Professional Documents
Culture Documents
ARAŞTIRMA ENSTİTÜSÜ
SÜRÜM 1.00
26 MART 2008
ÖNSÖZ
2 TÜBİTAK – UEKAE
BİLGİLENDİRME MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU
BİLGİLENDİRME
TÜBİTAK – UEKAE 3
MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU GİRİŞ
İÇİNDEKİLER
1. GİRİŞ .................................................................................................................................................... 6
1.1 Amaç ve Kapsam.................................................................................................................6
1.3 Kısaltmalar...........................................................................................................................6
4 TÜBİTAK – UEKAE
GİRİŞ MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU
TÜBİTAK – UEKAE 5
MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU GİRİŞ
1. GİRİŞ
Microsoft Aktif Dizin ilk kez Windows 2000 ürün ailesiyle beraber piyasaya sürülmüştür.
Aktif Dizin (AD), LDAP dizin servisinin Microsoft tarafından Windows ağ ortamları için
uyarlanmasıyla ortaya çıkmıştır. Aktif dizin, en basit anlatımla, bir kurumun sahip olduğu ağ
kaynaklarına ait tüm bilgileri merkezi veritabanında tutan, bu bilgileri düzenleyen ve
erişilmelerini sağlayan bir ağ servisidir. Bu bilgilerin tutulduğu veritabanı etki alanı
kontrolcüleri (Domain Controller - DC) dir.
Bu doküman Microsoft Aktif Dizin güvenliğiyle ilgili bilgiler içermektedir. Microsoft Aktif
Dizin servisini güvenli hale getirmek için uygulanması gerekenleri vermeyi amaçlamaktadır.
Bu doküman öncelikli olarak Microsoft Aktif Dizin servisi kullanan kurumlar için
hazırlanmıştır.
1.3 Kısaltmalar
AD : Active Directory
DC : Domain Controller
OU Organizational Unit
6 TÜBİTAK – UEKAE
GİRİŞ MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU
Sembol Açıklaması
Aktif Dizin (Active Parantez içerisindeki Italic karakterler öncesindeki kelimenin İngilizce
Directory) karşılığını belirtmektedir.
DNSÆ Properties Æ işareti menüler üzerinden ulaşılacak yere olan yolu göstermek için
kullanılmaktadır.
TÜBİTAK – UEKAE 7
MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU MICROSOFT AKTİF DİZİN
Etki alanı (domain) bir grup bilgisayarın bir araya gelmesiyle oluşan belli kurallar ve
politikalarla bir merkezden yönetilen kontrollü ağ yapısıdır.
Aynı coğrafik alandaki komşu bilgisayarların bir ağ cihazı yardımıyla bağlanmaları ile oluşan
basit ve dağınık yapıya ise çalışma grubu (Workgroup) denmektedir.
Etki alanları yetkili yöneticileri tarafından idare edilirler. Bu kişiler etki alanına bilgisayar
ekleme/çıkarma, kural koyma/uygulama, kullanıcı yaratma/silme vb. gibi etki alanının işlemesi
için gerekli görevleri yerine getirirler. Her etki alanında kontrol işlevini yerine getiren özel
bilgisayar(lar) bulunmaktadır. Bunlara Etki Alanı Kontrolcüsü (Domain Controller, DC). DC
etki alanını oluşturan bilgisayarlar, kullanıcı hesapları, yazıcılar gibi tüm nesnelerin (domain
objects) bilgilerinin tutulduğu ortak veritabanıdır.
Çalışma grubu ise etki alanına kıyasla çok daha basit bir yapı sunmaktadır. Ağ ortamında
bilgisayarların birbirlerine bağlanması ile oluşur. Bu bağlantı genelde hub veya anahtar gibi bir
cihaz yardımıyla gerçekleşir. Ağ ortamında bilgisayarlar arasında kaynak paylaşımının
gerçekleşebilmesi için geliştirilmiştir. Herhangi bir güvenlik özelliği bulunmamaktadır. İsteyen
herkes bir çalışma grubuna bağlanabilir. Kural koyan veya idare eden bir yönetici yoktur.
Etki alanının çalışma grubu yapısına kıyasla en çok öne çıkan özelliği güvenliktir. Bir çalışma
grubuna katılmak isteyen herhangi birinin yapması gereken tek şey bilgisayar ayarlarından
çalışma grubu kutucuğuna o grubun ismini yazmaktır. Bir etki alanına katılabilmek (üye
olabilmek) için ise yetkili bir yöneticinin onayına ihtiyaç vardır. İsteyen herkes bir etki alanına
katılamaz.
Microsoft Aktif Dizin (AD) ilk kez Windows 2000 ürün ailesiyle beraber piyasaya
sürülmüştür. Aktif dizin, LDAP dizin servisinin Microsoft tarafından Windows ağ ortamları
için uyarlanmasıyla ortaya çıkmıştır. Aktif dizin, en basit anlatımla, bir kurumun sahip olduğu
ağ kaynaklarına ait tüm bilgileri merkezi veritabanında tutan, bu bilgileri düzenleyen ve
erişilmelerini sağlayan bir ağ servisidir. Bu bilgilerin tutulduğu veritabanı etki alanı
kontrolcüleridir. Dizin servisi dizin’in kendisi ile karıştırılmamalıdır. Dizin ağ kaynakları
bilgisinin tutulduğu veritabanıdır, dizin servisi ise bu veritabanına erişimi sağlayıp belirli işleri
yerine getirmeyi mümkün kılan arayüzdür. Aktif dizin servisinin yerine getirdiği 3 önemli
görev bulunmaktadır:
8 TÜBİTAK – UEKAE
MICROSOFT AKTİF DİZİN MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU
3. Ağ kaynaklarına erişimi kontrol eder: Aktif dizinde kullanıcılar etki alanına bir kez
giriş yaparlar ve ondan sonra sahip oldukları hakların izin verdiği ağ kaynaklarına
erişirler (single sign-on). Kullanıcıların ağ kaynakları üzerinde sahip oldukları haklarla
ilgili sistem bilgisi aktif dizin tarafından tutulur. Bu sayede aktif dizin ağ kaynakları
erişiminde merkezi bir erişim kontrolü sağlar.
• Etki Alanı İsim Sunucusu (Domain Name System - DNS) ile entegrasyon
TÜBİTAK – UEKAE 9
MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU MICROSOFT AKTİF DİZİN
Ağdaki kaynaklar aktif dizin için birer nesne olarak kabul edilirler ve bunlara AD kurulu
ağlarda “Aktif Dizin Nesnesi” denir. Aktifi dizin nesneleri:
• Kullanıcı hesapları
• Bilgisayarlar
• Yazıcılar
• Sunucular
• Etki Alanları
• Siteler
Her nesnenin tanımlayıcı özellikleri mevcuttur. Bu özelliklere “attribute” denir. Örneğin isim,
soyadı, telefon no, e-mail adresi gibi özellikler (attribute’lar) bir kullanıcı hesabını
tanımlamada kullanılan özelliklerden bir kaçıdır. Bu şekilde aktif dizinde bulunan tüm
nesneleri tanımlamaya yönelik binlerce özellik mevcuttur. Bu özelliklerin tutulduğu yere Aktif
Dizin Şema denilmektedir.
Tüm bu nesneler aktif dizin yönetim araçları içerisinde bir aktif dizin nesnesi olarak gösterilir.
Her bir nesnenin kendine özgü, tanımlayıcı bir gösterim şekli vardır. Bunlara bakarak nesneler
ayırt edilmektedir.
Şekil 1 - AD nesneleri
Aktif dizin esnek bir mantıksal yapıya sahiptir. Bu özellik aktif dizini hiyerarşik bir tasarım
içinde kurulabilmesine olanak sağlar. Etki alanları, alt etki alanları, ormanlar, yapısal birimler
10 TÜBİTAK – UEKAE
MICROSOFT AKTİF DİZİN MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU
(OU) ve global katalog bu mantıksal yapıyı oluşturan bileşenlerdir. Aktif dizinin sağlıklı olarak
anlaşılması için bu bileşenlerin işlevlerinin bilinmesi gereklidir.
Yapısal birimler (Organizational Unit, OU) bir etki alanı içerisindeki AD nesnelerini organize
etmek için kullanılan bileşenlerdir. Bilgisayarlardaki dosyalama sistemindeki klasör gibi
düşünülebilir. Bilgisayardaki dosyaları klasörler içerisinde gruplarken AD’deki nesneleri de
yapısal birimler içerisinde gruplandırır, belirli bir düzen içerisinde organize eder.
Yapısal birimler ile ilgili diğer önemli bir özellik ise delegasyona (görev/yetki dağıtımı) izin
vermesidir. Bu sayede her OU’nun yönetimi için ayrı bir yönetici görevlendirilebilmektedir.
TÜBİTAK – UEKAE 11
MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU MICROSOFT AKTİF DİZİN
Büyük kurumlar açısından bu gerekli bir özellik olabilmektedir. Ayrıca yine bir OU’nun
yönetim işi birden fazla yönetici arasında paylaştırılabilmekte veya bir yöneticiye OU üzerinde
sadece belli başlı görevleri yerine getirebilme yetkisi verilebilmektedir. Tüm bunlar AD’de
delegasyon sayesinde yapılabilmektedir.
Windows’ta ilk kurulan etki alanı, kök etki alanı (Forest Root Domain) olmaktadır. Bu etki
alanına ilave olarak kurulan yeni etki alanları ile ağaç (tree) ve orman (forest) yapısı ortaya
çıkar. Kök etki alanına ilave olarak kurulan her yeni etki alanı, alt etki alanı (child domain)
olur. Kök ve alt etki alanları aynı isim uzayına sahip olmak zorundadırlar. Kök etki alanının
DNS ismi “kamu.gov” ise yeni kurulan alt etki alanının ismi “alt_etki_alanı_ismi.kamu.gov”
biçiminde olmak zorundadır. Aksi takdirde alt etki alanı olamaz.
Aynı isim uzayına (kamu.gov gibi) sahip etki alanlarının oluşturduğu yapıya ağaç denmektedir.
Bir veya daha çok ağaç ile oluşan yapıya ise orman denmektedir. Orman yapısında ağaçta
olduğu gibi aynı isim uzayını paylaşma zorunluluğu yoktur. Yukarıdaki şekilde de görüldüğü
gibi “kamu.gov” ağaç yapısı ile “edu.tr” ağaç yapısı farklı isim uzayına sahiptirler, bununla
beraber aynı orman içinde yer almaktadırlar. Öte yandan aynı orman içerisinde bulunan tüm
etki alanları aynı şema (schema) ve global kataloğu (global catalog, gc) ortak olarak
kullanırlar. Şema ve global katalog orman çapında tektir ve değişmez.
Windows dizin yapısı içinde kök ve alt etki alanı arasında standart olarak çift taraflı geçişli bir
güven (two-way transitive trust) ilişkisi bulunmaktadır. Bu güven ilişkisi sayesinde aralarında
güven (trust) bulunan etki alanındaki kullanıcılar diğer etki alanındaki kaynaklara
12 TÜBİTAK – UEKAE
MICROSOFT AKTİF DİZİN MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU
Global Katalog sunucular aktif dizin nesneleri hakkındaki sorgulara yanıt vermek için
tasarlanmışlardır. Global katalog, aktif dizin içindeki nesnelerin belli özelliklerini (attribute)
tutan bir veritabanıdır. Global katalog özellikle nesnelerin yerini tutar. Nesnelerin özellikleri
varsayım olarak sorgulardan çok kullanılan bilgilerdir. Örneğin; kullanıcın adı, logon adı gibi
bilgiler. Global katalog sunucu bir etki alanı kontrolcüsüdür (DC). Özellikle nesnelerin orman
genelinde aranması işlemine yardımcı olur. Global katalog iki önemli dizin işlemini yerine
getirir:
Aktif dizinde yaratılan ilk etki alanı kontrolcüsü (DC) bilgisayar global katalog sunucudur.
Eğer istenirse diğer etki alanı kontrolcüsü bilgisayarlar da global katalog yapılabilir. Yeni bir
global katalog eklemek için Yönetimsel Araçlar (Administrative Tools) menüsünden Aktif
Dizin Siteler ve Servisler (Active Directory Sites and Services) aracı çalıştırılır. Açılan
pencerede global katalog yapılmak istenen sunucu bulunur (Sites → Default-First-Site-Name
→ Servers altında) ve sunucu altındaki NTDS Settings üzerinde fare ile sağ tıklayıp özellikler
(properties) penceresi açılır. Açılan pencerede global katalog kutucuğu işaretlenerek sunucu
global katalog yapılır. Etki alanına yeni bir global katalog sunucu eklenmesi ile kimlik
denetimi (authentication) ve sorgulama trafiği dengelenir.
TÜBİTAK – UEKAE 13
MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU MICROSOFT AKTİF DİZİN
Microsoft aktif dizinin sağlıklı ve sorunsuz çalışması için hayati fonksiyonları yerine
getirmekle görevli etki alanı kontrolcülerine ait özel roller bulunmaktadır. Bunlar şöyle
adlandırılmaktadır:
Şema yöneticisi olan DC şemada yapılan tüm değişiklikleri ve güncellemeleri kontrol eder. Bir
ormanın şemasını güncelleyebilmek için gerekli değişiklikleri şema yöneticisi üzerinde
gerçekleştirmek gerekir. Şema güncellendikten sonra yapılan değişiklik orman içinde diğer tüm
DC’lerde yinelenir. Bir orman içinde sadece bir adet şema yöneticisi olabilir. Orman çapında
şema yöneticisi tektir.
Etki Alanı Adlandırma Yöneticisi ise ormana katılan ya da ormandan çıkarılan etki alanlarını
takip eder. Bir orman içinde sadece bir adet Etki Alanı Adlandırma Yöneticisi olabilir.
Aktif dizinde bir erişim kontrol listesinde yer alabilen nesneler kullanıcılar, bilgisayarlar ve
gruplardır. Bu nesneleri benzersiz olarak kimliklendirmek için her birine SID numaraları
verilir. Bu SID numarası nesnenin yaratıldığı etki alanına ait SID numarası ve nesnenin
14 TÜBİTAK – UEKAE
MICROSOFT AKTİF DİZİN MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU
kendisine özgü RID numarasından oluşur. Nesnelerde olduğu gibi aynı şekilde her etki alanın
da kendine ait bir benzersiz SID numarası vardır. RID Yöneticisinin görevi etki alanında
yaratılan her nesneye benzersiz bir RID numarası sağlamaktır. Bir etki alanı içinde sadece bir
RID yöneticisi olur. Her etki alanının kendine ait bir RID yöneticisi olmalıdır.
PDC Emülatörünün birincil görevi etki alanı içinde zaman senkronizasyonunu sağlamaktır.
Kerberos kimlik doğrulama protokolünün çalışabilmesi için etki alanındaki tüm bilgisayarlar
ortak bir zamanı kullanmalıdırlar.
Mixed modda çalışan bir aktif dizinde ise PDC Emülatör bir Windows NT PDC gibi çalışan bir
etki alanı kontrolcüsü rolünü üstlenir. Bu etki alanı kontrolcüsünün görevi Windows NT
temelli istemcilere dizin değişikliklerini yinelemektir (replication).
Bir etki alanı içinde sadece bir PDC Emülatör olur. Her etki alanının kendine ait bir PDC
Emülatörü olmalıdır.
Altyapı Yöneticisi ise kullanıcıların grup üyelikleri bilgilerini tutar ve değiştiğinde günceller.
Bir başka etki alanı içerisinde bulunan nesnelerle ilişkili olan nesnelerin, etki alanlar arasındaki
erişimlerde, SID ve DN güncellemeleri altyapı yöneticisi tarafından gerçekleştirilir. Altyapı
yöneticisi olan etki alanı kontrolcüsünün aynı zamanda Global Katalog olmaması
gerekmektedir. Bir etki alanı içinde sadece bir altyapı yöneticisi olur. Her etki alanının kendine
ait bir altyapı yöneticisi olmalıdır.
Aktif Dizin ve DNS aynı hiyerarşik isimlendirme yapısını kullanırlar. Bunun sonucu olarak
domainler ve bilgisayarlar hem Aktif Dizin nesneleri hem de DNS etki alanları ve kayıtları
olarak gösterilirler. Microsoft Aktif Dizinin DNS ile olan bu sıkı entegrasyonunun bir sonucu
olarak Windows 2000/2003 networklarında bilgisayarlar özel servisleri yerine getiren sunumcu
TÜBİTAK – UEKAE 15
MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU MICROSOFT AKTİF DİZİN VE DNS
bilgisayarlarına (DC veya GC gibi) ulaşabilmek için DNS’e başvururlar. Örneğin bir kullanıcı
istemci bilgisayarından sisteme giriş (logon) yapmak istediğinde veya bir Aktif Dizin’de bir
yazıcı veya paylaşım aramak istediğinde, istemci bilgisayarı DC’yi bulmak ve ulaşmak için
DNS’i sorgular. DNS sunumcularında domain için gerekli işleri yürüten bilgisayarların
kayıtları SRV kayıtları şeklinde bulunmaktadır. Bu kayıtlar sayesinde istemci bilgisayarları
DC’ye ulaşırlar ve işlemlerini gerçekleştirirler. Bu kayıtlar oluşmadan Aktif Dizin tam olarak
kurulmuş sayılmazlar. Bu sebeple etki alanının düzgün çalışabilmesi için bu kayıtlar hayati
öneme sahiptirler.
AD’nin en temel özelliklerinden bir tanesi de DNS ile entegre bir halde çalışacak şekilde
tasarlanmış olmasıdır. Aktif Dizin ile entegre DNS sayesinde DNS isim alanları Aktif Dizin
veritabanında saklanır. DNS isim alanı etki alanındaki bilgisayarlara ait bilgisayar ismi ile IP
adresi tablolarının tutulduğu isim çözümlemelerinin yapılmasını sağlayan veritabanı dosyası
olarak tanımlanabilir. Aktif Dizin ile DNS’in entegre olması bu veritabanının Aktif Dizine ait
bilgi veritabanında tutulmasını sağlar. Yani DNS isim alanları da AD’de birer AD nesnesi
olarak saklanır. Bu durum DNS’in güvenliğini önemli ölçüde arttıran bir yapı sunmaktadır.
Aktif Dizinin gelişmiş güvenlik özellikleri kullanılarak DNS isim alanlarının yetkisiz kişilerce
erişilmesi engellenmiş olur. Ayrıca diğer AD nesnelerinde olduğu gibi DNS isim alanı
dosyaları da replikasyonlar ile domain’de bulunan tüm DC’ler üzerinde birebir aynı olacak
şekilde tutulur. DC’lerin belli aralıklarla kendi aralarında senkronize olması (AD replikasyon)
ile gerçekleştirilen bu durum olası bir hata sonucu olaşabilecek kritik veri kaybının da önüne
geçilmesini sağlar.
16 TÜBİTAK – UEKAE
MICROSOFT AKTİF DİZİN VE DNS MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU
seçilerek çalıştırılabilir. Bu sihirbaz kullanılarak kurulacak olan domain ile aynı ismi taşıyan
bir DNS isim alanı (Forward Lookup Zone) oluşturulmalıdır (contoso.msft gibi). Bu işlemi
tamamladıktan sonra yapılması gereken DNS üstünde dinamik güncellemeleri
etkinleştirmektir. Bunu da oluşturduğumuz DNS isim alanı (Forward Lookup Zone) ile ilgili
özelliklere ulaşılarak gerçekleştirilebilir.
Kurduğumuz DNS’i güvenli hale getirmek için yapılacak bir takım işlemler bulunmaktadır.
1. Bunlardan ilki DNS alan (zone) dosyalarının erişim kontrolünü denetlemektir. Bunu yapmak
için DNS Snap-in Æ DNS Æ %Sunucu Adı% Æ Forward Lookup Zones Æ %Alan Adı% Æ
Properties Æ Security yolunu izleyerek DNS alan dosyalarına ait erişim kontrol listesini
(ACL) açarak listede bulunan kullanıcıları ve bu kullanıcıların sahip olduğu hakları kontrol
etmek gerekmektedir. Listede yetkisiz kullanıcılar hiçbir şekilde bulunmamalıdır. Listede
sadece yönetici gibi yetkili kullanıcıların olduğundan emin olunması gerekmektedir.
2. DNS’i güvenli hale getirmek için uygulamamız gereken ikinci kontrol DNS servisine ait
registry anahtarı ve altındaki değerlerin erişim kontrol listesinin denetlenmesidir. Bunu yapmak
için Registry düzenleme aracını (regedt32.exe veya regedit.exe) çalıştırarak
HKLM\System\CurrentControlSet\Services\DNS yolunda bulunan tüm kütük (registry)
kayıtlarına ait izinleri (Permissions) gösteren listeleri gözden geçirmeliyiz. Listede yetkisiz
kullanıcılar hiçbir şekilde bulunmamalıdır. Listede sadece yönetici gibi yetkili kullanıcıların
olduğundan emin olunması gerekmektedir.
3. DNS’i güvenli hale getirmek için uygulanması gereken üçüncü kontrol daha önce de
bahsedildiği gibi güvenli dinamik güncellemeyi aktif hale getirmektir. Güvenli dinamik
güncelleme özelliği yetkisiz kişilerce veya yetkisiz kaynaklardan DNS isim alanı dosyalarına
yanıltıcı veya yanlış bilgi girilerek DNS’e yapılabilecek saldırıları önleyen bir özelliktir. Bu
özelliği etkinleştirerek yetkisiz konaklarını (host), yani domain dışından bilgisayarların, DNS
bilgi güncelleme işlemi yapamaması sağlanmalıdır. Bu özelliği etkinleştirmek için %DNS
Snap-in% Æ DNS Æ %Sunucu Adı% Æ Properties Æ General yolu izlenerek Dinamik
Güncellemeler (Dynamic Updates) seçeneği “sadece güvenli güncellemeler” (Windows
2000:Only secure updates, Windows 2003: Secure only) olacak şekilde ayarlanmalıdır.
4. DNS’i güvenli hale getirmek için uygulanması gereken dördüncü kontrol önlemi DNS isim
alanının transferini denetlemektir. Alan transferi DNS isim alanına ait tüm bilginin DNS
sunumcumuzdan bir başka bilgisayara aktarılabilmesidir. Yetkisiz konaklar tarafından
TÜBİTAK – UEKAE 17
MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU MICROSOFT AKTİF DİZİN VE DNS
yapılacak alan transferi etki alanında bulunan tüm bilgisayarların isim ve IP adreslerinin
yetkisiz kişilerin eline geçmesi anlamına gelmektedir. Bu durum kötü niyetli kişilere sistem
hakkında önemli ölçüde bilgi sağlayacaktır. Hangi bilgisayarın hangi IP adresine sahip
olduğunu bilmek saldırıların daha kolay gerçekleştirilmesine yol açar. Bu sebeple alan transferi
ya tamamen kapatılmalı veya sadece belirli konakların alan transferi yapmasına izin
verilmelidir. Bunu yapmak için %DNS Snap-in% Æ DNS Æ %Sunucu Adı% Æ Properties Æ
Zone Transfers sekmesinde gerekli ayarlar yapılmalıdır.
5. DNS’i güvenli hale getirmek için uygulamamız gereken beşinci kontrol önlemi DNS ile
ilgili log kayıtlarının tutulmasıdır. Sistemde gerçekleşen önemli olayların kayıtlarının tutulması
güvenlik açısından hayati öneme sahiptir. Bu kayıtlar sorunun kaynağını tespit etmeye
yardımcı olurlar. Kimin ne işlemi gerçekleştirdiğini bu sayede bilinebilir. Ayrıca sistemde ne
tür işlemleri gerçekleştiği konusunda bilgi sahibi olmak diğer türden sorunların anlaşılması ve
çözülmesinde de önemli rol oynarlar. DNS ile ilgili log kayıtlarını tutmak için %DNS Snap-
in% Æ DNS Æ %Sunucu Adı% Æ Properties Æ Logging sekmesi altında gerekli ayarlar
yapılmalıdır. Güvenlik açısından en azından notify ve update olaylarının log kayıtlarını
tutmakta fayda vardır. Notify diğer DNS sunumculardan gelen bildirim mesajlarının
kaydedilmesini sağlar. Update ise etki alanındaki bilgisayarlardan gelen dinamik DNS bilgisi
güncellemeleriyle ilgili kayıtların tutulmasını sağlar.
6. DNS’i güvenli hale getirmek için uygulanması gereken altıncı kontrol önlemi DNS’i
önbellek zehirlemelerine (cache posinoning/polluting) karşı korumalı hale getirmektir. Bunu
yapmak için %DNS Snap-in% Æ DNS Æ %Sunucu Adı% Æ Properties Æ Advanced Æ
Secure cache against pollution tıklanarak etkin hale getirilmelidir. DNS önbellek zehirleme
saldırısı yanlış veya hatalı çok sayıda DNS sorgu cevabını, bir DNS sunumcuya önbelleğini
şişirecek hale getirecek şekilde sürekli göndererek yapılırı. Bu özelliğin etkin hale
getirilmesiyle DNS sunumcu kendisine saldırganlar tarafından gönderilen isim çözümleme
kayıtlarını (DNS sorgu cevapları) kabul etmezler. DNS sunumcu bu özellik sayesinde
kendisine gelen DNS sorgulama cevaplarının kaynağını soruşturur. Eğer yetkisiz bir kaynaktan
(mesela DNS sunumcu olmayan bir makineden) geliyorsa bunu kabul etmez. Ayrıca bu
özellikle DNS sunumcumuz diğer DNS sunumcuların kendi isim alanlarının dışında gönderdiği
DNS sorgu cevaplarını da kabul etmez. Yani microsoft.com DNS Sunumcusundan yahoo.com
isim alanına ait IP adresleri (DNS sorgu cevapları) gelirse bunlar kabul edilmez, düşürülür.
Yine aynı şekilde bu özellik sayesinde DNS sunumcumuz kendisinin sorgulamadığı bir isim
alanına ait gelen DNS sorgu cevaplarını da kabul etmez.
18 TÜBİTAK – UEKAE
MICROSOFT AKTİF DİZİN VE DNS MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU
7. Dinamik güncelleme özelliği ile ağda çalışan bir bilgisayar DNS’ten kullanacağı IP adresini
otomatik olarak edinir. Fakat bu bilgisayar ağdan çıkarıldığında ona ait DNS isim kayıt bilgisi
otomatik olarak silinmeyebilir. Önceden ağ içindeki bir bilgisayarın kullandığı fakat artık
kullanılmayan ve belli bir bilgisayara ait olmayan DNS isim kayıtları silinmediği takdirde DNS
sisteminde bir takım sorunlar ortaya çıkabilir. Bu sorunlar:
• Fazla sayıda kullanılmayan DNS isim kayıt bilgisi DNS sunumcunun disk alanını
doldurup, uzun süren alan transferlerine yol açabilir.
• DNS sunumcular kullanılmayan bilgisayar isim kayıtları için yapılan sorgulara cevap
vererek istemcilerin isim çözümleme sorunu yaşamalarına yol açabilir.
• Kullanılmayan DNS isim kayıt bilgileri DNS sunumcuda zamanla birikerek sorgulara
cevap verme hızını düşürebilir ve performans sorunu yaşanmasına yol açabilir.
Bu tür sorunlar yaşamamak için DNS sunumcuda eski DNS isim kayıt bilgileri
temizlenmelidir. Bunu yapmak için DNS sunumcuda %DNS Snap-in% Æ DNS Æ %Sunucu
Adı% Æ Fare Sağ Klik Æ Set Aging/Scavenging for All Zones yolu izlenerek belirli aralıkla
bu kayıtların silinmesi için gerekli ayar uygulanmalıdır.
4.1 Ön Gereksinimler
• Windows 2000/2003 Server işletim sistemi kurulmuş, sunumcu donanımına sahip bir
bilgisayar. Genelde tavsiye edilen işletim sistemleri Windows 2000 için Advanced
Server, Windows 2003 için ise Enterprise Edition’dır. Bunlar kurumun büyüklüğüne
veya ihtiyaçlarına göre değişebilir.
• NTFS formatlı bir disk bölmesi (partititon). Aktif Dizin için yaklaşık l GB disk alanına
ihtiyaç vardır. İşletim sistemi kurulumu öncesi formatlama işlemi esnasında bunlara
dikkat edilmelidir.
TÜBİTAK – UEKAE 19
MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU GÜVENLİ AKTİF DİZİN KURULUMU
• AD’nin çalışması DNS servisine bağlıdır. Bu sebeple ağda DNS kullanımına imkân
veren TCP/IP protokolünün önceden kurulu olması gerekmektedir.
• SRV kaynak kayıtlarını destekleyen bir DNS sunucu ve DNS dinamik güncelleme
özelliği.
Kuruluma başlamadan önce yerine getirilmesi gereken gereklere göz atıldığında, bunlardan ilki
ve en temeli fiziksel güvenliğin sağlanmış olması gerektiğidir. Bilgi sistemleri güvenliği
konusunda her zaman için ilk sağlanması gereken şart fiziksel güvenliktir. Fiziksel güvenliğin
sağlanmadığı ortamlarda diğer bilişim güvenliği önlemlerinin fayda getireceğini ummak pek
mantıklı olmaz. Bu sebeple AD kurulumunu üzerinde gerçekleştireceğimiz DC’ler fiziksel
açıdan güvenliği sağlanmış olmalıdır.
Alınacak fiziksel güvenlik önlemleri ile DC’lere yetkisiz kişilerce fiziksel erişim tamamen
engellenmiş olmalıdır. Yetkisiz kişilerce DC’ler:
• Açılıp, kapatılamamalıdır.
• CD veya disket gibi taşınabilir medya takılamamalıdır, bir başka işletim sistemi ile boot
edilememelidir
DC’ler tüm bunları sağlayabilen uygun odalarda bulundurulmalıdır. Bu tip fiziksel güvenlik
önlemleri yanında AD kurulumunu gerçekleştireceğimiz ağ ortamının da güvenli olduğundan
emin olunmalıdır. Ağ ortamında bulunan hub, anahtarlama cihazı, kablo gibi unsurların
yetkisiz kişilerin erişimine kapalı olduğundan emin olmak gerekmektedir. Örneğin kablolar
kapalı kablo kanallarından geçirilmiş olmalı, anahtar cihazlarına bilinmeyen bilgisayarların
bağlanması kısıtlanmalı (portlara MAC adresi sabitleme uygulaması), anahtar cihazları kilitli
dolaplarda bulundurulmalı ve ağ üzerinden yönetimi mutlaka parola korumalı
gerçekleştirilmelidir. Bunun gibi tedbirler ağ ortamının güvenliğini önemli ölçüde arttıracaktır.
Bir etki alanında en az 2 adet DC bulunması tavsiye edilir. Kurumunuzun büyüklüğüne göre bu
sayının daha da artması gerekebilir. Bu sebeple bir etki alanı oluştururken birden fazla DC
kurmak gerekecektir. Kurulum esnasında uyulması gereken güvenlik prensiplerinin her
seferinde (tüm DC kurulumlarında) karşılanması için tekrarlanabilir ve güvenli bir DC kurulum
20 TÜBİTAK – UEKAE
GÜVENLİ AKTİF DİZİN KURULUMU MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU
prosedürüne ihtiyaç vardır. Böyle bir prosedür kurulan tüm DC’lerin aynı güvenli ayarlarla
oluşturulmasını sağlar. Tekrarlanabilir ve Güvenli DC kurulum prosedürü şu adımlardan
oluşabilir:
6. Disk alanı ataklarına karşı hızlı kurtarma için bir rezerv dosyası yaratılması
Bilgi sistemleri güvenliği konusunda bir diğer önemli konu da parolalardır. Çoğu saldırının
başarıya ulaşmasında yetersiz ve zayıf parolararın büyük rolü vardır. Parola sisteme giriş
TÜBİTAK – UEKAE 21
MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU GÜVENLİ AKTİF DİZİN KURULUMU
anahtarıdır. Evimizin veya arabamızın anahtarını nasıl koruyorsak, parola konusunda da aynı
hassasiyetin gösterilmesi sahibi olduğumuz bilgi sisteminin güvenliğini önemli ölçüde arttırır.
Özellikle sahip oldukları yetkiler yüzünden yönetici hesaplarına ait parolalar kritik önem
taşırlar. Kolay kırılabilen veya tahmin edilebilen zayıf bir yönetici parolası sistemi tamamıyla
yetkisiz kişilerin eline bırakmakla eşdeğerdir. DC kurulumu gerçekleştirilen bilgisayarın yerel
yönetici hesabı, bilgisayar DC olduktan sonra Domain Yönetici Hesabı olur. Domain Yönetici
Hesabı domain çapında en yetkili hesaplardan biridir. Domain üzerinde gerçekleştiremeyeceği
parola sayısı çok azdır. Bu sebeple kritik öneme sahiptir. Bu hesabın güvenlik sorunları
çıkarması istenmiyorsa mutlaka güçlü bir parolaya sahip olması gerekmektedir. Güçlü parola
saldırganlarca tahmin edilmesi veya parola kırma programları ile kırılması çok zor parolalardır.
• En az 9 karakterden oluşmalıdır
• Bir hesap ismi veya gerçek isim içermemelidir (Admin, Ali vb.)
• Sözlüklerde bulunabilecek tüm isimler içermemeli (Masa, Kalem, Edirne, Honda vb.)
Windows’ta varsayılan olarak her dosyanın ve klasörün 2 ismi vardır: uzun isim (LFN) ve 8.3
biçimindeki kısa isim. NTFS ve FAT dosya sistemlerinde bu özellik mevcuttur. Dir/x komutu
ile 8.3 isimleri görülebilir.
Bir dosyaya bu iki isimden herhangi biri ile erişilebilir. Bir kişi bir dosyanın sadece kısa isimli
hali üzerinde hakları varsa, uzun isimle de bu dosyaya erişebilir. Geçmişte bu özellik
kullanılarak yapılan ataklar geliştirilmişti.
8.3 isim desteği devre dışı bırakıldığında sadece LFN isimler üretilir. Saldırganlarca kullanılan
virüs veya diğer saldırı araçlarında olduğu gibi 16 bit uygulamalar çalışamaz. Bu özelliği devre
dışı bırakmak için kütükte (registry);
HKLM\SYSTEM\CurrentControlSet\Control\FileSystem altındaki
NtfsDisable8dot3NameCreation (Reg_DWORD)
Değer : 1
22 TÜBİTAK – UEKAE
GÜVENLİ AKTİF DİZİN KURULUMU MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU
yapılmalıdır.
8.3 isim özelliğinin iptal edilmesi ayrıca performansı da arttırır. Bu performans artışı fazla
sayıda dosya içeren klasörlerde listeleme yaparken daha net bir biçimde görülür.
Virüs bulaşmış bir bilgisayara AD kurmak etki alanını tümden risk altında bırakmak demektir.
Windows işletim sistemi kurulumu tamamlandıktan sonra DC’ye yükseltilme (promote)
işlemine başlamadan önce bilgisayara virüs bulaşmadığından emin olmak için bir antivirüs
programı ile taranması güvenli açısından önemli ve gereklidir. Virüs tarama işlemi yapılırken
güncel virüs tanım dosyaları kullanıldığından emin olmak gerekir. Windows işletim sistemi
kurulumu disk imajı yöntemi ile yapılacaksa, imajı alınacak esas bilgisayara bir antivirüs
programı kurulmuş olmalıdır.
Windows’ta çalışan servislerin her birini potansiyel birer saldırı hedefi olarak görmek güvenlik
açısından yanlış bir hareket olmaz. Saldırganlar bilgisayarları eli geçirirken çoğunlukla çalışan
sistem servislerindeki açıklıkları kullanırlar. Bu sebeple DC’ye yükselteceğimiz bilgisayarda
gerekli olmayan tüm servislerin kaldırılması güvenlik açısından yerinde bir eylem olacaktır.
Sistemde çalışır halde ne kadar az servis bulunursa potansiyel saldırı alacak noktalar o oranda
azaltılmış olunur.
http://www.microsoft.com/windowsserver2003/techinfo/overview/adsecurity.mspx
Kullanılabilir disk alanının belli bir miktarın altına düşmesi AD’nin işlemlerini düzgün bir
şekilde sürdürmesini engeller. Saldırganlar veya kötü niyetli sistem yöneticilerin disk alanı
atakları ile bu zafiyetten yararlanmak isteyebilirler. Disk alanı atakları, diskteki boş alanı çok
fazla sayıda AD nesnesi yaratarak tüketmeyi hedefler. Yaratılan çok sayıdaki bu nesnelerin
TÜBİTAK – UEKAE 23
MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU GÜVENLİ AKTİF DİZİN KURULUMU
silinmesi de disk alanı saldırıların zararını bertaraf etmeye yetmez. Çünkü silinen her AD
nesnesi veritabanında 60 gün süreyle özel bir biçimde (tombstone) saklanır.
AD yapısının disk alanı ataklarından etkilenmesine izin vermemek için yapılması gereken daha
baştan büyük boyutta bir rezerv dosyasını AD veritabanı dosyasının (NTDS.dit) bulunduğu
disk bölmesinde oluşturmaktır. Rezerv dosyası en basit haliyle disk alanını dolduran ve bir
bilgi içermeyen yeterince büyük bir dosyadır. DC’deki kullanılabilir disk alanı tehlikeli
boyutlarda azaldığında rezerv dosyası silinerek normal operasyon süreçlerinin devamlılığı
sağlanır.
Otomatik kurulum (unattended setup) alışagelmiş kurulum yöntemlerinden daha güvenilir bir
yöntemdir. Otomatik kurulum önceden üzerinde düşünülüp hazırlanan bir dosya ile
yapıldığından kurulum esnasında yapılabilecek olası hataları (yanlış bilgi girme, yanlış seçenek
seçme vb.) baştan elimine eder. Kurulum esnasında bir kişinin kuruluma bir şekilde müdahale
etmesi de bu yöntemde olanaksızdır.
AD’i otomatik kurulum yöntemi ile kurmadan önce cevap dosyasının (answer file)
hazırlanması gerekir. Cevap dosyası, normal AD kurulumunda “AD Kurulum Sihirbazının”
bizden belirlememizi istediği bilgi ve seçeneklerin yazılı olduğu bir metin (text) dosyasıdır.
Windows 2000/2003 CD’si içinde şablon olarak kullanılabilecek hazır örnek cevap dosyası
mevcuttur. Bu açılıp yeniden düzenlenerek cevap dosyası oluşturulabilir.
Dcpromo.exe /answer:cevap_dosyası.txt
Kendimize bir cevap dosyası hazırlamak için öncelikle Windows 2000/2003 İşletim Sistemi
kurulum CD’si içerisinde ..\SUPPORT\TOOLS klasörü altında bulunan DEPLOY.CAB
dosyası açılır. Bundan sonraki adımlarda Windows 2000 ile 2003 arasında farklar
bulunmaktadır.
24 TÜBİTAK – UEKAE
GÜVENLİ AKTİF DİZİN KURULUMU MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU
• Sağdaki pencereden aşağı doğru ilerleyerek Sample (örnek) kısmı altındaki [DCInstall]
bölümü oluşturulacak cevap dosyası içine kopyalanır.
DC olan bilgisayarın çalışma performansını düşürmemek için alınabilecek bir diğer önlem de
AD’ye ait kayıt (log) dosyalarını sistem dizininden farklı bir disk sürücüde saklamaktır.
Normalde sistem dizininin bulunduğu sürücü yoğun bir şekilde kullanılır, bu diskte
okuma/yazma işlemleri çok olur. Kayıt (log) dosyalarının başka bir sürücüye yazılması sisteme
TÜBİTAK – UEKAE 25
MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU GÜVENLİ AKTİF DİZİN KURULUMU
aşırı yüklenmeyi engellemiş olur. Bunu yapmak için cevap dosyasında örneğin LogPath =
E:\Logs yazarak kayıtların tutulacağı yer belirlenebilir.
Anonim erişim herhangi bir yetkilendirme olmadan kaynaklara erişmek anlamına gelmektedir.
Bu bağlantı tipi erişimi gerçekleştiren kullanıcı veya servis’in kimliği hakkında bir bilgi
vermez. Windows’ta 2000 öncesi program ve servislerin 2000 ve sonrası domain veya çalışma
gruplarıyla uyumlu bir şekilde çalışabilmesi için anonim erişimlere izin vermek
gerekebilmektedir. Bu durum beraberinde güvenlik açıklarının oluşmasına yol açmaktadır.
Anonim erişimi kullanan saldırı araçları bu açıklığı kullanarak etki alanına beklenmedik zarar
verebilir. Bunun engellemek için AD’ye anonim erişim kapatmak gerekir. Anonim erişimi
kapatmak için:
• Windows 2000’de yerel güvenlik politikası veya grup politikası kullanılarak Computer
Configuration > Windows Settings > Security Settings > Local Policies > Security
Options yolu altındaki
“Additional restrictions for anonymous connections” için “No access without explicit
anonymous permissions” değerini seçmeli veya bunun yerine DC’de
“HKLM\System\CurrentControlSet\Control\Lsa\RestrictAnonymous =2” registry değeri
atanmalıdır.
Anonim erişim yoluyla enumeration denilen bilgi toplama saldırıları yapılır. Bu saldırılar
domain’deki kullanıcı hesapları ve domain için önemli diğer nesnelerle ilgili kritik bilgilerin
yetkisiz kişilerce ele geçirilmesinde kullanılır.
Güvenli bir AD’ye sahip olunması isteniyorsa bunu gerçekleştirmede en büyük ve en sık
başvurulan yardımcı Grup Politikası (Group Policy) olacaktır. Grup Politikası Microsoft Aktif
Dizin servisini en önemli güvenlik servisidir. Grup Politikası Windows 2000 ile beraber ortaya
çıkmıştır. Windows NT’deki “Security Configuration Editor and System Policy”nin işlevsellik
açısından geliştirilmiş halidir.
Grup Politikası Microsoft Aktif Dizin servisinin etki alanındaki tanımlı (ya da üye) kullanıcılar
ve bilgisayarlar üzerinde etkili bir kontrole sahip olmasını mümkün kılan bir yönetim aracıdır.
Grup Politikasıyla kullanıcıların bilgisayarlarındaki çalışma ortamları tanımlanabilir ve bunun
26 TÜBİTAK – UEKAE
GRUP POLİTİKASI MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU
devamlılığı Grup Politikası ayarları ile sağlanabilir. Etki alanında bulunan bilgisayarların
yapılandırma ayarları ve kullanıcıların yetki ve haklarını Grup Politikası ile otomatik olarak
belirlemek mümkündür.
Grup Politikası kullanılarak etki alanındaki AD nesneleri üzerinde çok sayıda yönetimsel görev
merkezi tek bir noktadan kolayca yerine getirebilir. Grup Politikası ile yapılabilecek
işlemlerden bazıları şunlardır:
• Açılış (startup), kapanış (shutdown), giriş (logon) ve çıkış (logoff) betikleri çalıştırma
TÜBİTAK – UEKAE 27
MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU GRUP POLİTİKASI
Yukarıdaki şekilde Grup Politikası Yönetim Konsoluna ait pencere görülmektedir. Grup
politikası ayarları 2 grup altında toplanmaktadır:
Bu gruplar içinde uygulanabilecek tüm ayarlar farklı başlıklar altında toplanmıştır. Yukarıda
gösterilen şekilde bu başlıklar listelenmektedir.
Grup Politikası
• Site
• Domain
• OU
bazında uygulanabilir.
28 TÜBİTAK – UEKAE
GRUP POLİTİKASI MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU
• Bilgisayarın açılışında
• Belirli aralıklarda
uygulanır.
Windows 2000’de grup politikası düzenlemek için öncelikle “AD Users and Computers”
yönetim konsolunun (MMC: Microsoft Management Console) açılmış olması gerekmektedir.
Burada grup politikası uygulanmak istenilen OU (Yapısal Birim) işaretlenerek fare ile üstünde
sağ tıklanıp Properties (Özellikler) penceresi açılır. Bu pencerede Group Policy sekmesi
açılarak bu OU’da yapılacak grup politikası işlemleri için kullanılacak arayüze ulaşılır. Bu
arayüzde grup politikası ile ilgili yapılabilecek tüm işlemler görülmektedir. Bu işlemler:
• Varolan bir grup politikasını veya OU ile olan bağını silmek (Delete)
• Kalıtım (inheritance) ile OU üzerinde etkili olacak ayarları engellemek (Block Policy
inheritance)
Windows 2003’te ise grup politikası düzenlemek için daha gelişmiş bir araç olan Grup
Politikası Yönetim Konsolu (GPMC:Group Policy Management Console) kullanılmaktadır.
Windows 2000’dekine oranla daha etkili grup politikası yönetimi sağlayan bu araçta grup
politikası ile ilgili tüm işlemler ve arayüzler çok daha gelişmiş bir şekilde yöneticilerin
kullanımına sunulmuştur.
GPMC ile grup politikası nesneleri (GPO) toplu bir biçimde görülebilmektedir. Windows
2000’de daha çok OU’lardan yola çıkarak yapılması gereken grup politikası işlemleri bu
TÜBİTAK – UEKAE 29
MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU GRUP POLİTİKASI
sayede daha kolay yapılabilir olmuştur. GPMC’de Grup politikası nesneleri (Group Policy
Objects) başlığı altında toplanmış GPO’lardan ilgilenmek istediğimize seçerek sağdaki
pencerede o GPO ile ilgili tüm özellikleri ve ayarları görmek mümkündür. Ayarları
yapılandırmak istenilen grup politikası işaretleyerek fare ile üzerinde sağ tıklandığında o grup
politikası ile ilgili yapılabilecek işlemler görülebilmektedir. Bu listeden “Edit” seçildiğinde
grup politikasını düzenlemek için kullanılan pencereye ulaşılır.
Bir kullanıcı veya bilgisayar üzerinde birden çok politikanın ayarlarının etkin olması
mümkündür. Peki bu durumda ayarlar hangi sırda uygulanır? Grup politikalarının uygulanması
şu sırada gerçekleşir:
Yani bir kullanıcı veya bilgisayara ilk önce yerel politika ayarları uygulanır. Ondan sonrada
sırayla site, domain, OU ve son olarak da en alttaki OU seviyesinde bulunan grup
politikalarının ayarları uygulanır.
• Yerel Politikalar (Local Policies): Bu grupta denetleme (Audit Policy), kullanıcı hakları
(User Rights Assigment) ve güvenlik seçenekleri (Security Options) bulunmaktadır.
30 TÜBİTAK – UEKAE
GRUP POLİTİKASI MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU
• Olay Kayıtları (Event Log) : Olay günlüğü kayıtları (Event logs) ile ilgili ayarların
yapıldığı kısım.
Windows terminolojisinde domain için yapılan bir diğer tanım şöyledir: Domain bir güvenli
sınırıdır (security boundary). Domain bir güvenlik sınırı belirler. Bu tanımın gereği
Windows’ta hesap politikaları sadece domain bazında uygulanabilmektedir. Yani bir OU’ya
ayrı özel bir hesap politikası tanımlayamıyoruz. Bu önemli ayrıntının unutulmaması
gerekmektedir.
TÜBİTAK – UEKAE 31
MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU GRUP POLİTİKASI
Her ne kadar kullanıcılar bilgisayarlarının kullanabilmek için parola girilmesini sıkıcı bulsalar
da güvenliğin sağlanabilmesi için parolalar vazgeçilmezdir. Kurumunuzun güvenliği bu
parolalara bağlıdır. Windows etki alanında Parola Politikası kullanıcı parolalarının istenen
güvenlik seviyesine çıkarılması için kullanılırlar. Zayıf parolalar güvenliği delen en ciddi
güvenlik sorunudur. Başka yönlerden sistem ne kadar sıkı korunursa korunsun, sisteme
erişimde kullanılan kullanıcı parolaları yeterince güçlü değilse sistem büyük risk altındadır.
Parola politikası kullanıcıları parolalarını belirlenen kurallara uygun şekilde
oluşturmak/belirlemek/kullanmak zorunda bırakır. Parola politikası ile belirlenen kurallar etki
alanındaki tüm kullanıcıları etkiler. Eğer parola politikası ile kullanıcı parola uzunlukları en az
8 karakter olacak şekilde ayarlanmışsa, bu ayar etki alanındaki tüm kullanıcılarda etkin olur.
Farklı bir parola politikası isteniyorsa yeni bir domain yaratmak gerekir. Bir etki alanında
birden fazla parola politikası tanımlanamaz.
32 TÜBİTAK – UEKAE
GRUP POLİTİKASI MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU
Eğer bir kullanıcı güçlü bir parolaya sahip değilse bir başkası tahmin veya deneme yoluyla
parolayı bulabilir. Bu tür saldırılar parola tahmin atakları olarak bilinmektedir. Akıllı tahmin
yöntemleri kullanılarak zayıf kullanıcı parolaları kırılabilmektedir. Windows’ta bu saldırılara
karşı koymak için hesap kilitleme politikaları geliştirilmiştir.
Bu politika etki alanında etkinleştirildiğinde oturum açarken kullanıcı parolası belli bir sayıda
yanlış girilirse o kullanıcının hesabı kilitlenir, kullanılamaz hale gelir. Yukarıda tabloda hesap
kilitleme politikasının ayarları ve bunlar için tavsiye edilen değerler listelenmektedir.
TÜBİTAK – UEKAE 33
MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU KAYNAKÇA
KAYNAKÇA
34 TÜBİTAK – UEKAE