Admin Forest modelinin amacı, mevcut ortamın kontrolünü domain ve security hardening çalışmaları yapılmış güvenli farklı bir forest üzerinden gerçekleştirmek ve kötü niyetli kişilerin hedef aldığı kritik sistemlere erişimleri esnasında bir tampon bölge kullanarak kimlik sistemlerini korumaktır.
Admin Forest, Active Directory altyapısını yönetmek için tasarlanmış güvenli ve iyi korunan forest referans mimarisidir. Bu metodoloji, mevcut AD forestı içerisindeki Domain Controller, yönetici hesapları, kritik sunucular gibi varlıklar üzerinde doğrudan veya dolaylı olarak yönetim denetimine sahip olan “Tier 0” hesaplarına odaklanır.
Gelişmiş siber saldırılardaki popüler bir teknikte, ayrıcalıklı hesapların ve bunlarla ilişkili kimlik bilgilerinin ele geçirilerek, Tier 0 seviyesindeki Domain Controller’a ulaşmak için kullanılmasıdır. Bir Domain Controllerin güvenliği ihlal edildiğinde, BT altyapısının tamamında sınırsız erişime sahip olacaktır. Bu ve bunun benzeri senaryoların önüne geçmek için Admin Forest kurulumu ve yapılandırmasını inceleyeceğiz.
Admin Forest Aşamalı Uygulama
Etkin bir Admin Forest yapılandırması iki aşamaya ayrılmıştır. İlgili yapılandırmalar sırasında, her bir adım dikkatle takip edilmeli ve atlanmamalıdır. Birçok adım birbirine bağlılık göstermekle beraber, sırasıyla yapılmalıdır.
AŞAMA 1 – Admin Forest İçin Yeni Active Directory Ortamı Kurulması; Mevcutta bulunan bir Active Directory ortamını, yeni oluşturacağımız Admin Forest ortamına dahil edeceğimiz için ilk olarak yeni bir Active Directory ortamı kurarak işlemlerimize başlayacağız.
AŞAMA 2 – Admin Forest Yapılandırılması ve Bağlantı Testlerinin Yapılması; Yeni kuracağımız Management Active Directory ortamımız ile mevcut Active Directory ortamımız arasında gerekli işlemleri yaparak, Admin Forestı yapılandıracak ve bağlantı kontrollerini sağlayacağız.
AŞAMA 3 – Admin Forest Korumasını Genişletme ve Öneriler; Yönetimsel işlemlerimizi artık Admin Forest üzerinden gerçekleştireceğimiz için, sunucu ve domain controller bazında güvenliği arttırmamız gerekmektedir. Bu sebepten dolayı yapılması gereken ve önerilen çalışmaları kapsamaktadır.
AŞAMA 1 – Admin Forest İçin Yeni Active Directory Ortamı Kurulması
Yeni kuracağımız 2019 sunucunun ismini belirledikten sonra, dil bölge ve saat ayarlarını yaptığımıza ve tüm update paketlerini yüklendiğimize emin olmamız gerekmektedir.
Bu işlemlerden sonra aşağıdaki adımları takip ederek Active Directory kurulumunu gerçekleştirebiliriz.
Sunucumuz üzerinden Server Manager’a giriş yapıyoruz. Dashboard ekranı üzerindeyken Add roles and features seçeneğine tıklıyoruz.
Gelen karşılama ekranında, bu ekran üzerinden yapabileceklerimiz hakkında bilgiler verilmektedir, Next diyerek devam ediyoruz.
Installation Type alanında Role-based or feature-based installation seçimini yaparak Next ile ilerliyoruz.
Server Selection alanında Active Directory rolünün hangi sunucuya kurulacağı seçilecektir. AD’yi bu sunucu üzerinde yapılandıracağımız için Next ile devam ediyoruz.
Server Roles alanında Active Directory kurulumu için gerekli olan Active Directory Domain Services rolünü işaretliyoruz ve Next ile devam ediyoruz.
Active Directory Domain Services rolünü kurmak istediğimizde bu rolün kurulabilmesi için farklı özelliklerin ve bileşenlerin gerekli olduğunu gösteren bir ekran karşımıza çıkıyor. Rol kurulumu için gerekli olan bu bileşenlerinde yüklenmesi için Add Features butonuna tıklayarak Next ile devam ediyoruz.
Bir sonraki ekranımızda özellik ekleme ekranı karşımıza çıkmaktadır. Ekleyeceğimiz herhangi bir özellik bulunmadığı için bu alanı Next ile geçiyoruz.
Gelen ekranımızda Office 365 Azure üzerindeki Active Directory yapısına bağlama imkânımız olduğunun bilgisi verilmektedir. Biz şu anda böyle bir aksiyon almayacağımız için Next ile bir sonraki adıma ilerliyoruz.
İşlemlerimizin sonuna geliyoruz, şimdiye kadar olan seçimlerimizin bir özeti karşımıza gelmektedir. Kontrol ettikten sonra Install butonuna tıklayarak kuruluma başlıyoruz.
Gelen ekranda işlemimizin başarıyla tamamlandığı görülmektedir. Biz şuanda sadece Active Directory Domain Services rolünün kurulumunu gerçekleştirdik. Active Directory mimarisini devreye alabilmemiz için yapılandırma adımına geçmemiz gerekmektedir.
Bu işlemden sonra Active Directory kurulum ve yapılandırmasına başlayabiliriz. Active Directory kurulumunu gerçekleştirebilmek için, Server Manager’da Notifications üzerine gelerek, Promote this sunucu to a domain controller seçeneğine tıklıyoruz.
Deployment Configuration alanında Add a new forest seçeneğini işaretledikten sonra Root Domain Name alanına oluşturmak istediğimiz domain adını yazmamız gerekmektedir. Biz bu domaini bir management domaini olarak yapılandıracağımız için ismini “volsysmgmt.com” olarak belirliyorum.
Forest Functional Level ve Domain Functional Level belirleme işlemlerini yapacağız. Biz Windows Server 2019 işletim sistemine sahip bir sunucu üzerinde kurulum yaptığımız için Forest Functional Level ve Domain Functional Level bilgilerini Windows Server 2016 seçerek devam edebiliriz.
Domain controller options alanında birde Type the Directory Services Restore Mode (DSRM) Password işlemi için bir paralo belirlememiz istenmektedir. Bu parola, Active Directory çalışmadığında, erişilemediğinde kullanılacak local admin şifresi’dir. Şifremizi de belirleyerek, devam ediyoruz.
Bu ekranımızda DNS sunucumuz kurulu olmadığından bir uyarı almaktayız. Domain Controller kurulumu sırasında DNS rolüde beraberinde otomatik olarak kurulmaktadır ilgili ekranı Next ile geçerek devam ediyoruz.
Addtional Options alanında domainimizin Domain NetBIOS ismine karar veriyoruz. Domain NetBIOS name tek olmak zorundadır. Ben burada domainimin ön adı olan “VOLSYSMGMT” olarak belirliyorum.
Paths alanında Active Directory’nin database, log ve sysvol klasörlerinin nerede tutulacağı bilgisi yer almaktadır. Herhangi bir değişiklik yapmadan varsayılan klasörlerle Next diyerek devam ediyoruz.
Review Options alanında bu adıma gelene kadar yapmış olduğumuz işlemlerle ilgili bilgi verilmektedir. Kontrol ettikten sonra Next ile devam ediyoruz.
Prerequitisites Check alanında gereksinimlerin sağlanıp sağlanamadığı kontrol edilir. Install diyerek işlemimize devam ediyoruz.
Result alanında Active Directory Domain Services, DNS Server rolü ve özellik yükleme işlemi tamamlandıktan sonra sunucumuz restart edilecektir.
Tüm bu işlemlerden sonra Active Directory kurulumunu başarılı bir şekilde tamamlamış olduk.
Admin Forest Kurulumu ve Yapılandırılması 2 makalesine geçerek, AŞAMA 2 – Admin Forest Yapılandırılması ve Bağlantı Testlerinin Yapılması adımlarına ulaşabilirsiniz.
Azure Security - Cyber Security 