En İyi 13 İpucu İle Aktif Dizin Yönetimine Giriş
Aktif Dizin Yönetimine Yeni Başlayanlar İçin 13 İpucu
Bir Aktif Dizin altyapısı oluşturmayı planladığınızda, güvenlik ve yapılandırma sorunlarını önlemek için bazı püf noktaları bilmek iyidir:
Bir saldırıyı başlatmak için kullanılan ilk kullanıcı Administrator hesabıdır. Bu nedenle ilk adımınız varsayılan domain admin olan Administrator adını değiştirmek olmalıdır. Standartlardan tamamen farklı bir adlandırma kullanmanız önerilir.
Güvenlik, güvenlik, güvenlik! Administrator hesabı güçlü parolaya sahip olmalı ve kimlik bilgileri asla paylaşılmamalıdır.
İlk kurallardan biri, bir saldırı durumunda güvenlik için varsayılan kimlik bilgileri ile Admin hesaplarını ayırmaktır.
Altyapınızda birden fazla yöneticiniz varsa, her kullanıcı için doğru izin ve kimlik bilgilerini atamak esastır. AD şemasını değiştirme veya forest modelini değiştirme olasılığını önlemek için hiç kimse Domain Admins yetkisinin üzerinde olmamalıdır.
Kullanıcılar ve Bilgisayarlar için ayrı group policy’ler yapılandırmak yönetimde büyük rahatlık sağlar. Çok fazla GPO’dan kaçınmayı, ancak birçok ayarı da tek bir GPO’da birleştirmemeye çalışın. Default Domain Policy GPO’i kullanmayın!
Yalnızca Administrator için değil, tüm kullanıcıların karmaşık şifre gereksinimlerini karşılaması gerekir. Windows 10 kullanıyorsanız, Windows Hello for Business’ı güvenliği azaltmadan kimlik doğrulama yöntemi olarak yapılandırmak iyi bir fikir olabilir.
Aktif Dizin geri dönüşüm kutusunu etkinleştirmek iyi bir fikirdir. Geri Dönüşüm Kutusu, Windows Server 2008 R2’de kullanılmaya başlandı ve AD Geri Yükleme’yi çalıştırmak zorunda kalmadan bir öğeyi birkaç saniye içinde geri yüklemenin mükemmel bir yoludur.
Kritik hataları önlemek için en az iki Domain Controller olması gerekir.
Altyapınızı artık mevcut olmayan veya gerekli olmayan kullanıcılardan ve bilgisayarlar hesaplarından temizlemeyi unutmayın. Güvenlik sorunlarını önlemek için bu çalışma önemlidir.
Domain Controller üstüne hiçbir şey yüklemeyin! Yazılım yok, üçüncü taraf uygulama yok, rol yok, hiçbir şey yok! Bir DC temiz olmalı!
Altyapınızı, kullanıcılarınızı, istemcilerinizi, sunucularınızı, cihazlarınızı ve kaynaklarınızı (gruplar, paylaşım vb.) oluşturmadan önce bir isimlendirme kuralı tanımlayın. Bu, basitçe yönetim ve ölçeklenebilirliğe yardımcı olacaktır.
Saldırganlar bilinen güvenlik açıklarından hemen yararlanır. Bu makinenizi her zaman güncel tutmanız gerektiği anlamına gelir. Windows güncelleştirmelerini yüklemek için doğru zamanları planlayın.
Kimin değişiklik yaptığını öğrenmek için bir denetim çözümü kullanın. Bu KVKK veya GDPR zorunluluğu değildir ama aynı zamanda güvenlik sorunlarını önlemenin bir yoludur.
