Microsoft Systems Manager Server, Microsoft Operation Manager ve Tivoli gibi domain erişimi olan programların domainde belirli kaynaklara erişebilmeleri için domain kullanıcı hesabına ihtiyaç duyarlar. Bu durum organizasyonlarda güvenlik açığı oluşturmaktadır. Bir serviste domain hesabı veya local bilgisayar hesabı kullanılması hesap bilgilerinin ilgili makinenin kayıt defterinde saklandığından domain güvenliği açısından riskli bir durum oluşturmaktadır.
Servis hesaplarındaki güvenlik açığını arttıran faktörler:
Aynı domain hesabının birden fazla serverda kullanıldığı durumda hesabının bir atak sonucunda ele geçirilmesi durumunda birden fazla server tehlike altına girmiş olur.
Bir servis hesabında domain hesabının kullanılması durumunda ise bu hesabın ele geçirilmesi durumunda bütün domain kaynaklarına erişim söz konusu olacaktır.
Servislerin güvenli bir şekilde kullanılması için farklı makinalarda farklı kullanıcı hesaplarının kullanılması, gerekmeyen servislerin disable edilmesi, domain admin ve local admin hesabının kullanılmaması önerilen bir durumdur.
Sistem Hesapları
Local System Hesabı:
Local System hesabı bağlı olduğu bilgisayar kaynaklarına, aynı zamanda domain bilgisayar hesabını kullanarak network kaynaklarına erişebilen güçlü bir hesaptır. Local sistem hesabı network üzerinde DOMAIN\<Computer Name> olarak gözükmektedir.
Local Servis Hesabı:
Local Servis hesabı tehlikeli kullnıcıların network kaynaklarına erişimleri için daha güvenlidir. Network kaynaklarına erişimde hesap anonymous olarak gelmektedir. Bu yüzden network kaynaklarına erişim sınırlıdır.
Network Servis Hesabı:
Bir serviste Network Servis hesabı kullanılıyorsa servisin network kaynaklarına erişimi için belirli haklar taşır.
Kullanıcı Hesapları
Yerel kullanıcı hesabı:
Local user hesabı bilgisayar üzerindeki kaynaklara belirli haklar verilmediği sürece erişimde kısıtlı erişim imkânları taşır.
Local Administrator kullanıcı hesabı:
Servislere verilen local administrator hesabı ait olduğu bilgisayar üzerinde sınırsız erişim hakkı tanır.
Domain Kullanıcı hesabı:
Domain kullanıcı hesabı network üzerindeki kaynakları belirli haklar verilmediği sürece kısıtlı erişim hakları tanır.
Windows 2003 server üzerinde varsayılan ayarlar değiştirerek daha güvenli hale getirilmiştir. Local System hesaplarının yerine daha güvenli olan Local Servis veya Network servis hesabı kullanılmıştır. Windows 2003 server servisleri üzerinde DNS server gibi Network kaynaklarına erişen bir servis eğer local servis hesabı üzerinden çalıştırılmak istenirse servis network kaynaklarına erişemediğinden hata verecektir. Yine benzer durumdaki servislerin özelliklerinde yapılacak değişiklikler işletim sistemi üzerinde hatalara sebep olacaktır.
Servislerin Daha Güvenli Hale getirilmesi
- Sistemin daha iyi tanınması
- Servislere daha az ayrıcalık verilmesi
- Daha az servis kullanılması
· IT Security Prosedürü olarak sistemimizde bu kurallar uygulanırsa güvenlik seviyesi daha da arttırılmış olur.
Sistemin Daha İyi Tanınması:
Sisteminizde çalışan servislerin özelliklerinin bilinmesi, gözden geçirilmesi sisteminizin güvenlik seviyesini değerlendirmek ve uygun konfigürasyonu bulmak için önemlidir. Bunu yapmak için Service Controller (sc.exe), Windows Management Insrumentation (WMI), Windows Management Instrumentation (WMIC), gibi çeşitli araçlar kullanılabilir. Bunlar enterprise kurumlarda çalışması zor olan araçlar bunun yerine SCOM, SCCM,Tivoli, OpenView gibi ürünlerden istifade edinilebilir.
En Az Haklarla Servis Kullanımı Prensibi:
Local Servis hesapları sadece bağlı olduğu bilgisayardaki kaynaklara erişirken, Network Servis hesapları sahip oldukları haklar dâhilinde ise network kaynaklarına erişebilir. Local System hesapları ise bu iki servis hesabına göre domain ortamında daha geniş haklar sunar.
Eğer bir domain kullanıcısı Local System kullanıcısına atandığı zaman, network kaynakları ve Domain Controller ’un belirli ölçülere göre güvenli hale getirilmesi gerekmektedir.
Microsoft Server 2003 servisleri tamamen güvenli hale getirilerek dizayn edilmiştir. Bu İşletim sisteminin servisleri üzerinde yapılacak değişiklikler genellikle önerilmez. Eğer servis hesapları daha güvenli hale getirilmesi isteniyorsa Microsoft SQL server, Microsoft Operation Manager gibi third-party uygulamaların servislerinde değişikliğe gidilmelidir. Ayrıca Group Policy kullanılarak bilgisayar veya bilgisayarlarda belirli servislere organizasyon üniteleri ( OU ) vasıtasıyla başlangıç durumları konfigüre edilebilir. Security izinleri sayesinde servislerin kontrolü belirli domain hesaplarına verilebilir.
Servislerin güvenliğinde iki temel prensibin göz önüne alınmasında fayda vardır. Bunlardan ilki sistemin iyi tanınıp servislerin minimum ayrıcalıklarla çalıştırılması. Diğeri ise servislerin hangi durumda ve gerekli minimum haklarla çalışmasıdır.
En az Servis kullanımı Prensibi:
En az servis kullanımı, işletim sistemi ve network protokollerinin desteklenen iş amaçlarına göre uygun minimum servis ve protokollerle çalıştırılmalıdır. Örnek olarak Web uygulamalarının kullanılmadığı bir server üzerinde World Wide Web servisi kapatılmalıdır. İşletim sistemleri genel kullanım senaryolarına göre birçok servisle birlikte gelmektedir. Microsoft’un bu konudaki best practise’i DC üzerindeki gereksiz bütün servislerin kapatılmasıdır. Özellikle IIS, Routing and Remote Access gibi uygulamalar DC’ler üzerine kurulmamalıdır.
Servislerin Daha güvenli olarak Çalıştırılması
Güvenli servisler aşağıdaki özellikleri taşıması gerekmektedir.
- Serverlarda gerekli servis özelliklerinin denetlenmesi.
- Hangi servislerin çalıştırılmasına karar verilmesi.
- Servislerdeki domain admin kullanıcılarının kaldırılması.
- Servis tasarımının en az haklarla kullanılması.
- Domain admin kullanıcısı haricindeki çok güvenli server gruplarının oluşturulması
- Servis Hesaplarının şifre değişimlerinin yönetilmesi.
- Güçlü parolaların kullanılması
- Zayıf admin parolalarının testinin otomatize edilmesi.
Serverlarda gerekli servis özelliklerinin denetlenmesi:
System Information, Service management console, Windows Management Instrumentation (WMI), Windows Management Insrumentation command line (WMIC), Automated management using administrative scripting gibi uygulamalarla servislerin denetimi ve yönetimi yapılabilir.
Diğer third-party ürünler:
- Microsoft Systems Management Server
- Tivoli
- OpenView
- Lieberman Software Service Account Manager
Servislerle ilgili oluşturulacak bir listede size servislerin daha güvenli kullanılmasıyla ilgili bilgi verecektir. Oluşturmuş olduğunuz envanterde,
- Bir domain hesabının farklı bilgisayarlarda kullanılıp kullanılmadığı.
- Servis hesaplarında domain admin kullanıcısının kullanılıp kullanılmadığı mutlaka denetlenmelidir.
Hangi servislerin çalıştırılmasına karar verilmesi:
Windows Server 2003 işletim sisteminin ilk kurulumundan sonra bilgisayarın ilk açılması sırasında varsayılan olarak birçok servisle beraber gelir. Bu default servisler kullandığınız uygulamaya göre gereksiz olan birçok servis açık durumdadır. Fazladan olan birçok servisi belirlemek için:
- Eğer özel bir sonuca neden olmayacaksa servisi disable edilmelidir.
- Eğer özel bir duruma sebebiyet vereceğini düşündüğünüz bir servisi ihtiyaç duyana kadar disable edilmelidir.
Bir işletim sistemi yapmış olduğu özelliğe göre birçok servise hizmet vermektedir. Örnek olarak Web servisi hizmeti veren bir sunucuda Telnet servisi disable edilmelidir.
Ayrıca Security Configuration Wizard (SCW) kullanılarak;
- Gereksiz servisler kaldırılabilir.
- Gereksiz IIS Web uzantıları kaldırılabilir.
- Kullanılmayan portlar kaldırılabilir.
Domain admin kullanıcısı haricindeki çok güvenli server gruplarının oluşturulması:
- Güvenli bölgeye alınacak serverlar belirlenir.
