Microsoft Aktif Dizin Güvenliği Kılavuzu

Transkript

1 ULUSAL ELEKTRONİK VE KRİPTOLOJİ ARAŞTIRMA ENSTİTÜSÜ Doküman Kodu: BGT-1002 Microsoft Aktif Dizin Güvenliği Kılavuzu SÜRÜM MART 2008 Hazırlayan: Dinçer ÖNEL P.K. 74, Gebze, Kocaeli, TÜRKİYE Tel: (0262) Faks: (0262)

2 MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU ÖNSÖZ ÖNSÖZ Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü (UEKAE)'nün misyonu, "bilgi güvenliği, haberleşme ve ileri elektronik alanlarında Türkiye'nin teknolojik bağımsızlığını sağlamak ve sürdürmek için nitelikli insan gücü ve uluslararası düzeyde kabul görmüş altyapısı ile, bilimsel ve teknolojik çözümler üretmek ve uygulamaktır". Bu ana hedef göz önünde bulundurularak belirlenen "bilgi güvenliği, haberleşme ve ileri elektronik alanlarında yeni teknolojilerin geliştirilmesine öncülük eden uluslararası bilim, teknoloji ve üretim merkezi olmak" vizyonuna ulaşılabilmesi ve ülkenin ihtiyacı olan teknolojilerin geliştirilmesi için Enstitü'nün akredite test ortam ve laboratuarlarında temel ve uygulamalı araştırmalar yapılmakta ve ihtiyaç sahiplerine teknik destek sağlanmaktadır. Bu doküman Ulusal Bilgi Sistemleri Güvenlik Projesi kapsamında hazırlanmış olup ihtiyaç sahiplerini bilgi sistemleri güvenliği konusunda bilinçlendirmeyi hedeflemektedir. Tüm kurum ve kuruluşlar bu dokümandan faydalanabilir. Bu dokümanda bahsi geçen belirli ticari marka isimleri kendi özgün sahiplerine aittir. Burada anlatılanlar tamamen tavsiye niteliğinde olup değişik ürünler/yapılandırmalar için farklılık gösterebilir. UEKAE, yapılan uygulamalardan doğabilecek zararlardan sorumlu değildir. Bu doküman UEKAE nin izni olmadan değiştirilemez. 2 TÜBİTAK UEKAE

3 BİLGİLENDİRME MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU BİLGİLENDİRME Bu dokümanın oluşturulmasında emeği geçen Ağ Güvenliği personeline ve dokümanı gözden geçirip fikirlerini öne sürerek dokümanın olgunlaşmasına katkıda bulunan Burak BAYOĞLU na ve Ünal PERENDİ ye teşekkürü borç biliriz. TÜBİTAK UEKAE 3

4 MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU GİRİŞ İÇİNDEKİLER 1. GİRİŞ Amaç ve Kapsam Hedeflenen Kitle Kısaltmalar Dokümanda Kullanılan Semboller MICROSOFT AKTİF DİZİN Etki Alanı ve Çalışma Grubu kavramları Tanımlar ve Temel Kavramlar Yapısal Birimler (OU) Orman (Forest) ve Ağaç (Tree)Yapıları Global Katalog (GC) (Flexible Single Master Operations) FSMO Rolleri MICROSOFT AKTİF DİZİN VE DNS Aktif Dizin Bütünleşik DNS DNS Güvenliği GÜVENLİ AKTİF DİZİN KURULUMU Ön Gereksinimler Güvenli İşletim Sistemi Kurulumu Güçlü Yönetici Parolası NTFS Otomatik 8.3 İsim Üretimi Virüs Taraması Gereksiz Sistem Servisleri Rezerv Dosyası Güvenli Aktif Dizin Kurulum İşlemi Cevap Dosyası ile Kurulum Güvenli AD Yapılandırma Ayarları GRUP POLİTİKASI Grup Politikası ile Aktif Dizinde Güvenlik TÜBİTAK UEKAE

5 GİRİŞ MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU 5.2 Hesap Politikaları (Account Policies) Parola Politikası (Password Policy) Hesap Kilitleme Politikası (Account Lockout Policy)...33 TÜBİTAK UEKAE 5

6 MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU GİRİŞ 1. GİRİŞ Microsoft Aktif Dizin ilk kez Windows 2000 ürün ailesiyle beraber piyasaya sürülmüştür. Aktif Dizin (AD), LDAP dizin servisinin Microsoft tarafından Windows ağ ortamları için uyarlanmasıyla ortaya çıkmıştır. Aktif dizin, en basit anlatımla, bir kurumun sahip olduğu ağ kaynaklarına ait tüm bilgileri merkezi veritabanında tutan, bu bilgileri düzenleyen ve erişilmelerini sağlayan bir ağ servisidir. Bu bilgilerin tutulduğu veritabanı etki alanı kontrolcüleri (Domain Controller - DC) dir. 1.1 Amaç ve Kapsam Bu doküman Microsoft Aktif Dizin güvenliğiyle ilgili bilgiler içermektedir. Microsoft Aktif Dizin servisini güvenli hale getirmek için uygulanması gerekenleri vermeyi amaçlamaktadır. 1.2 Hedeflenen Kitle Bu doküman öncelikli olarak Microsoft Aktif Dizin servisi kullanan kurumlar için hazırlanmıştır. 1.3 Kısaltmalar UEKA E : Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü AD DNS DC GPO OU GPMC : Active Directory : Domain Name System : Domain Controller Group Policy Object Organizational Unit Group Policy Management Console 6 TÜBİTAK UEKAE

7 GİRİŞ MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU 1.4 Dokümanda Kullanılan Semboller Sembol Aktif Dizin (Active Directory) DNS Properties Vurgu Açıklaması Parantez içerisindeki Italic karakterler öncesindeki kelimenin İngilizce karşılığını belirtmektedir. işareti menüler üzerinden ulaşılacak yere olan yolu göstermek için kullanılmaktadır. Vurguları belirtmek için kullanılır TÜBİTAK UEKAE 7

8 MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU MICROSOFT AKTİF DİZİN 2. MICROSOFT AKTİF DİZİN 2.1 Etki Alanı ve Çalışma Grubu kavramları Etki alanı (domain) bir grup bilgisayarın bir araya gelmesiyle oluşan belli kurallar ve politikalarla bir merkezden yönetilen kontrollü ağ yapısıdır. Aynı coğrafik alandaki komşu bilgisayarların bir ağ cihazı yardımıyla bağlanmaları ile oluşan basit ve dağınık yapıya ise çalışma grubu (Workgroup) denmektedir. Etki alanları yetkili yöneticileri tarafından idare edilirler. Bu kişiler etki alanına bilgisayar ekleme/çıkarma, kural koyma/uygulama, kullanıcı yaratma/silme vb. gibi etki alanının işlemesi için gerekli görevleri yerine getirirler. Her etki alanında kontrol işlevini yerine getiren özel bilgisayar(lar) bulunmaktadır. Bunlara Etki Alanı Kontrolcüsü (Domain Controller, DC). DC etki alanını oluşturan bilgisayarlar, kullanıcı hesapları, yazıcılar gibi tüm nesnelerin ( domain objects) bilgilerinin tutulduğu ortak veritabanıdır. Çalışma grubu ise etki alanına kıyasla çok daha basit bir yapı sunmaktadır. Ağ ortamında bilgisayarların birbirlerine bağlanması ile oluşur. Bu bağlantı genelde hub veya anahtar gibi bir cihaz yardımıyla gerçekleşir. Ağ ortamında bilgisayarlar arasında kaynak paylaşımının gerçekleşebilmesi için geliştirilmiştir. Herhangi bir güvenlik özelliği bulunmamaktadır. İsteyen herkes bir çalışma grubuna bağlanabilir. Kural koyan veya idare eden bir yönetici yoktur. Etki alanının çalışma grubu yapısına kıyasla en çok öne çıkan özelliği güvenliktir. Bir çalışma grubuna katılmak isteyen herhangi birinin yapması gereken tek şey bilgisayar ayarlarından çalışma grubu kutucuğuna o grubun ismini yazmaktır. Bir etki alanına katılabilmek (üye olabilmek) için ise yetkili bir yöneticinin onayına ihtiyaç vardır. İsteyen herkes bir etki alanına katılamaz. Microsoft Aktif Dizin (AD) ilk kez Windows 2000 ürün ailesiyle beraber piyasaya sürülmüştür. Aktif dizin, LDAP dizin servisinin Microsoft tarafından Windows ağ ortamları için uyarlanmasıyla ortaya çıkmıştır. Aktif dizin, en basit anlatımla, bir kurumun sahip olduğu ağ kaynaklarına ait tüm bilgileri merkezi veritabanında tutan, bu bilgileri düzenleyen ve erişilmelerini sağlayan bir ağ servisidir. Bu bilgilerin tutulduğu veritabanı etki alanı kontrolcüleridir. Dizin servisi dizin in kendisi ile karıştırılmamalıdır. Dizin ağ kaynakları bilgisinin tutulduğu veritabanıdır, dizin servisi ise bu veritabanına erişimi sağlayıp belirli işleri yerine getirmeyi mümkün kılan arayüzdür. Aktif dizin servisinin yerine getirdiği 3 önemli görev bulunmaktadır: 8 TÜBİTAK UEKAE

9 MICROSOFT AKTİF DİZİN MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU 1. Ağ kaynaklarını organize eder: Ağ kaynaklarına ait bilgilerin düzenli bir yapı içerisinde tutulması ağ ortamında kaynak paylaşımı ve kullanımı işinin sorunsuz gerçekleşmesi açısından gereklidir. 2. Ağ kaynaklarının bir merkezden yönetilmesini sağlar: Ağ yöneticileri aktif dizinin sağladığı servisleri kullanarak merkezi olarak ağ kaynaklarını yönetirler. Kullanıcı hesapları, bilgisayarlar ve diğer ağ nesneleri ile ilgili pek çok işlemi etki alanı kontrolcüleri üzerinden gerçekleştirirler. 3. Ağ kaynaklarına erişimi kontrol eder: Aktif dizinde kullanıcılar etki alanına bir kez giriş yaparlar ve ondan sonra sahip oldukları hakların izin verdiği ağ kaynaklarına erişirler (single sign-on). Kullanıcıların ağ kaynakları üzerinde sahip oldukları haklarla ilgili sistem bilgisi aktif dizin tarafından tutulur. Bu sayede aktif dizin ağ kaynakları erişiminde merkezi bir erişim kontrolü sağlar. Microsoft Aktif Dizinin öne çıkan özellikleri şunlardır: Merkezi olarak yönetilebilme Ölçeklenebilirlik: Değişik boyutlardaki kullanıcıların ihtiyaçlarını karşılayabilmesi, Etki Alanı İsim Sunucusu (Domain Name System - DNS) ile entegrasyon Politika-tabanlı yönetim: Grup politikası ile etkili yönetim Multi-master replikasyon: Etki alanındaki kontrolcülerinin birinde yapılan değişiklik etki alanın tamamında geçerli olur. Esnek ve güvenli kimlik doğrulama ve yetkilendirme Diğer dizin servisleriyle birlikte çalışabilme İmzalanmış ve şifrelenmiş LDAP trafiği Betik (Script) ile yönetim Microsoft terminolojisinde etki alanı güvenlik sınırı (security boundary) olarak tanımlanmaktadır. Aynı güvenlik ayarlarının geçerli olduğu bilgisayar kümesi bir etki alanı oluşturur, bu ayarların farklılaştığı yerde etki alanı yoktur veya bir başka etki alanı vardır. Microsoft etki alanı yapısı, çalışma grubu yapısının neden olduğu dağınık ve kuralsız ortamın ortadan kalkması ve yerel bilgisayar ağlarının güvenli ve verimli bir şekilde işlemesi amacıyla geliştirilmiştir. TÜBİTAK UEKAE 9

10 MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU MICROSOFT AKTİF DİZİN 2.2 Tanımlar ve Temel Kavramlar Ağdaki kaynaklar aktif dizin için birer nesne olarak kabul edilirler ve bunlara AD kurulu ağlarda Aktif Dizin Nesnesi denir. Aktifi dizin nesneleri: Kullanıcı hesapları Gruplar (kullanıcı yada bilgisayar grupları) Bilgisayarlar Yazıcılar Sunucular Etki Alanları Siteler Her nesnenin tanımlayıcı özellikleri mevcuttur. Bu özelliklere attribute denir. Örneğin isim, soyadı, telefon no, adresi gibi özellikler (attribute lar) bir kullanıcı hesabını tanımlamada kullanılan özelliklerden bir kaçıdır. Bu şekilde aktif dizinde bulunan tüm nesneleri tanımlamaya yönelik binlerce özellik mevcuttur. Bu özelliklerin tutulduğu yere Aktif Dizin Şema denilmektedir. Tüm bu nesneler aktif dizin yönetim araçları içerisinde bir aktif dizin nesnesi olarak gösterilir. Her bir nesnenin kendine özgü, tanımlayıcı bir gösterim şekli vardır. Bunlara bakarak nesneler ayırt edilmektedir. Şekil 1 - AD nesneleri Aktif dizin esnek bir mantıksal yapıya sahiptir. Bu özellik aktif dizini hiyerarşik bir tasarım içinde kurulabilmesine olanak sağlar. Etki alanları, alt etki alanları, ormanlar, yapısal birimler 10 TÜBİTAK UEKAE

11 MICROSOFT AKTİF DİZİN MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU (OU) ve global katalog bu mantıksal yapıyı oluşturan bileşenlerdir. Aktif dizinin sağlıklı olarak anlaşılması için bu bileşenlerin işlevlerinin bilinmesi gereklidir. Şekil 2 - AD mantıksal yapısı Yapısal Birimler (OU) Yapısal birimler (Organizational Unit, OU) bir etki alanı içerisindeki AD nesnelerini organize etmek için kullanılan bileşenlerdir. Bilgisayarlardaki dosyalama sistemindeki klasör gibi düşünülebilir. Bilgisayardaki dosyaları klasörler içerisinde gruplarken AD deki nesneleri de yapısal birimler içerisinde gruplandırır, belirli bir düzen içerisinde organize eder. Yapısal birimler içerisinde bulunabilen AD nesneleri kullanıcılar, kullanıcı grupları, yazıcılar, diğer yapısal birimlerdir. Bu nesneler yapısal birimler ile kurumun ihtiyacı doğrultusunda uygun bir gruplama yöntemiyle belli bir hiyerarşik düzen içerisinde organize edilebilir. Örneğin yönetimsel modeli kullanarak, etki alanı yönetimi açısından tüm kullanıcı ve bilgisayarlar birer OU içerisinde toplanabilir. Veya kurumun organizasyon yapısını yansıtan organizasyonel modeli kullanarak, kurum içindeki her bölüm ayrı birer OU içinde toplanabilir. Şekil 3 - Yapısal birim modelleri Yapısal birimler ile ilgili diğer önemli bir özellik ise delegasyona (görev/yetki dağıtımı) izin vermesidir. Bu sayede her OU nun yönetimi için ayrı bir yönetici görevlendirilebilmektedir. TÜBİTAK UEKAE 11

