Forum

Active Directory - ...
 
Bildirimler
Hepsini Temizle

[Çözüldü] Active Directory - Sıkılaştırma Hakkında

6 Yazılar
2 Üyeler
2 Reactions
3,064 Görüntüleme
(@yusufozbakir)
Gönderiler: 7
Active Member
Konu başlatıcı
 

Merhaba,

Hakan hocanın 'Active Directory Güvenliği İçin 10 Temel Öneri' makalesinde 2. sırada yer alan 'Yönetici Hesapları Ayrıştırılması'(*) işleminin nasıl yapıldığına dair elinde bir makale olan varsa paylaşabilir mi?

(*)2 – Yönetici Hesapları Ayrıştırılması

Bir diğer sık yaptığımız hata ise tek bir kullanıcı hesabı ile hem kişisel bilgisayarımızı hem Forest/Domain ortamını yönetiyor olmamız. Burada her şirket için farklı çözüm oluşturabileceğimiz gibi en iyi senaryo olarak kendi bilgisayarımız için “hakan”, uzak son kullanıcı bilgisayarlarını yönetmek için “wrk_hakan”, domain ortamındaki sunucuları yönetmek için “srv_hakan” ve Active Directory, Exchange, CA Server gibi kritik alt yapı sunucuları için “ent_hakan” kullanıcı hesaplarını oluşturmanız ve en önemlisi de örneğin srv_hakan kullanıcısının veya buna bağlı grubun üyelerinin herhangi bir son kullanıcı bilgisayarına giriş yapmasına izin vermemeniz gereklidir. Benzer şekilde ent_hakan da DC, Exchange gibi sunucuların dışında herhangi bir sunucuya login olmamalıdır. Ayrıca varsayılan olarak gelen domain admins grubu tüm bilgisayarlarda local admin olduğu için onu da kaldırmanız ve son kullanıcı makineleri, sunucular için ayrı lokal admin grupları oluşturmanız şarttır.

 
Gönderildi : 29/03/2021 16:41

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Selam, bunun bir makalesi yok ne yazık ki, temel olarak 3 ayrı veya 4 ayrı grup ve hesap açıyorsunuz, her grup ve hesap için gpo ile yetkilendirme yapıyorsunuz, bu sayede wrkadmin srvadmin in girebildiği sunuculara giremiyor. Ancak temelde bu sistemin zafiyeti her hesap için aynı şifreyi girebiliyor admin, bunu da yapar ise tabi ki kendi topuğuna sıkar ama işte büyük yapılarda bu olmasın diye PAM ürünleri kullanılıyor.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 29/03/2021 17:01

(@yusufozbakir)
Gönderiler: 7
Active Member
Konu başlatıcı
 

Hakan hocam selamlar, 

Hızlı çözüm için kısa bir kaç işlem yaptım. Müsait olduğumda daha da kapsamlı bakacağım bu konuya.

İhtiyacı olanlar için gpo yolunu aşağıya ekliyorum. Daha düzgün çalışan bir sistem bulduğumda yeniden editlerim. 

Serverlarda ve clientlerde kullanılmak üzere iki farklı domain admin hesabı oluşturdum. Clientlerde kullanacağım domain admin hesabını gpedit ile serverlardan blockladım(Computer Configuration>Windows Settings>Security Settings>Local policies>User Rights Assignment>Deny log on locally ve Deny log on through Remote Desktop Services). Şuan blocklanan domain admin hesabı servera remote desktop yapamıyor. SMB bağlantısı hala daha mevcut. Onu da gpo ile blocklamaya çalışacağım. 

İlginiz için teşekkürler. 

 
Gönderildi : 29/03/2021 17:45

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Bu doğru bir yöntem değil, çünkü remote shell başta hala local adminlik devam ediyor, mantık local adminliği almak yani hakları ama bunu yaparken uzmanlık lazım aksi halde sistemi kilitleyebilirsin.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 29/03/2021 17:57

(@yusufozbakir)
Gönderiler: 7
Active Member
Konu başlatıcı
 

Hocam teşekkürler geri dönüşünüz için. Ayarları tekrar eski haline aldım, elle tutulur bir kaynak edinene kadar mevcut düzende devam edeceğiz bu durumda. 

 
Gönderildi : 30/03/2021 09:04

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Aynen veya bir danışmanlık alabilirsin 🙂

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 30/03/2021 09:57

Paylaş: