Active Directory

Active Directory Yönetimi İçin En İyi 10 İpucu

Bu basit adımların uygulanması, Active Directory'yi güvence altına almanıza ve yönetmenize yardımcı olur.

Active Directory yönetimi gerçekten her sistem yöneticisi için bazen içinden çıkılamayan bir problem olmaktadır. Bu makalede, Active Directory’yi güvenli hale getirmenize ve yönetmenize yardımcı olacak bazı önemli ipuçlarına göz atacağız. Gerçekten önemli sayılabilecek yüzlerce öğe var, ama biz bu makale özelinde on tanesine odaklanacağız.

Kaç tane sistem yöneticiniz var?

Yönetici erişimlerini kontrol edebilmek muhtemelen en önemli ipucudur. Çok fazla kişiye tam erişim hakkı verilmesi felakete yol açabilir. Her yöneticinin tamamen eğitildiğinden ve bulunduğu pozisyonun önemini anladığından emin olun. Yönetici hesabı, özel ve şirket işlemleri için gerekli normal günlük hesaplardan ayrı olmalıdır. Herkesin bir domain admin olması gerekmez.

Generic accounts (Genel hesaplar)

Sisteminizde sorumluluk sahibi olmanız için, her yöneticinin kendi yönetici hesabına sahip olması gerekir. Birden fazla kişinin şifreyi bildiği tam kontrol haklarına sahip genel bir hesaba sahip olmak akıllıca değildir. Birisi ağınızda kötü amaçlı faaliyetler yapmaya karar verirse, onu muhakkak bulmak istersiniz.

Active Directory dokümantasyonu

Dokümantasyon, gerçekten bir ağ yöneticisi olarak başarının anahtarıdır. Yönetici olarak gerçekleştirdiğiniz faaliyetleri takip etmek son derece önemlidir. Bu, işinizin en heyecan verici veya ödüllendirici kısmı değildir, ancak işler kötüye gittiğinde sizi gerçekten koruyabilir.
Aşağıda belgelendirmeniz gereken bazı şeylerin bir listesi bulunmaktadır:
• Forest ve domain konfigürasyonları
• Organizational Unit (OU) yapıları
• Forest’a ait trust relationships bilgileri
• Uygulanan Group Policy’ler
• Parola ve denetim kuralları
• Active Directory şema değişiklikleri
• Sunucu isimleri, rolleri ve IP adresleri
• Network topolojileri
• Sunucu değişiklik logları
• Yedekleme prosedürleri

Guest hesabını devre dışı bırakın ve Administrator hesabının kullanıcı adını değiştirin

Domain Controllers’da guest hesaplarının olması ve varsayılan Administrator hesabının kullanılması ile ilgili problemleri ufak bir araştırmayla öğrenebilirsiniz. Ağınıza kolayca girilmesini sağlarlar ve bu yüzden bilgisayar korsanlarının yararlanabileceği en kolay hesaplardır.

Fiziksel güvenlik

Günümüzde siber güvenliğe büyük önem verilmektedir, ancak aslında daha önemlisi fiziksel güvenliktir. Birisi sunucularınıza fiziksel olarak erişebiliyorsa, büyük zarar verebilir. Bir saldırgan, diskleri, işlemcileri, ram vb. zarar verebilir. Ayrıca, virüs veya kötü amaçlı yazılım yüklemek için bir flash sürücüden veya CD’den yükleme yapabilir. En kötü casusluk vakalarından bazıları bu yöntemlerle gerçekleşmiştir.

Güçlü parola kuralları uygulayın

Kullanıcıların sık sık parolalarını değiştirmelerini gerektiren ve güçlü, tahmin edilemez parolalar vermelerini zorlayan parola politikalarına sahip olmak önemlidir. Kullanıcılardan policy ile büyük-küçük harfler, sayılar ve özel karakterler gerektiren, minimum belirli bir uzunlukta parolalara sahip olmasını isteyebilirsiniz. Sistem yöneticilerinin normal bir kullanıcıdan daha karmaşık bir parola gereksinimine sahip olması önerilir. Belirli OU’lar içindeki tüm kullanıcıların aynı gereksinimlere sahip parolalar kullanmasını sağlamak için Group Policy Password Policy ile politikalar oluşturulabilir.

Servis hesapları

Servis hesapları için parola değiştirmek zor olabilir, çünkü bu hesaplar genelde sunucularda önemli servisleri kontrol ederler. Saldırı riskini en aza indirmek için bu hesapları basitçe, onları hizmet hesabı olarak tanımlayan bir gruba üye yapabilirsiniz. Ardından bu gruba uygulanacak olan bir group policy üzerinden, sunucuda oturum açabileceklerle ilgili “Deny Log on Locally” ve “Log on as a Service” ayarlarını yapmak iyi bir politika olacaktır.

Log ve Olay Denetimi

Ağınızdaki bilgisayarlar için audit kurallarını yapılandırdığınızda, seçim yapabileceğiniz çok sayıda seçenek vardır. Bu araçları kullanarak belirli aktiviteleri hedefleyebilirsiniz. Göz önünde bulundurmanız gereken aktivitelerin bazıları aşağıda listelenmiştir.
• Audit account management
• Audit directory service access
• Audit logon events
• Audit object access
• Audit policy change
• Audit privilege use
• Audit process tracking
• Audit system events

Yedekleme

Sunucunuzun tam bir System State yedeklemesi için aşağıdaki öğeleri içerir ve hayat kurtarır;
• Active Directory Veritabanı,
• SYSVOL
• Registry
• System dosyaları,
• COM+ veritabanları dahil edilmelidir.
Eğer domain controller ek roller barındırıyorsa, yukarıdaki öğelerden daha fazla daha da fazla öğe olabilir. System state yedeklemesi, tek bir kullanıcı hesabının yanlışlıkla silindiği durumlarda değil, Domain Controller arızası durumunda, tüm bu öğeleri geri yüklemek istediğinizde size yardımcı olmayı amaçlar.

Kullanıcılarınızı Eğitin

En iyi güvenlik ipuçlarından biri kullanıcılarınızı eğitmektir. Zincir sadece en zayıf halkası kadar güçlüdür. Çoğu zaman bu en zayıf halka firewall veya brute force koruma sistemleri değil, kullanıcılarınızdır. Parola paylaşmak veya bir kağıda yazmak gibi her türlü zaafiyeti sergileyebilirler. Gerçekten güvenli bir sisteme sahip olmak istiyorsanız, kullanıcılarınızı eğitmelisiniz. En azından bazı temel güvenlik önlemleri aldıklarından emin olursanız, sistemlerinizin güvende olma şansı çok daha yüksektir.


Active Directory Yönetimi ile ilgili bu makaleyi okuduğunuz için teşekkür ederiz. Active Directory dersleri kategorisini takip etmeye devam ediniz. Bize aşağıdaki form ile sorularınızı iletebilirsiniz.

Etiketler
Daha Fazla Göster

Ahmet Elibol

Üniversite eğitimini Kimya ve İşletme bölümlerinde tamamlayan Ahmet Elibol, yüksek lisans eğitimini de İşletme (Master of Business Administration - MBA) üzerinde tamamlamıştır. 1999 yılından bu yana bilişim sektöründe bulunmaktadır ve şu anda Rönesans Holding şirketinde CIO (Chief Information Officer) pozisyonunda görev yapmaktadır.  Ahmet Elibol, profesyonel kariyerine aldığı pascal ve delphi ile yazılım mühendisliği eğitimiyle başlamıştır. 2004 yılından sonra ilgi ve uzmanlık alanlarını Microsoft Sunucu Sistemleri, Sistem Programlama ve Bilgi Güvenliği konularında güncellemiştir. Yazar 4 yıl kadar bir akademide Sistem Mühendisliği eğitimleri vermiştir. Yazar hobi amaçlı programlama, yapay zeka, makine öğrenmesi, yapay sinir ağları, görüntü işleme ve nesnelerin interneti konularında çalışmaktadır. İngilizce, Rusça dillerini bilen Ahmet Elibol MCT, MCITP, MCTS, MCSE, MCSA vb. uzmanlık sertifikalarına sahiptir ve Bilgisayar Mühendisliği yüksek lisansına devam etmektedir.

İlgili Makaleler

2 Yorum

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu
Kapalı
Kapalı