Microsoft Aktif Dizin Güvenliği Kılavuzu: Doküman Kodu: BGT-1002

ULUSAL ELEKTRONİK VE KRİPTOLOJİ
ARAŞTIRMA ENSTİTÜSÜ
Doküman Kodu: BGT-1002
Microsoft Aktif Dizin

Güvenliği Kılavuzu
SÜRÜM 1.00
26 MART 2008
Hazırlayan: Dinçer ÖNEL
P.K. 74, Gebze, 41470 Kocaeli, TÜRKİYE

Tel: (0262) 648 1000
Faks: (0262) 648 1100
http://www.bilgiguvenligi.gov.tr
teknikdok@bilgiguvenligi.gov.tr
MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU ÖNSÖZ
ÖNSÖZ
Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü (UEKAE)'nün misyonu, "bilgi

güvenliği, haberleşme ve ileri elektronik alanlarında Türkiye'nin teknolojik
bağımsızlığını sağlamak ve sürdürmek için nitelikli insan gücü ve uluslararası
düzeyde kabul görmüş altyapısı ile, bilimsel ve teknolojik çözümler üretmek ve
uygulamaktır". Bu ana hedef göz önünde bulundurularak belirlenen "bilgi
güvenliği, haberleşme ve ileri elektronik alanlarında yeni teknolojilerin
geliştirilmesine öncülük eden uluslararası bilim, teknoloji ve üretim merkezi
olmak" vizyonuna ulaşılabilmesi ve ülkenin ihtiyacı olan teknolojilerin
geliştirilmesi için Enstitü'nün akredite test ortam ve laboratuarlarında temel ve
uygulamalı araştırmalar yapılmakta ve ihtiyaç sahiplerine teknik destek
sağlanmaktadır.
Bu doküman “Ulusal Bilgi Sistemleri Güvenlik Projesi” kapsamında hazırlanmış

olup ihtiyaç sahiplerini bilgi sistemleri güvenliği konusunda bilinçlendirmeyi
hedeflemektedir. Tüm kurum ve kuruluşlar bu dokümandan faydalanabilir.
Bu dokümanda bahsi geçen belirli ticari marka isimleri kendi

özgün sahiplerine aittir. Burada anlatılanlar tamamen tavsiye
niteliğinde olup değişik ürünler/yapılandırmalar için farklılık
gösterebilir. UEKAE, yapılan uygulamalardan doğabilecek
zararlardan sorumlu değildir. Bu doküman UEKAE’nin izni
olmadan değiştirilemez.
2 TÜBİTAK – UEKAE
BİLGİLENDİRME MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU
BİLGİLENDİRME
Bu dokümanın oluşturulmasında emeği geçen Ağ Güvenliği personeline ve dokümanı gözden

geçirip fikirlerini öne sürerek dokümanın olgunlaşmasına katkıda bulunan Burak
BAYOĞLU’na ve Ünal PERENDİ’ ye teşekkürü borç biliriz.
TÜBİTAK – UEKAE 3
MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU GİRİŞ
İÇİNDEKİLER
1. GİRİŞ .................................................................................................................................................... 6
1.1 Amaç ve Kapsam.................................................................................................................6
1.2 Hedeflenen Kitle..................................................................................................................6
1.3 Kısaltmalar...........................................................................................................................6
1.4 Dokümanda Kullanılan Semboller ......................................................................................7

2. MICROSOFT AKTİF DİZİN ............................................................................................................. 8
2.1 Etki Alanı ve Çalışma Grubu kavramları ............................................................................8
2.2 Tanımlar ve Temel Kavramlar...........................................................................................10

2.2.1 Yapısal Birimler (OU) ................................................................................................11
2.2.2 Orman (Forest) ve Ağaç (Tree)Yapıları .....................................................................12
2.2.3 Global Katalog (GC)...................................................................................................13
2.2.4 (Flexible Single Master Operations) FSMO Rolleri...................................................14
3. MICROSOFT AKTİF DİZİN VE DNS............................................................................................ 15
3.1 Aktif Dizin Bütünleşik DNS..............................................................................................16
3.2 DNS Güvenliği ..................................................................................................................17

4. GÜVENLİ AKTİF DİZİN KURULUMU ........................................................................................ 19
4.1 Ön Gereksinimler...............................................................................................................19
4.1.1 Güvenli İşletim Sistemi Kurulumu .............................................................................21
4.1.2 Güçlü Yönetici Parolası ..............................................................................................21
4.1.3 NTFS Otomatik 8.3 İsim Üretimi ...............................................................................22
4.1.4 Virüs Taraması............................................................................................................23
4.1.5 Gereksiz Sistem Servisleri ..........................................................................................23
4.1.6 Rezerv Dosyası ...........................................................................................................23
4.2 Güvenli Aktif Dizin Kurulum İşlemi.................................................................................24
4.2.1 Cevap Dosyası ile Kurulum ........................................................................................24
4.2.2 Güvenli AD Yapılandırma Ayarları............................................................................25
5. GRUP POLİTİKASI.......................................................................................................................... 26
5.1 Grup Politikası ile Aktif Dizinde Güvenlik .......................................................................30
GİRİŞ MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU
5.2 Hesap Politikaları (Account Policies)................................................................................31

5.2.1 Parola Politikası (Password Policy) ............................................................................31
5.2.2 Hesap Kilitleme Politikası (Account Lockout Policy)................................................33
MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU GİRİŞ
1. GİRİŞ
Microsoft Aktif Dizin ilk kez Windows 2000 ürün ailesiyle beraber piyasaya sürülmüştür.
Aktif Dizin (AD), LDAP dizin servisinin Microsoft tarafından Windows ağ ortamları için
uyarlanmasıyla ortaya çıkmıştır. Aktif dizin, en basit anlatımla, bir kurumun sahip olduğu ağ
kaynaklarına ait tüm bilgileri merkezi veritabanında tutan, bu bilgileri düzenleyen ve
erişilmelerini sağlayan bir ağ servisidir. Bu bilgilerin tutulduğu veritabanı etki alanı
kontrolcüleri (Domain Controller - DC) dir.
1.1 Amaç ve Kapsam
Bu doküman Microsoft Aktif Dizin güvenliğiyle ilgili bilgiler içermektedir. Microsoft Aktif
Dizin servisini güvenli hale getirmek için uygulanması gerekenleri vermeyi amaçlamaktadır.
1.2 Hedeflenen Kitle
Bu doküman öncelikli olarak Microsoft Aktif Dizin servisi kullanan kurumlar için
hazırlanmıştır.
1.3 Kısaltmalar
UEKAE : Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü
AD : Active Directory
DNS : Domain Name System
DC : Domain Controller
GPO Group Policy Object
OU Organizational Unit
GPMC Group Policy Management Console
GİRİŞ MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU
1.4 Dokümanda Kullanılan Semboller
Sembol Açıklaması
Aktif Dizin (Active Parantez içerisindeki Italic karakterler öncesindeki kelimenin İngilizce
Directory) karşılığını belirtmektedir.
DNSÆ Properties Æ işareti menüler üzerinden ulaşılacak yere olan yolu göstermek için
kullanılmaktadır.
Vurgu Vurguları belirtmek için kullanılır
MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU MICROSOFT AKTİF DİZİN
2. MICROSOFT AKTİF DİZİN
2.1 Etki Alanı ve Çalışma Grubu kavramları
Etki alanı (domain) bir grup bilgisayarın bir araya gelmesiyle oluşan belli kurallar ve
politikalarla bir merkezden yönetilen kontrollü ağ yapısıdır.
Aynı coğrafik alandaki komşu bilgisayarların bir ağ cihazı yardımıyla bağlanmaları ile oluşan
basit ve dağınık yapıya ise çalışma grubu (Workgroup) denmektedir.
Etki alanları yetkili yöneticileri tarafından idare edilirler. Bu kişiler etki alanına bilgisayar
ekleme/çıkarma, kural koyma/uygulama, kullanıcı yaratma/silme vb. gibi etki alanının işlemesi
için gerekli görevleri yerine getirirler. Her etki alanında kontrol işlevini yerine getiren özel
bilgisayar(lar) bulunmaktadır. Bunlara Etki Alanı Kontrolcüsü (Domain Controller, DC). DC
etki alanını oluşturan bilgisayarlar, kullanıcı hesapları, yazıcılar gibi tüm nesnelerin (domain
objects) bilgilerinin tutulduğu ortak veritabanıdır.
Çalışma grubu ise etki alanına kıyasla çok daha basit bir yapı sunmaktadır. Ağ ortamında
bilgisayarların birbirlerine bağlanması ile oluşur. Bu bağlantı genelde hub veya anahtar gibi bir
cihaz yardımıyla gerçekleşir. Ağ ortamında bilgisayarlar arasında kaynak paylaşımının
gerçekleşebilmesi için geliştirilmiştir. Herhangi bir güvenlik özelliği bulunmamaktadır. İsteyen
herkes bir çalışma grubuna bağlanabilir. Kural koyan veya idare eden bir yönetici yoktur.
Etki alanının çalışma grubu yapısına kıyasla en çok öne çıkan özelliği güvenliktir. Bir çalışma
grubuna katılmak isteyen herhangi birinin yapması gereken tek şey bilgisayar ayarlarından
çalışma grubu kutucuğuna o grubun ismini yazmaktır. Bir etki alanına katılabilmek (üye
olabilmek) için ise yetkili bir yöneticinin onayına ihtiyaç vardır. İsteyen herkes bir etki alanına
katılamaz.
Microsoft Aktif Dizin (AD) ilk kez Windows 2000 ürün ailesiyle beraber piyasaya
sürülmüştür. Aktif dizin, LDAP dizin servisinin Microsoft tarafından Windows ağ ortamları
için uyarlanmasıyla ortaya çıkmıştır. Aktif dizin, en basit anlatımla, bir kurumun sahip olduğu
ağ kaynaklarına ait tüm bilgileri merkezi veritabanında tutan, bu bilgileri düzenleyen ve
erişilmelerini sağlayan bir ağ servisidir. Bu bilgilerin tutulduğu veritabanı etki alanı
kontrolcüleridir. Dizin servisi dizin’in kendisi ile karıştırılmamalıdır. Dizin ağ kaynakları
bilgisinin tutulduğu veritabanıdır, dizin servisi ise bu veritabanına erişimi sağlayıp belirli işleri
yerine getirmeyi mümkün kılan arayüzdür. Aktif dizin servisinin yerine getirdiği 3 önemli
görev bulunmaktadır:
MICROSOFT AKTİF DİZİN MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU
1. Ağ kaynaklarını organize eder: Ağ kaynaklarına ait bilgilerin düzenli bir yapı

