızda değişiklik yapmamazsınız, hele konu güvenlik ise mutlaka geriye dönük uyum nedeni ile bunun dikkatlice incelemeniz gerekli.
Öncelikle bu grubun üyesi olan hesaplar kesinlikle servis ve bilgisayar hesapları olamaz. Çünkü bu hesapların parolaları veya sertifikalar makine üzerinde saklandığı için koruma sağlayamaz. Zaten eklerseniz “the user name or password is incorrect” hatası alırsınız.
Peki bunu öğrendik başka kritik bir konu var mı? Bunu da anlamak için aslında Protected Users grubun tam olarak ne yaptığını bilmek lazım. İşte burası çok keyifli.
1 – GPO üzerinde “Allow delegating default credentials” aktif olsa bile ilgili kullanıcı için Credential delegation (CredSSP) cleartext olarak cache’ de saklanmaz.
2 – Windows Digest açık olsa bile Windows 8.1 ve Server 2012 R2 sonrasında şifre cache içerisinde açık olarak tutulmaz. (Güncellemeler sonrasındaki değişiklik için takip edin. (https://support.microsoft.com/en-us/topic/microsoft-security-advisory-update-to-improve-credentials-protection-and-management-may-13-2014-93434251-04ac-b7f3-52aa-9f951c14b649)
3 – NTLM kimlik bilgisini cache içerisinde açık olarak saklamaz.
4 – Eğer kullanıcı Kerberos kullanıyor ise şifreleme için DES veya RC4 kullanmaz. Tabi benzer şekilde şifreyi veya TGT anahtarını cache içerisinde açık olarak tutmaz.
5 – Oturum açma veya windows kilidini açma sırasında önbelleğe alınmış bir doğrulayıcı oluşturmaz. Bunu oluşturmadığı içinde offline sign-in bu kullanıcı için kullanılamaz.
Evet, gördüğünüz gibi aslında pek çok değişiklik var, sizin için önemli olan konular?
1 – Hesap servis veya makine hesabı mı?
2 – Hesabım NTLM kullanmak zorunda mı veya cache kullanmak zorunda mı?
3 – Hesabımı kullanan uygulama DES veya RC4 şartı koşuyor mu?
4 – Hesap offline bir bağlantı ihtiyacı var mı?
5 – TGT malum uzun süre makine üzerinde saklanabiliyor, servis hesabı değil ise gerekli değil ama bunu kullanan bir uygulama var mı?
Bu soruların yanıtlarına göre ilgili hesapları ilgili gruba ekleyerek daha güvenlik bir ortam sağlayabilirsiniz.
Peki karar verdik ve uygulama yaptık, sorunları nasıl takip ederiz, aşağıdaki loglar işimizi son derece kolaylaştırmaktadır.
Applications and Services Logs\Microsoft\Windows\Authentication
Konunun devamında ise size önerim aşağıdaki makaleyi incelemeniz olacaktır;
Active Directory Domain Service Protected Users Güvenlik Grubu Uygulamaları