[Çözüldü] Active Directory - Sıkılaştırma Hakkında

Windows Server

Son Cevaplar gön: Hakan Uzuner 4 yıl önce

6 Yazılar

2 Üyeler

2 Reactions

3,013 Görüntüleme

RSS

Yusuf Özbakır

(@yusufozbakir)

Gönderiler: 7

Active Member

Konu başlatıcı

Merhaba,

Hakan hocanın 'Active Directory Güvenliği İçin 10 Temel Öneri' makalesinde 2. sırada yer alan 'Yönetici Hesapları Ayrıştırılması'(*) işleminin nasıl yapıldığına dair elinde bir makale olan varsa paylaşabilir mi?

(*)2 – Yönetici Hesapları Ayrıştırılması

Bir diğer sık yaptığımız hata ise tek bir kullanıcı hesabı ile hem kişisel bilgisayarımızı hem Forest/Domain ortamını yönetiyor olmamız. Burada her şirket için farklı çözüm oluşturabileceğimiz gibi en iyi senaryo olarak kendi bilgisayarımız için “hakan”, uzak son kullanıcı bilgisayarlarını yönetmek için “wrk_hakan”, domain ortamındaki sunucuları yönetmek için “srv_hakan” ve Active Directory, Exchange, CA Server gibi kritik alt yapı sunucuları için “ent_hakan” kullanıcı hesaplarını oluşturmanız ve en önemlisi de örneğin srv_hakan kullanıcısının veya buna bağlı grubun üyelerinin herhangi bir son kullanıcı bilgisayarına giriş yapmasına izin vermemeniz gereklidir. Benzer şekilde ent_hakan da DC, Exchange gibi sunucuların dışında herhangi bir sunucuya login olmamalıdır. Ayrıca varsayılan olarak gelen domain admins grubu tüm bilgisayarlarda local admin olduğu için onu da kaldırmanız ve son kullanıcı makineleri, sunucular için ayrı lokal admin grupları oluşturmanız şarttır.

Gönderildi : 29/03/2021 16:41

Hakan Uzuner

(@hakanuzuner)

Gönderiler: 33320

Illustrious Member Yönetici

Selam, bunun bir makalesi yok ne yazık ki, temel olarak 3 ayrı veya 4 ayrı grup ve hesap açıyorsunuz, her grup ve hesap için gpo ile yetkilendirme yapıyorsunuz, bu sayede wrkadmin srvadmin in girebildiği sunuculara giremiyor. Ancak temelde bu sistemin zafiyeti her hesap için aynı şifreyi girebiliyor admin, bunu da yapar ise tabi ki kendi topuğuna sıkar ama işte büyük yapılarda bu olmasın diye PAM ürünleri kullanılıyor.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

Gönderildi : 29/03/2021 17:01

Yusuf Özbakır

(@yusufozbakir)

Gönderiler: 7

Active Member

Konu başlatıcı

Hakan hocam selamlar,

Hızlı çözüm için kısa bir kaç işlem yaptım. Müsait olduğumda daha da kapsamlı bakacağım bu konuya.

İhtiyacı olanlar için gpo yolunu aşağıya ekliyorum. Daha düzgün çalışan bir sistem bulduğumda yeniden editlerim.

Serverlarda ve clientlerde kullanılmak üzere iki farklı domain admin hesabı oluşturdum. Clientlerde kullanacağım domain admin hesabını gpedit ile serverlardan blockladım(Computer Configuration>Windows Settings>Security Settings>Local policies>User Rights Assignment>Deny log on locally ve Deny log on through Remote Desktop Services). Şuan blocklanan domain admin hesabı servera remote desktop yapamıyor. SMB bağlantısı hala daha mevcut. Onu da gpo ile blocklamaya çalışacağım.

İlginiz için teşekkürler.

Gönderildi : 29/03/2021 17:45

Ömer Yılmaz and Ömer Yılmaz reacted

Hakan Uzuner

(@hakanuzuner)

Gönderiler: 33320

Illustrious Member Yönetici

Bu doğru bir yöntem değil, çünkü remote shell başta hala local adminlik devam ediyor, mantık local adminliği almak yani hakları ama bunu yaparken uzmanlık lazım aksi halde sistemi kilitleyebilirsin.

Gönderildi : 29/03/2021 17:57

Yusuf Özbakır

(@yusufozbakir)

Gönderiler: 7

Active Member

Konu başlatıcı

Hocam teşekkürler geri dönüşünüz için. Ayarları tekrar eski haline aldım, elle tutulur bir kaynak edinene kadar mevcut düzende devam edeceğiz bu durumda.

Gönderildi : 30/03/2021 09:04