içerisinde tutulması ağ ortamında kaynak paylaşımı ve kullanımı işinin sorunsuz
gerçekleşmesi açısından gereklidir.
2. Ağ kaynaklarının bir merkezden yönetilmesini sağlar: Ağ yöneticileri aktif dizinin

sağladığı servisleri kullanarak merkezi olarak ağ kaynaklarını yönetirler. Kullanıcı
hesapları, bilgisayarlar ve diğer ağ nesneleri ile ilgili pek çok işlemi etki alanı
kontrolcüleri üzerinden gerçekleştirirler.
3. Ağ kaynaklarına erişimi kontrol eder: Aktif dizinde kullanıcılar etki alanına bir kez
giriş yaparlar ve ondan sonra sahip oldukları hakların izin verdiği ağ kaynaklarına
erişirler (single sign-on). Kullanıcıların ağ kaynakları üzerinde sahip oldukları haklarla
ilgili sistem bilgisi aktif dizin tarafından tutulur. Bu sayede aktif dizin ağ kaynakları
erişiminde merkezi bir erişim kontrolü sağlar.
Microsoft Aktif Dizinin öne çıkan özellikleri şunlardır:
• Merkezi olarak yönetilebilme
• Ölçeklenebilirlik: Değişik boyutlardaki kullanıcıların ihtiyaçlarını karşılayabilmesi,
• Etki Alanı İsim Sunucusu (Domain Name System - DNS) ile entegrasyon
• Politika-tabanlı yönetim: Grup politikası ile etkili yönetim
• Multi-master replikasyon: Etki alanındaki kontrolcülerinin birinde yapılan değişiklik

etki alanın tamamında geçerli olur.
• Esnek ve güvenli kimlik doğrulama ve yetkilendirme
• Diğer dizin servisleriyle birlikte çalışabilme
• İmzalanmış ve şifrelenmiş LDAP trafiği
• Betik (Script) ile yönetim
Microsoft terminolojisinde etki alanı güvenlik sınırı (security boundary) olarak

tanımlanmaktadır. Aynı güvenlik ayarlarının geçerli olduğu bilgisayar kümesi bir etki alanı
oluşturur, bu ayarların farklılaştığı yerde etki alanı yoktur veya bir başka etki alanı vardır.
Microsoft etki alanı yapısı, çalışma grubu yapısının neden olduğu dağınık ve kuralsız ortamın
ortadan kalkması ve yerel bilgisayar ağlarının güvenli ve verimli bir şekilde işlemesi amacıyla
geliştirilmiştir.
2.2 Tanımlar ve Temel Kavramlar
Ağdaki kaynaklar aktif dizin için birer nesne olarak kabul edilirler ve bunlara AD kurulu
ağlarda “Aktif Dizin Nesnesi” denir. Aktifi dizin nesneleri:
• Kullanıcı hesapları
• Gruplar (kullanıcı yada bilgisayar grupları)
• Bilgisayarlar
• Yazıcılar
• Sunucular
• Etki Alanları
• Siteler
Her nesnenin tanımlayıcı özellikleri mevcuttur. Bu özelliklere “attribute” denir. Örneğin isim,
soyadı, telefon no, e-mail adresi gibi özellikler (attribute’lar) bir kullanıcı hesabını
tanımlamada kullanılan özelliklerden bir kaçıdır. Bu şekilde aktif dizinde bulunan tüm
nesneleri tanımlamaya yönelik binlerce özellik mevcuttur. Bu özelliklerin tutulduğu yere Aktif
Dizin Şema denilmektedir.
Tüm bu nesneler aktif dizin yönetim araçları içerisinde bir aktif dizin nesnesi olarak gösterilir.
Her bir nesnenin kendine özgü, tanımlayıcı bir gösterim şekli vardır. Bunlara bakarak nesneler
ayırt edilmektedir.
Şekil 1 - AD nesneleri
Aktif dizin esnek bir mantıksal yapıya sahiptir. Bu özellik aktif dizini hiyerarşik bir tasarım
içinde kurulabilmesine olanak sağlar. Etki alanları, alt etki alanları, ormanlar, yapısal birimler
(OU) ve global katalog bu mantıksal yapıyı oluşturan bileşenlerdir. Aktif dizinin sağlıklı olarak
anlaşılması için bu bileşenlerin işlevlerinin bilinmesi gereklidir.
Şekil 2 - AD mantıksal yapısı
2.2.1 Yapısal Birimler (OU)
Yapısal birimler (Organizational Unit, OU) bir etki alanı içerisindeki AD nesnelerini organize
etmek için kullanılan bileşenlerdir. Bilgisayarlardaki dosyalama sistemindeki klasör gibi
düşünülebilir. Bilgisayardaki dosyaları klasörler içerisinde gruplarken AD’deki nesneleri de
yapısal birimler içerisinde gruplandırır, belirli bir düzen içerisinde organize eder.
Yapısal birimler içerisinde bulunabilen AD nesneleri kullanıcılar, kullanıcı grupları, yazıcılar,

diğer yapısal birimlerdir. Bu nesneler yapısal birimler ile kurumun ihtiyacı doğrultusunda
uygun bir gruplama yöntemiyle belli bir hiyerarşik düzen içerisinde organize edilebilir.
Örneğin yönetimsel modeli kullanarak, etki alanı yönetimi açısından tüm kullanıcı ve
bilgisayarlar birer OU içerisinde toplanabilir. Veya kurumun organizasyon yapısını yansıtan
organizasyonel modeli kullanarak, kurum içindeki her bölüm ayrı birer OU içinde toplanabilir.
Şekil 3 - Yapısal birim modelleri
Yapısal birimler ile ilgili diğer önemli bir özellik ise delegasyona (görev/yetki dağıtımı) izin
vermesidir. Bu sayede her OU’nun yönetimi için ayrı bir yönetici görevlendirilebilmektedir.
Büyük kurumlar açısından bu gerekli bir özellik olabilmektedir. Ayrıca yine bir OU’nun
yönetim işi birden fazla yönetici arasında paylaştırılabilmekte veya bir yöneticiye OU üzerinde
sadece belli başlı görevleri yerine getirebilme yetkisi verilebilmektedir. Tüm bunlar AD’de
delegasyon sayesinde yapılabilmektedir.
2.2.2 Orman (Forest) ve Ağaç (Tree)Yapıları
Windows’ta ilk kurulan etki alanı, kök etki alanı (Forest Root Domain) olmaktadır. Bu etki
alanına ilave olarak kurulan yeni etki alanları ile ağaç (tree) ve orman (forest) yapısı ortaya
çıkar. Kök etki alanına ilave olarak kurulan her yeni etki alanı, alt etki alanı (child domain)
olur. Kök ve alt etki alanları aynı isim uzayına sahip olmak zorundadırlar. Kök etki alanının
DNS ismi “kamu.gov” ise yeni kurulan alt etki alanının ismi “alt_etki_alanı_ismi.kamu.gov”
biçiminde olmak zorundadır. Aksi takdirde alt etki alanı olamaz.
Şekil 4 - Orman ve Ağaç yapıları
Aynı isim uzayına (kamu.gov gibi) sahip etki alanlarının oluşturduğu yapıya ağaç denmektedir.
Bir veya daha çok ağaç ile oluşan yapıya ise orman denmektedir. Orman yapısında ağaçta
olduğu gibi aynı isim uzayını paylaşma zorunluluğu yoktur. Yukarıdaki şekilde de görüldüğü
gibi “kamu.gov” ağaç yapısı ile “edu.tr” ağaç yapısı farklı isim uzayına sahiptirler, bununla
beraber aynı orman içinde yer almaktadırlar. Öte yandan aynı orman içerisinde bulunan tüm
etki alanları aynı şema (schema) ve global kataloğu (global catalog, gc) ortak olarak
kullanırlar. Şema ve global katalog orman çapında tektir ve değişmez.
Windows dizin yapısı içinde kök ve alt etki alanı arasında standart olarak çift taraflı geçişli bir
güven (two-way transitive trust) ilişkisi bulunmaktadır. Bu güven ilişkisi sayesinde aralarında
güven (trust) bulunan etki alanındaki kullanıcılar diğer etki alanındaki kaynaklara
erişebilmektedirler. Bu güven ilişkisinin geçişli olması özelliği sayesinde ise aralarında

