Windows Server21 Mayıs 20268 dakika okuma

Active Directory Güvenlik Sertleştirme: Tier Model, PAW ve Red Forest

Active Directory, kurumsal IT'nin en kritik ve en çok hedef alınan bileşenidir. Tier Admin Modeli, Privileged Access Workstation, Protected Users, Credential Guard ve AD Tiering ile saldırı yüzeyini minimuma indirgeme rehberi.

Active DirectoryTier ModelPAWCredential GuardLAPSAD Güvenlik

Neden Active Directory Hedef Alınıyor?

Active Directory (AD), kurumsal kimlik ve erişim yönetiminin merkezidir. Bir saldırgan Domain Admin yetkisi kazanırsa tüm altyapıya sahip olur: Tüm sunucular, çalışanların e-postaları, dosya sistemleri ve yedekler. Bu nedenle fidye yazılımı gruplarından devlet destekli APT'lere kadar her gelişmiş tehdit aktörünün ilk hedefi AD'yi ele geçirmektir.

En Yaygın AD Saldırı Yöntemleri

  • Pass-the-Hash (PtH): NTLM hash değeri çalınarak şifre bilinmeden kimlik doğrulama.
  • Pass-the-Ticket (PtT): Kerberos ticket çalınarak yetki yükseltme veya lateral movement.
  • Kerberoasting: Servis hesaplarının Kerberos ticket'ı çalınarak offline brute force ile şifre kırma.
  • DCSync: Domain Controller gibi davranarak AD veritabanından hash dump etme (genellikle Mimikatz ile).
  • Golden Ticket: KRBTGT hesabının hash'i ele geçirilirse sınırsız Kerberos ticket üretme. Tespit çok zordur.

Tier Admin Modeli

Microsoft'un önerdiği Tier Model, ayrıcalıklı hesapların yalnızca kendi katmanlarındaki sistemlere erişmesini sağlar:

  • Tier 0 — Kimlik Katmanı: Domain Controller'lar, AD yönetim araçları, AAD Connect. Tier 0 admini yalnızca DC'leri yönetir; başka hiçbir sisteme bu hesapla giriş yapılmaz.
  • Tier 1 — Sunucu Katmanı: Uygulama sunucuları, veritabanları, dosya sunucuları. Tier 1 admini sunucuları yönetir; kullanıcı PC'lerine bu hesapla giriş yapılmaz.
  • Tier 2 — İş İstasyonu Katmanı: Kullanıcı bilgisayarları. Helpdesk hesapları yalnızca bu katmanda yetkilidir.

Katmanlar arası geçiş yasaktır: Tier 1 hesabıyla DC'ye, Tier 0 hesabıyla kullanıcı PC'sine giriş yapılamaz. GPO veya Authentication Policy Silo ile uygulanır.

PAW — Privileged Access Workstation

Ayrıcalıklı işlemler için kullanılan izole iş istasyonları:

  • PAW, yalnızca yönetim görevleri için kullanılır; e-posta okuma, web gezintisi veya belge düzenleme yapılmaz.
  • Sertleştirilmiş işletim sistemi: AppLocker/WDAC ile yalnızca onaylı uygulamalar çalışır.
  • Ağ erişimi kısıtlı: Yalnızca yönetim hedeflerine erişim izni vardır.
  • Fiziksel güvenlik: PAW'lar kilitli rafta veya güvenli alanda saklanır.

Protected Users Güvenlik Grubu

AD'deki Protected Users grubuna eklenen hesaplar otomatik olarak kısıtlanır:

  • NTLM kimlik doğrulama kullanılamaz (yalnızca Kerberos).
  • DES ve RC4 şifreleme reddedilir (AES zorunlu).
  • Kerberos TGT ömrü 4 saate sınırlanır.
  • Kimlik bilgileri bellekte önbelleğe alınmaz (Pass-the-Hash'e karşı doğal koruma).

Tüm Tier 0 ve Tier 1 hesapları Protected Users grubuna eklenmelidir.

Credential Guard

Windows 10/11 ve Server 2016+ üzerinde Virtualization-Based Security (VBS) kullanarak kimlik bilgilerini izole eder:

  • NTLM hash ve Kerberos ticket'ları korumalı sanal alanda (Secure World) saklanır.
  • Kernel düzeyinde çalışan zararlı yazılım bile (Mimikatz dahil) bu bilgilere erişemez.
  • GPO veya Intune ile aktif edilebilir: Device Guard → Turn on Windows Defender Credential Guard

LAPS — Yerel Admin Şifre Yönetimi

Her bilgisayardaki yerel administrator hesabının şifresini otomatik, benzersiz ve döngüsel olarak yönetir:

  • Aynı yerel admin şifresi tüm bilgisayarlarda kullanılıyorsa bir bilgisayar ele geçirildiğinde lateral movement kolaylaşır.
  • LAPS her 30 günde (yapılandırılabilir) şifreyi değiştirir; şifre AD'de şifreli saklanır.
  • Windows LAPS (Windows Server 2022 ve Windows 11 22H2+ dahil yerel): Azure AD veya AD'de şifre yönetimi; artık ayrı kurulum gerektirmiyor.

AD Audit ve Tehdit Tespiti

  • Oturum açma olayları (Event ID 4624, 4625), grup üyeliği değişiklikleri (4728, 4732), GPO değişiklikleri (5136) SIEM'e gönderilmelidir.
  • Microsoft Defender for Identity (MDI): AD ortamındaki şüpheli aktiviteleri (Kerberoasting, DCSync, Golden Ticket) gerçek zamanlı tespit eder.
  • Honeypot hesapları: Hiç kullanılmaması gereken decoy hesaplara erişim girişimi anında alarm üretir.

Sonuç

Active Directory güvenliği katmanlı bir yaklaşım gerektirir: Tier Model, PAW, Credential Guard ve LAPS birlikte uygulandığında saldırı yüzeyi dramatik biçimde daralır. Lider Network, AD güvenlik değerlendirmesi ve sertleştirme projelerinde hizmetinizdedir.

İlgili Makaleler

Windows Server

Windows Server 2025 Nedir? Yeni Özellikler ve Kurumsal Yenilikler

Oku Windows Server

Windows Server 2022 vs 2025: Hangisini Seçmeli?

Oku Windows Server

Windows Server Active Directory: Kurulum, Tasarım ve En İyi Uygulamalar

Oku
Tüm MakalelerÜcretsiz Altyapı Analizi