Bu makalemizde, Active Directory domain yapınızı güvenli tutmanın önemli yollarından biri olan Güvenlik Politikaları üzerinde odaklanacağız. Özellikle, çıkarılabilir disk sürücülerinin devre dışı bırakılması, komut istemi engellemesi ve kullanılmayan kullanıcı hesaplarının temizlenmesi gibi kritik güvenlik önlemlerini ele alacağız.
Active Directory Çıkarılabilir Sürücüleri Devre Dışı Bırakma
İş dünyasında çıkarılabilir medya sürücüler, bilgi güvenliği için önemli riskler oluşturabilir. CD/DVD, USB flash sürücüler gibi çıkarılabilir medya birimleri, zararlı yazılımların kolayca taşınmasına olanak sağlar. Bu sebeple, birçok kurum bu tür cihazları kullanım dışı bırakmayı tercih eder.
“SECURITY” adında bir Group Policy Object (GPO) oluşturarak işe başlıyorum. Bu GPO’yu sağ tıklayıp ‘Edit‘ seçeneği ile düzenlemeye alıyorum.
Adım 2: Çıkarılabilir Medya Erişimini Kısıtlama
Computer Configuration > Policies > Administrative Templates > System > Removable Storage Access yolunu takip ederek, “All removable storage classes: Deny all access” politikasını etkinleştiriyorum. Bu ayar, kurumdaki tüm cihazlarda çıkarılabilir disklerin kullanımını engelleyecektir.
Active Directory USB Disk Engelleme
Tüm çıkarılabilir medya yerine yalnızca USB disklerin engellenmesi gerekiyorsa, Computer Configuration > Policies > Administrative Templates > System > Device Installation > Device Installation Restrictions bölümüne giderek “Prevent installation of devices not described by other policy setting” politikasını etkinleştiriyorum. Bu, kurum içindeki tüm cihazlarda yalnızca USB bellek kullanımını kısıtlayacaktır.
Active Directory USB Bellek Mesajı Ekleme
USB bellek takılması durumunda kullanıcılara uyarı mesajı göstermek istiyorsam, Display a custom message when installation is prevented by a policy setting politikasını etkinleştirip, ‘Options‘ altındaki ‘Detail Text‘ bölümüne uyarı mesajımı ekliyorum. Bu mesaj, politika tarafından engellenen her yükleme girişiminde kullanıcıya gösterilecek.
Active Directory CMD Engelleme
CMD üzerinden yapılabilecek IP, DNS, Gateway gibi ağ ayarları değişiklikleri ve sistem hakkında bilgi edinme gibi işlemler, güvenlik açısından risk taşır. Bu nedenle, kullanıcıların Komut İstemcisine erişimini engelleyeceğiz.
Group Policy Management Console‘ı açın ve User Configuration > Policies > Administrative Templates > System yolunu takip edin.
“Prevent access to the command prompt” ilkesini etkinleştirin. Bu ayar, kullanıcıların Komut İstemcisine erişimini engeller ve erişim denemesi sırasında kullanıcılara “Bu işlem engellendi.” uyarısı gösterilir.
Active Directory Kullanılmayan Kullanıcıları Silme
Kuruluşlarda kullanılmayan veya aktif olmayan kullanıcı hesaplarını düzenli olarak temizlemek, güvenlik ihlallerini önlemek açısından son derece önemlidir. Aktif olmayan hesaplar, kötü niyetli kişilerin sistemlere erişimi için potansiyel birer kapı olabilir.
Bu yüzden, eski çalışanların hesaplarını ve uzun süredir kullanılmayan cihazları sistemden kaldırmak gerekmektedir. İşlem iki aşamada gerçekleştirilecektir: PowerShell kullanarak ve Grup Politikası Objeleri (GPO) üzerinden otomatik temizleme.