doğrudan güven (trust) olmayan domain’ler (ist.edu.tr ve ank.kamu.gov gibi) birbirlerinin
kaynaklarını kullanabilmektedir (Bkz. Şekil 4). Bu yolla A etki alanı B etki alanına
güveniyorsa, B etki alanı da C etki alanına güveniyorsa; bu durumda A etki alanı otomatik
olarak C etki alanına güvenmektedir.
2.2.3 Global Katalog (GC)
Global Katalog sunucular aktif dizin nesneleri hakkındaki sorgulara yanıt vermek için
tasarlanmışlardır. Global katalog, aktif dizin içindeki nesnelerin belli özelliklerini (attribute)
tutan bir veritabanıdır. Global katalog özellikle nesnelerin yerini tutar. Nesnelerin özellikleri
varsayım olarak sorgulardan çok kullanılan bilgilerdir. Örneğin; kullanıcın adı, logon adı gibi
bilgiler. Global katalog sunucu bir etki alanı kontrolcüsüdür (DC). Özellikle nesnelerin orman
genelinde aranması işlemine yardımcı olur. Global katalog iki önemli dizin işlemini yerine
getirir:
1. Kullanıcıların evrensel grup üyelik bilgisi ile ağa giriş yapmaları
2. Kullanıcıların bilginin yerinden bağımsız olarak dizin bilgisine erişmesi
Aktif dizinde yaratılan ilk etki alanı kontrolcüsü (DC) bilgisayar global katalog sunucudur.
Eğer istenirse diğer etki alanı kontrolcüsü bilgisayarlar da global katalog yapılabilir. Yeni bir
global katalog eklemek için Yönetimsel Araçlar (Administrative Tools) menüsünden Aktif
Dizin Siteler ve Servisler (Active Directory Sites and Services) aracı çalıştırılır. Açılan
pencerede global katalog yapılmak istenen sunucu bulunur (Sites → Default-First-Site-Name
→ Servers altında) ve sunucu altındaki NTDS Settings üzerinde fare ile sağ tıklayıp özellikler
(properties) penceresi açılır. Açılan pencerede global katalog kutucuğu işaretlenerek sunucu
global katalog yapılır. Etki alanına yeni bir global katalog sunucu eklenmesi ile kimlik
denetimi (authentication) ve sorgulama trafiği dengelenir.
Şekil 5 - Global Katalog (GC)
2.2.4 (Flexible Single Master Operations) FSMO Rolleri
Microsoft aktif dizinin sağlıklı ve sorunsuz çalışması için hayati fonksiyonları yerine
getirmekle görevli etki alanı kontrolcülerine ait özel roller bulunmaktadır. Bunlar şöyle
adlandırılmaktadır:
• Şema yöneticisi (Schema Master)
• Etki Alanı Adlandırma Yöneticisi (Domain Naming Master)
• RID Yöneticisi (RID Master)
• PDC Emülatör (PDC Emulator)
• Altyapı Yöneticisi (Infrastructure Master)
Şema yöneticisi olan DC şemada yapılan tüm değişiklikleri ve güncellemeleri kontrol eder. Bir
ormanın şemasını güncelleyebilmek için gerekli değişiklikleri şema yöneticisi üzerinde
gerçekleştirmek gerekir. Şema güncellendikten sonra yapılan değişiklik orman içinde diğer tüm
DC’lerde yinelenir. Bir orman içinde sadece bir adet şema yöneticisi olabilir. Orman çapında
şema yöneticisi tektir.
Etki Alanı Adlandırma Yöneticisi ise ormana katılan ya da ormandan çıkarılan etki alanlarını
takip eder. Bir orman içinde sadece bir adet Etki Alanı Adlandırma Yöneticisi olabilir.
Aktif dizinde bir erişim kontrol listesinde yer alabilen nesneler kullanıcılar, bilgisayarlar ve
gruplardır. Bu nesneleri benzersiz olarak kimliklendirmek için her birine SID numaraları
verilir. Bu SID numarası nesnenin yaratıldığı etki alanına ait SID numarası ve nesnenin
kendisine özgü RID numarasından oluşur. Nesnelerde olduğu gibi aynı şekilde her etki alanın
da kendine ait bir benzersiz SID numarası vardır. RID Yöneticisinin görevi etki alanında
yaratılan her nesneye benzersiz bir RID numarası sağlamaktır. Bir etki alanı içinde sadece bir
RID yöneticisi olur. Her etki alanının kendine ait bir RID yöneticisi olmalıdır.
PDC Emülatörünün birincil görevi etki alanı içinde zaman senkronizasyonunu sağlamaktır.
Kerberos kimlik doğrulama protokolünün çalışabilmesi için etki alanındaki tüm bilgisayarlar
ortak bir zamanı kullanmalıdırlar.
Mixed modda çalışan bir aktif dizinde ise PDC Emülatör bir Windows NT PDC gibi çalışan bir
etki alanı kontrolcüsü rolünü üstlenir. Bu etki alanı kontrolcüsünün görevi Windows NT
temelli istemcilere dizin değişikliklerini yinelemektir (replication).
PDC Emülatörün yürüttüğü diğer görevler ise şunlardır:
• Etki alanındaki diğer DC’ler tarafından gerçekleştirilen parola değişiklikleri PDC

Emülatöre yinelenir. PDC Emülatör bu bilgiyi etki alanındaki diğer DC’lere acil olarak
bildirir.
• Kullanıcı hesaplarının kilitlenmesi PDC Emülatör üzerinde gerçekleştirilir.
• Grup politikası nesnelerinin yaratılması ve düzenlenmesi PDC Emülatör’ün SYSVOL

paylaşımındaki kopyasından gerçekleştirilir.
Bir etki alanı içinde sadece bir PDC Emülatör olur. Her etki alanının kendine ait bir PDC
Emülatörü olmalıdır.
Altyapı Yöneticisi ise kullanıcıların grup üyelikleri bilgilerini tutar ve değiştiğinde günceller.
Bir başka etki alanı içerisinde bulunan nesnelerle ilişkili olan nesnelerin, etki alanlar arasındaki
erişimlerde, SID ve DN güncellemeleri altyapı yöneticisi tarafından gerçekleştirilir. Altyapı
yöneticisi olan etki alanı kontrolcüsünün aynı zamanda Global Katalog olmaması
gerekmektedir. Bir etki alanı içinde sadece bir altyapı yöneticisi olur. Her etki alanının kendine
ait bir altyapı yöneticisi olmalıdır.
3. MİCROSOFT AKTİF DİZİN VE DNS
Aktif Dizin ve DNS aynı hiyerarşik isimlendirme yapısını kullanırlar. Bunun sonucu olarak
domainler ve bilgisayarlar hem Aktif Dizin nesneleri hem de DNS etki alanları ve kayıtları
olarak gösterilirler. Microsoft Aktif Dizinin DNS ile olan bu sıkı entegrasyonunun bir sonucu
olarak Windows 2000/2003 networklarında bilgisayarlar özel servisleri yerine getiren sunumcu
MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU MICROSOFT AKTİF DİZİN VE DNS
bilgisayarlarına (DC veya GC gibi) ulaşabilmek için DNS’e başvururlar. Örneğin bir kullanıcı
istemci bilgisayarından sisteme giriş (logon) yapmak istediğinde veya bir Aktif Dizin’de bir
yazıcı veya paylaşım aramak istediğinde, istemci bilgisayarı DC’yi bulmak ve ulaşmak için
DNS’i sorgular. DNS sunumcularında domain için gerekli işleri yürüten bilgisayarların
kayıtları SRV kayıtları şeklinde bulunmaktadır. Bu kayıtlar sayesinde istemci bilgisayarları
DC’ye ulaşırlar ve işlemlerini gerçekleştirirler. Bu kayıtlar oluşmadan Aktif Dizin tam olarak
kurulmuş sayılmazlar. Bu sebeple etki alanının düzgün çalışabilmesi için bu kayıtlar hayati
öneme sahiptirler.
3.1 Aktif Dizin Bütünleşik DNS
AD’nin en temel özelliklerinden bir tanesi de DNS ile entegre bir halde çalışacak şekilde
tasarlanmış olmasıdır. Aktif Dizin ile entegre DNS sayesinde DNS isim alanları Aktif Dizin
veritabanında saklanır. DNS isim alanı etki alanındaki bilgisayarlara ait bilgisayar ismi ile IP
adresi tablolarının tutulduğu isim çözümlemelerinin yapılmasını sağlayan veritabanı dosyası
olarak tanımlanabilir. Aktif Dizin ile DNS’in entegre olması bu veritabanının Aktif Dizine ait
bilgi veritabanında tutulmasını sağlar. Yani DNS isim alanları da AD’de birer AD nesnesi
olarak saklanır. Bu durum DNS’in güvenliğini önemli ölçüde arttıran bir yapı sunmaktadır.
Aktif Dizinin gelişmiş güvenlik özellikleri kullanılarak DNS isim alanlarının yetkisiz kişilerce
erişilmesi engellenmiş olur. Ayrıca diğer AD nesnelerinde olduğu gibi DNS isim alanı
dosyaları da replikasyonlar ile domain’de bulunan tüm DC’ler üzerinde birebir aynı olacak
şekilde tutulur. DC’lerin belli aralıklarla kendi aralarında senkronize olması (AD replikasyon)
ile gerçekleştirilen bu durum olası bir hata sonucu olaşabilecek kritik veri kaybının da önüne
geçilmesini sağlar.
DNS olmadan AD kurulumu gerçekleştirilemez. Bu sebeple ilk olarak DNS kurulmalıdır.

Öncelikle Denetim Masasındaki (Control Panel) Program Ekle/Kaldır (Add Remove
Programs) kullanılarak bilgisayara DNS’i kurulması gerekmektedir. Bu işlem için Windows
2000/2003 Kurulum CD’sine ihtiyaç olacaktır. DNS’i bilgisayarımıza kurduktan sonra DNS’in
yapılandırılması yapılmalıdır. DNS’i kurduktan sonra yapılması gereken iş DNS’te
kuracağımız domain ile aynı ismi taşıyan bir DNS isim alanı (Forward Lookup Zone)
oluşturmaktır. Yanlış bir işlemde bulunmamak için mutlaka DNS Kurulum Sihirbazı
kullanılmalıdır. Doğru yapılandırma ayarları uygulamak için sihirbazla üzerinden talimatların
dikkatle okunması gerekmektedir. DNS Kurulum Sihirbazı, DNS Yönetim Konsolunu (DNS
mmc snap-in) ilk çalıştırıldığında otomatik olarak çıkar. Eğer sihirbaz çalışmazsa DNS
Yönetim Konsolunda bilgisayarın ismi üzerine sağ tıklanarak “Configure Server” seçeneği
MICROSOFT AKTİF DİZİN VE DNS MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU
seçilerek çalıştırılabilir. Bu sihirbaz kullanılarak kurulacak olan domain ile aynı ismi taşıyan
bir DNS isim alanı (Forward Lookup Zone) oluşturulmalıdır (contoso.msft gibi). Bu işlemi
tamamladıktan sonra yapılması gereken DNS üstünde dinamik güncellemeleri
etkinleştirmektir. Bunu da oluşturduğumuz DNS isim alanı (Forward Lookup Zone) ile ilgili
özelliklere ulaşılarak gerçekleştirilebilir.
3.2 DNS Güvenliği
Kurduğumuz DNS’i güvenli hale getirmek için yapılacak bir takım işlemler bulunmaktadır.
1. Bunlardan ilki DNS alan (zone) dosyalarının erişim kontrolünü denetlemektir. Bunu yapmak
için DNS Snap-in Æ DNS Æ %Sunucu Adı% Æ Forward Lookup Zones Æ %Alan Adı% Æ
Properties Æ Security yolunu izleyerek DNS alan dosyalarına ait erişim kontrol listesini
(ACL) açarak listede bulunan kullanıcıları ve bu kullanıcıların sahip olduğu hakları kontrol
etmek gerekmektedir. Listede yetkisiz kullanıcılar hiçbir şekilde bulunmamalıdır. Listede
sadece yönetici gibi yetkili kullanıcıların olduğundan emin olunması gerekmektedir.
2. DNS’i güvenli hale getirmek için uygulamamız gereken ikinci kontrol DNS servisine ait
registry anahtarı ve altındaki değerlerin erişim kontrol listesinin denetlenmesidir. Bunu yapmak
için Registry düzenleme aracını (regedt32.exe veya regedit.exe) çalıştırarak
HKLM\System\CurrentControlSet\Services\DNS yolunda bulunan tüm kütük (registry)
kayıtlarına ait izinleri (Permissions) gösteren listeleri gözden geçirmeliyiz. Listede yetkisiz
kullanıcılar hiçbir şekilde bulunmamalıdır. Listede sadece yönetici gibi yetkili kullanıcıların
olduğundan emin olunması gerekmektedir.
3. DNS’i güvenli hale getirmek için uygulanması gereken üçüncü kontrol daha önce de
bahsedildiği gibi güvenli dinamik güncellemeyi aktif hale getirmektir. Güvenli dinamik
güncelleme özelliği yetkisiz kişilerce veya yetkisiz kaynaklardan DNS isim alanı dosyalarına
yanıltıcı veya yanlış bilgi girilerek DNS’e yapılabilecek saldırıları önleyen bir özelliktir. Bu
özelliği etkinleştirerek yetkisiz konaklarını (host), yani domain dışından bilgisayarların, DNS
bilgi güncelleme işlemi yapamaması sağlanmalıdır. Bu özelliği etkinleştirmek için %DNS
Snap-in% Æ DNS Æ %Sunucu Adı% Æ Properties Æ General yolu izlenerek Dinamik
Güncellemeler (Dynamic Updates) seçeneği “sadece güvenli güncellemeler” (Windows
2000:Only secure updates, Windows 2003: Secure only) olacak şekilde ayarlanmalıdır.
4. DNS’i güvenli hale getirmek için uygulanması gereken dördüncü kontrol önlemi DNS isim
alanının transferini denetlemektir. Alan transferi DNS isim alanına ait tüm bilginin DNS
sunumcumuzdan bir başka bilgisayara aktarılabilmesidir. Yetkisiz konaklar tarafından
MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU MICROSOFT AKTİF DİZİN VE DNS
yapılacak alan transferi etki alanında bulunan tüm bilgisayarların isim ve IP adreslerinin
yetkisiz kişilerin eline geçmesi anlamına gelmektedir. Bu durum kötü niyetli kişilere sistem
hakkında önemli ölçüde bilgi sağlayacaktır. Hangi bilgisayarın hangi IP adresine sahip
olduğunu bilmek saldırıların daha kolay gerçekleştirilmesine yol açar. Bu sebeple alan transferi
ya tamamen kapatılmalı veya sadece belirli konakların alan transferi yapmasına izin
verilmelidir. Bunu yapmak için %DNS Snap-in% Æ DNS Æ %Sunucu Adı% Æ Properties Æ
Zone Transfers sekmesinde gerekli ayarlar yapılmalıdır.
5. DNS’i güvenli hale getirmek için uygulamamız gereken beşinci kontrol önlemi DNS ile
ilgili log kayıtlarının tutulmasıdır. Sistemde gerçekleşen önemli olayların kayıtlarının tutulması
güvenlik açısından hayati öneme sahiptir. Bu kayıtlar sorunun kaynağını tespit etmeye
yardımcı olurlar. Kimin ne işlemi gerçekleştirdiğini bu sayede bilinebilir. Ayrıca sistemde ne
tür işlemleri gerçekleştiği konusunda bilgi sahibi olmak diğer türden sorunların anlaşılması ve
çözülmesinde de önemli rol oynarlar. DNS ile ilgili log kayıtlarını tutmak için %DNS Snap-
in% Æ DNS Æ %Sunucu Adı% Æ Properties Æ Logging sekmesi altında gerekli ayarlar
yapılmalıdır. Güvenlik açısından en azından notify ve update olaylarının log kayıtlarını
tutmakta fayda vardır. Notify diğer DNS sunumculardan gelen bildirim mesajlarının
kaydedilmesini sağlar. Update ise etki alanındaki bilgisayarlardan gelen dinamik DNS bilgisi
güncellemeleriyle ilgili kayıtların tutulmasını sağlar.
6. DNS’i güvenli hale getirmek için uygulanması gereken altıncı kontrol önlemi DNS’i
önbellek zehirlemelerine (cache posinoning/polluting) karşı korumalı hale getirmektir. Bunu
yapmak için %DNS Snap-in% Æ DNS Æ %Sunucu Adı% Æ Properties Æ Advanced Æ
Secure cache against pollution tıklanarak etkin hale getirilmelidir. DNS önbellek zehirleme
saldırısı yanlış veya hatalı çok sayıda DNS sorgu cevabını, bir DNS sunumcuya önbelleğini
şişirecek hale getirecek şekilde sürekli göndererek yapılırı. Bu özelliğin etkin hale
getirilmesiyle DNS sunumcu kendisine saldırganlar tarafından gönderilen isim çözümleme
kayıtlarını (DNS sorgu cevapları) kabul etmezler. DNS sunumcu bu özellik sayesinde
kendisine gelen DNS sorgulama cevaplarının kaynağını soruşturur. Eğer yetkisiz bir kaynaktan
(mesela DNS sunumcu olmayan bir makineden) geliyorsa bunu kabul etmez. Ayrıca bu
özellikle DNS sunumcumuz diğer DNS sunumcuların kendi isim alanlarının dışında gönderdiği
DNS sorgu cevaplarını da kabul etmez. Yani microsoft.com DNS Sunumcusundan yahoo.com
isim alanına ait IP adresleri (DNS sorgu cevapları) gelirse bunlar kabul edilmez, düşürülür.
Yine aynı şekilde bu özellik sayesinde DNS sunumcumuz kendisinin sorgulamadığı bir isim
alanına ait gelen DNS sorgu cevaplarını da kabul etmez.
MICROSOFT AKTİF DİZİN VE DNS MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU
7. Dinamik güncelleme özelliği ile ağda çalışan bir bilgisayar DNS’ten kullanacağı IP adresini
otomatik olarak edinir. Fakat bu bilgisayar ağdan çıkarıldığında ona ait DNS isim kayıt bilgisi
otomatik olarak silinmeyebilir. Önceden ağ içindeki bir bilgisayarın kullandığı fakat artık
kullanılmayan ve belli bir bilgisayara ait olmayan DNS isim kayıtları silinmediği takdirde DNS
sisteminde bir takım sorunlar ortaya çıkabilir. Bu sorunlar:
• Fazla sayıda kullanılmayan DNS isim kayıt bilgisi DNS sunumcunun disk alanını
doldurup, uzun süren alan transferlerine yol açabilir.
• DNS sunumcular kullanılmayan bilgisayar isim kayıtları için yapılan sorgulara cevap
vererek istemcilerin isim çözümleme sorunu yaşamalarına yol açabilir.
• Kullanılmayan DNS isim kayıt bilgileri DNS sunumcuda zamanla birikerek sorgulara
cevap verme hızını düşürebilir ve performans sorunu yaşanmasına yol açabilir.
Bu tür sorunlar yaşamamak için DNS sunumcuda eski DNS isim kayıt bilgileri
temizlenmelidir. Bunu yapmak için DNS sunumcuda %DNS Snap-in% Æ DNS Æ %Sunucu
Adı% Æ Fare Sağ Klik Æ Set Aging/Scavenging for All Zones yolu izlenerek belirli aralıkla
bu kayıtların silinmesi için gerekli ayar uygulanmalıdır.
4. GÜVENLİ AKTİF DİZİN KURULUMU
4.1 Ön Gereksinimler
Aktif Dizin kuruluşu için aşağıdaki ön gereksinimlerin yerine getirilmesi gerekir:
• Windows 2000/2003 Server işletim sistemi kurulmuş, sunumcu donanımına sahip bir
bilgisayar. Genelde tavsiye edilen işletim sistemleri Windows 2000 için Advanced
Server, Windows 2003 için ise Enterprise Edition’dır. Bunlar kurumun büyüklüğüne
veya ihtiyaçlarına göre değişebilir.
• AD kurulumunun yapılacağı sunumcu bilgisayarın işletim sisteminin de mutlaka

güvenli hale getirilmiş olması gerekmektedir. DC’nin güvensiz olması, varsayılan
yapılandırma ayarlarından bırakılması, kurulacak etki alanın da güvenliğinin zayıf
temeller üzerinde durmasına yol açar. DC’nin bir saldırıda etkisiz hale getirilmesi veya
saldırganlarca ele geçirilmesi etki alanını tümüyle risk altında bırakır.
• NTFS formatlı bir disk bölmesi (partititon). Aktif Dizin için yaklaşık l GB disk alanına
ihtiyaç vardır. İşletim sistemi kurulumu öncesi formatlama işlemi esnasında bunlara
dikkat edilmelidir.
MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU GÜVENLİ AKTİF DİZİN KURULUMU
• AD’nin çalışması DNS servisine bağlıdır. Bu sebeple ağda DNS kullanımına imkân
veren TCP/IP protokolünün önceden kurulu olması gerekmektedir.
• SRV kaynak kayıtlarını destekleyen bir DNS sunucu ve DNS dinamik güncelleme
özelliği.
Güvenli DNS kurulumu ve yapılandırma işlemlerini bitirdikten sonra AD kurulumuna artık

başlanabilir.
Kuruluma başlamadan önce yerine getirilmesi gereken gereklere göz atıldığında, bunlardan ilki
ve en temeli fiziksel güvenliğin sağlanmış olması gerektiğidir. Bilgi sistemleri güvenliği
konusunda her zaman için ilk sağlanması gereken şart fiziksel güvenliktir. Fiziksel güvenliğin
sağlanmadığı ortamlarda diğer bilişim güvenliği önlemlerinin fayda getireceğini ummak pek
mantıklı olmaz. Bu sebeple AD kurulumunu üzerinde gerçekleştireceğimiz DC’ler fiziksel
açıdan güvenliği sağlanmış olmalıdır.
Alınacak fiziksel güvenlik önlemleri ile DC’lere yetkisiz kişilerce fiziksel erişim tamamen
engellenmiş olmalıdır. Yetkisiz kişilerce DC’ler:
• Açılıp, kapatılamamalıdır.
• Donanımları sökülememelidir, yeni donanım eklenememelidir.
• CD veya disket gibi taşınabilir medya takılamamalıdır, bir başka işletim sistemi ile boot
edilememelidir
• Sistem yedeklerine erişilememelidir.
DC’ler tüm bunları sağlayabilen uygun odalarda bulundurulmalıdır. Bu tip fiziksel güvenlik
önlemleri yanında AD kurulumunu gerçekleştireceğimiz ağ ortamının da güvenli olduğundan
emin olunmalıdır. Ağ ortamında bulunan hub, anahtarlama cihazı, kablo gibi unsurların
yetkisiz kişilerin erişimine kapalı olduğundan emin olmak gerekmektedir. Örneğin kablolar
kapalı kablo kanallarından geçirilmiş olmalı, anahtar cihazlarına bilinmeyen bilgisayarların
bağlanması kısıtlanmalı (portlara MAC adresi sabitleme uygulaması), anahtar cihazları kilitli
dolaplarda bulundurulmalı ve ağ üzerinden yönetimi mutlaka parola korumalı
gerçekleştirilmelidir. Bunun gibi tedbirler ağ ortamının güvenliğini önemli ölçüde arttıracaktır.
Bir etki alanında en az 2 adet DC bulunması tavsiye edilir. Kurumunuzun büyüklüğüne göre bu
sayının daha da artması gerekebilir. Bu sebeple bir etki alanı oluştururken birden fazla DC
kurmak gerekecektir. Kurulum esnasında uyulması gereken güvenlik prensiplerinin her
seferinde (tüm DC kurulumlarında) karşılanması için tekrarlanabilir ve güvenli bir DC kurulum
GÜVENLİ AKTİF DİZİN KURULUMU MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU
prosedürüne ihtiyaç vardır. Böyle bir prosedür kurulan tüm DC’lerin aynı güvenli ayarlarla
oluşturulmasını sağlar. Tekrarlanabilir ve Güvenli DC kurulum prosedürü şu adımlardan
oluşabilir:
1. Servis Paketleri ve yamaları eksiksiz, güvenli yapılandırma ayarlarına sahip Windows

2000/2003 İşletim Sistemi kurulması
2. Güçlü bir yönetici parolası belirlenmesi
3. Kütük ayarı ile NTFS otomatik 8.3 isim üretiminin engellenmesi
4. Sunumcu üzerinde virüs taramasının yapılması
5. Sunumcu üzerinde sadece gerekli servislerin çalıştığından emin olunması
6. Disk alanı ataklarına karşı hızlı kurtarma için bir rezerv dosyası yaratılması
4.1.1 Güvenli İşletim Sistemi Kurulumu
Kuracağımız AD’nin güvenliği, DC’lerdeki işletim sisteminin de güvenli olmasıyla çok

yakından ilgilidir. İşletim sistemi güvenli olmayan DC’ler üzerinde AD kurmak sağlam
olmayan temel üzerinde bina inşa etmeye benzer. İşletim sistemi açıklıkları kullanılarak
DC’lerin ele geçirilmesi veya verilerinin bozulması sağlıklı çalışan bir AD sistemine sahip
olunması veya son derece kritik olan sistem bilgilerinin yetkisiz kişilerin eline geçmesi
anlamına gelir. Bunun olmaması için AD kurulumu yapılacak DC bilgisayarlarının işletim
sistemlerinin güvenliğinin sağlanmış olduğundan emin olunmalıdır. Domain’de kurulacak ilk
DC’nin güvenli bir işletim sistemine sahip olması için işletim sistemi kurulumunda dikkat
edilmesi gerek hususlar bulunmaktadır. Bunlar:
• Kurulum lisanslı bir Windows 2000/2003 İşletim Sistemi CD’si ile

gerçekleştirilmelidir. Lisanslı ürün kullanmamak bir suç olduğu gibi sağlıklı çalışma
garantisi de bulunmamaktadır.
• Tüm disk bölmelerinin NTFS dosya sistemi ile biçimlendirilmesi gerekmektedir.

Bilindiği gibi NTFS, erişim kontrolü ve denetimi sağlama özelliğiyle güvenli bir dosya
sistemi olarak öne çıkmaktadır.
4.1.2 Güçlü Yönetici Parolası
Bilgi sistemleri güvenliği konusunda bir diğer önemli konu da parolalardır. Çoğu saldırının
başarıya ulaşmasında yetersiz ve zayıf parolararın büyük rolü vardır. Parola sisteme giriş
anahtarıdır. Evimizin veya arabamızın anahtarını nasıl koruyorsak, parola konusunda da aynı
hassasiyetin gösterilmesi sahibi olduğumuz bilgi sisteminin güvenliğini önemli ölçüde arttırır.
Özellikle sahip oldukları yetkiler yüzünden yönetici hesaplarına ait parolalar kritik önem
taşırlar. Kolay kırılabilen veya tahmin edilebilen zayıf bir yönetici parolası sistemi tamamıyla
yetkisiz kişilerin eline bırakmakla eşdeğerdir. DC kurulumu gerçekleştirilen bilgisayarın yerel
yönetici hesabı, bilgisayar DC olduktan sonra Domain Yönetici Hesabı olur. Domain Yönetici
Hesabı domain çapında en yetkili hesaplardan biridir. Domain üzerinde gerçekleştiremeyeceği
parola sayısı çok azdır. Bu sebeple kritik öneme sahiptir. Bu hesabın güvenlik sorunları
çıkarması istenmiyorsa mutlaka güçlü bir parolaya sahip olması gerekmektedir. Güçlü parola
saldırganlarca tahmin edilmesi veya parola kırma programları ile kırılması çok zor parolalardır.
Güçlü bir parola:
• En az 9 karakterden oluşmalıdır
• Bir hesap ismi veya gerçek isim içermemelidir (Admin, Ali vb.)
• Sözlüklerde bulunabilecek tüm isimler içermemeli (Masa, Kalem, Edirne, Honda vb.)
• İlk 7 karakteri içinde mutlaka bir sembol işareti olmalı (` ~ ! @ # $ % vb. )
• Büyük harf, küçük harf, rakam ve sembol işaretlerinden oluşmalı
4.1.3 NTFS Otomatik 8.3 İsim Üretimi
Windows’ta varsayılan olarak her dosyanın ve klasörün 2 ismi vardır: uzun isim (LFN) ve 8.3
biçimindeki kısa isim. NTFS ve FAT dosya sistemlerinde bu özellik mevcuttur. Dir/x komutu
ile 8.3 isimleri görülebilir.
Bir dosyaya bu iki isimden herhangi biri ile erişilebilir. Bir kişi bir dosyanın sadece kısa isimli
hali üzerinde hakları varsa, uzun isimle de bu dosyaya erişebilir. Geçmişte bu özellik
kullanılarak yapılan ataklar geliştirilmişti.
8.3 isim desteği devre dışı bırakıldığında sadece LFN isimler üretilir. Saldırganlarca kullanılan
virüs veya diğer saldırı araçlarında olduğu gibi 16 bit uygulamalar çalışamaz. Bu özelliği devre
dışı bırakmak için kütükte (registry);
HKLM\SYSTEM\CurrentControlSet\Control\FileSystem altındaki
NtfsDisable8dot3NameCreation (Reg_DWORD)
Değer : 1
yapılmalıdır.
8.3 isim özelliğinin iptal edilmesi ayrıca performansı da arttırır. Bu performans artışı fazla
sayıda dosya içeren klasörlerde listeleme yaparken daha net bir biçimde görülür.
4.1.4 Virüs Taraması
Virüs bulaşmış bir bilgisayara AD kurmak etki alanını tümden risk altında bırakmak demektir.
Windows işletim sistemi kurulumu tamamlandıktan sonra DC’ye yükseltilme (promote)
işlemine başlamadan önce bilgisayara virüs bulaşmadığından emin olmak için bir antivirüs
programı ile taranması güvenli açısından önemli ve gereklidir. Virüs tarama işlemi yapılırken
güncel virüs tanım dosyaları kullanıldığından emin olmak gerekir. Windows işletim sistemi
kurulumu disk imajı yöntemi ile yapılacaksa, imajı alınacak esas bilgisayara bir antivirüs
programı kurulmuş olmalıdır.
4.1.5 Gereksiz Sistem Servisleri
Windows’ta çalışan servislerin her birini potansiyel birer saldırı hedefi olarak görmek güvenlik
açısından yanlış bir hareket olmaz. Saldırganlar bilgisayarları eli geçirirken çoğunlukla çalışan
sistem servislerindeki açıklıkları kullanırlar. Bu sebeple DC’ye yükselteceğimiz bilgisayarda
gerekli olmayan tüm servislerin kaldırılması güvenlik açısından yerinde bir eylem olacaktır.
Sistemde çalışır halde ne kadar az servis bulunursa potansiyel saldırı alacak noktalar o oranda
azaltılmış olunur.
Microsoft tarafından hazırlanmış Güvenli AD Kurulumu dokümanında (ADSecurity2003.doc)

tüm servisler için tavsiye edilen çalışma tipleri (Elle, otomatik devre dışı gibi) bir liste halinde
sunulmuştur. Sistem için hangi servislerin gerekli olduğuna bu listeye bakılarak karar
verilebilir.
“ADSecurity2003.doc” şu adresten indirilebilir:
http://www.microsoft.com/windowsserver2003/techinfo/overview/adsecurity.mspx
4.1.6 Rezerv Dosyası
Kullanılabilir disk alanının belli bir miktarın altına düşmesi AD’nin işlemlerini düzgün bir
şekilde sürdürmesini engeller. Saldırganlar veya kötü niyetli sistem yöneticilerin disk alanı
atakları ile bu zafiyetten yararlanmak isteyebilirler. Disk alanı atakları, diskteki boş alanı çok
fazla sayıda AD nesnesi yaratarak tüketmeyi hedefler. Yaratılan çok sayıdaki bu nesnelerin
silinmesi de disk alanı saldırıların zararını bertaraf etmeye yetmez. Çünkü silinen her AD
nesnesi veritabanında 60 gün süreyle özel bir biçimde (tombstone) saklanır.
AD yapısının disk alanı ataklarından etkilenmesine izin vermemek için yapılması gereken daha
baştan büyük boyutta bir rezerv dosyasını AD veritabanı dosyasının (NTDS.dit) bulunduğu
disk bölmesinde oluşturmaktır. Rezerv dosyası en basit haliyle disk alanını dolduran ve bir
bilgi içermeyen yeterince büyük bir dosyadır. DC’deki kullanılabilir disk alanı tehlikeli
boyutlarda azaldığında rezerv dosyası silinerek normal operasyon süreçlerinin devamlılığı
sağlanır.
Rezerv dosyası yaratmak için şu komut kullanılır:
fsutil file createnew dosya_ismi dosya_boyutu(byte)
4.2 Güvenli Aktif Dizin Kurulum İşlemi
Otomatik kurulum (unattended setup) alışagelmiş kurulum yöntemlerinden daha güvenilir bir
yöntemdir. Otomatik kurulum önceden üzerinde düşünülüp hazırlanan bir dosya ile
yapıldığından kurulum esnasında yapılabilecek olası hataları (yanlış bilgi girme, yanlış seçenek
seçme vb.) baştan elimine eder. Kurulum esnasında bir kişinin kuruluma bir şekilde müdahale
etmesi de bu yöntemde olanaksızdır.
AD’i otomatik kurulum yöntemi ile kurmadan önce cevap dosyasının (answer file)
hazırlanması gerekir. Cevap dosyası, normal AD kurulumunda “AD Kurulum Sihirbazının”
bizden belirlememizi istediği bilgi ve seçeneklerin yazılı olduğu bir metin (text) dosyasıdır.
Windows 2000/2003 CD’si içinde şablon olarak kullanılabilecek hazır örnek cevap dosyası
mevcuttur. Bu açılıp yeniden düzenlenerek cevap dosyası oluşturulabilir.
Cevap dosyasını oluşturduktan sonra AD kurulumu yapılacak bilgisayarda Çalıştır (Run)

diyalog kutusuna
Dcpromo.exe /answer:cevap_dosyası.txt
yazıp tamam (OK) diyerek AD kurulum işlemini başlatılabilir.
4.2.1 Cevap Dosyası ile Kurulum
Kendimize bir cevap dosyası hazırlamak için öncelikle Windows 2000/2003 İşletim Sistemi
kurulum CD’si içerisinde ..\SUPPORT\TOOLS klasörü altında bulunan DEPLOY.CAB
dosyası açılır. Bundan sonraki adımlarda Windows 2000 ile 2003 arasında farklar
bulunmaktadır.
Windows 2000 AD kuruyorsak şunlar yapılmalıdır:
• “deploy.cab” isimli arşiv dosyasının içindeki “unattend.doc” dosyası açılır.

[DCInstall] diye bir bölüm bulunmaktadır. Bu bölümde bulunan parametreleri cevap
dosyası olarak kullanılacak metin dosyasının içine kopyalanır.
• Cevap dosyası içinde parametrelerin değerleri uygun biçimde girilir.
Windows 2003 AD kuruluyorsa şunlar yapılmalıdır:
• “deploy.cab” isimli arşiv dosyasının içindeki ”Ref.chm” dosyasını açılır.
• Contents (İçindekiler) sekmesi altında Unattend.txt’i çift tıklatarak genişletilir.
• Unattend.txt altındaki [DCInstall]’a tıklanır.
• Sağdaki pencereden aşağı doğru ilerleyerek Sample (örnek) kısmı altındaki [DCInstall]
bölümü oluşturulacak cevap dosyası içine kopyalanır.
• Cevap dosyası içinde parametrelerin değerleri uygun biçimde girilir.
Parametrelerin ne anlama geldiği ve hangi değerler verilebileceği konusunda bilgi sahibi

olunmadan kuruluma başlanmamalıdır. İlgili dosyalardaki açıklama kısımlarını dikkatlice
okunup anladıktan sonra cevap dosyanızı oluşturulursa kurulumda hatadan uzak kalmış olunur.
4.2.2 Güvenli AD Yapılandırma Ayarları
Cevap dosyası içindeki bazı parametreler güvenliğin ve performansın arttırılmasında

kullanılabilir. Önceki bölümlerde bahsettiğimiz disk alanı ataklarının yaygın olarak hedefi
sistem dizininin bulunduğu disk sürücüleridir. Sistem dizinimizin hangi disk sürücüsünde
olduğu Command Prompt’ta (cmd.exe) “echo %systemroot%” komutu ile öğrenilebilir.
AD’nin işleyişinin bu ataklardan etkilenmemesi için AD’ye ait kritik bilgilerin tutulduğu
dosyalar/klasörler sistem dizininden farklı bir disk sürücüsünde olmalıdır (Varsayılan olarak bu
bilgiler sistem dizini altında tutulur). Bunu yapmak için AD veritabanı dosyasının (ntds.dit)
yerini cevap dosyasında örneğin Databasepath = D:\Data , SYSVOL klasörünün yeri de
örneğin SysVolPath = D:\SYSVOL yazarak belirlenebilir. Tabii ki sistem dizininin C:\
sürücüsünde bulunduğu varsayılmaktadır.
DC olan bilgisayarın çalışma performansını düşürmemek için alınabilecek bir diğer önlem de
AD’ye ait kayıt (log) dosyalarını sistem dizininden farklı bir disk sürücüde saklamaktır.
Normalde sistem dizininin bulunduğu sürücü yoğun bir şekilde kullanılır, bu diskte
okuma/yazma işlemleri çok olur. Kayıt (log) dosyalarının başka bir sürücüye yazılması sisteme
aşırı yüklenmeyi engellemiş olur. Bunu yapmak için cevap dosyasında örneğin LogPath =
E:\Logs yazarak kayıtların tutulacağı yer belirlenebilir.
Anonim erişim herhangi bir yetkilendirme olmadan kaynaklara erişmek anlamına gelmektedir.
Bu bağlantı tipi erişimi gerçekleştiren kullanıcı veya servis’in kimliği hakkında bir bilgi
vermez. Windows’ta 2000 öncesi program ve servislerin 2000 ve sonrası domain veya çalışma
gruplarıyla uyumlu bir şekilde çalışabilmesi için anonim erişimlere izin vermek
gerekebilmektedir. Bu durum beraberinde güvenlik açıklarının oluşmasına yol açmaktadır.
Anonim erişimi kullanan saldırı araçları bu açıklığı kullanarak etki alanına beklenmedik zarar
verebilir. Bunun engellemek için AD’ye anonim erişim kapatmak gerekir. Anonim erişimi
kapatmak için:
• Windows 2003’te AD kurulumunda kullanacağımız cevap dosyasına

AllowAnonymousAccess = No satırını eklemeli.
• Windows 2000’de yerel güvenlik politikası veya grup politikası kullanılarak Computer
Configuration > Windows Settings > Security Settings > Local Policies > Security
Options yolu altındaki
“Additional restrictions for anonymous connections” için “No access without explicit
anonymous permissions” değerini seçmeli veya bunun yerine DC’de
“HKLM\System\CurrentControlSet\Control\Lsa\RestrictAnonymous =2” registry değeri
atanmalıdır.
Anonim erişim yoluyla enumeration denilen bilgi toplama saldırıları yapılır. Bu saldırılar
domain’deki kullanıcı hesapları ve domain için önemli diğer nesnelerle ilgili kritik bilgilerin
yetkisiz kişilerce ele geçirilmesinde kullanılır.
5. GRUP POLİTİK ASI
Güvenli bir AD’ye sahip olunması isteniyorsa bunu gerçekleştirmede en büyük ve en sık
başvurulan yardımcı Grup Politikası (Group Policy) olacaktır. Grup Politikası Microsoft Aktif
Dizin servisini en önemli güvenlik servisidir. Grup Politikası Windows 2000 ile beraber ortaya
çıkmıştır. Windows NT’deki “Security Configuration Editor and System Policy”nin işlevsellik
açısından geliştirilmiş halidir.
Grup Politikası Microsoft Aktif Dizin servisinin etki alanındaki tanımlı (ya da üye) kullanıcılar
ve bilgisayarlar üzerinde etkili bir kontrole sahip olmasını mümkün kılan bir yönetim aracıdır.
Grup Politikasıyla kullanıcıların bilgisayarlarındaki çalışma ortamları tanımlanabilir ve bunun
GRUP POLİTİKASI MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU
devamlılığı Grup Politikası ayarları ile sağlanabilir. Etki alanında bulunan bilgisayarların
yapılandırma ayarları ve kullanıcıların yetki ve haklarını Grup Politikası ile otomatik olarak
belirlemek mümkündür.
Grup Politikası kullanılarak etki alanındaki AD nesneleri üzerinde çok sayıda yönetimsel görev
merkezi tek bir noktadan kolayca yerine getirebilir. Grup Politikası ile yapılabilecek
işlemlerden bazıları şunlardır:
• NTFS erişim izinlerini ve denetleme ayarlarını belirleme
• Kütük (Registry) anahtarlarına erişim izinlerini ve denetleme ayarlarını belirleme
• Kütük (Registry) ’de değer atama
• Kullanıcı hakları yönetimi
• Kullanıcı grup üyelikleri yönetimi
• Açılış (startup), kapanış (shutdown), giriş (logon) ve çıkış (logoff) betikleri çalıştırma
• Otomatik uygulama kurulumu
• Parola ve hesap kilitleme politikaları belirleme
• Kerberos, IPSec ve PKI politikaları belirleme
• Hangi servisin ne şekilde başlayacağını belirleme
• Disk kotası yönetimi
• Kullanıcı masaüstü, denetim masası ve bilgisayar kullanım ayarlarını belirleme
• Kullanıcıların veri ve profillerini ortak bir sunumcuda saklama
MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU GRUP POLİTİKASI
Grup Politikasının İsmi. 2 bölüm: Bilgisayar Ayarları ve Kullanıcı Ayarları.

Bilgisayar ayarları HKLM, Kullanıcı ayarları HKCU
Açılış ve kapanış scriptleri

Şifre ve hesap kilitleme politikaları
Yerel politikalar
Denetleme politikaları
Kullanıcı haklarının belirlendiği kısım
Güvenlikle ilgili seçeneklerin belirlendiği kısım
Hassas Kullanıcı Grupların üyelerinin belirlendiği kısım
Sistem servislerinin varsayılan başlangıç durumunun ayarı

Registry’de bir değer atama
Uygulama kurma/kaldırma/güncelleme ayarları (.msi paketleri ile)
Yönetimsel şablonlar (Kullanıcı masaüstü, denetim masası ve diğer

bilgisayar kullanım ayarları)
Şekil 6 - Grup Politikası Arayüzü
Yukarıdaki şekilde Grup Politikası Yönetim Konsoluna ait pencere görülmektedir. Grup
politikası ayarları 2 grup altında toplanmaktadır:
• Bilgisayar yapılandırma ayarları (Computer Configuration)
• Kullanıcı yapılandırma ayarları (User Configuration),
Adlarından da anlaşılacağı üzere bilgisayar yapılandırma ayarları domain’e üye

bilgisayarlardaki yapılandırma ayarlarının kontrolünde, kullanıcı yapılandırma ayarları etki
alanına üye kullanıcılara ait yapılandırma ayarlarının kontrolünde kullanılır.
Bu gruplar içinde uygulanabilecek tüm ayarlar farklı başlıklar altında toplanmıştır. Yukarıda
gösterilen şekilde bu başlıklar listelenmektedir.
Grup Politikası
• Site
• Domain
• OU
bazında uygulanabilir.
Grup Politikası ayarları
• Bilgisayarın açılışında
• Kullanıcı etki alanına giriş yaptığında
• Belirli aralıklarda
uygulanır.
Grup politika bilgisi AD veritabanı dosyası ve SYSVOL paylaşımında depolanır. Bilgisayar

açılışta AD’den hangi grup politikalarının ne sırada uygulanacağını öğrenerek bu
politikalardaki ayarları üzerinde aktif hale getirir. Kullanıcı, kullanıcı ismi ve parolasını girerek
sisteme giriş yaptığında (logon) ise yine aynı şekilde ilgili grup politikaları AD’den okunur ve
kullanıcı bu politikalardaki ayarlar ile sistemi kullanır.
Windows 2000’de grup politikası düzenlemek için öncelikle “AD Users and Computers”
yönetim konsolunun (MMC: Microsoft Management Console) açılmış olması gerekmektedir.
Burada grup politikası uygulanmak istenilen OU (Yapısal Birim) işaretlenerek fare ile üstünde
sağ tıklanıp Properties (Özellikler) penceresi açılır. Bu pencerede Group Policy sekmesi
açılarak bu OU’da yapılacak grup politikası işlemleri için kullanılacak arayüze ulaşılır. Bu
arayüzde grup politikası ile ilgili yapılabilecek tüm işlemler görülmektedir. Bu işlemler:
• Yeni bir grup politikası yaratmak (New)
• Varolan bir grup politikasını bu OU’ya bağlamak (Add)
• Bu OU ile ilişkilendirilmiş grup politikasını düzenlemek (Edit)
• Varolan bir grup politikası ile ilgili seçenekleri belirlemek (Options)
• Varolan bir grup politikasını veya OU ile olan bağını silmek (Delete)
• Varolan grup politikasının özelliklerini görüntülemek (Properties)
• Kalıtım (inheritance) ile OU üzerinde etkili olacak ayarları engellemek (Block Policy
inheritance)
Windows 2003’te ise grup politikası düzenlemek için daha gelişmiş bir araç olan Grup
Politikası Yönetim Konsolu (GPMC:Group Policy Management Console) kullanılmaktadır.
Windows 2000’dekine oranla daha etkili grup politikası yönetimi sağlayan bu araçta grup
politikası ile ilgili tüm işlemler ve arayüzler çok daha gelişmiş bir şekilde yöneticilerin
kullanımına sunulmuştur.
GPMC ile grup politikası nesneleri (GPO) toplu bir biçimde görülebilmektedir. Windows
2000’de daha çok OU’lardan yola çıkarak yapılması gereken grup politikası işlemleri bu
sayede daha kolay yapılabilir olmuştur. GPMC’de Grup politikası nesneleri (Group Policy
Objects) başlığı altında toplanmış GPO’lardan ilgilenmek istediğimize seçerek sağdaki
pencerede o GPO ile ilgili tüm özellikleri ve ayarları görmek mümkündür. Ayarları
yapılandırmak istenilen grup politikası işaretleyerek fare ile üzerinde sağ tıklandığında o grup
politikası ile ilgili yapılabilecek işlemler görülebilmektedir. Bu listeden “Edit” seçildiğinde
grup politikasını düzenlemek için kullanılan pencereye ulaşılır.
Bir kullanıcı veya bilgisayar üzerinde birden çok politikanın ayarlarının etkin olması
mümkündür. Peki bu durumda ayarlar hangi sırda uygulanır? Grup politikalarının uygulanması
şu sırada gerçekleşir:
1. Yerel politika (Local Policy)
2. Site seviyesinde uygulanan grup politikaları
3. Domain seviyesinde uygulanan grup politikaları
4. OU seviyesinde uygulanan grup politikaları
5. Alt OU seviyesinde uygulanan grup politikaları
Yani bir kullanıcı veya bilgisayara ilk önce yerel politika ayarları uygulanır. Ondan sonrada
sırayla site, domain, OU ve son olarak da en alttaki OU seviyesinde bulunan grup
politikalarının ayarları uygulanır.
5.1 Grup Politikası ile Aktif Dizinde Güvenlik
Grup politikası Windows domainlerinde güvenliğin sağlanmasında kullanılabilecek en etkili

araçların başında gelmektedir. Grup politikası düzenleme (Group Policy Object Editor)
penceresinde “Computer Configuration\Windows Settings\Security Settings” altında grup
politikasının en önemli güvenlik özellikleri ve ayarları bulunmaktadır. Birçok başlık altında
toplanmış bu ayarlar güvenlik ihtiyaçlarına göre düzenlenerek etki alanında güvenlik seviyesini
arttırılabilir. Bu ayarların neler olduğuna daha yakından bakılırsa;
“Security Settings” altında başlıca şu ayar grupları bulunmaktadır:
• Hesap politikaları (Account Policies): Kullanıcı hesaplarının güvenlik yönetimini

yapmak için tanımlı Parola Politikası (Password Policy), Hesap Kilitleme Politikaları
(Account Lockout Policies) ve Kerberos Policy bu grupta bulunmaktadır.
• Yerel Politikalar (Local Policies): Bu grupta denetleme (Audit Policy), kullanıcı hakları
(User Rights Assigment) ve güvenlik seçenekleri (Security Options) bulunmaktadır.
• Olay Kayıtları (Event Log) : Olay günlüğü kayıtları (Event logs) ile ilgili ayarların
yapıldığı kısım.
• Kısıtlanmış Gruplar (Restricted Groups): Hassas kullanıcı gruplarının üyeliklerini

kontrol etme
• Servisler (System Services): Servislerin başlangıç çalışma durumlarının ayarlanması
• Kütük (Registry): Registry değerleri atama
• Dosya Sistemi (File System): Bilgisayarlardaki dosya ve klasörlerin NTFS izinlerinin

belirlenmesi
• Açık Anahtar Altyapısı (PKI – Public Key Infrastructure): Kullanıcılara PKI

sertifikaları dağıtılması
• IPSEC: Ağ trafiğinin şifrelenmesi
5.2 Hesap Politikaları (Account Policies)
Windows terminolojisinde domain için yapılan bir diğer tanım şöyledir: Domain bir güvenli
sınırıdır (security boundary). Domain bir güvenlik sınırı belirler. Bu tanımın gereği
Windows’ta hesap politikaları sadece domain bazında uygulanabilmektedir. Yani bir OU’ya
ayrı özel bir hesap politikası tanımlayamıyoruz. Bu önemli ayrıntının unutulmaması
gerekmektedir.
Hesap politikalarını kurumumuzda etkinleştirmek istiyorsak bunu en tepede doğrudan

domain’e bağlı bir GPO ile yapmalıyız. Default Domain Policy bunun için kullanılabilir.
Hesap politikaları kapsamında parola politikaları, hesap kilitleme politikaları ve Kerberos

politikası bulunmaktadır. Bu politikalar etki alanındaki kullanıcılara uygulanabilmektedir.
5.2.1 Parola Politikası (Password Policy)
Parola Politikası Tavsiye Edilen Değer

Enforce password history
5 gün
(Sürekli aynı parolanın kullanılmasını engelleme)
Maximum Password Age
(Değiştirmeye gerek kalmadan parolanın kullanılabileceği 30 gün
maksimum süre)
Parola Politikası Tavsiye Edilen Değer

Minimum Password Age
(Parolanın yeniden değiştirilebilmesi için geçmesi gereken 1 gün
minimum süre)
Minimum Password Length
Minimum 8 karakter
(Parolaların sahip olması gereken minimum uzunluk)
Passwords must meet complexity requirements
Etkin
(Parolaların karmaşık ve kuvvetli olmasını sağlama)
Store password using reversible encryption for all users in
the Domain
Etkin Değil
(Parolaların geri dönüşlü hash (özet) halinde saklanıp
saklanmayacağının belirlenmesi)
Tablo 1 Parola politikası
Her ne kadar kullanıcılar bilgisayarlarının kullanabilmek için parola girilmesini sıkıcı bulsalar
da güvenliğin sağlanabilmesi için parolalar vazgeçilmezdir. Kurumunuzun güvenliği bu
parolalara bağlıdır. Windows etki alanında Parola Politikası kullanıcı parolalarının istenen
güvenlik seviyesine çıkarılması için kullanılırlar. Zayıf parolalar güvenliği delen en ciddi
güvenlik sorunudur. Başka yönlerden sistem ne kadar sıkı korunursa korunsun, sisteme
erişimde kullanılan kullanıcı parolaları yeterince güçlü değilse sistem büyük risk altındadır.
Parola politikası kullanıcıları parolalarını belirlenen kurallara uygun şekilde
oluşturmak/belirlemek/kullanmak zorunda bırakır. Parola politikası ile belirlenen kurallar etki
alanındaki tüm kullanıcıları etkiler. Eğer parola politikası ile kullanıcı parola uzunlukları en az
8 karakter olacak şekilde ayarlanmışsa, bu ayar etki alanındaki tüm kullanıcılarda etkin olur.
Farklı bir parola politikası isteniyorsa yeni bir domain yaratmak gerekir. Bir etki alanında
birden fazla parola politikası tanımlanamaz.
Parola politikası ile parolaların maksimum ve minimum kullanım süreleri, uzunlukları,

karmaşık olup olmayacağı, aynı parolaların defalarca kullanılamaması ve parola özet
bilgilerinin ne şekilde kriptolanması ile ilgili ayarlar etkinleştirilebilmektedir. Yukarıdaki
tabloda bu ayarlar açıklanmaktadır. Ayrıca bu tabloda bu ayarlar için tavsiye edilen değerler de
verilmektedir.
5.2.2 Hesap Kilitleme Politikası (Account Lockout Policy)
Hesap Kilitleme Politikası Tavsiye Edilen Değer

Account lockout duration
15 (dakika)
(Kullanıcı hesabının kaç dakika kilitli kalacağını belirler.)
Account lockout threshold
(Hesabı kilitlemeden girilebilecek maksimum yanlış parola 5 (yanlış parola)
sayısını belirler.)
Reset account lockout counter after
(Yanlış parola sayıcısının kaç dakika sonra sıfırlanacağını 15 (dakika)
belirler.)
Tablo 2 Hesap kilitleme politikası
Eğer bir kullanıcı güçlü bir parolaya sahip değilse bir başkası tahmin veya deneme yoluyla
parolayı bulabilir. Bu tür saldırılar parola tahmin atakları olarak bilinmektedir. Akıllı tahmin
yöntemleri kullanılarak zayıf kullanıcı parolaları kırılabilmektedir. Windows’ta bu saldırılara
karşı koymak için hesap kilitleme politikaları geliştirilmiştir.
Bu politika etki alanında etkinleştirildiğinde oturum açarken kullanıcı parolası belli bir sayıda
yanlış girilirse o kullanıcının hesabı kilitlenir, kullanılamaz hale gelir. Yukarıda tabloda hesap
kilitleme politikasının ayarları ve bunlar için tavsiye edilen değerler listelenmektedir.
MICROSOFT AKTİF DİZİN GÜVENLİĞİ KILAVUZU KAYNAKÇA
KAYNAKÇA
[1 ] O'Reilly - Active Directory, Second Edition, By Robbie Allen, Alistair G. Lowe-

Norris, 2003, ISBN 10: 0-596-00466-4
[2 ] Microsoft Windows Server 2003 Active Directory
http://technet2.microsoft.com/windowsserver/en/technologies/featured/ad/default.mspx
[3 ] Active Directory Windows 2000, McGraw-Hill Osborne Media
ISBN: 9780072123234
[4 ] Windows Server 2003 Active Directory
http://www.microsoft.com/windowsserver2003/technologies/directory/activedirectory/defa
ult.mspx

Microsoft Aktif Dizin Güvenliği Kılavuzu: Doküman Kodu: BGT-1002

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Microsoft Aktif Dizin Güvenliği Kılavuzu: Doküman Kodu: BGT-1002

Uploaded by

Copyright:

Available Formats

ULUSAL ELEKTRONİK VE KRİPTOLOJİ

Doküman Kodu: BGT-1002

Microsoft Aktif Dizin

Hazırlayan: Dinçer ÖNEL

P.K. 74, Gebze, 41470 Kocaeli, TÜRKİYE

Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü (UEKAE)'nün misyonu, "bilgi

Bu doküman “Ulusal Bilgi Sistemleri Güvenlik Projesi” kapsamında hazırlanmış

Bu dokümanda bahsi geçen belirli ticari marka isimleri kendi

Bu dokümanın oluşturulmasında emeği geçen Ağ Güvenliği personeline ve dokümanı gözden

1.2 Hedeflenen Kitle..................................................................................................................6

1.4 Dokümanda Kullanılan Semboller ......................................................................................7

2.2 Tanımlar ve Temel Kavramlar...........................................................................................10

3.2 DNS Güvenliği ..................................................................................................................17

5.2 Hesap Politikaları (Account Policies)................................................................................31

1.1 Amaç ve Kapsam

1.2 Hedeflenen Kitle

UEKAE : Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü

DNS : Domain Name System

GPO Group Policy Object

GPMC Group Policy Management Console

1.4 Dokümanda Kullanılan Semboller

Vurgu Vurguları belirtmek için kullanılır

2. MICROSOFT AKTİF DİZİN

2.1 Etki Alanı ve Çalışma Grubu kavramları

1. Ağ kaynaklarını organize eder: Ağ kaynaklarına ait bilgilerin düzenli bir yapı

2. Ağ kaynaklarının bir merkezden yönetilmesini sağlar: Ağ yöneticileri aktif dizinin

Microsoft Aktif Dizinin öne çıkan özellikleri şunlardır:

• Merkezi olarak yönetilebilme

• Ölçeklenebilirlik: Değişik boyutlardaki kullanıcıların ihtiyaçlarını karşılayabilmesi,

• Politika-tabanlı yönetim: Grup politikası ile etkili yönetim

• Multi-master replikasyon: Etki alanındaki kontrolcülerinin birinde yapılan değişiklik

• Esnek ve güvenli kimlik doğrulama ve yetkilendirme

• Diğer dizin servisleriyle birlikte çalışabilme

• İmzalanmış ve şifrelenmiş LDAP trafiği

• Betik (Script) ile yönetim

Microsoft terminolojisinde etki alanı güvenlik sınırı (security boundary) olarak

2.2 Tanımlar ve Temel Kavramlar

• Gruplar (kullanıcı yada bilgisayar grupları)

Şekil 2 - AD mantıksal yapısı

2.2.1 Yapısal Birimler (OU)

Yapısal birimler içerisinde bulunabilen AD nesneleri kullanıcılar, kullanıcı grupları, yazıcılar,

Şekil 3 - Yapısal birim modelleri

2.2.2 Orman (Forest) ve Ağaç (Tree)Yapıları

Şekil 4 - Orman ve Ağaç yapıları

erişebilmektedirler. Bu güven ilişkisinin geçişli olması özelliği sayesinde ise aralarında

2.2.3 Global Katalog (GC)

1. Kullanıcıların evrensel grup üyelik bilgisi ile ağa giriş yapmaları

2. Kullanıcıların bilginin yerinden bağımsız olarak dizin bilgisine erişmesi

Şekil 5 - Global Katalog (GC)

2.2.4 (Flexible Single Master Operations) FSMO Rolleri

• Şema yöneticisi (Schema Master)

• Etki Alanı Adlandırma Yöneticisi (Domain Naming Master)

• RID Yöneticisi (RID Master)

• PDC Emülatör (PDC Emulator)

• Altyapı Yöneticisi (Infrastructure Master)

PDC Emülatörün yürüttüğü diğer görevler ise şunlardır:

• Etki alanındaki diğer DC’ler tarafından gerçekleştirilen parola değişiklikleri PDC

• Kullanıcı hesaplarının kilitlenmesi PDC Emülatör üzerinde gerçekleştirilir.

• Grup politikası nesnelerinin yaratılması ve düzenlenmesi PDC Emülatör’ün SYSVOL

3. MİCROSOFT AKTİF DİZİN VE DNS

3.1 Aktif Dizin Bütünleşik DNS

DNS olmadan AD kurulumu gerçekleştirilemez. Bu sebeple ilk olarak DNS kurulmalıdır.

3.2 DNS Güvenliği