12 MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU MICROSOFT AKTİF DİZİN Büyük kurumlar açısından bu gerekli bir özellik olabilmektedir. Ayrıca yine bir OU nun yönetim işi birden fazla yönetici arasında paylaştırılabilmekte veya bir yöneticiye OU üzerinde sadece belli başlı görevleri yerine getirebilme yetkisi verilebilmektedir. Tüm bunlar AD de delegasyon sayesinde yapılabilmektedir Orman (Forest) ve Ağaç (Tree)Yapıları Windows ta ilk kurulan etki alanı, kök etki alanı (Forest Root Domain) olmaktadır. Bu etki alanına ilave olarak kurulan yeni etki alanları ile ağaç (tree) ve orman (forest) yapısı ortaya çıkar. Kök etki alanına ilave olarak kurulan her yeni etki alanı, alt etki alanı (child domain) olur. Kök ve alt etki alanları aynı isim uzayına sahip olmak zorundadırlar. Kök etki alanının DNS ismi kamu.gov ise yeni kurulan alt etki alanının ismi alt_etki_alanı_ismi.kamu.gov biçiminde olmak zorundadır. Aksi takdirde alt etki alanı olamaz. Şekil 4 - Orman ve Ağaç yapıları Aynı isim uzayına (kamu.gov gibi) sahip etki alanlarının oluşturduğu yapıya ağaç denmektedir. Bir veya daha çok ağaç ile oluşan yapıya ise orman denmektedir. Orman yapısında ağaçta olduğu gibi aynı isim uzayını paylaşma zorunluluğu yoktur. Yukarıdaki şekilde de görüldüğü gibi kamu.gov ağaç yapısı ile edu.tr ağaç yapısı farklı isim uzayına sahiptirler, bununla beraber aynı orman içinde yer almaktadırlar. Öte yandan aynı orman içerisinde bulunan tüm etki alanları aynı şema (schema) ve global kataloğu (global catalog, gc) ortak olarak kullanırlar. Şema ve global katalog orman çapında tektir ve değişmez. Windows dizin yapısı içinde kök ve alt etki alanı arasında standart olarak çift taraflı geçişli bir güven (two-way transitive trust) ilişkisi bulunmaktadır. Bu güven ilişkisi sayesinde aralarında güven (trust) bulunan etki alanındaki kullanıcılar diğer etki alanındaki kaynaklara 12 TÜBİTAK UEKAE

13 MICROSOFT AKTİF DİZİN MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU erişebilmektedirler. Bu güven ilişkisinin geçişli olması özelliği sayesinde ise aralarında doğrudan güven (trust) olmayan domain ler (ist.edu.tr ve ank.kamu.gov gibi) birbirlerinin kaynaklarını kullanabilmektedir (Bkz. Şekil 4). Bu yolla A etki alanı B etki alanına güveniyorsa, B etki alanı da C etki alanına güveniyorsa; bu durumda A etki alanı otomatik olarak C etki alanına güvenmektedir Global Katalog (GC) Global Katalog sunucular aktif dizin nesneleri hakkındaki sorgulara yanıt vermek için tasarlanmışlardır. Global katalog, aktif dizin içindeki nesnelerin belli özelliklerini (attribute) tutan bir veritabanıdır. Global katalog özellikle nesnelerin yerini tutar. Nesnelerin özellikleri varsayım olarak sorgulardan çok kullanılan bilgilerdir. Örneğin; kullanıcın adı, logon adı gibi bilgiler. Global katalog sunucu bir etki alanı kontrolcüsüdür (DC). Özellikle nesnelerin orman genelinde aranması işlemine yardımcı olur. Global katalog iki önemli dizin işlemini yerine getirir: 1. Kullanıcıların evrensel grup üyelik bilgisi ile ağa giriş yapmaları 2. Kullanıcıların bilginin yerinden bağımsız olarak dizin bilgisine erişmesi Aktif dizinde yaratılan ilk etki alanı kontrolcüsü (DC) bilgisayar global katalog sunucudur. Eğer istenirse diğer etki alanı kontrolcüsü bilgisayarlar da global katalog yapılabilir. Yeni bir global katalog eklemek için Yönetimsel Araçlar (Administrative Tools) menüsünden Aktif Dizin Siteler ve Servisler (Active Directory Sites and Services) aracı çalıştırılır. Açılan pencerede global katalog yapılmak istenen sunucu bulunur ( Sites Default-First-Site-Name Servers altında) ve sunucu altındaki NTDS Settings üzerinde fare ile sağ tıklayıp özellikler (properties) penceresi açılır. Açılan pencerede global katalog kutucuğu işaretlenerek sunucu global katalog yapılır. Etki alanına yeni bir global katalog sunucu eklenmesi ile kimlik denetimi (authentication) ve sorgulama trafiği dengelenir. TÜBİTAK UEKAE 13

