Active Directory Tier Modeling Uygulanması

Daha önceki makalelerimizde Yetkili Hesapların Yanlış Kullanımı Sonucu Karşılaşılabilecek Problemler konusunda, kötü amaçlı kişilerin yetkili hesapları ele geçirdiği zaman kendilerini Domain Admin seviyelerine kadar nasıl çıkartabildiğini incelemiştik. Şimdi ise bu tür durumlarla karşı karşıya kalmamak için Microsoft’unda önerdiği Tier Modeling yapısına geçiş yapacağız. Tier modeling ile AD üzerindeki yetkili hesapları T0,T1 ve T2 olmak üzere 3 gruba ayırarak, yönetimini gerçekleştireceğiz.

T2 : Workstation Administrators (Workstation Admins) – Sadece Client Bilgisayarlara erişim hakkı olacak

T1 : Data Administrators (Server Admins) – Sadece Sunuculara erişim hakkı olacak

T0 : Service Administrators (Domain Admins, Enterprise Admins) – Sadece Domain Controller’a erişim hakkı olacak

Bu yapı ile birlikte sistem yöneticilerin 1 hesabı bulunurken, 3 hesap daha oluşturulacak, toplamda sistem yöneticilerinin 4 adet hesabı bulunacaktır. Hesap isimlendirmeleri yapılırken kişilerin isim ve soy isminin ilk harfleri, yöneteceği sisteme göre (dc,srv,ws) ibareleri, admin yetkisi bulunacağı içinde (adm) ibareleri yer alacaktır. Bu bizim seçmiş olduğumuz bir yöntem olup, farklı şekilde de isimlendirme yapılabilir.

Örnek olarak;

aykut.tuylu – Tüm yetkileri kaldırılacak sadece varsayılan olarak Domain Users grubu üyeliği kalacak ve kendi bilgisayarına giriş yapabilmek için kullanacaktır.

atwsadm – T2 seviyesinde, sadece son kullanıcı bilgisayarlarında işlem yapabilmek için (Program kurulumu vb, admin yetkisi gerektiren işlemler için) kullanılacaktır. Domain Users grubu üyesi olacak, son kullanıcı bilgisayarlarının GPO ile local admin grubuna eklenecektir.

atsrvadm – T1 seviyesinde, sadece yapıdaki sunucularda işlem yapabilmek için (Sunucu yönetimi) Domain Users grubu üyesi olacak, sunucularda GPO ile local admin grubuna eklenecektir.

atdcadm – T0 seviyesinde, sadece yapıdaki DC’lerde işlem yapabilmek (AD yönetimi) için Domain Admin yetkisine sahip olacak, ancak DC’ler haricindeki hiçbir makine ve sunucuya giriş yapamaması için AD üzerinde tanımlama yapılacaktır.

Tier modeling yapısına geçildikten sonra, önceki örneklerimizde hesabı ele geçiren kötü amaçlı kişiler bu hesapları kullanarak kendilerini Domain Admin seviyelerine çıkartabilmekteydi, bu yapı sayesinde son kullanıcı bilgisayarları ve sunuculara Domain Admin yetkisi bulunan bir hesap ile hiçbir zaman giriş yapılamayacağı için yetki yükseltme gibi bir işlem hiçbir zaman gerçekleştirilemeyecektir. Bu işlem öncesinde Windows Güvenlik önlemleri konusunda gerekli aksiyonları almıştık, bu yapıya geçerek güvenlik seviyemizi daha da yukarılara çıkartıyoruz.

İlk olarak AD üzerinde Tier Modeling isimli bir OU oluşturup, altına T0,T1 ve T2 isimli yeni OU’lar açıyoruz.

AD Delegation Tier 0 kapsamında ilk olarak Domain Admins grubu düzenlenecektir. Oluşturmuş olduğumuz OU üzerinde T0’a gelerek, Aykut Tuylu kullanıcısı için atdcadm hesabını oluşturuyoruz. Aynı işlemleri Bilgi Teknolojileri bölümünde çalışan diğer kullanıcılar içinde gerçekleştiriyoruz.

Kullanıcıyı oluşturduktan sonra, Domain Admins grubundan aykut.tuylu hesabını ve diğer bilgi teknolojileri çalışanlarının hesaplarını çıkartıyoruz.

Sonrasında ise Domain Admins grubuna gelerek, T0 seviyesinde oluşturmuş olduğumuz yeni userları bu gruba üye yapıyoruz.

Sonrasında ise Domain Admins grubuna eklemiş olduğumuz T0 seviyesindeki kullanıcıların, bu hesaplarını kullanarak bilgisayar ve sunuculara giriş yapamaması için AD üzerinden bir tanımlama yapmamız gerekmektedir. Çünkü Domain Admins grubuna üye olan tüm kullanıcılar Domain yapısından gelen özellik sebebiyle tüm bilgisayar ve sunucularda admin yetkisine sahip durumdadırlar. Oluşturmuş olduğumuz Tier Modeling kapsamında Domain Admins üyesi olan hiçbir kullanıcının sunucu ve bilgisayarlara giriş yapmasını istemiyoruz, sadece DC yönetimlerinde kullanılmasını istiyoruz. Bu sebepten dolayı T0 için oluşturmuş olduğumuz atdcadm kullanıcısının üzerine gelerek, Log On To alanından, All computers (Tüm bilgisayarlarda login olabilir) özelliğini kapatıyor The following computers seçeneğini seçerek (sadece aşağıda bilgileri bulunan bilgisayarlara login ol) DC’lerimiz olan AYKUTDC01 ve AYKUTDC02’yi buraya ekleyerek, sadece bu makinalara login olmasına izin veriyoruz. Aynı işlemi diğer Bilgi Teknoljoileri çalışanları içinde gerçekleştiriyoruz.

AD Delegation Tier 1 kapsamında Sunucu yöneticileri için çalışma yapılacaktır. Oluşturmuş olduğumuz OU üzerinde T1’e gelerek, Aykut Tuylu kullanıcısı için atsrvadm hesabını oluşturuyoruz. Aynı işlemleri Bilgi Teknolojileri bölümünde çalışan diğer kullanıcılar içinde gerçekleştiriyoruz.

AD Delegation Tier 2 kapsamında Client Bilgisayar (Workstation) yöneticileri için çalışma yapılacaktır. Oluşturmuş olduğumuz OU üzerinde T2’e gelerek, Aykut Tuylu kullanıcısı için atwsadm hesabını oluşturuyoruz. Aynı işlemleri Bilgi Teknolojileri bölümünde çalışan diğer kullanıcılar içinde gerçekleştiriyoruz

Ardından yapımızda Server Admins isimli bir grup oluşturarak, T1 seviyesinde oluşturmuş olduğumuz userları bu gruba üye yapıyoruz.

Ardından yapımızda Workstations Admins isimli bir grup oluşturarak, T2 seviyesinde oluşturmuş olduğumuz userları bu gruba üye yapıyoruz.

Bilgi Teknolojileri çalışanlarına ait hesaplar client user, workstation admin, server admin, domain admin olmak üzere 4’e ayrıştırılmıştır.

Tüm bu işlemler tamamlandıktan sonra aşağıdaki “Tier Modeling Sonrası GPO İle Admin Hesaplarının Ayrıştırılması” konusunu takip ederek, GPO üzerinden gerekli yetkilendirmeleri yapacağız.

Tier Modeling Sonrası GPO İle Admin Hesaplarının Ayrıştırılması

Önceki makalemizde Tier Modeling yapısını AD’mize uygulamıştık. Şimdi ise oluşturmuş olduğumuz Server Admins ve Workstation Admins gruplarını bilgisayar ve sunucularda local admin (Administrators) alanına eklememiz gerekmektedir.

Bu işi bir bilgisayar üzerinde Local Users and Groups altında Groups bölümünden kolayca yapmanız mümkündür ancak bunu birden fazla bilgisayar için yapmanız gerekiyorsa tek tek uğraşmak zaman kaybı olacaktır. Bu sebepten dolayı yapacağımız işlemi GPO ayarı ile toplu olarak gerçekleştireceğiz.

Group Policy Management ekranına giriş yapıyoruz, bizim bilgisayarlarımız yapımızda Organizasyonlar OU’su altında yer aldığı için bu OU üzerine gelerek, New GPO diyerek Workstation Admins isimli politikamızı oluşturmaya başlıyoruz.

Sonra Computer Configiration/Preferences/Control Panel Settings/Local Users and Groups alanına geliyoruz. Buradan New/Local Group ile devam ediyoruz.

Açılan pencerede Action bölümü Update olarak kalmalıdır. Bu, az sonra seçeceğiniz grup üzerinde bir güncelleme (ekleme) yapacağınız anlamına gelmektedir. Group name bölümünde ise Administrators (built-in) hesabını seçiyoruz. Sonrasında Add butonu ile Administrators grubuna eklemek istediğiniz kullanıcı veya grubu seçmemiz gerekmektedir. Biz Workstation Admins grubunu seçeceğimiz için, bu grubu ekleyerek devam ediyoruz.

Bu GPO’nun bağlı olduğu OU altındaki bilgisayarlar bir sonraki açılışlarında veya bir sonraki gpupdate döngüsünde bu ayarı almış olacaklar. Ya da sonucu hızlıca görmek için bir istemci üzerinde gpupdate /force çalıştırıp Local Administrators grubu üyelerini kontrol edebiliriz.

Server Admins

Group Policy Management ekranına giriş yapıyoruz, bizim sunucularımız yapımızda Serverlar OU’su altında yer aldığı için bu OU üzerine gelerek, New GPO diyerek Server Admins isimli politikamızı oluşturmaya başlıyoruz.

Sonra Computer Configiration/Preferences/Control Panel Settings/Local Users and Groups alanına geliyoruz. Buradan New/Local Group ile devam ediyoruz.

Açılan pencerede Action bölümü Update olarak kalmalıdır.. Bu, az sonra seçeceğiniz grup üzerinde bir güncelleme (ekleme) yapacağınız anlamına gelmektedir. Group name bölümünde ise Administrators (built-in) hesabını seçiyoruz. Sonrasında Add butonu ile Administrators grubuna eklemek istediğiniz kullanıcı veya grubu seçmemiz gerekmektedir. Biz Server Admins grubunu seçeceğimiz için, bu grubu ekleyerek devam ediyoruz.

Domain Admins için herhangi bir aksiyon almamız gerekmemektedir. Daha önce T0 hesaplar için Active Directory üzerinde Log On To ayarı yapmış, Domain Admin hesaplarının sadece Domain Controller’a erişebilmesini sağlamıştık. Bu sayede ayrıca Domain Controller hesapları ile yetkisi olsa dahi Domain Controller haricinde client bilgisayar ve sunuculara login olunamayacaktır.

3Comments

Add yours

1

DC on April 19, 2021 at 8:14 am

Hocam merhaba;

Öncelikle bu değerli bilgiyi bu şekilde paylaşarak yol gösterdiğiniz için teşekkür ederim. Bu konuyla alakalı bir sorum olacaktı sizlere.

DC seviyesinde yaptığım işlemlerde T0 kullanıcılarıyla dc ve adc lerde oturum açıldığında replikasyon işlemleri hataya düşüyor ancak dc ve adc de administrator olarak oturum açtığım zaman replikasyon işlemleri normal şekilde başlamaya çalışıyor. Bu konuyla alakalı birkaç şey denedim ancak çözüme kavuşturamadım, siz daha önce benzer bir konuyla karşılaştınız mı?

İyi çalışmalar.

LikeLike
- 2
  
  aykut tuylu on May 10, 2021 at 12:15 pm
  
  Merhabalar,
  
  Değerli yorum ve geri dönüşleriniz için teşekkür ederiz. Soruna gelecek olursak, DC üzerindeki T0 kullanıcıları minumum Domain Admin yetkisine sahip kullanıcılardır, zaten bu yetkiye sahip olmasalar DC’ye login gerçekleştiremezler. Bu sebepten dolayı bu kullanıcıların yetkilerinden kaynaklı replikasyon yapamaması yada sorun yaşatması çok olası görünmüyor. DC üzerindeki Administrator hesabı da bir nevi T0 hesabıdır, burada benim naçizane tavsiyem, bu hesaplarla ilgili bir farklılık olup, olmadığını kontrol etmen yönünde olacaktır. Bu hesaplara yada bu hesapların bulunduğu OU’ya uygulanan bir politika bir ayar, yada bu hesaplara verilmiş bir delegasyon olup olmadığını kontrol edebilirsin. Ek olarak sorun yaşadığın T0 hesapları için Log On To ayarı yaptıysan, o ayarı kaldırıp tekrar deneyebilirsin.
  
  LikeLike
3

Privileged Access Workstations Kurulumu ve Yapılandırılması 2 – Azure – Cyber Security on November 12, 2021 at 1:40 pm

[…] https://volkandemirci.org/2021/01/15/active-directory-fine-grinde-password-policy-fgpp-yapilandirma/ […]

LikeLike