PowerShell ile Aktif Olmayan Bilgisayar Nesnelerini Bulma
Öncelikle, Active Directory PowerShell modülünü kullanarak domain içindeki tüm bilgisayarların son giriş tarihlerini listeleyeceğiz. Bu bilgi, hangi bilgisayarların ne kadar süredir kullanılmadığını belirlememize yardımcı olacaktır.
Get-ADComputer -Filter * -Properties * | FT Name, LastLogonDate -AutoSize
Ardından, son bir hafta içinde aktif olmayan bilgisayarları bulmak için aşağıdaki komutu kullanacağız:
dsquery computer -inactive 1
Bu bilgisayarları sistemden kaldırmak için aşağıdaki komutu kullanabiliriz:
dsquery computer -inactive 1 | dsrm -noprompt
Group Policy ile Kullanılmayan Kullanıcıları Otomatik Silme
Kullanılmayan kullanıcı profillerini otomatik olarak silmek için Grup Politikası ayarlarını kullanacağız. Bu, belirli bir süre boyunca giriş yapılmayan kullanıcı profillerinin sistem yeniden başlatıldığında otomatik olarak silinmesini sağlar.
Group Policy Management Console içerisinde, Computer Configuration > Policies > Administrative Templates > System > User Profiles bölümüne giderek “Delete user profiles older than a specified number of days on system restart” politikasını etkinleştiriyoruz. Options bölümünde, belirlediğimiz süre zarfında (örneğin 90 gün) giriş yapılmayan kullanıcı profillerinin silinmesini ayarlıyoruz.
Active Directory Parola Politikası Yapılandırma
Genelde kurumlar minimum 8 karakter uzunluğunda şifreler kullanır, ancak daha uzun ve karmaşık şifreler, güvenlik seviyesini artırır. Farkındalık eğitimleri de çalışanların güvenlik pratiklerini iyileştirmede önemli rol oynar. Eğer parolanız kolay tahmin edilebilir bir yapıdaysa—yani özel karakterler, sayılar, büyük ve küçük harf içermiyorsa—güvenli olarak kabul edilemez.
Kurumunuzda sağlam bir parola politikası oluşturmak için aşağıdaki adımları uygulayın:
- Minimum Parola Uzunluğu: En az 12 karakter.
- Parola Geçmişi: Son 2 kullanılan şifreyi tekrar kullanmamayı zorunlu kılın.
- Karmaşık Şifreler: Büyük harf, küçük harf, rakam ve özel karakterler içermelidir.
Grup Politikası Ayarları
- Uygulama Yolu:
Computer Configuration -> Windows Settings -> Security Settings -> Account Policies -> Password Policy
- Enforced Password History: Kullanıcıların eski parolalarını kaç kez hatırlayacağını ayarlayın.
- Maximum Password Age: Parolanın maksimum kullanım süresini belirleyin. Örneğin, 45 gün belirlenirse 46. gün şifre değişikliği istenecektir.
- Minimum Password Age: Parolanın minimum kullanım süresini belirleyin. Bu süre, Maximum Password Age’den kısa olmalıdır.
- Minimum Password Length: Parolanın minimum karakter sayısını belirleyin.
- Password Must Meet Complexity Requirements: Parolanın karmaşıklık gereksinimlerini zorunlu kılın.
Active Directory Şifre Denemelerine Karşı Hesap Kilitleme
Şifre denemelerine karşı hesapların belirli bir süre kilitlenmesi, yanlış şifre girilmesi durumunda hesabın belirli bir süre için erişime kapanmasını sağlar.
- Uygulama Yolu:
Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Account Policies -> Account Lockout Policy
- Account Lockout Duration: Kilitlenme süresini belirleyin. Eğer 0 olarak ayarlanırsa, yalnızca yetkili bir kullanıcı tarafından kilidin açılması mümkün olur.
- Account Lockout Threshold: Yanlış parola girildiğinde hesabın ne kadar denemeden sonra kilitleneceğini belirleyin.
Active Directory Audit LOG
Ortamımızda meydana gelen olayları sürekli izlemek ve anormal aktiviteleri tespit etmek için, Audit Policies (Denetleme Politikaları) altındaki kuralların uygun şekilde yapılandırılması gerekmektedir. Bu adımları uygulayarak, gün sonunda oluşabilecek soru işaretlerinin önüne geçebiliriz.
Yapılandırma Adımları:
- Uygulama Yolu:
Computer Configuration -> Policies -Windows Settings -> Security Settings -> Advanced Audit Policy Configuration
Başlıca Denetleme Politikaları:
1. Hesap Girişi (Account Logon):
- NTLM protokolünü kullanarak kimlik doğrulama girişimlerini ve şifre denemelerini denetler.
- Uygulanacak Durum: Hem Başarılı (Success) hem de Başarısız (Failure).
2. Kerberos Kimlik Doğrulama Hizmeti (Audit Kerberos Authentication Service):
- Kerberos kimlik doğrulama isteklerini kaydeder.
- Uygulanacak Durum: Hem Başarılı (Success) hem de Başarısız (Failure).
3. Kerberos Hizmet Bileti İşlemleri (Audit Kerberos Service Ticket Operations):
- Kaynaklara erişim için Kerberos bilet işlemlerini kaydeder.
- Uygulanacak Durum: Hem Başarılı (Success) hem de Başarısız (Failure).
4. Hesap Yönetimi (Account Management):
- Bilgisayar Hesap Yönetimi (Audit Computer Account Management): Bilgisayar ve hesap yönetimi işlemlerini kaydeder.
- Kullanıcı Hesap Yönetimi (Audit User Account Management): Kullanıcı oluşturma, silme, ve isim değişiklikleri gibi işlemleri kaydeder.
- Güvenlik Grubu Yönetimi (Audit Security Group Management): Güvenlik gruplarının yönetimini kaydeder.
5. Ayrıntılı İzleme (Detailed Tracking):
- İşlem Oluşturma (Audit Process Creation): Yeni başlayan işlemleri kaydeder.
- Token Hak Ayarlamaları (Audit Token Right Adjustments): Token haklarında yapılan değişiklikleri kaydeder.
6. Oturum Açma/Oturum Kapatma (Logon/Logoff):
- Oturum Açma (Audit Logon) ve Oturum Kapatma (Audit Logoff) işlemlerini kaydeder.
- Grup Üyeliği (Audit Group Membership): Paylaşımlara erişim girişimlerini kaydeder.
7. Nesne Erişimi (Object Access):
- Dosya Sistemi (Audit File System): Dosya sistemine erişim denemelerini kaydeder.
- Dosya Paylaşımı (Audit File Share): Dosya paylaşımlarına yapılan erişim girişimlerini kaydeder.
Windows Installer Devre Dışı Bırakmak
Kullanıcıların kendi başlarına yazılım yüklemelerine izin vermek, istenmeyen yazılımların sisteme sızmasına yol açabilir. Bu riski ortadan kaldırmak için, Group Policy Object (GPO) kullanarak Windows Installer’ı devre dışı bırakabiliriz.
Yapılandırma Adımları:
- Group Policy Management Console‘u açın.
- Navigasyon çubuğundan
Computer Configuration
->Policies
->Administrative Templates
->Windows Components
->Windows Installer
yolunu takip edin. - Prohibit User Install ilkesini bulun ve çift tıklayın.
- İlkeyi
Enabled
konumuna getirerek aktifleştirin.
Bu işlemle, kullanıcıların sistem üzerine yazılım yüklemeleri engellenir, böylece olası güvenlik açıklarının önüne geçilmiş olur. Bu politika, yazılım yönetimini merkezi hale getirerek IT departmanının denetimini artırır ve kullanıcı hatalarından kaynaklanabilecek güvenlik sorunlarını minimize eder.
Okuyarak zaman ayırdığınız için teşekkür eder, güvenli bir IT ortamı dilerim.