Active Directory Tier Modeling Uygulanması

Daha önceki makalelerimizde Yetkili Hesapların Yanlış Kullanımı Sonucu Karşılaşılabilecek Problemler konusunda, kötü amaçlı kişilerin yetkili hesapları ele geçirdiği zaman kendilerini Domain Admin seviyelerine kadar nasıl çıkartabildiğini incelemiştik. Şimdi ise bu tür durumlarla karşı karşıya kalmamak için Microsoft’unda önerdiği Tier Modeling yapısına geçiş yapacağız. Tier modeling ile AD üzerindeki yetkili hesapları T0,T1 ve T2 olmak üzere 3 gruba ayırarak, yönetimini gerçekleştireceğiz.

T2 : Workstation Administrators (Workstation Admins) – Sadece Bilgisayarlara erişim hakkı olacak

T1 : Data Administrators (Server Admins) – Sadece Sunuculara erişim hakkı olacak

T0 : Service Administrators (Domain Admins, Enterprise Admins) – Sadece DC’lere erişim hakkı olacak

Bu yapı ile birlikte Bilgi Teknolojileri çalışanların 1 hesabı bulunurken, 3 hesap daha oluşturulacak, toplamda sistem yöneticilerinin 4 adet hesabı bulunacaktır. Hesap isimlendirmeleri yapılırken kişilerin isim ve soy isminin ilk harfleri, yöneteceği sisteme göre (dc,srv,ws) ibareleri, admin yetkisi bulunacağı içinde (adm) ibareleri yer alacaktır. Bu bizim seçmiş olduğumuz bir yöntem olup, farklı şekilde de isimlendirme yapılabilir.

Örnek olarak;

aykut.tuylu – Tüm yetkileri kaldırılacak sadece varsayılan olarak Domain Users grubu üyeliği kalacak ve kendi bilgisayarına giriş yapabilmek için kullanacaktır.

atwsadm – T2 seviyesinde, sadece son kullanıcı bilgisayarlarında işlem yapabilmek için (Program kurulumu vb, admin yetkisi gerektiren işlemler için) kullanılacaktır. Domain Users grubu üyesi olacak, son kullanıcı bilgisayarlarının GPO ile local admin grubuna eklenecektir.

atsrvadm  – T1 seviyesinde, sadece yapıdaki sunucularda işlem yapabilmek için (Sunucu yönetimi) Domain Users grubu üyesi olacak, sunucularda GPO ile local admin grubuna eklenecektir.

atdcadm – T0 seviyesinde, sadece yapıdaki DC’lerde işlem yapabilmek (AD yönetimi) için Domain Admin yetkisine sahip olacak, ancak DC’ler haricindeki hiçbir makine ve sunucuya giriş yapamaması için AD üzerinde tanımlama yapılacaktır.

Tier modeling yapısına geçildikten sonra, önceki örneklerimizde hesabı ele geçiren kötü amaçlı kişiler bu hesapları kullanarak kendilerini Domain Admin seviyelerine çıkartabilmekteydi, bu yapı sayesinde son kullanıcı bilgisayarları ve sunuculara Domain Admin yetkisi bulunan bir hesap ile hiçbir zaman giriş yapılamayacağı için yetki yükseltme gibi bir işlem hiçbir zaman gerçekleştirilemeyecektir. Bu işlem öncesinde Windows Güvenlik önlemleri konusunda gerekli aksiyonları almıştık, bu yapıya geçerek güvenlik seviyemizi daha da yukarılara çıkartıyoruz.

İlk olarak AD üzerinde Tier Modeling isimli bir OU oluşturup, altına T0,T1 ve T2 isimli yeni OU’lar açıyoruz.

AD Delegation Tier 0 kapsamında ilk olarak Domain Admins grubu düzenlenecektir. Oluşturmuş olduğumuz OU üzerinde T0’a gelerek, Aykut Tuylu kullanıcısı için atdcadm hesabını oluşturuyoruz. Aynı işlemleri Bilgi Teknolojileri bölümünde çalışan diğer kullanıcılar içinde gerçekleştiriyoruz.

Kullanıcıyı oluşturduktan sonra, Domain Admins grubundan aykut.tuylu hesabını ve diğer bilgi teknolojileri çalışanlarının hesaplarını çıkartıyoruz.

Sonrasında ise Domain Admins grubuna gelerek, T0 seviyesinde oluşturmuş olduğumuz yeni userları bu gruba üye yapıyoruz.

Sonrasında ise Domain Admins grubuna eklemiş olduğumuz T0 seviyesindeki kullanıcıların, bu hesaplarını kullanarak bilgisayar ve sunuculara giriş yapamaması için AD üzerinden bir tanımlama yapmamız gerekmektedir. Çünkü Domain Admins grubuna üye olan tüm kullanıcılar Domain yapısından gelen özellik sebebiyle tüm bilgisayar ve sunucularda admin yetkisine sahip durumdadırlar. Oluşturmuş olduğumuz Tier Modeling kapsamında Domain Admins üyesi olan hiçbir kullanıcının sunucu ve bilgisayarlara giriş yapmasını istemiyoruz, sadece DC yönetimlerinde kullanılmasını istiyoruz. Bu sebepten dolayı T0 için oluşturmuş olduğumuz atdcadm kullanıcısının üzerine gelerek, Log On To alanından, All computers (Tüm bilgisayarlarda login olabilir) özelliğini kapatıyor The following computers seçeneğini seçerek (sadece aşağıda bilgileri bulunan bilgisayarlara login ol) DC’lerimiz olan AYKUTDC01 ve AYKUTDC02’yi buraya ekleyerek, sadece bu makinalara login olmasına izin veriyoruz. Aynı işlemi diğer Bilgi Teknoljoileri çalışanları içinde gerçekleştiriyoruz.

AD Delegation Tier 1 kapsamında Sunucu yöneticileri için çalışma yapılacaktır. Oluşturmuş olduğumuz OU üzerinde T1’e gelerek, Aykut Tuylu kullanıcısı için atsrvadm  hesabını oluşturuyoruz. Aynı işlemleri Bilgi Teknolojileri bölümünde çalışan diğer kullanıcılar içinde gerçekleştiriyoruz.

AD Delegation Tier 2 kapsamında Bilgisayar (Workstation) yöneticileri için çalışma yapılacaktır. Oluşturmuş olduğumuz OU üzerinde T2’e gelerek, Aykut Tuylu kullanıcısı için atwsadm  hesabını oluşturuyoruz. Aynı işlemleri Bilgi Teknolojileri bölümünde çalışan diğer kullanıcılar içinde gerçekleştiriyoruz

Ardından yapımızda Server Admins isimli bir grup oluşturarak, T1 seviyesinde oluşturmuş olduğumuz userları bu gruba üye yapıyoruz.

Ardından yapımızda Workstations Admins isimli bir grup oluşturarak, T2 seviyesinde oluşturmuş olduğumuz userları bu gruba üye yapıyoruz.

Bilgi Teknolojileri çalışanlarına ait hesaplar client user, workstation admin, server admin, domain admin olmak üzere 4’e ayrıştırılmıştır.