14 MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU MICROSOFT AKTİF DİZİN Şekil 5 - Global Katalog (GC) (Flexible Single Master Operations) FSMO Rolleri Microsoft aktif dizinin sağlıklı ve sorunsuz çalışması için hayati fonksiyonları yerine getirmekle görevli etki alanı kontrolcülerine ait özel roller bulunmaktadır. Bunlar şöyle adlandırılmaktadır: Şema yöneticisi (Schema Master) Etki Alanı Adlandırma Yöneticisi (Domain Naming Master) RID Yöneticisi (RID Master) PDC Emülatör (PDC Emulator) Altyapı Yöneticisi (Infrastructure Master) Şema yöneticisi olan DC şemada yapılan tüm değişiklikleri ve güncellemeleri kontrol eder. Bir ormanın şemasını güncelleyebilmek için gerekli değişiklikleri şema yöneticisi üzerinde gerçekleştirmek gerekir. Şema güncellendikten sonra yapılan değişiklik orman içinde diğer tüm DC lerde yinelenir. Bir orman içinde sadece bir adet şema yöneticisi olabilir. Orman çapında şema yöneticisi tektir. Etki Alanı Adlandırma Yöneticisi ise ormana katılan ya da ormandan çıkarılan etki alanlarını takip eder. Bir orman içinde sadece bir adet Etki Alanı Adlandırma Yöneticisi olabilir. Aktif dizinde bir erişim kontrol listesinde yer alabilen nesneler kullanıcılar, bilgisayarlar ve gruplardır. Bu nesneleri benzersiz olarak kimliklendirmek için her birine SID numaraları verilir. Bu SID numarası nesnenin yaratıldığı etki alanına ait SID numarası ve nesnenin 14 TÜBİTAK UEKAE

15 MICROSOFT AKTİF DİZİN MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU kendisine özgü RID numarasından oluşur. Nesnelerde olduğu gibi aynı şekilde her etki alanın da kendine ait bir benzersiz SID numarası vardır. RID Yöneticisinin görevi etki alanında yaratılan her nesneye benzersiz bir RID numarası sağlamaktır. Bir etki alanı içinde sadece bir RID yöneticisi olur. Her etki alanının kendine ait bir RID yöneticisi olmalıdır. PDC Emülatörünün birincil görevi etki alanı içinde zaman senkronizasyonunu sağlamaktır. Kerberos kimlik doğrulama protokolünün çalışabilmesi için etki alanındaki tüm bilgisayarlar ortak bir zamanı kullanmalıdırlar. Mixed modda çalışan bir aktif dizinde ise PDC Emülatör bir Windows NT PDC gibi çalışan bir etki alanı kontrolcüsü rolünü üstlenir. Bu etki alanı kontrolcüsünün görevi Windows NT temelli istemcilere dizin değişikliklerini yinelemektir (replication). PDC Emülatörün yürüttüğü diğer görevler ise şunlardır: Etki alanındaki diğer DC ler tarafından gerçekleştirilen parola değişiklikleri PDC Emülatöre yinelenir. PDC Emülatör bu bilgiyi etki alanındaki diğer DC lere acil olarak bildirir. Kullanıcı hesaplarının kilitlenmesi PDC Emülatör üzerinde gerçekleştirilir. Grup politikası nesnelerinin yaratılması ve düzenlenmesi PDC Emülatör ün SYSVOL paylaşımındaki kopyasından gerçekleştirilir. Bir etki alanı içinde sadece bir PDC Emülatör olur. Her etki alanının kendine ait bir PDC Emülatörü olmalıdır. Altyapı Yöneticisi ise kullanıcıların grup üyelikleri bilgilerini tutar ve değiştiğinde günceller. Bir başka etki alanı içerisinde bulunan nesnelerle ilişkili olan nesnelerin, etki alanlar arasındaki erişimlerde, SID ve DN güncellemeleri altyapı yöneticisi tarafından gerçekleştirilir. Altyapı yöneticisi olan etki alanı kontrolcüsünün aynı zamanda Global Katalog olmaması gerekmektedir. Bir etki alanı içinde sadece bir altyapı yöneticisi olur. Her etki alanının kendine ait bir altyapı yöneticisi olmalıdır. 3. MİCROSOFT AKTİF DİZİN VE DNS Aktif Dizin ve DNS aynı hiyerarşik isimlendirme yapısını kullanırlar. Bunun sonucu olarak domainler ve bilgisayarlar hem Aktif Dizin nesneleri hem de DNS etki alanları ve kayıtları olarak gösterilirler. Microsoft Aktif Dizinin DNS ile olan bu sıkı entegrasyonunun bir sonucu olarak Windows 2000/2003 networklarında bilgisayarlar özel servisleri yerine getiren sunumcu TÜBİTAK UEKAE 15

