Hazırlayan: [kazakherif]
Tarih: 2025-07-13
Amaç: Windows Server ortamında Active Directory servisinin güvenliğini artırmak için uygulanabilir temel önlemleri sistematik biçimde sunmak.
Domain Admin grubundaki her kullanıcı tüm ağda tam yetkilidir. Bu grupta yalnızca zorunlu kişileri tut.
Kontrol Etmek İçin:
net group "Domain Admins" /domainServislerin çalışması için Domain Admin gibi yüksek yetkili hesaplar kullanma. Her servis için ayrı, minimum yetkili kullanıcı oluştur.
Kerberos pre-auth kapalıysa, parola hash’i kolayca brute-force edilebilir.
Tespit Etmek İçin:
Get-ADUser -Filter {DoesNotRequirePreAuth -eq $true}Aktif olmayan kullanıcılar saldırganların hedefidir. Son giriş tarihine göre filtreleme yap.
Örnek:
Search-ADAccount -AccountInactive -TimeSpan 90.00:00:00Brute-force saldırılarını engellemek için kullanıcı parolaları yanlış girildiğinde hesapların geçici kilitlenmesini sağla.
GPO Ayarı:
Computer Configuration > Policies > Windows Settings > Security Settings > Account Lockout PolicyDomain Admin’ler yalnızca Tier-0 sistemlere bağlanmalı. Bu model, lateral movement riskini azaltır.
Domain Admin hesaplarının istemci makinelerden RDP ile oturum açması güvenlik riski doğurur. Grup ilkesiyle kısıtla.
GPO Ayarı:
Deny log on through Remote Desktop ServicesTüm istemcilerde aynı local admin şifresi olması büyük risktir. LAPS ile her cihaz için şifre farklı ve merkezi olarak yönetilir.
AD üzerindeki başarısız oturumlar, yetki değişiklikleri gibi olayları denetimle ve loglarla takip et.
Örnek Event ID’ler:
Saldırganlar genellikle PowerShell ile işlem yapar. Script block logging, module logging gibi özellikler açık olmalı.
GPO Ayarları:
Computer Configuration > Administrative Templates > Windows Components > Windows PowerShell > Enable Logging