Aktif Dizin Nesnelerine Ait Denetimler İçin Temel Kontroller



Benzer belgeler
Emeklilik Taahhütlerinin Aktüeryal Değerlemesi BP Petrolleri A.Ş.

CSD-OS İşletim Sistemi Projesi - Fonksiyon Açıklama Standardı

11. TASARIM ŞABLONU KULLANARAK SUNU HAZIRLAMAK

Her derecede yönetici aslında karar (lar) veren ve bunları uygulayan/uygulatan kişidir. Karar vermek birden çok seçenekten birini uygulamak demektir.

MESS ALTIN ELDİVEN İSG YARIŞMASI BAŞVURU VE DEĞERLENDİRME PROSEDÜRÜ

İKİ BOYUTLU GÖRSEL ARAÇLAR HARİTALAR

BISTEP nedir? BISTEP ne yapar?

6- ODA MERKEZ BÜRO İŞLEYİŞİ

SAYI TAY DERG S SAYI:

ARTVİN ÇORUH ÜNİVERSİTESİ ARAŞTIRMA GÖREVLİLERİ TEMSİLCİLİĞİ YÖNERGESİ

Şekil 1.2:Programa giriş penceresi

AĞ ÜZERİNDEN YAZICI ve TARAYICI TANIMLAMA KLAVUZU

SÜREÇ YÖNETİMİ VE SÜREÇ İYİLEŞTİRME H.Ömer Gülseren > ogulseren@gmail.com

Görsel Tasarım İlkelerinin BÖTE Bölümü Öğrencileri Tarafından Değerlendirilmesi

MAKÜ YAZ OKULU YARDIM DOKÜMANI 1. Yaz Okulu Ön Hazırlık İşlemleri (Yaz Dönemi Oidb tarafından aktifleştirildikten sonra) Son aktif ders kodlarının

1 Aralık E-Beyanname Modülünde Yapılan İşlemler

360- ÖDENECEK VERGİ VE FONLAR HESABINA (GELİR VERGİSİ KESİNTİSİ) İLİŞKİN say2000i UYGULAMASI

İstemci Yönetimi ve Mobile Printing (Mobil Baskı) Çözümleri

TOPLAM KALİTE YÖNETİMİ İŞLEM BASAMAKLARI. Kalite Yönetim Sisteminin işleyişini, kurulların amaç, kuruluş şekilleri ve çalışma kurallarını açıklamak,

Soma Belediye Başkanlığı. Birleşme Raporu

KATEGORİSEL VERİ ANALİZİ (χ 2 testi)

ŞİFRESİ KİLİTLENEN MUHTARA PAROLA OLUŞTURMA HAKKI VERİLMESİ (EK-3)

BÖLÜM 11. YAPISAL SORGULAMA DİLİ (SQL) Amaçlar:

Bölüm 6 Tarımsal Finansman

İhtiyacınız, tüm sisteminizin kurumsallaşmasını sağlayacak bir kalite modeli ise

Algoritmalara Giriş 6.046J/18.401J

NUTRICIA ANNE BEBEK BESLENMESİ

YÜKSEKÖĞRETİM KURUMLARI ENGELLİLER DANIŞMA VE KOORDİNASYON YÖNETMELİĞİ (1) BİRİNCİ BÖLÜM. Amaç, Kapsam, Dayanak ve Tanımlar

I. HSBS KURUM AYARLARI

ELEKTRİK ÜRETİM SANTRALLERİNDE KAPASİTE ARTIRIMI VE LİSANS TADİLİ

Anonim Verilerin Lenovo ile Paylaşılması. İçindekiler. Harmony

EPKAS (ELEKTRONİK PROJE KONTROL ARŞİVLEME SİSTEMİ) WEB KULLANIM KILAVUZU

VİDEO VE YAZILIM TABANLI İŞ ETÜDÜ

a) Birim sorumluları: Merkez çalışmalarının programlanmasından ve uygulanmasından sorumlu öğretim elemanlarını,

İnşaat Ruhsatı Alma. İnşaat Ruhsatı Almak İçin Yapılması Gerekenler. İnşaat Ruhsatı Almak için Gerekli Belgeler

