Privileged Access Workstations Kurulumu ve Yapılandırılması 1

PAW’lar, internet saldırıları ve tehdit faktörlerinden korunan hassas görevler için özel bir işletim sistemi kullanmamıza olanak sağlar. En basit ifadeyle, bir PAW, hassas hesaplar ve görevler için yüksek güvenliği sağlamak üzere tasarlanmış, sıkılaştırılmış kilitli bir iş istasyonudur. Bu hassas görevlerin ve hesapların günlük kullanılan iş istasyonlarından ve cihazlardan ayrılması hedeflenmektedir. PAW Pass-the-Hash, Pass-The-Ticket başta olmak üzere bir çok saldırı çeşitleri konusunda ciddi güvenlik avantajı sağlamaktadır.

Kuruluşlar için mevcut tehdit ortamı, internete maruz kalan hesaplar ve iş istasyonları için sürekli güvenlikten ödün verme riski yaratan gelişmiş kimlik avı ve diğer internet saldırılarıyla doludur. Bu yüksek değerli varlıkların hem doğrudan internet tehditlerine hem de ortamdaki diğer iş istasyonlarından, sunuculardan ve cihazlardan yapılan saldırılara karşı korunması gerekir. İşte tam olarak bu aşamada PAW devreye girmektedir.

PAW Aşamalı Uygulama

Etkin bir PAW yapılandırması dört aşamaya ayrılmıştır. İlgili yapılandırmalar sırasında, her bir adım dikkatle takip edilmeli ve atlanmamalıdır. Birçok adım birbirine bağlılık göstermekle beraber, sırasıyla yapılmalıdır.

AŞAMA 1 – Active Directory Üzerinde PAW Yapısının Oluşturulması; Active Directory üzerinde gerekli yapının oluşturulması, PAW kullanıcılarının belirlenmesi, PAW makinesi için güvenlik ve sıkılaştırma politikalarının oluşturulmasını ve uygulanmasını kapsamaktadır.

AŞAMA 2 – PAW Makinesinin Kurulumu ve Yapılandırılması; PAW makinesinin kurulması ve domaine dahil edilmesi, Active Directory üzerinde oluşturulan politikaların PAW makinesine uygulanması ve yetkili hesapların kontrol edilmesini kapsamaktadır.

AŞAMA 3 – PAW Yüksek Güvenlik Sıkılaştırmalarının Yapılması; PAW için önceki aşamalarda yapılan güvenlik sıkılaştırmalarına ek olarak, güvenliği arttırıcı yeni politikaların oluşturulması ve uygulanması, yetkili hesapların uygun gruplara taşınmasını kapsamaktadır.

AŞAMA 4 – PAW Korumasını Genişletme ve Öneriler; PAW için güvenliği ve korumayı arttıracak, sistemin her zaman güncel kalmasını sağlayacak, kullanılan parolaların sıkılaştırılması ve verilerin güvenliğini sağlayarak tavsiye edilen önerileri kapsamaktadır.

***Aşama 4 için yapacağınız çalışmalar ile ilgili olarak sayfamızın en altında ulaşabileceğiniz makale linkleri yer almaktadır.

Önkoşulları ve Gereklilikleri Tamamlayın

1.Tüm adminlerin yönetim ve son kullanıcı işlemleri için ayrı, bireysel hesaplar kullanması gerekmektedir. Yalnızca belirli hesapların PAW’da oturum açmasına izin verileceğinden, her bir yetkili personele standart kullanıcı hesaplarından ayrı bir yönetici hesabı atamak PAW modeli için esastır. Yapımızda tüm yetkili hesapların birbirinden ayrıştırılmış olması gerekmektedir.

2.Tier 0 ayrıcalıklı admin sayısını en aza indirin. Her adminin bir PAW makinesi kullanması gerektiğinden, admin sayısını azaltmak önemlidir. Yapıda minimum sayıda Tier 0 ayrıcalıklına sahip hesap olması riskleride azaltacaktır.

3.PAW’a kurulacak olan işletim sisteminin belirlenmesi. Windows 10 Pro PAW makinamız için önemli korumalar sağlayabilir ancak, Windows 10 Enterprise üzerinde bulunan Credential Guard ve Device Guard gibi gelişmiş güvenlik özellikleri kullanılamaz. Bu sebepten dolayı PAW olarak yapılandırılacak makinada Windows 10 Enterprise kullanılması önerilmektedir.

4.PAW’a kurulacak olan işletim sisteminin temiz kaynak prensibine uyması gerekmektedir. PAW makinesine kuracağınız yazılımı edinin ve kurulum ortamı için Temiz Kaynak’taki yönergeleri kullanarak doğrulayın. PAW için kullanılacak yazılımın, kuruluş tarafından güvenilen bir üretici ve tedarikçiden geldiğinden emin olun.

5.WSUS sunucunuzun bulunduğundan emin olun. PAW güncellemelerini indirmek ve yüklemek bir WSUS sunucusuna ihtiyacınız olacaktır. Bu WSUS sunucusu, Windows 10 için tüm güvenlik güncelleştirmelerini otomatik olarak onaylayacak şekilde yapılandırılmalıdır. PAW makinesinin her zaman güncel tutulması büyük önem arz etmektedir.

AŞAMA 1: ACTİVE DİRECTORY ÜZERİNDE PAW YAPISININ OLUŞTURULMASI

1.PAW komut dosyası kitaplığını Microsoft TechNet Gallery’den indirin.

https://gallery.technet.microsoft.com/Privileged-Access-3d072563

(Tüm dosyaları indirin ve aynı dizine kaydedin ve aşağıda belirtilen sırayla çalıştırın.)

***Bazı powershell scriptlerini çalıştıracağımız için öncesinde “ExecutionPolicy” kontrolü yapılır, eğer Unrestricted yapılmadıysa scriptler çalıştırılamayabilir, gerekli işlemler yapıldıktan sonra tekrar ilgili ayarın default’a çekilmesi gerekmektedir.

2.Create-PAWOUs.ps1 komut dosyasını çalıştırın. Bu komut dosyası, Active Directory’de yeni OU yapısını oluşturur ve uygun şekilde yeni OU’larda Group Policy almasını engeller.

3.Create-PAWGroups.ps1 komut dosyasını çalıştırın. Bu komut dosyası, uygun OU’larda yeni security gruplarını oluşturur. (Bu komut dosyası yeni security gruplarını oluştursa da, grupları otomatik olarak doldurmaz.)

4.Set-PAWOUDelegation.ps1 komut dosyasını çalıştırın. Bu komut dosyası, yeni gruplara uygun grup izinlerinin atamasını yapar.

İlgili komutlar çalıştırıldıktan sonra aşağıdaki şekilde OU’lar, Group’lar oluşturularacak ve gerekli yetkilendirmeler otomatik olarak yapılmış olacaktır.

Organizational Units (OU)

Admin; Groups; Tier 1 Servers; Workstations; User Accounts; Computer Quarantine.

Groups

Tier 0 Replication Maintenance; Tier 1 Server Maintenance; Service Desk Operators; Workstation Maintenance; PAW Users; PAW Maintenance.

***Bu aşamadan sonra yapımızda bulunan tüm Tier 0 admin hesaplarının aşağıdaki yeni oluşturulan Admin\Tier 0\Accounts OU’su altına taşınması gerekmektedir.

İlgili Gruplara Uygun Üyeleri Ekleyin

1.PAW Users – PAW makinasına erişecek olan Adminlerin, PAW Users grubuna eklenmesi gerekmektedir. PAW Users grubuna eklenecek olan admin hesaplarının diğer hesaplardan ayrı ve farklı olması önerilmektedir. Ayrıca PAW makinesi domaine dahil edildiğinde sadece PAW Users grubunda yer alan kullanıcılar bu makineye login olabileceği için minimum bir adet hesabı bu gruba ekliyoruz.

2.PAW Maintenance – PAW bakımı ve sorun giderme görevleri için kullanılacak en az bir hesap ekleyin. PAW Bakım Hesapları nadiren kullanılacaktır. Ayrıca PAW kurulum aşamasında bu hesabı kullanarak makinemizi domaine dahil edeceğimiz için, minimum bir adet hesabı bu gruba ekliyoruz.

Ayrıca birkaç grup ilkesi (GPO) oluşturacaksınız. Bunlar aşağıdaki gibidir.

PAW Configuration – Computer; PAW Configuration – User; RestrictedAdmin Required – Computer; PAW Outbound Restrictions; Restrict Workstation Logon; Restrict Server Logon.

*** Oluşturulacak GPO’lar kesinlikle farklı OU gruplarına eklenmemelidir, içerisinde bulunan sıkılaştırmalar sebebiyle yapınızda bazı sorunlar çıkarabilir, sadece makalede belirtilen OU’lara eklenmelidir.

“PAW Configuration – Computer” Grup İlkesi (GPO) Oluşturma

Bu bölümde, bu PAW’lar için özel korumalar sağlayan yeni bir “PAW Configuration – Computer” GPO’su oluşturacak ve bunu Tier 0 Devices OU’suna (Admin/Tier 0/Devices) bağlayacaksınız.

1.PAW Maintenance Access (PAW Bakım Erişimi) – bu ayar PAW’lar daki belirli ayrıcalıklı grupların belirli bir kullanıcı grubuna üyeliğini ayarlar.

Sonrasında “PAW Configuration – Computer” objesinin üzerine gelerek, Computer Configuration\Preferences\Control Panel Settings\Local Users and Groups altında sırasıyla,

  1. Click New and click Local Group
  2. Select the Update action, and select “Administrators (built-in)” (do not use the Browse button to select the domain group Administrators).
  3. Select the Delete all member users and Delete all member groups check boxes
  4. Add PAW Maintenance (pawmaint) and Administrator (again, do not use the Browse button to select Administrator).

***”PAW Configuration – Computer” GPO’sunu Admin/Tier 0/Devices OU’su altına bağlayın.

2.Restrict Local Group Membership (Yerel Grup Üyeliğini Kısıtla) – bu ayar, local admin gruplarının iş istasyonuna üyeliğinin her zaman boş olmasını sağlar.

Computer Configuration\Preferences\Control Panel Settings\Local Users and Groups altında sırasıyla;

  1. Click New and click Local Group
  2. Select the Update action, and select “Backup Operators (built-in)” (do not use the Browse button to select the domain group Backup Operators).
  3. Select the Delete all member users and Delete all member groups check boxes.
  4. Do not add any members to the group. Simply click OK. By assigning an empty list, group policy will automatically remove all members and ensure a blank membership list each time group policy is refreshed.

Aşağıdaki ek gruplar için yukarıdaki adımları tamamlayın:

  • Cryptographic Operators
  • Hyper-V Administrators
  • Network Configuration Operators
  • Power Users
  • Remote Desktop Users
  • Replicators

3.PAW Logon Restrictions (PAW Oturum Açma Kısıtlamaları) – bu ayar PAW’da oturum açabilen hesapları sınırlar. Bu ayarı yapılandırmak için aşağıdaki adımları izleyin:

  1. Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Allow log on locally.
  2. Select Define these policy settings and add “PAW Users” and Administrators (again, do not use the Browse button to select Administrators).

4.Block Inbound Network Traffic (Gelen Ağ Trafiğini Engelle) – Bu ayar, PAW’a istenmeyen gelen ağ trafiğine izin verilmemesini sağlar. Bu ayarı yapılandırmak için aşağıdaki adımları izleyin:

Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security altında sırasıyla;

  1. Right click on Windows Firewall with Advanced Security and select Import policy.
  2. Click Yes to accept that this will overwrite any existing firewall policies.
  3. Browse to PAWFirewall.wfw and select Open.
  4. Click OK.

5.Configure Windows Update for WSUS (WSUS için Windows Update’i Yapılandırma) – PAW’lar için Windows Update’i yapılandırma ayarlarını değiştirmek üzere aşağıdaki adımları izleyin:

Computer Configuration\Policies\Administrative Templates\Windows Components\Windows Updates altında sırasıyla;

  1. Enable the Configure Automatic Updates policy.
  2. Select option 4 – Auto download and schedule the install.
  3. Change the option Scheduled install day to 0Every Day and the option Scheduled install time to your organizational preference.
  4. Enable option Specify intranet Microsoft update service location policy, and specify in both options the URL of the ESAE WSUS server.

“PAW Configuration – User” Grup İlkesi (GPO) Oluşturma

Bu bölümde, bu PAW’lar için özel korumalar sağlayan ve Tier 0 Hesapları için (Admin/Tier 0/Accounts) OU’suna bağlayacağımız “PAW Configuration – User” GPO’sunu oluşturacaksınız.

1.Block internet browsing (İnternette gezinmeyi engelle) – İnternette gezinmeyi engellemek için bir proxy adresi ayarı (127.0.0.1) olarak yapılandırılır.

User Configuration\Preferences\Windows Settings\Registry. Right-click Registry, select New > Registry Item ve aşağıdaki ayarları yapılandırın.

  1. Action: Replace
    1. Hive: HKEY_CURRENT_USER
    2. Key Path: Software\Microsoft\Windows\CurrentVersion\Internet Settings
    3. Value name: ProxyEnable
    4. Value type: REG_DWORD
    5. Value data: 1
    6. Click the Common tab and select Remove this item when it is no longer applied.
    7. On the Common tab select Item level targeting and click Targeting.
    8. Click New Item and select Security group.
    9. Select the “…” button and browse for the PAW Users group.
    10. Click New Item and select Security group.
    11. Select the “…” button and browse for the Cloud Services Admins group.
    12. Click on the Cloud Services Admins item and click Item Options.
    13. Select Is not.
    14. Click OK on the targeting window.
    15. Click OK to complete the ProxyServer group policy setting

2.Go to User Configuration\Preferences\Windows Settings\Registry. Right-click Registry, select New > Registry Item ve aşağıdaki ayarları yapılandırın:

  1. Action: Replace
    1. Hive: HKEY_CURRENT_USER
    2. Key Path: Software\Microsoft\Windows\CurrentVersion\Internet Settings
    3. Value name: ProxyServer
    4. Value type: REG_SZ
    5. Value data: 127.0.0.1:80
    6. Click the Common tab and select Remove this item when it is no longer applied.
    7. On the Common tab select Item level targeting and click Targeting.
    8. Click New Item and select security group.
    9. Select the “…” button and add the PAW Users group.
    10. Click New Item and select security group.
    11. Select the “…” button and browse for the Cloud Services Admins group.
    12. Click on the Cloud Services Admins item and click Item Options.
    13. Select Is not.
    14. Click OK on the targeting window.

3.User Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer, ve aşağıdaki seçenekleri etkinleştirin. Bu ayarlar, yöneticilerin proxy ayarlarını el ile geçersiz kılmalarını engelleyecektir.

  1. Enable the Disable changing Automatic Configuration settings.
  2. Enable the Prevent changing proxy settings.

4.Adminlerin Alt Katmandaki İş İstasyonlarına Giriş Yapmasını Kısıtlama

Bu bölümde, ayrıcalıklı admin hesaplarının alt katmandaki iş istasyonlarına oturum açmasını önlemek için grup ilkelerini yapılandıracağız.

4.1.“Restrict Workstation Logon” GPO’su oluştur. Bu ayar Tier 0 ve Tier 1 admin hesaplarının standart iş istasyonlarına giriş yapmasını kısıtlar. Bu GPO, “Workstations” OU’suna bağlanmalı ve aşağıdaki ayarlara sahip olmalıdır:

4.1.1.In Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Deny log on as a batch job, select Define these policy settings and add the Tier 0 and Tier 1 groups:

(Aşağıdaki hesaplar Tier 0 ve Tier 1 seviyesindeki hesaplardır.)

  • Enterprise Admins
  • Domain Admins
  • Schema Admins
  • BUILTIN\Administrators
  • Account Operators
  • Backup Operators
  • Print Operators
  • Server Operators
  • Domain Controllers
  • Read-Only Domain Controllers
  • Group Policy Creators Owners
  • Cryptographic Operators
  • Other Delegated Groups
  • Tier 1 Admins

4.1.2.In Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Deny log on as a service, select Define these policy settings and add the Tier 0 and Tier 1 groups:

  • Enterprise Admins
  • Domain Admins
  • Schema Admins
  • BUILTIN\Administrators
  • Account Operators
  • Backup Operators
  • Print Operators
  • Server Operators
  • Domain Controllers
  • Read-Only Domain Controllers
  • Group Policy Creators Owners
  • Cryptographic Operators
  • Other Delegated Groups
  • Tier 1 Admins

4.2.“Restrict Server Logon” GPO’sunu Oluştur – bu ayar, Tier 0 admin hesaplarının Tier 1 sunucularına oturum açmasını kısıtlar. Bu GPO, “Tier 1 Servers” OU’suna bağlanmalı ve aşağıdaki ayarlara sahip olmalıdır.

4.2.1.In Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Deny log on as a batch job, select Define these policy settings and add the Tier 0 groups:

  • Enterprise Admins
  • Domain Admins
  • Schema Admins
  • BUILTIN\Administrators
  • Account Operators
  • Backup Operators
  • Print Operators
  • Server Operators
  • Domain Controllers
  • Read-Only Domain Controllers
  • Group Policy Creators Owners
  • Cryptographic Operators
  • Other Delegated Groups

4.2.2.In Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Deny log on locally, select Define these policy settings and add the Tier 0 groups:

  • Enterprise Admins
  • Domain Admins
  • Schema Admins
  • BUILTIN\Administrators
  • Account Operators
  • Backup Operators
  • Print Operators
  • Server Operators
  • Domain Controllers
  • Read-Only Domain Controllers
  • Group Policy Creators Owners
  • Cryptographic Operators
  • Other Delegated Groups

BUILTIN\Administrators grubununda ekli olması isteniyor ancak, sistem izin vermediği için BUILTIN\Administrators grubunu çıkarıyoruz.

Published by aykut tuylu

Bilişim Teknolojileri sektöründe 9 yıldır çalışmaktayım. Profesyonel iş yaşamımın ilk 6 yılını Halk Bankası bağlı ortaklığı olan Bileşim A.Ş. şirketinde Sistem ve Altyapı Uzmanı olarak geçirdim. Sonrasında Sigorta Bilgi ve Gözetim Merkezi şirketinde 2,5 yıl Kıdemli Sistem Uzmanı olarak çalıştım. Şuanda A&T Bank’da Kıdemli Yönetmen olarak görevime devam etmekteyim. Sakarya Üniversitesi Bilgisayar ve Bilişim Mühendisliği bölümünde Yüksek Lisans eğitimimi tamamladım. Sayfa kurucumuz Sayın Volkan Demirci ile tanıştıktan sonra, Cyber Security ve Identity konularına eğildim, kendisinin yönetiminde bir çok başarılı proje gerçekleştirdik. Sayfamızda Identity ve Security konusunda bir çok paylaşıma ulaşabilirsiniz. İletişim: https://www.linkedin.com/in/aykut-tuylu/

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: