Active Directory Yönetimi İçin En İyi 10 İpucu

Yönetici erişimlerini kontrol edebilmek muhtemelen en önemli ipucudur. Çok fazla kişiye tam erişim hakkı verilmesi felakete yol açabilir. Her yöneticinin tamamen eğitildiğinden ve bulunduğu pozisyonun önemini anladığından emin olun. Yönetici hesabı, özel ve şirket işlemleri için gerekli normal günlük hesaplardan ayrı olmalıdır. Herkesin bir domain admin olması gerekmez.

Sisteminizde sorumluluk sahibi olmanız için, her yöneticinin kendi yönetici hesabına sahip olması gerekir. Birden fazla kişinin şifreyi bildiği tam kontrol haklarına sahip genel bir hesaba sahip olmak akıllıca değildir. Birisi ağınızda kötü amaçlı faaliyetler yapmaya karar verirse, onu muhakkak bulmak istersiniz.

Dokümantasyon, gerçekten bir ağ yöneticisi olarak başarının anahtarıdır. Yönetici olarak gerçekleştirdiğiniz faaliyetleri takip etmek son derece önemlidir. Bu, işinizin en heyecan verici veya ödüllendirici kısmı değildir, ancak işler kötüye gittiğinde sizi gerçekten koruyabilir.
Aşağıda belgelendirmeniz gereken bazı şeylerin bir listesi bulunmaktadır:
• Forest ve domain konfigürasyonları
• Organizational Unit (OU) yapıları
• Forest’a ait trust relationships bilgileri
• Uygulanan Group Policy’ler
• Parola ve denetim kuralları
• Active Directory şema değişiklikleri
• Sunucu isimleri, rolleri ve IP adresleri
• Network topolojileri
• Sunucu değişiklik logları
• Yedekleme prosedürleri

Domain Controllers’da guest hesaplarının olması ve varsayılan Administrator hesabının kullanılması ile ilgili problemleri ufak bir araştırmayla öğrenebilirsiniz. Ağınıza kolayca girilmesini sağlarlar ve bu yüzden bilgisayar korsanlarının yararlanabileceği en kolay hesaplardır.

Günümüzde siber güvenliğe büyük önem verilmektedir, ancak aslında daha önemlisi fiziksel güvenliktir. Birisi sunucularınıza fiziksel olarak erişebiliyorsa, büyük zarar verebilir. Bir saldırgan, diskleri, işlemcileri, ram vb. zarar verebilir. Ayrıca, virüs veya kötü amaçlı yazılım yüklemek için bir flash sürücüden veya CD’den yükleme yapabilir. En kötü casusluk vakalarından bazıları bu yöntemlerle gerçekleşmiştir.

Kullanıcıların sık sık parolalarını değiştirmelerini gerektiren ve güçlü, tahmin edilemez parolalar vermelerini zorlayan parola politikalarına sahip olmak önemlidir. Kullanıcılardan policy ile büyük-küçük harfler, sayılar ve özel karakterler gerektiren, minimum belirli bir uzunlukta parolalara sahip olmasını isteyebilirsiniz. Sistem yöneticilerinin normal bir kullanıcıdan daha karmaşık bir parola gereksinimine sahip olması önerilir. Belirli OU’lar içindeki tüm kullanıcıların aynı gereksinimlere sahip parolalar kullanmasını sağlamak için Group Policy Password Policy ile politikalar oluşturulabilir.

Servis hesapları için parola değiştirmek zor olabilir, çünkü bu hesaplar genelde sunucularda önemli servisleri kontrol ederler. Saldırı riskini en aza indirmek için bu hesapları basitçe, onları hizmet hesabı olarak tanımlayan bir gruba üye yapabilirsiniz. Ardından bu gruba uygulanacak olan bir group policy üzerinden, sunucuda oturum açabileceklerle ilgili “Deny Log on Locally” ve “Log on as a Service” ayarlarını yapmak iyi bir politika olacaktır.

Ağınızdaki bilgisayarlar için audit kurallarını yapılandırdığınızda, seçim yapabileceğiniz çok sayıda seçenek vardır. Bu araçları kullanarak belirli aktiviteleri hedefleyebilirsiniz. Göz önünde bulundurmanız gereken aktivitelerin bazıları aşağıda listelenmiştir.
• Audit account management
• Audit directory service access
• Audit logon events
• Audit object access
• Audit policy change
• Audit privilege use
• Audit process tracking
• Audit system events

Sunucunuzun tam bir System State yedeklemesi için aşağıdaki öğeleri içerir ve hayat kurtarır;
• Active Directory Veritabanı,
• SYSVOL
• Registry
• System dosyaları,
• COM+ veritabanları dahil edilmelidir.
Eğer domain controller ek roller barındırıyorsa, yukarıdaki öğelerden daha fazla daha da fazla öğe olabilir. System state yedeklemesi, tek bir kullanıcı hesabının yanlışlıkla silindiği durumlarda değil, Domain Controller arızası durumunda, tüm bu öğeleri geri yüklemek istediğinizde size yardımcı olmayı amaçlar.

En iyi güvenlik ipuçlarından biri kullanıcılarınızı eğitmektir. Zincir sadece en zayıf halkası kadar güçlüdür. Çoğu zaman bu en zayıf halka firewall veya brute force koruma sistemleri değil, kullanıcılarınızdır. Parola paylaşmak veya bir kağıda yazmak gibi her türlü zaafiyeti sergileyebilirler. Gerçekten güvenli bir sisteme sahip olmak istiyorsanız, kullanıcılarınızı eğitmelisiniz. En azından bazı temel güvenlik önlemleri aldıklarından emin olursanız, sistemlerinizin güvende olma şansı çok daha yüksektir.