Faaliyet Alanları. 22 Aralık Yıldız Teknik Üniversitesi Bilgisayar Mühendisliği Bölümü

Bilişim Sistemleri. Modelleme, Analiz ve Tasarım. Yrd. Doç. Dr. Alper GÖKSU

SQL Server'ı Uzaktan Bağlantı İçin Ayarlamak

3- KONTROL FAALİYETLERİ

BİLGİ TEKNOLOJİLERİ VE İLETİŞİM KURULU KARARI

İDARİ VE MALİ İŞLER DAİRE BAŞKANI 25 TEMMUZ 2015 KİK GENEL TEBLİĞİ VE HİZMET ALIMLARI UYGULAMA YÖNETMELİĞİNDE YAPILAN DEĞİŞİKLİKLER DURSUN AKTAĞ

Veri Toplama Yöntemleri. Prof.Dr.Besti Üstün


II- İŞÇİLERİN HAFTALIK KANUNİ ÇALIŞMA SÜRESİ VE FAZLA MESAİ ÜCRET ALACAKLARI

OKUL ÖNCESİ EĞİTİM Haziran 2016 MESLEKİ ÇALIŞMA PROGRAMI BİRİNCİ HAFTA. Eğitim Görevlileri. Katılımcılar. Tüm Öğretmenler.

i) söz konusu fazla veya eksik değer hakkındaki mevcut bilgileri; i) ilgili fazla veya eksik değerin belirlenmesinde kullanılan yöntemi;

R.G UBAN (ULUSAL BANKA HESAP NUMARASI) TEBLİĞİ

MUŞ ALPARSLAN ÜNİVERSİTESİ UZAKTAN EĞİTİM UYGULAMA VE ARAŞTIRMA MERKEZİ YÖNETMELİĞİ

Windows 7 doğru güvenlik ayarları ile güvenli düzeyde çalışma kapsamına gelir. Alttaki altı adim size bunu kolayca başarmanın yolunu gösterir.

ÖZEL GÜVEN TIP MERKEZİ

Biçimli ve güzel bacaklara sahip olmak isteyen kadınlar, estetik cerrahların

Uzaktan Algılama Teknolojileri


DOĞTAŞ KELEBEK MOBİLYA SANAYİ VE TİCARET ANONİM ŞİRKETİ YÖNETİM KURULU

İLÇEMİZ İLKOKULLARINDA GÖREVLİ SINIF VE OKUL ÖNCESİ ÖĞRETMENLERİNİN EĞİTİM-ÖĞRETİM YILI MESLEKİ ÇALIŞMA PROGRAMI

Kursların Genel Görünümü

Danışma Kurulu Tüzüğü

Politika Notu. Yönetişim Etütleri Programı. Ekim Özelleştirme Gelirlerinin Kullanımı

MS PROJECT 2003 ĠLE PLANLAMA VE PROJE YÖNETĠMĠ EĞĠTĠMĠ

Daha Ne Kadar Sessiz Kalacaksınız?

Elektronik ortamda tutulacak defter ve belge uygulamasında kullanılacak olan terimler aşağıda tanımlanmıştır.

OFİS 365 ÖĞRENCİ MAİL SİSTEMİ KULLANIM KLAVUZU. Office 365

KİMLİK DOĞRULAMA AUTHENTİCATİON


AIMCO AIMCO. Kullanım Kılavuzu. Mayıs 2016

ATAÇ Bilgilendirme Politikası

MY16 Bulut PBX Benimseme Teklifi Hüküm ve Koşulları

Kurumsal Yönetim ve Kredi Derecelendirme Hizmetleri A.Ş. Kurumsal Yönetim Derecelendirmesi

Genel bilgiler Windows gezgini Kes Kopyala Yapıştır komutları. 4 Bilinen Dosya Uzantıları

OKUL BAZLI BÜTÇELEME KILAVUZU

2015/1.DÖNEM. YEMİNLİ MALİ MÜŞAVİRLİK SINAVLARI İLERİ DÜZEYDE FİNANSAL MUHASEBE 25 Mart 2015-Çarşamba 18:00

1.0. OTOMATİK KONTROL VANALARI UYGULAMALARI

Otizm lilerin eğitim hakkı var mıdır? Nedir ve nasıl olmalıdır?