Bu serverlar;
- Domain controller,
- Domain admin servis hesabının kullanıldığı serverlar,
- Belirli yetkiler verilen sunucular,
- Üzerinde domain servis hesabının kullanıldığı sunuculardır.
- Domain içinde High Security Servers adında bir Universal grup açılır. Belirlenen serverların hesapları bu grubun içine atılır.
- Domainlerde bütün bilgisayarların servislerine admin hesabı için kısıtlama getirilir. Grup Policy üzerinde Domain Admins domain local grubuna Deny log on as a service ,Deny log on as a batch job kullanıcı hakkı verilir ve Allow-Read ve Allow-Apply permission haklarıyla bir policy oluşturulur.
- Domaindeki, bütün GPO üzerindeki High Security Server gruplarına grup policy filtering uygulanarak, bu gruba üye olan domain admin hesaplarına, servislerin kullanımı için izin verilir. Universal gruplardaki High Security Servers için GPO üzerinde Allow-Read ve Deny-Apply Permission uygulanır.
Servis tasarımının en az haklarla kullanılması:
Servis haklarının minimum yetkiyle verilmesi için aşağıdaki akış diyagramı takip edilmelidir.
Servis Hesaplarının şifre değişimlerinin yönetilmesi
Eğer bir servise bir servis hesabı atadığımız zaman Serive Control Manager (SCM) bizden hesap için parola ister ve doğru parolanın verilip verilmediğini kontrol eder. Eğer Local System, Local Service, Network servis hesaplarında domain hesabı kullanılmıyorsa işletim sistemi hesap yönetimini kendisi yapar. Eğer bir servise bir domain kullanıcısı atanmışsa parola değişikliği halinde servis stop edilene kadar çalışmaya devam eder. “The service continues to run. However, if the service stops, you cannot restart it because the SCM continues to use the old, invalid password. This is because the change to the password in Active Directory does not change the password stored in the services database. “Eğer domain hesabının parolası değiştirildiği zaman servislerdeki parolalarında da değiştirilmesi gerekmektedir. Bu durum, hangi servislerin o hesabın adlında çalıştığından emin değilseniz veya o hesap altınca çalışan bilgisayarların servislerinde parola değişikliğine gidecekseniz uzan zamanınızı alabilir. Büyük organizasyonlarda hesap ve parola bilgileri soft ortamda şifrelenerek güvenli bir kasada, küçük organizasyonlarda ise doküman haline getirilerek kilitli bir çekmede saklanması daha uygun olacaktır.
“If you run services under standard domain or local user accounts, you must update those service passwords each time the user account password changes. This can take a significant amount of time if you are not sure which services run under that account, or which computers have services that run under that account. You should securely document the use of these types of service accounts and their passwords. For a large organization, this might mean they need to take an encrypted data file offline and then store it in a secure vault, but for a smaller organization perhaps a document stored in a locked drawer or safe might be more appropriate.”
Not: Servis hesaplarının değiştirilmesi ile ilgili script:
http://msdn.microsoft.com/en-us/library/ms675577(VS.85).aspx
Güçlü paroların kullanılması
Organizasyonlardaki yöneticilerin parolaları belirlerken güçlü paralolardan belirlemelidir. Grup policy kullanılarak belirli peryotlarda şifrelerin değiştirilmesi gereklidir. Güçlü bir parola minumun 10 karakter olmalı, büyük karakter, küçük karakterler, symbol ve numarlardan oluşmalıdır.
Zayıf admin parolalarının testinin otomatizme edilmesi
Organizasyonlarda sistem yöneticileri local admin parolalarını belirli sürelerde test etmelidir. Herhangi bir servis hesabında zayıf bir admin parolası kullanılıyorsa bu parola hacker tarafından kolaylıkla ele geçirilebilir. Microsoft Baseline Security Analyzer (MBSA) kullanılarak güçsüz parolaları ve password politikaları denetlenebilir.
Service Account Management ile ilgili DC’lerde tutulan loglar
Domain Controllerlarımızda audit edilen aksiyonlar.
“Microsoft has verified that the practical size limit for all event logs combined is around 300 megabytes (MB) on most servers. On Windows XP, member servers, and stand-alone servers, the combined size of the application, security, and system event logs should not exceed 300 MB. On domain controllers, the combined size of these three logs — plus the Directory Service, File Replication Service, and DNS Server logs — should not exceed 300 MB.” http://technet.microsoft.com/en-us/library/cc778402(WS.10).aspx
Makalemizin sonuna geldik. Umarım faydalı bir makale olmuştur.