- Unutulan Servis Hesaplarını Keşfedin ve Envanterini Oluşturun
- Gerçek Dünyadan Bir Örnek: Botnet’in Unutulmuş Hesapları Ele Geçirmesi
- Yetki İstiflenmesi ve Sessiz Yükselme
- AD Servis Hesaplarını Güvende Tutmanın Temel Uygulamaları
- En Az Ayrıcalık İlkesi
- Yönetilen Servis Hesapları ve Grup Yönetilen Servis Hesapları Kullanın
- Düzenli Denetim Yapın
- Güçlü Şifre Politikasını Zorlayın
- Kullanımı Sınırlayın
- Kullanılmayan Hesapları Pasif Hale Getirin
- Rolleri Ayırın
- MFA’yı Gerekli Yerde Uygulayın
- Özelleşmiş Organizasyon Birimleri Kullanın
- Otomasyon ve Araçlar AD Servis Hesap Güvenliğini Basit Hale Getirir
Unutulan Servis Hesaplarını Keşfedin ve Envanterini Oluşturun
Aktif Dizin (AD) ortamında, servis hesapları genellikle göz ardı edilen unsurlardır ve kendi varlıkları içerisinde unutulabilirler. Bu unutulmuş hesaplar, özellikle eski uygulamalar, planlı görevler, otomasyon scriptleri ve test ortamları gibi çeşitli amaçlarla oluşturulmuşlardır. Zamanla bu hesapların amaçları unutulabilir ve çoğu zaman şifreleri geçersiz veya stale hale gelir. Güvenlik ekipleri, günlük iş talepleriyle boğuşurken, bu unvanları gözden kaçırma eğilimindedir. Ancak, bu tarz gizli hesaplar saldırganlar için cazip hedefler haline gelebilir.
Peki, unutulmuş AD servis hesaplarının neden bu kadar tehlikeli olduğunu biliyor musunuz? Örneğin, 2020’de gerçekleşen SolarWinds saldırısı, bu tarz hesapların toplamda nasıl büyük bir tehlike oluşturabileceğini göstermektedir. İlk olarak, saldırganlar bir merkezi noktada içeri sızdıktan sonra, genellikle servis hesaplarını hedef alarak daha yüksek yetki elde etmek için yanlara geçiş sağlamak isterler. Bu nedenle, unuttuğunuz veya izlenmeyen AD servis hesaplarını tanımlamak için bazı teknikler geliştirmek kritik önemdedir.
AD’yi sorgulamak, servis ismi (SPN) etkin hesapları belirlemek, uzun süre hiçbir oturum açılmamış hesapları filtrelemek ve planlanmış görevlerle ya da scriptlerle ilgili gömülü kimlik bilgilerini gözden geçirmek gibi bazı yöntemler, bu hesapların varlığını anlamak adına faydalıdır.
Gerçek Dünyadan Bir Örnek: Botnet’in Unutulmuş Hesapları Ele Geçirmesi
2024 yılının başlarında, güvenlik araştırmacıları Microsoft 365 servis hesaplarını hedef alan ve 130,000’den fazla cihazı içeren bir botnet buldu. Saldırganlar, çok faktörlü kimlik doğrulamayı (MFA) aşmak için eski bir doğrulama sistemi kullanarak şifre sprinkler kampanyası yürüttüler. Bu tür saldırılar, alışılmış güvenlik bildirimlerine yol açmadığı için çoğu organizasyon tarafından fark edilmeden kalmıştır. Bu örnek, servis hesaplarının güvenliğini sağlamak ve eski doğrulama mekanizmalarını ortadan kaldırmanın önemini göstermektedir.
Yetki İstiflenmesi ve Sessiz Yükselme
Başlangıçta minimum izinle oluşturulmuş servis hesapları, zaman içerisinde yetki istiflenmesi adı verilen bir olaya dönüşebilir. Sistem yükseltmeleri, rol değişiklikleri veya iç içe gruplar nedeniyle bu hesaplar zamanla daha fazla yetki kazanabilir. Bu durum, başlangıçta düşük riski olan bir hesap, kritik sistemlere erişim sağlayabilen bir tehdit haline gelmesine yol açar. Bu nedenle, güvenlik ekipleri, servis hesaplarının rolleri ve izinlerini düzenli olarak gözden geçirmelidir.
AD Servis Hesaplarını Güvende Tutmanın Temel Uygulamaları
AD servis hesaplarının yönetimi, dikkatli ve disiplinli bir yaklaşım gerektirir. Aşağıdaki en iyi uygulamalar, güçlü bir AD servis hesabı güvenlik stratejisinin temelini oluşturur:
En Az Ayrıcalık İlkesi
Her hesabın yalnızca işlevini yerine getirmek için gereken izinlere sahip olmasını sağlayın. Hizmet hesaplarını geniş ya da güçlü gruplara yerleştirmekten kaçının.
Yönetilen Servis Hesapları ve Grup Yönetilen Servis Hesapları Kullanın
Yönetilen servis hesapları (MSA) ve grup yönetilen servis hesapları (gMSA), otomatik şifre döngüsü sağlar ve etkileşimli oturum açmak için kullanılamaz. Bu, onları daha güvenli hale getirir.
Düzenli Denetim Yapın
Kullanım, giriş ve izin değişikliklerini takip etmek için yerleşik AD denetim araçlarını veya üçüncü taraf araçlarını kullanın.
Güçlü Şifre Politikasını Zorlayın
Uzun ve karmaşık parolalar standart olmalıdır. Yeniden kullanılan ya da gömülü kimlik bilgilerini önleyin.
Kullanımı Sınırlayın
Hizmet hesaplarının interaktif oturum açmasına izin verilmemelidir. Her hizmet veya uygulama için ayrı bir hesap atamak, muhtemel bir tehdidi sınırlamak için yeterlidir.
Kullanılmayan Hesapları Pasif Hale Getirin
Bir hesap artık kullanılmıyorsa hemen devre dışı bırakılmalıdır. Periyodik PowerShell sorguları, durgun veya aktif olmayan hesapları belirlemenize yardımcı olabilir.
Rolleri Ayırın
Farklı işlevler için ayrı servis hesapları oluşturun. Bu bölümlendirme, bir ihlalin etkisini azaltır.
MFA’yı Gerekli Yerde Uygulayın
Eğer aralarına etkileşimli oturum açma gereksinimi olan hesaplar varsa, MFA’yı etkinleştirin.
Özelleşmiş Organizasyon Birimleri Kullanın
Servis hesaplarını belirli birimde gruplamak, politika uygulamasını ve denetimi kolaylaştırır.
Otomasyon ve Araçlar AD Servis Hesap Güvenliğini Basit Hale Getirir
Specops Password Auditor, AD üzerinde güçlü parolaları, kullanılmayan hesapları ve diğer zayıf noktaları belirlemek için okuma-kullanım taramaları yapar. Bu süreç, herhangi bir AD ayarını değiştirmeden gerçekleştirilir. Güvenlik uzmanları, AD servis hesaplarıyla ilgili riskleri proaktif bir şekilde ele alabilir ve büyük bir ihlali önleyebilir. Diğer gerekli en iyi uygulamaları otomatik hale getirecek araçlar gibi Specops Password Policy, proje yönetimi açısından büyük bir kolaylık sağlar.