ÇEVRE ÖLÇÜM VE ANALİZ LABORATUVARLARI YETERLİK BAŞVURUSUNDA İSTENEN BİLGİ VE BELGELER

Yrd. Doç. Dr. Hüseyin Odabaş

11. Yatırım Fonu, özel sektör tahvil ve finansman bonolarının virmanlarında küsüratlı işlem yapılamamaktadır.

Kurumsal Yönetim ve Kredi Derecelendirme Hizmetleri A.Ş. Kurumsal Yönetim Derecelendirmesi

Kurumsal Yönetim ve Kredi Derecelendirme Hizmetleri A.Ş. Kurumsal Yönetim Derecelendirmesi

İSTANBUL TİCARET ÜNİVERSİTESİ BİLGİSAYAR MÜHENDİSLİĞİ BÖLÜMÜ BİLGİSAYAR SİSTEMLERİ LABORATUARI YÜZEY DOLDURMA TEKNİKLERİ

-Bursa nın ciroları itibariyle büyük firmalarını belirlemek amacıyla düzenlenen bu çalışma onuncu kez gerçekleştirilmiştir.

YÖNETMELİK. a) Basamak kontrolü: On beş basamaklı IMEI numarasının son basamağının doğruluğunun kontrolünü,

Vadeli İşlemler Piyasası Bülteni

YSÖP KULLANIM KILAVUZU

1. Defter detaylarına ait bilgilerin, örneğin yevmiye kayıtlarının olduğu dosya 2. Bir nevi kapak sayfası diyebileceğimiz Berat dosyası

Satış Amaçlı Elde Tutulan Duran Varlıklar ve Durdurulan Faaliyetlere İlişkin Türkiye Finansal Raporlama Standardı (TFRS 5)

YILDIZ TEKNİK ÜNİVERSİTESİ ARAŞTIRMA GÖREVLİLERİ TEMSİLCİLİĞİ YÖNERGESİ. BİRİNCİ BÖLÜM Amaç, Kapsam ve Tanımlar

: Bilindiği üzere e-defter uygulaması Aralık 2014 de başlamıştır. Konu hakkında

Başarılı bir yöneticide bulunan özellikler ve bunları kazanma yolları Yöneticiler, görev yaptıkları örgütlerin amaçlarını etkin ve verimli olarak gerç

17-19 EYLÜL 2010 TARİHLERİ ARASINDA MEHMET AKİF ERSOY ÜNİVERSİTESİN DE YAPILAN ADIM ÜNİVERSİTELERİ İDARİ GRUP TOPLANTI KARARLARI

13 Kasım İlgili Modül/ler : Satın Alma ve Teklif Yönetimi. İlgili Versiyon/lar : ETA:SQL, ETA:V.8-SQL

EKİM SORUMLU KİŞİ, BİRİM VE KURUMLAR AYLAR İŞBİRLİGİ YAPILACAK KURUMLAR/KİŞİLER GERÇEKLEŞTİRİLECEK ETKİNLİKLER VE ÇALIŞMALAR

YILDIZ TEKNİK ÜNİVERSİTESİ FEN-EDEBİYAT FAKÜLTESİ BATI DİLLERİ VE EDEBİYATLARI BÖLÜMÜ LİSANS ÖĞRETİMİ STAJ UYGULAMA ESASLARI 1) AMAÇ VE KAPSAM

Tor Üzerinden VPN Servisi "Privatoria"

Bilgilendirme Politikası

Xerox ConnectKey Teknolojisine sahip Çok Fonksiyonlu Yazıcılarla (MFP'ler) Kullanım İçin

İÇ KONTROL VE İÇ DENETİM

Proje ve Programların Değerlendirmesi.

REHBERLĠK HĠZMETLERĠ NEDĠR?

