Kurumsal ağın kalbindeki dizin servisini saldırı yüzeyi olarak değil, denetlenebilir bir kontrol noktasına dönüştürmek
Active Directory (AD), kurumsal ağların büyük çoğunluğunda kimlik doğrulama, yetkilendirme ve politika yönetiminin merkezi bileşenidir. Kullanıcı hesaplarından grup üyeliklerine, servis hesaplarından Grup İlkesi (GPO) yapılandırmalarına kadar tüm kritik konfigürasyon burada tutulur. Bu merkezilik AD'yi vazgeçilmez kıldığı kadar saldırganlar için de en cazip hedef haline getirir. Bir saldırgan AD'de yeterince yüksek bir ayrıcalık elde ettiği anda, kurum içindeki neredeyse her sisteme erişim kapısını açmış olur. Bu nedenle AD'yi yalnızca bir IT operasyon aracı olarak değil, kapsamlı bir saldırı yüzeyi ve aynı zamanda güvenlik kontrolü olarak ele almak gerekir.
Active Directory'nin Kurumsal Saldırı Yüzeyindeki Yeri
AD, yıllar içinde organik olarak büyüyen bir yapıdır. Şirket büyüdükçe yeni kullanıcılar, yeni gruplar, yeni servis hesapları, yeni GPO'lar eklenir; ancak bunların büyük kısmı zamanla temizlenmeden kalır. Bu birikim, "kullanılmayan ama yetkili" hesaplar, gereksiz yere Domain Admin grubunda yer alan kullanıcılar, çok eski parolaya sahip servis hesapları ve unutulmuş güven ilişkileri gibi yapısal zafiyetler doğurur. Saldırganlar bu tür eskimiş yapılardan yararlanarak ilk erişimi hızla genişletir; gerçek saldırılarda ortalama "saldırgan içeride kalma süresinin" haftalarla ölçülmesi tesadüf değildir.
Kurumsal güvenlik yatırımları çoğunlukla çevre güvenliği (firewall, NGFW, sandbox) ve uç nokta (EDR, antivirüs) tarafına yoğunlaşır. Oysa modern saldırı zincirlerinin merkezinde neredeyse istisnasız AD vardır: bir uç noktada yakalanan kimlik bilgisinden Domain Admin yetkisine giden yol, AD üzerindeki yanlış yapılandırmalar ve denetimsiz değişikliklerle döşelidir. Bu nedenle AD'yi sertleştirmek (hardening) ve sürekli denetlemek, kurumsal siber dayanıklılığın belirleyici bileşenlerinden biridir.
En Sık Karşılaşılan AD Zafiyetleri
Saha tecrübeleri, AD zafiyetlerinin büyük bölümünün birkaç tekrar eden başlık altında toplandığını gösteriyor. **Aşırı ayrıcalıklı hesaplar** bunların başında gelir: kullanıcı veya servis hesaplarının olması gerekenden geniş yetkilerle (özellikle Domain Admins, Enterprise Admins, Account Operators gibi gruplarda) yer alması, saldırganın yatay hareket maliyetini düşürür. **Eski ve hareketsiz hesaplar** ikinci kritik başlıktır: ayrılan personelden kalan, fakat hâlâ aktif olan hesaplar veya yıllardır parolası değişmeyen servis hesapları, fark edilmeden ele geçirilmek için ideal hedeflerdir.
Saldırgan yöntemleri tarafında Kerberoasting en yaygın tekniktir: saldırgan, Service Principal Name (SPN) atanmış servis hesaplarının Kerberos biletlerini talep eder ve offline olarak parolasını kırmaya çalışır. Zayıf parola politikası ile birleşince bu yöntem, Domain Admin yetkisine giden en kısa yollardan birine dönüşür. Pass-the-Hash ve Pass-the-Ticket saldırıları, bir uç noktada ele geçirilen kimlik bilgilerinin AD üzerinde yatay hareket için kullanılmasını sağlar. Golden Ticket saldırısı ise daha kritiktir: saldırgan KRBTGT hesabının NTLM hash'ini ele geçirirse, herhangi bir kullanıcı adına geçerli Kerberos biletleri üretebilir ve domain üzerinde fiilen sınırsız erişime sahip olur.
Bu listeye yanlış yapılandırılmış delegasyonlar (unconstrained delegation), DCSync hakları, GPO üzerinden zararlı script dağıtımı ve AdminSDHolder manipülasyonu gibi daha gelişmiş teknikleri de eklemek gerekir. Ortak nokta açıktır: bu zafiyetlerin tamamı, AD'nin durumunu kim, ne zaman, nasıl değiştiriyor sorusunun yanıtlanabildiği bir ortamda fark edilebilir hale gelir.
Denetim Tarafı: ManageEngine ADAudit Plus
Burada ManageEngine ADAudit Plus, AD'yi gözlemlenebilir bir yüzeye dönüştüren temel araç olarak devreye girer. ADAudit Plus, domain controller'lar üzerindeki tüm güvenlik olaylarını gerçek zamanlı toplar, normalleştirir ve raporlanabilir bir yapıya çevirir. Kullanıcı oluşturma/silme, grup üyelik değişiklikleri, GPO değişiklikleri, OU yapısı değişiklikleri, başarısız oturum açma denemeleri, kilitlenen hesaplar ve servis hesabı kullanımları gibi olaylar tek bir konsolda toplanır.
Pratikte bu, "Domain Admins grubuna yeni bir kullanıcı eklendiğinde derhal uyarı al" gibi senaryoların 5 dakika içinde devreye alınabilmesi anlamına gelir. Aynı şekilde, çalışma saatleri dışında gerçekleşen yönetici giriş denemeleri, kısa sürede çok sayıda farklı sisteme erişim deneyen hesaplar veya beklenmedik kaynaklardan gelen Kerberos talepleri, ADAudit Plus'ın anomali tespit kuralları üzerinden işaretlenir. Uyumluluk tarafında ise KVKK, ISO 27001, PCI-DSS ve benzeri çerçevelerin gerektirdiği AD denetim raporları, hazır şablonlarla tek tıkla üretilebilir.
ADAudit Plus'ın en kritik katkısı, AD'deki "kim ne yaptı" sorusunun arşivlenmiş, değiştirilemez bir cevabını sağlamasıdır. Bu, hem proaktif tespit (saldırı belirtilerini erken yakalama) hem de adli analiz (olay sonrası inceleme) açısından kurumun en güçlü dayanağıdır.
Yönetim Tarafı: ManageEngine ADManager Plus
Denetim tek başına yeterli değildir; AD'nin yapısal sağlığını koruyacak bir yönetim disiplini de gerekir. ManageEngine ADManager Plus, AD üzerindeki rutin yönetim işlemlerini hatadan arındırılmış, denetlenebilir ve yetkilendirilmiş bir akışa sokar. Kullanıcı oluşturma, taşıma, devre dışı bırakma, grup üyelikleri, parola sıfırlama ve servis hesabı yönetimi gibi süreçler şablonlar ve onay akışları üzerinden yürütülür.
Bu yaklaşımın doğrudan güvenlik katkısı şudur: işten ayrılan bir çalışanın hesabı, manuel hatalara açık ad-hoc süreçlerle değil, İK sistemiyle entegre çalışan bir otomasyonla aynı gün devre dışı bırakılır. Servis hesaplarına atanan yetkiler periyodik olarak raporlanır, kullanılmayanlar tespit edilir. "Hayalet hesaplar" — yani uzun süredir oturum açmamış, ancak hâlâ aktif olan kullanıcılar — düzenli olarak listelenir ve gözden geçirilir. AD temizliği, bir kerelik proje olmaktan çıkıp süreklilik kazanan bir operasyon haline gelir.
ADManager Plus, aynı zamanda yetki devri (delegation) açısından da kritik bir araçtır: birinci kademe destek ekibi, kendi sınırları içinde parola sıfırlama veya kullanıcı kilidini açma yetkisine sahip olabilir, ancak Domain Admin yetkisine hiçbir zaman erişmez. Bu, en az ayrıcalık prensibinin (least privilege) gündelik operasyona somut yansımasıdır.
İki Ürünün Birlikte Yarattığı Değer
ADAudit Plus ve ADManager Plus tek başlarına da güçlü ürünlerdir; ancak birlikte kullanıldıklarında ortaya çıkan değer, parçalarının toplamından fazladır. ADManager Plus yapının doğru şekilde inşa edilmesini ve yönetilmesini sağlarken, ADAudit Plus bu yapının üzerinde olup biten her değişikliği denetler ve raporlar. Bir yandan "olmaması gereken" değişiklikler engellenir; diğer yandan "yine de gerçekleşen" değişiklikler anında tespit edilir.
Somut bir senaryoda: ADManager Plus üzerinden tanımlanan bir onay akışı, yeni bir kullanıcının Domain Admins grubuna eklenmesini ancak iki farklı yöneticinin onayı sonrasında mümkün kılarken; aynı eylem ADAudit Plus tarafında SOC ekibine anlık uyarı olarak iletilir. Onay süreci atlatılmaya çalışılsa bile (örneğin ele geçirilmiş bir Domain Admin oturumu üzerinden), olay denetim katmanında saniyeler içinde fark edilir.
Sonuç: AD Güvenliği Bir Süreç İşidir
Active Directory'yi güvenli hale getirmek, tek seferlik bir proje değil, kurumsal güvenlik mimarisinin sürekli bakım gerektiren bir bileşenidir. Saldırılar evrim geçirdikçe, AD üzerindeki yanlış yapılandırmalar ve aşırı ayrıcalıklar daha hızlı sömürülür hale geliyor. Bu nedenle kurumların yapması gereken, AD'yi yalnızca işletmek değil, aynı zamanda sürekli ölçmek, denetlemek ve sertleştirmektir. ADAudit Plus ve ADManager Plus, bu sürekli süreci tek bir kontrol mimarisi altında somutlaştıran iki tamamlayıcı parçadır.
Technodus, ManageEngine'in Türkiye'deki yetkili iş ortağı olarak, kurumların mevcut AD yapılarını analiz ediyor; ADAudit Plus ve ADManager Plus konuşlandırması, anomali tespit kurallarının kuruma özel kalibrasyonu ve uyumluluk raporlama süreçlerinin operasyonelleşmesi konularında uçtan uca destek sağlıyor. Mevcut AD ortamınızın güvenlik olgunluğunu gözden geçirmek isterseniz, Technodus ekibimiz ücretsiz bir değerlendirme oturumu için hazırdır.