16 MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU MICROSOFT AKTİF DİZİN VE DNS bilgisayarlarına (DC veya GC gibi) ulaşabilmek için DNS e başvururlar. Örneğin bir kullanıcı istemci bilgisayarından sisteme giriş (logon) yapmak istediğinde veya bir Aktif Dizin de bir yazıcı veya paylaşım aramak istediğinde, istemci bilgisayarı DC yi bulmak ve ulaşmak için DNS i sorgular. DNS sunumcularında domain için gerekli işleri yürüten bilgisayarların kayıtları SRV kayıtları şeklinde bulunmaktadır. Bu kayıtlar sayesinde istemci bilgisayarları DC ye ulaşırlar ve işlemlerini gerçekleştirirler. Bu kayıtlar oluşmadan Aktif Dizin tam olarak kurulmuş sayılmazlar. Bu sebeple etki alanının düzgün çalışabilmesi için bu kayıtlar hayati öneme sahiptirler. 3.1 Aktif Dizin Bütünleşik DNS AD nin en temel özelliklerinden bir tanesi de DNS ile entegre bir halde çalışacak şekilde tasarlanmış olmasıdır. Aktif Dizin ile entegre DNS sayesinde DNS isim alanları Aktif Dizin veritabanında saklanır. DNS isim alanı etki alanındaki bilgisayarlara ait bilgisayar ismi ile IP adresi tablolarının tutulduğu isim çözümlemelerinin yapılmasını sağlayan veritabanı dosyası olarak tanımlanabilir. Aktif Dizin ile DNS in entegre olması bu veritabanının Aktif Dizine ait bilgi veritabanında tutulmasını sağlar. Yani DNS isim alanları da AD de birer AD nesnesi olarak saklanır. Bu durum DNS in güvenliğini önemli ölçüde arttıran bir yapı sunmaktadır. Aktif Dizinin gelişmiş güvenlik özellikleri kullanılarak DNS isim alanlarının yetkisiz kişilerce erişilmesi engellenmiş olur. Ayrıca diğer AD nesnelerinde olduğu gibi DNS isim alanı dosyaları da replikasyonlar ile domain de bulunan tüm DC ler üzerinde birebir aynı olacak şekilde tutulur. DC lerin belli aralıklarla kendi aralarında senkronize olması (AD replikasyon) ile gerçekleştirilen bu durum olası bir hata sonucu olaşabilecek kritik veri kaybının da önüne geçilmesini sağlar. DNS olmadan AD kurulumu gerçekleştirilemez. Bu sebeple ilk olarak DNS kurulmalıdır. Öncelikle Denetim Masasındaki (Control Panel) Program Ekle/Kaldır (Add Remove Programs) kullanılarak bilgisayara DNS i kurulması gerekmektedir. Bu işlem için Windows 2000/2003 Kurulum CD sine ihtiyaç olacaktır. DNS i bilgisayarımıza kurduktan sonra DNS in yapılandırılması yapılmalıdır. DNS i kurduktan sonra yapılması gereken iş DNS te kuracağımız domain ile aynı ismi taşıyan bir DNS isim alanı (Forward Lookup Zone) oluşturmaktır. Yanlış bir işlemde bulunmamak için mutlaka DNS Kurulum Sihirbazı kullanılmalıdır. Doğru yapılandırma ayarları uygulamak için sihirbazla üzerinden talimatların dikkatle okunması gerekmektedir. DNS Kurulum Sihirbazı, DNS Yönetim Konsolunu (DNS mmc snap-in) ilk çalıştırıldığında otomatik olarak çıkar. Eğer sihirbaz çalışmazsa DNS Yönetim Konsolunda bilgisayarın ismi üzerine sağ tıklanarak Configure Server seçeneği 16 TÜBİTAK UEKAE

17 MICROSOFT AKTİF DİZİN VE DNS MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU seçilerek çalıştırılabilir. Bu sihirbaz kullanılarak kurulacak olan domain ile aynı ismi taşıyan bir DNS isim alanı (Forward Lookup Zone) oluşturulmalıdır (contoso.msft gibi). Bu işlemi tamamladıktan sonra yapılması gereken DNS üstünde dinamik güncellemeleri etkinleştirmektir. Bunu da oluşturduğumuz DNS isim alanı (Forward Lookup Zone) ile ilgili özelliklere ulaşılarak gerçekleştirilebilir. 3.2 DNS Güvenliği Kurduğumuz DNS i güvenli hale getirmek için yapılacak bir takım işlemler bulunmaktadır. 1. Bunlardan ilki DNS alan (zone) dosyalarının erişim kontrolünü denetlemektir. Bunu yapmak için DNS Snap-in DNS %Sunucu Adı% Forward Lookup Zones %Alan Adı% Properties Security yolunu izleyerek DNS alan dosyalarına ait erişim kontrol listesini (ACL) açarak listede bulunan kullanıcıları ve bu kullanıcıların sahip olduğu hakları kontrol etmek gerekmektedir. Listede yetkisiz kullanıcılar hiçbir şekilde bulunmamalıdır. Listede sadece yönetici gibi yetkili kullanıcıların olduğundan emin olunması gerekmektedir. 2. DNS i güvenli hale getirmek için uygulamamız gereken ikinci kontrol DNS servisine ait registry anahtarı ve altındaki değerlerin erişim kontrol listesinin denetlenmesidir. Bunu yapmak için Registry düzenleme aracını (regedt32.exe veya regedit.exe) çalıştırarak HKLM\System\CurrentControlSet\Services\DNS yolunda bulunan tüm kütük ( registry) kayıtlarına ait izinleri (Permissions) gösteren listeleri gözden geçirmeliyiz. Listede yetkisiz kullanıcılar hiçbir şekilde bulunmamalıdır. Listede sadece yönetici gibi yetkili kullanıcıların olduğundan emin olunması gerekmektedir. 3. DNS i güvenli hale getirmek için uygulanması gereken üçüncü kontrol daha önce de bahsedildiği gibi güvenli dinamik güncellemeyi aktif hale getirmektir. Güvenli dinamik güncelleme özelliği yetkisiz kişilerce veya yetkisiz kaynaklardan DNS isim alanı dosyalarına yanıltıcı veya yanlış bilgi girilerek DNS e yapılabilecek saldırıları önleyen bir özelliktir. Bu özelliği etkinleştirerek yetkisiz konaklarını (host), yani domain dışından bilgisayarların, DNS bilgi güncelleme işlemi yapamaması sağlanmalıdır. Bu özelliği etkinleştirmek için %DNS Snap-in% DNS %Sunucu Adı% Properties General yolu izlenerek Dinamik Güncellemeler (Dynamic Updates) seçeneği sadece güvenli güncellemeler (Windows 2000:Only secure updates, Windows 2003: Secure only) olacak şekilde ayarlanmalıdır. 4. DNS i güvenli hale getirmek için uygulanması gereken dördüncü kontrol önlemi DNS isim alanının transferini denetlemektir. Alan transferi DNS isim alanına ait tüm bilginin DNS sunumcumuzdan bir başka bilgisayara aktarılabilmesidir. Yetkisiz konaklar tarafından TÜBİTAK UEKAE 17

18 MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU MICROSOFT AKTİF DİZİN VE DNS yapılacak alan transferi etki alanında bulunan tüm bilgisayarların isim ve IP adreslerinin yetkisiz kişilerin eline geçmesi anlamına gelmektedir. Bu durum kötü niyetli kişilere sistem hakkında önemli ölçüde bilgi sağlayacaktır. Hangi bilgisayarın hangi IP adresine sahip olduğunu bilmek saldırıların daha kolay gerçekleştirilmesine yol açar. Bu sebeple alan transferi ya tamamen kapatılmalı veya sadece belirli konakların alan transferi yapmasına izin verilmelidir. Bunu yapmak için %DNS Snap-in% DNS %Sunucu Adı% Properties Zone Transfers sekmesinde gerekli ayarlar yapılmalıdır. 5. DNS i güvenli hale getirmek için uygulamamız gereken beşinci kontrol önlemi DNS ile ilgili log kayıtlarının tutulmasıdır. Sistemde gerçekleşen önemli olayların kayıtlarının tutulması güvenlik açısından hayati öneme sahiptir. Bu kayıtlar sorunun kaynağını tespit etmeye yardımcı olurlar. Kimin ne işlemi gerçekleştirdiğini bu sayede bilinebilir. Ayrıca sistemde ne tür işlemleri gerçekleştiği konusunda bilgi sahibi olmak diğer türden sorunların anlaşılması ve çözülmesinde de önemli rol oynarlar. DNS ile ilgili log kayıtlarını tutmak için %DNS Snapgerekli ayarlar in% DNS %Sunucu Adı% Properties Logging sekmesi altında yapılmalıdır. Güvenlik açısından en azından notify ve update olaylarının log kayıtlarını tutmakta fayda vardır. Notify diğer DNS sunumculardan gelen bildirim mesajlarının kaydedilmesini sağlar. Update ise etki alanındaki bilgisayarlardan gelen dinamik DNS bilgisi güncellemeleriyle ilgili kayıtların tutulmasını sağlar. 6. DNS i güvenli hale getirmek için uygulanması gereken altıncı kontrol önlemi DNS i önbellek zehirlemelerine (cache posinoning/polluting) karşı korumalı hale getirmektir. Bunu yapmak için %DNS Snap-in% DNS %Sunucu Adı% Properties Advanced Secure cache against pollution tıklanarak etkin hale getirilmelidir. DNS önbellek zehirleme saldırısı yanlış veya hatalı çok sayıda DNS sorgu cevabını, bir DNS sunumcuya önbelleğini şişirecek hale getirecek şekilde sürekli göndererek yapılırı. Bu özelliğin etkin hale getirilmesiyle DNS sunumcu kendisine saldırganlar tarafından gönderilen isim çözümleme kayıtlarını (DNS sorgu cevapları) kabul etmezler. DNS sunumcu bu özellik sayesinde kendisine gelen DNS sorgulama cevaplarının kaynağını soruşturur. Eğer yetkisiz bir kaynaktan (mesela DNS sunumcu olmayan bir makineden) geliyorsa bunu kabul etmez. Ayrıca bu özellikle DNS sunumcumuz diğer DNS sunumcuların kendi isim alanlarının dışında gönderdiği DNS sorgu cevaplarını da kabul etmez. Yani microsoft.com DNS Sunumcusundan yahoo.com isim alanına ait IP adresleri (DNS sorgu cevapları) gelirse bunlar kabul edilmez, düşürülür. Yine aynı şekilde bu özellik sayesinde DNS sunumcumuz kendisinin sorgulamadığı bir isim alanına ait gelen DNS sorgu cevaplarını da kabul etmez. 18 TÜBİTAK UEKAE

19 MICROSOFT AKTİF DİZİN VE DNS MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU 7. Dinamik güncelleme özelliği ile ağda çalışan bir bilgisayar DNS ten kullanacağı IP adresini otomatik olarak edinir. Fakat bu bilgisayar ağdan çıkarıldığında ona ait DNS isim kayıt bilgisi otomatik olarak silinmeyebilir. Önceden ağ içindeki bir bilgisayarın kullandığı fakat artık kullanılmayan ve belli bir bilgisayara ait olmayan DNS isim kayıtları silinmediği takdirde DNS sisteminde bir takım sorunlar ortaya çıkabilir. Bu sorunlar: Fazla sayıda kullanılmayan DNS isim kayıt bilgisi DNS sunumcunun disk alanını doldurup, uzun süren alan transferlerine yol açabilir. DNS sunumcular kullanılmayan bilgisayar isim kayıtları için yapılan vererek istemcilerin isim çözümleme sorunu yaşamalarına yol açabilir. sorgulara cevap Kullanılmayan DNS isim kayıt bilgileri DNS sunumcuda zamanla birikerek sorgulara cevap verme hızını düşürebilir ve performans sorunu yaşanmasına yol açabilir. Bu tür sorunlar yaşamamak için DNS sunumcuda eski DNS isim kayıt bilgileri temizlenmelidir. Bunu yapmak için DNS sunumcuda %DNS Snap-in% DNS %Sunucu Adı% Fare Sağ Klik Set Aging/Scavenging for All Zones yolu izlenerek belirli aralıkla bu kayıtların silinmesi için gerekli ayar uygulanmalıdır. 4. GÜVENLİ AKTİF DİZİN KURULUMU 4.1 Ön Gereksinimler Aktif Dizin kuruluşu için aşağıdaki ön gereksinimlerin yerine getirilmesi gerekir: Windows 2000/2003 Server işletim sistemi kurulmuş, sunumcu donanımına sahip bir bilgisayar. Genelde tavsiye edilen işletim sistemleri Windows 2000 için Advanced Server, Windows 2003 için ise Enterprise Edition dır. Bunlar kurumun büyüklüğüne veya ihtiyaçlarına göre değişebilir. AD kurulumunun yapılacağı sunumcu bilgisayarın işletim sisteminin de mutlaka güvenli hale getirilmiş olması gerekmektedir. DC nin güvensiz olması, varsayılan yapılandırma ayarlarından bırakılması, kurulacak etki alanın da güvenliğinin zayıf temeller üzerinde durmasına yol açar. DC nin bir saldırıda etkisiz hale getirilmesi veya saldırganlarca ele geçirilmesi etki alanını tümüyle risk altında bırakır. NTFS formatlı bir disk bölmesi (partititon). Aktif Dizin için yaklaşık l GB disk alanına ihtiyaç vardır. İşletim sistemi kurulumu öncesi formatlama işlemi esnasında bunlara dikkat edilmelidir. TÜBİTAK UEKAE 19

20 MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU GÜVENLİ AKTİF DİZİN KURULUMU AD nin çalışması DNS servisine bağlıdır. Bu sebeple ağda DNS kullanımına imkân veren TCP/IP protokolünün önceden kurulu olması gerekmektedir. SRV kaynak kayıtlarını destekleyen bir DNS sunucu ve DNS dinamik güncelleme özelliği. Güvenli DNS kurulumu ve yapılandırma işlemlerini bitirdikten sonra AD kurulumuna artık başlanabilir. Kuruluma başlamadan önce yerine getirilmesi gereken gereklere göz atıldığında, bunlardan ilki ve en temeli fiziksel güvenliğin sağlanmış olması gerektiğidir. Bilgi sistemleri güvenliği konusunda her zaman için ilk sağlanması gereken şart fiziksel güvenliktir. Fiziksel güvenliğin sağlanmadığı ortamlarda diğer bilişim güvenliği önlemlerinin fayda getireceğini ummak pek mantıklı olmaz. Bu sebeple AD kurulumunu üzerinde gerçekleştireceğimiz DC ler fiziksel açıdan güvenliği sağlanmış olmalıdır. Alınacak fiziksel güvenlik önlemleri ile DC lere yetkisiz kişilerce fiziksel erişim tamamen engellenmiş olmalıdır. Yetkisiz kişilerce DC ler: Açılıp, kapatılamamalıdır. Donanımları sökülememelidir, yeni donanım eklenememelidir. CD veya disket gibi taşınabilir medya takılamamalıdır, bir başka işletim sistemi ile boot edilememelidir Sistem yedeklerine erişilememelidir. DC ler tüm bunları sağlayabilen uygun odalarda bulundurulmalıdır. Bu tip fiziksel güvenlik önlemleri yanında AD kurulumunu gerçekleştireceğimiz ağ ortamının da güvenli olduğundan emin olunmalıdır. Ağ ortamında bulunan hub, anahtarlama cihazı, kablo gibi unsurların yetkisiz kişilerin erişimine kapalı olduğundan emin olmak gerekmektedir. Örneğin kablolar kapalı kablo kanallarından geçirilmiş olmalı, anahtar cihazlarına bilinmeyen bilgisayarların bağlanması kısıtlanmalı (portlara MAC adresi sabitleme uygulaması), anahtar cihazları kilitli dolaplarda bulundurulmalı ve ağ üzerinden yönetimi mutlaka parola korumalı gerçekleştirilmelidir. Bunun gibi tedbirler ağ ortamının güvenliğini önemli ölçüde arttıracaktır. Bir etki alanında en az 2 adet DC bulunması tavsiye edilir. Kurumunuzun büyüklüğüne göre bu sayının daha da artması gerekebilir. Bu sebeple bir etki alanı oluştururken birden fazla DC kurmak gerekecektir. Kurulum esnasında uyulması gereken güvenlik prensiplerinin her seferinde (tüm DC kurulumlarında) karşılanması için tekrarlanabilir ve güvenli bir DC kurulum 20 TÜBİTAK UEKAE