1. Mesaj Tipi ve Mesaj Fonksiyonu Bazında Bildirim Mail Adresi Tanımlama Đşlemleri

Transkript:

Aktif Dizin Nesnelerine Ait Denetimler İçin Temel Kontroller Etki alanı kurumlar için oldukça kritiktir, bu sebeple güvenliğinin korunması için bazı önlemlerin alınması gereklidir. Bu yazıda, Aktif Dizin üzerindeki nesnelerin güvenliği için gerekli kontrol maddeleri incelenecektir. Etki alanı (Domain), bir grup bilgisayarın bir araya gelmesiyle oluşan belli kurallar ve prosedürlerle bir merkezden yönetilen mantıksal bir yapıdır. Orta ve büyük ölçekli bütün kurumlarda sistemlerin neredeyse tamamı Microsoft etki alanı yapısıyla direk olarak yönetilirler veya etki alanındaki nesneler (sistem yöneticilerinin hesabı vs.) tarafından dolaylı olarak yönetilirler. Bu sebeple, etki alanının güvenilir bir şekilde oluşturulması, yönetilmesi ve korunması kurum için oldukça önemlidir. Etki alanı güvenliğini sağlamak ve kurum etki alanındaki sistemlere karşı yapılabilecek saldırılar için alınması gereken temel önlemler Etki Alanı Saldırılarına Karşı Temel Korunma Yöntemleri yazılarında [1] [2] özetlenmişti. Bu yazıda ise etki alanındaki nesnelerin yönetildiği dizin hizmeti olan Aktif Dizin denetimleri incelenecektir. Kontrol maddelerinde ne yapılması gerektiği üzerinde durulmuş olup, nasıl yapılacağı konusu sistem yöneticilerine bırakılmıştır. Kontrol maddelerinde belirtilen nesnelerin otomatik olarak nasıl tespit edileceği ile ilgili internet üzerinde başta Powershell olmak üzere bir çok betik bulunabilir. Ayrıca aşağıdaki maddeleri ve çok daha fazlasını gerçekleştirebilen otomatik denetim araçları da kullanılabilir.

Denetim sonucunda gerçekleştirilmesi gereken işlemler kurum politikasında belirtilmelidir. Örneğin, uzun süre oturum açmayan kullanıcı hesapları tespit edildikten sonra bu hesaplar belli bir süre boyunca devre dışı bırakılabilir ve bir süre sonra da tamamen silinebilir. Benzer olarak tespit edilen nesnelerin ne zaman, hangi kullanıcı tarafından oluşturulduğu da incelenebilir. Aktif Dizin güvenliği için kontrol edilebilecek temel maddeler aşağıdaki gibidir: 1) Ortak Hesap Kullanan Kullanıcı Hesapları Ortak hesap kullanımı özellikle yardım masası veya teknik destek gibi vardiyalı çalışan bölümlerde sık karşılaşılabilen durumlardandır,kurum içerisinde ortak kullanılan kullanıcı hesapları tespit edilmelidir. Aksi halde işlemi gerçekleştiren kullanıcının kimliğinin tespit edilmesi kaydı tutulan başka faktörlerle (IP adresi, çalışılan saat dilimi, ) mümkün olabilmektedir. 2) Uzun Süredir Oturum Açmamış Kullanıcı Hesapları Kurum içerisinde uzun bir süre (3 hafta gibi) oturum açmayan kullanıcı hesapları tespit edilmelidir. Bu süre kurum politikasına göre değişiklik gösterebilir. Tatil izinleri, yurt dışı gezileri gibi durumlar göz önüne alınarak bu süre ve kapsam belirlenmelidir. 3) Parolasını Hiç Değiştirmemiş Olan Kullanıcı Hesapları Bir çok kurumda bir kullanıcı hesabı oluşturulurken standart bir parola ile oluşturulurlar. Bu parola o hesabın sahibi olan kullanıcı tarafından ilk oturumda değiştirilmesi gerekmektedir. Parolasını hiç değiştirmemiş olan kullanıcı hesapları tespit edilmelidir. 4) Uzun Süredir Parolasını Değiştirmeyen Kullanıcı Hesapları Kurum politikasına uygun olacak şekilde kurum içerisinde bir

parola politikası oluşturulmalı ve uygulanmalıdır. Parola politikasında parola değiştirme süresi için uygun bir değer verilmelidir. Belirlenen süre boyunca parolasını değiştirmeyen kullanıcı hesapları tespit edilmelidir. Uzun süredir parolasını değiştirmeyen ve parolası saldırganlar tarafından bir şekilde ele geçirilmiş olan bu kullanıcı hesapları etki alanına karşı gerçekleştirilebilecek sonraki saldırılarda kullanılabilmektedir. 5) Parolasını Değiştiremeyen Kullanıcı Hesapları Uygulama/servis kullanıcıları veya belirli sebeplerle bazı kullanıcı hesaplarının parolalarının değiştirilmemesi gerekebilmektedir. Parolasını değiştiremeyen kullanıcı hesapları tespit edilmelidir. 6) Parola Değiştirmesi Zorunlu Olmayan Kullanıcı Hesapları Başta uygulama ve servis kullanıcı hesapları olmak üzere, parola politikasına rağmen parola değiştirmesi zorunlu olmayan kullanıcı hesapları tespit edilmelidir. 7) Parolası Sona Ermeyen Kullanıcı Hesapları Parola politikasına rağmen parolası sona ermeyen kullanıcı hesapları tespit edilmelidir. Özellikle uygulama ve servis kullanıcı hesaplarında görülen bu durum saldırı yüzeyini arttırmaktadır. 8) Parolası Olmayan Kullanıcı Hesapları Parola politikası sebebiyle, kurumlarda çok sık karşılaşılan bir durum olmasa da, parolası boş olan kullanıcı hesaplarının varlığı tespit edilmelidir. 9) Parolası Olmak Zorunda Olmayan Kullanıcı Hesapları Önceki kontrol maddesine benzer olarak, parolası olmak zorunda olmayan kullanıcı hesapları tespit edilmelidir.

10) Süresi Geçmiş Kullanıcı Hesapları Kurum politikası gereği bazı kullanıcı hesapları (danışman, sistem destek, stajyer vs) süreli olarak oluşturulabilmektedir. Bu süre sonrasında bu hesaplar ile işlem yapılamamaktadır. Kurumda süresi geçmiş olan (expire) kullanıcı hesapları tespit edilmelidir. 11) İşten Ayrılmış Kullanıcı Hesapları Kurumların çoğunda merkezi kimlik yönetimi henüz tam anlamıyla aktif bir şekilde kullanılmamaktadır. İşten ayrılmış olan kullanıcı hesabı ile gerçekleştirilebilecek işlemler sonucunda kurum ve kurum çalışanları zor durumda kalabilmektedir. Bu sebeple, kurum ile ilişkisi kesilen kullanıcı hesapları tespit edilmelidir. Bunun yanında yetkilendirme işlemleri için kullanıcıdan bağımsız tasarımların kullanılması [3] [4] güvenliği arttırmaktadır. 12) Kurum Personeli Olmayan Kullanıcı Hesapları Danışmanlık, sistem destek, stajyerlik gibi sebeplerle etki alanında oluşturulan kullanıcı hesapları tespit edilmelidir. Bu hesaplar oluşturulurken süreli bir şekilde oluşturulması tavsiye edilmektedir. Ayrıca bu hesaplar için özel yapısal birimlerin (OU) oluşturulması ve bu OU altındaki nesnelere sıkılaştırılmış grup ilkelerinin uygulanması tavsiye edilmektedir. 13) Users Konteynırında Bulunan Kullanıcı Hesapları Bir kullanıcı oluşturulduğunda varsayılan olarak Users adlı verilen konteynır altında oluşmaktadır. Bir konteynır içerisindeki nesnelere varsayılan grup ilkeleri uygulandığı için Users altında kullanıcı hesabının bulunması kontrol eksiliğine sebep olmaktadır. Bu sebeple, Users konteynırında bulunan kullanıcı hesapları tespit edilmelidir. Etki alanına yeni eklenen kullanıcı hesapları üzerindeki denetimleri arttırmak için ve etki alanına eklenen ancak henüz faal

olmayan nesneleri daha iyi takip edebilmek için; bu hesapların sıkılaştırılmış bir OU altında oluşturulması tavsiye edilmektedir. Kullanıcı hesabı ile işlem yapıldıktan ve grup ilkesi alındıktan sonra ilgili OU altına eklenmesi güvenliği arttırmaktadır. 14) Dial-in Bağlantı Hakkı Olan Kullanıcı Hesapları Dial-in bağlantı hakkı olan kullanıcılar tespit edilmelidir. Uzak erişimler için dial-in bağlantı yerine kurum ihtiyacına daha güvenilir bir şekilde cevap verecek yöntemler (SSL VPN gibi) tercih edilmelidir. 15) Gereksiz Tanımlama Bilgisine Sahip Olan Kullanıcı Hesapları Kullanıcı hesaplarına ait bir çok bilgi, herhangi bir kullanıcı tarafından elde edilebilmektedir. Etki alanına gerçekleştirilen saldırılarda da bu bilgiler kullanılmaktadır. Kullanıcı hesaplarına ait gereksiz bilgilerin Aktif Dizin üzerinde saklanmaması tavsiye edilmektedir. 16) Eksik Tanımlama Bilgisine Sahip Olan Kullanıcı Hesapları Denetim yönü ile ele alındığında, kurum politikası ile belirlenmiş tanımlamalar her kullanıcı hesabında bulunmalı, standart tanımları bulunmayan kullanıcı hesapları tespit edilmelidir. 17) İsimlendirme Standardına Uymayan Kullanıcı Hesapları Kurum politikası gereği kullanıcı hesaplarının nasıl oluşturulacağı belirlenmelidir. Sicil numarasının kullanılması (36146), personelin ad ve soyadının farklı şekillerde kullanılması (remzi.karadayioglu, rkaradayioglu, r.karadayioglu, karadayioglu.remzi, ) bir standart olarak belirlenmelidir. Bunun yanında aynı isim ve soy isme, iki ve daha fazla isme veya soy isme sahip personel için de standardın oluşturulması tavsiye edilmektedir. Belirlenen

isimlendirme standardına uymayan kullanıcı hesapları tespit edilmelidir. 18) Kritik Gruplara Üye Olan Ortak Kullanılan Kullanıcı Hesapları Etki alanında bazı grupların yetkileri diğerlerinden daha fazla öneme sahip olmaktadır. Bu gruplardan bazıları yerleşik (built-in) gruplar (Domain Admins, Enterprise Admins, ) olabildiği gibi, bazı gruplar (Oracle Admins, Microsoft Sistem Yöneticileri, Aktif Cihaz Yönetim Grubu, ) ise daha sonradan oluşturulmuş olabilir. Etki alanında kritik yetkilere sahip olan gruplar belirlenmeli ve bu gruplara üye olan kullanıcı hesapları tespit edilmelidir. 19) Hiçbir Gruba Üye Olmayan Kullanıcı Hesapları Grup üyeliği bulunmayan kullanıcı hesapları tespit edilmelidir. 20) Üyesi Olmayan Gruplar İçerisinde hiçbir üyesi olmayan, boş gruplar tespit edilmelidir. 21) İsimlendirme Standardına Uymayan Gruplar Kullanıcı hesaplarında olduğu gibi, kurum tarafından oluşturulmuş olan isimlendirme standardına uygulan gruplar tespit edilmelidir. 22) Kritik Grupların Yetkilendirmeleri Etki alanında kullanıcı yerine, grup ve rol bazlı bir yetkilendirme yapılması gerektiği daha önceden belirtilmişti. Bu grupların etki alanındaki yetkileri tespit edilmelidir. 23) Uzun Süredir Kullanılmayan Bilgisayar Hesapları Kullanıcı hesaplarında olduğu gibi, uzun süredir kullanılmayan bilgisayar hesapları tespit edilmelidir.

24) Adı Standarta Uymayan Bilgisayar Hesapları Kullanıcı hesaplarında ve gruplarda olduğu gibi, kurum tarafından oluşturulmuş olan isimlendirme standardına uygulan gruplar tespit edilmelidir. 25) Devre Dışı Bırakılmış Bilgisayar Hesapları Kullanıcı hesaplarında olduğu gibi, devre dışı (disabled) bırakılmış olan bilgisayar hesapları tespit edilmelidir. 26) Computers Konteynırında Bulunan Bilgisayar Hesapları Users konteynırında bulunan kullanıcı hesaplarında olduğu gibi, Computers konteynırında bulunan bilgisayar hesapları tespit edilmelidir. 27) İçerisinde Nesne Bulunmayan Yapısal Birimler Gruplarda olduğu gibi, içerisinde hiçbir üyesi olmayan, boş yapısal birimler (OU) tespit edilmelidir. 28) Adı Standarta Uymayan Yapısal Birimler Kullanıcı ve bilgisayar hesaplarında, gruplarda olduğu gibi, kurum tarafından oluşturulmuş olan isimlendirme standardına uygulan gruplar tespit edilmelidir. 29) Site İçerisinde Belirtilmemiş Olan Yerel Ağlar Site, birbiri ile ağ iletişimi kuvvetli olan fiziksel yapılardır. Site, ağın hızına ve trafik kapasitesine göre tasarlanır. Özellikle oturum açma ve replikasyon işlemlerinin daha hızlı gerçekleşebilmesi için Site yapısının iyi tasarlanması gerekmektedir. Bir Site içerisinde bir veya daha fazla alt ağ (subnet) bulunabilmektedir. Böylece bir kullanıcı aynı site içerisinde bulunduğu etki alanı denetleyicisini (DC) kullanarak kimlik doğrulatır. Benzer olarak bir etki alanı denetleyicisi aynı site içerisindeki bir etki alanı denetleyicisi ile replikasyon işlemini gerçekleştirmek için

oluşturulan Site ve Subnet bilgilerini kullanılır. Aynı site içerisinde etki alanı denetleyicisi bulunamazsa, farklı site üzerindeki etki alanı denetleyicisi arayışında bulunulur. Kurum içerisindeki her bir yerel ağ (LAN), içerisinde etki alanı denetleyicisi bulundurmasa dahi, Aktif Dizin üzerinde tanımlanması tavsiye edilmektedir. Bu sebeple, Site içerisinde belirtilmemiş yerel ağlar tespit edilmelidir. 30) DNS Üzerinde Kaydedilmemiş Yerel Ağlar Alan Adı Sistemi (Domain Name System DNS); ağdaki bilgisayarları ve ağ hizmetlerini adlandırmak için kullanılan bir sistemdir. DNS, Aktif Dizin yapısı için zorunlu bir roldür. Microsoft ortamlarında, istemciler ağdaki etki alanı denetleyicilerinin ve diğer servis sunucularının yerlerini DNS kullanarak tespit ederler. Eğer DNS üzerinde bir problem oluşursa, erişimlerde problem yaşanacaktır. Aktif Dizin ile entegre olarak oluşturulan Microsoft DNS üzerinde tüm yerel ağlara ait kayıtların bulunması tavsiye edilmektedir. Bu sebeple, DNS üzerinde kayıtlı olmayan kuruma ait yerel ağlar tespit edilmelidir. Sonuç Kurum etki alanının (ve dolayısıyla kurumun) güvenliği için alınması gereken önlemlere ek olarak, saldırı yüzeyini daraltmak için belli aralıklarla risk analizleri ve kontroller gerçekleştirilmelidir. Bu yazıda Aktif Dizin sıkılaştırması için gerekli olan temel kontrol maddeleri üzerinde durulmuştur. Bu yazıda bahsi geçen kontrol maddeleri kurum tarafından belli periyotlarla gözden geçirilmesi, ek kontrol maddeleri ile desteklenmesi, otomatikleştirilmesi için betikler (Powershell gibi bir betik dili kullanılarak) hazırlanması veya otomatik olarak bu işlemleri gerçekleştirebilen araçlarla denetimlerin gerçekleştirilmesi, denetim raporu sonucuna göre gerekli iyileştirmelerin kurum politikasına uygun olarak gerçekleştirilmesi, gerçekleştirilen

işlemlerin dokümante edilmesi tavsiye edilmektedir. Kaynaklar: [1] http://www.bilgiguvenligi.gov.tr/microsoft-guvenligi/etki-alan i-saldirilarina-karsi-temel-korunma-yontemleri-1.html [2] http://www.bilgiguvenligi.gov.tr/siniflandirilmamis/etki-alani -saldirilarina-karsi-temel-korunma-yontemleri-2.html [3] http://itfreetraining.com/70-640/agdlp/ [4] http://itfreetraining.com/70-640/agudlp/

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim