Hazırlayan: Mehmet Yüksel

Danışman: ozkan kazakli

İÇİNDEKİLER

1.Giriş

Amaç Ve Hedefler

2.Planlama

2.1.Sistemin Çözümlenmesi

Ortamın Belirlenmesi Ve Tanımlanması

Bileşenlerin Ve Ürünlerin İncelenmesi

Yapı Ve İlişkilerin Analizi

İşlevselliklerin Ve Güvenlik Etkilerinin Değerlendirilmesi 3

3.Analiz Aşaması

3.1 Warnier-Orr Diyagramı

4.Tasarım

4.1.Süreç Yapısı Tasarımı Ve Mimari Yapı

5.Uygulama

5.1.Önerilen Sistemin Yapısı

5.1.1.ADManager Plus İle Güvenli Yönetim Mimarisine Geçiş

5.1.2.ADSelfService Plus İle Kimlik Doğrulamanın Güçlendirilmesi

5.1.3.ADAudit Plus İle İzleme, Uyarı Ve Otomatik Aksiyon. 10

6.Sonuç

7.Ek

8.Kaynaklar

1. GİRİŞ

Active Directory (AD), modern BT altyapılarının bel kemiği olan, kullanıcı kimliklerini, grupları, politikaları ve kaynaklara erişim izinlerini merkezi olarak yöneten Microsoft tabanlı bir dizin servisidir. Kurumsal sistemlerin kullanıcı yönetiminden erişim kontrolüne kadar birçok kritik alanı AD üzerinde şekillenir. Bu da onu hem güçlü bir araç hem de siber saldırılar açısından cazip bir hedef haline getirir.

Bu yazıda, Active Directory güvenliğini artırmak amacıyla ManageEngine ürün ailesinden ADManager Plus, ADAudit Plus ve ADSelfService Plus çözümlerini nasıl entegre edebileceğimizi ele alacağız. Ayrıca ileri düzey güvenlik için PAM360 ile nasıl bir katman daha oluşturabileceğimizi paylaşacağım.

Amaç ve Hedefler

Bu makalenin temel amacı, kurumların Active Directory altyapısında karşılaşabileceği güvenlik açıklarına karşı, entegre bir çözüm mimarisi önerisi sunmaktır. ManageEngine ürün ailesinin farklı rollerle nasıl bir güvenlik zinciri oluşturabileceğini teknik senaryolarla açıklamak hedeflenmektedir.

Bu kapsamda hedeflerimiz:

Yetki Minimizasyonu: Domain ortamında gereksiz ve geniş yetkili kullanıcıları kaldırmak.

Erişim Kontrolü: AD kaynaklarına yalnızca tanımlı ve kontrollü kanallardan erişim sağlamak.

Çok Katmanlı Güvenlik: MFA, koşullu erişim ve oturum izolasyonu gibi mekanizmaları etkinleştirmek.

Denetlenebilirlik: Tüm işlemlerin kayıt altına alınması ve anlık olarak uyarılarla takip edilebilmesi.

Otomasyon: Kritik güvenlik olaylarında otomatik müdahaleyi mümkün kılmak.

Güvenlik Risklerinin Minimize Edilmesi: Active Directory, kullanıcı kimliklerinin doğrulanması, yetkilendirme ve erişim yönetimi gibi kritik görevler üstlendiğinden, her türlü saldırı ve yanlış yapılandırma sistemin tamamını tehlikeye atabilir. AD üzerinde yapılan değişikliklerin ve kullanıcı aktivitelerinin gerçek zamanlı izlenmesi yoluyla bu riskleri minimize etmeyi amaçlar.

Düzenleyici Uyumluluğun Sağlanması: Çeşitli yasal düzenlemeler (GDPR, HIPAA, SOX, vb.) şirketlerden, IT altyapıları üzerindeki tüm kullanıcı hareketlerini ve sistem değişikliklerini izlemelerini ve düzenli olarak raporlamalarını talep eder. Bu uyumluluk gereksinimlerini karşılamak için ayrıntılı raporlama ve izleme araçları sağlar.

İç Tehditlerin Erken Tespiti: Şirketlerdeki en büyük güvenlik tehditlerinden biri, içeriden gelebilecek yetkisiz erişim veya kötü niyetli aktiviteler olabilir. İç tehditleri tespit etmek ve zarar vermeden önce müdahale etmek için geliştirilmiş bir güvenlik katmanıdır.

Kullanıcı ve Sistem Yönetiminde Şeffaflık Sağlanması: Şirketler, kullanıcı hesapları, grup yönetimi, erişim yetkileri ve diğer kritik AD bileşenleri üzerindeki aktiviteleri izlemek için merkezi bir çözüme ihtiyaç duyar. Bu alanlarda şeffaflık sağlayarak sistem yönetiminin daha kontrollü ve izlenebilir olmasını hedefler.

Bu hedefler doğrultusunda, AD güvenliğini sadece korumakla kalmayıp, aynı zamanda sürdürülebilir ve yönetilebilir hale getiren bir yapının nasıl kurulabileceğini örneklerle açıklayacağız.

2.Planlama

2.1.Sistemin Çözümlenmesi

Sistemin çözümlenmesi, bir yapının tüm bileşenleriyle birlikte analiz edilerek işlevlerinin ve ilişkilerinin anlaşılması sürecidir. Active Directory güvenliği açısından bu süreç; kullanılan araçların, mevcut altyapının ve risklerin derinlemesine incelenmesiyle gerçekleştirilir. ManageEngine ürünlerinin konumlandırılacağı bu analiz süreci aşağıdaki adımları içerir:

Ortamın Belirlenmesi ve Tanımlanması

ManageEngine’in Active Directory denetleme ve güvenlik çözümlerinin konumlandırılacağı BT ortamı detaylı biçimde tanımlanmalıdır. Bu aşamada;

• Mevcut Active Directory Topolojisi (Site, Domain, Ou Yapısı),
• Kullanicı Ve Grup Yoğunluğu,
• İstemci Ve Sunucu Sayılari,
• Diğer Entegre Sistemler (Örneğin, Siem, Antivirüs, Nac),
• Güncel Güvenlik Açiklari Ve Kullanıcı Davranışları Analiz Edilerek, Sistemin Ihtiyaçları Net Şekilde Ortaya Konur.

Bileşenlerin ve Ürünlerin İncelenmesi

ManageEngine’in bu senaryoda kullanılan üç temel ürünü detaylı olarak ele alınır:

✅ ADManager Plus (Güvenli Yönetim Katmanı)

• Kullanıcı, Grup Ve Kaynak Yönetimi Görevlerini Merkezi Ve Rol Bazlı Şekilde Yönetir.·
• Domain Admin Gibi Yüksek Yetkili Hesaplarin Doğrudan Kullanimini Engelleyerek, Güvenlik Risklerini Düşürür.
• İşlemleri Yalnızca Belirli Rollerle Sinirlandirilmiş Kullanicilar Üzerinden Gerçekleştirerek Yetki Minimizasyonu Sağlar.
• Yalnızca Bu Ürün Aracılığıyla AD’ye Erişim Sağlanacak Şekilde Yapılandırıldığında, Saldırı Yüzeyi Ciddi Oranda Azalır.

✅ ADSelfService Plus (Kimlik Doğrulama ve Erişim Güvenliği Katmanı)

• Kullanıcıların Kendi Hesaplarıyla ilgili Işlemleri Güvenli Biçimde Yapabilmesini Sağlar.
• Çok Faktörlü Kimlik Doğrulama (MFA) Desteği Sayesinde, Özellikle Dış Ağdan Veya Uzakdan Gelen Erişimleri Kontrol Altına Alır.
• Koşullu Erişim Kurallariyla, Belirli Saatlerde, Ip’lerde Veya Cihazlarda Erişim Sınırlandırılabilir.
• Pc Oturum Açilişinda MFA Zorunluluğu İle Sistem Düzeyinde Erişim Güvenliği Sağlanır.

✅ ADAudit Plus (Denetim ve İzleme Katmanı)

• Active Directory Üzerinde Gerçekleşen Tüm Işlemleri Gerçek Zamanlı Olarak Izler Ve Kayıt Altına Alır.
• İzinsiz Grup Üyelikleri, Başarısız Oturum Açma Denemeleri, Gpo Değişiklikleri Gibi Olaylar Için Otomatik Uyarilar (Alert) Oluşturur.
• Gelişmiş Senaryolarda, Uyarılara Bağlı Powershell Scriptleri Ile Anlık Müdahale (Örneğin, Kullanıcı Devre Dışı Bırakma) Sağlanabilir.

Yapı ve İlişkilerin Analizi

Bu aşamada, yukarıda belirtilen ManageEngine bileşenlerinin mevcut AD altyapısıyla nasıl bütünleştiği analiz edilir:

• ADManager, doğrudan domain controller’lara bağlanarak merkezi yönetim sağlar ve erişim sadece bu sunucu üzerinden sağlanır.
• ADSelfService, kullanıcı hesaplarıyla entegre çalışarak kimlik doğrulama katmanını güçlendirir.
• ADAudit, Active Directory üzerindeki tüm aksiyonları gözlemleyerek denetim mekanizması sunar.
• Ortaya çıkan yapı, uçtan uca entegre bir güvenlik ve izleme zinciri oluşturur.

İşlevselliklerin ve Güvenlik Etkilerinin Değerlendirilmesi

Ürünlerin sunduğu işlevler, kuruluşun güvenlik hedefleri doğrultusunda değerlendirilmelidir. Öne çıkan başlıklar:

• ADManager: Yönetimsel görevlerin otomatikleştirilmesi, RBAC modeli, güvenli iş akışları.
• ADSelfService: Şifre sıfırlama, MFA, kullanıcı profili doğrulama, koşullu erişim ve login MFA.
• ADAudit: Gelişmiş alert yapısı, raporlama, olaylara otomatik aksiyon tanımı, SIEM entegrasyonu.

Tüm yapı birlikte düşünüldüğünde:

• Yetkisiz erişimler engellenir,
• Denetlenebilirlik ve hesap verebilirlik artar,
• Güvenlik açıkları erken tespit edilerek müdahale edilebilir hale gelir.

Sistemin çözümlenmesi, sistemi anlamak ve geliştirmek için temel bir adımdır ve genellikle sistemler mühendisliği veya bilgi sistemleri alanlarında kullanılır. Bu süreç, bir sistemin karmaşıklığını azaltmaya performansını artırmaya ve güvenliği arttırmaya yardımcı olabilir.

3.Analiz Aşaması

3.1.Warnier-Orr Diyagramı

4.Tasarım

4.1.Süreç Yapısı Tasarımı Ve Mimari Yapı

5.Uygulama

5.1.Önerilen Sistemin Yapısı

5.1.1.ADManager Plus ile Güvenli Yönetim Mimarisine Geçiş

ADManager Plus, kullanıcı, grup, bilgisayar ve diğer AD objelerini merkezi bir ara yüz üzerinden yönetmenizi sağlayan web tabanlı bir çözümdür. Yetkilendirme, otomasyon, raporlama ve RBAC (role-based access control) gibi birçok özelliği sayesinde klasik Active Directory yönetiminin ötesine geçmenizi sağlar

Yönetim Hesaplarını Yetkisizleştirerek Güvenlik

Klasik yapıdaki Domain Admin kullanıcılarının geniş yetkileri, bir siber saldırganın eline geçtiğinde tüm sistemi tehlikeye atar.

Bu nedenle, ADManager’i sistemin merkezine konumlandırarak doğrudan domain controller üzerinde yönetim yetkisine sahip kullanıcıların sayısını azaltıyor, tüm işlemleri bu merkezi platformdan yönlendiriyoruz. Böylece sadece ADManager sunucusuna erişimi olan, rol tabanlı sınırlandırılmış yöneticiler sistemde değişiklik yapabiliyor. Domain Controller (DC) sunucularına çok sayıda kaynak ve kullanıcıdan erişim olması, saldırganlar için geniş bir saldırı yüzeyi anlamına gelir. Bu riski ortadan kaldırmak için sadece ADManager sunucusu üzerinden erişim sağlanacak şekilde yapılandırma yapılır. DC’ye erişim tek bir kaynaktan gelir ve bu kaynak sıkı güvenlik kontrolleri ile korunur.

Gereksiz Port ve Protokollerin Kapatılması

Microsoft’un varsayılan olarak açık gelen birçok protokolü (SMBv1, NetBIOS, LLMNR, vb.) hem ağda saldırı yüzeyini artırır hem de savunmasız kalabilir. Bu nedenle, bu protokolleri engelleyip yalnızca ADManager için gereken portları açık bırakıyoruz (örneğin sadece 443 ve gerekli LDAP bağlantıları). Böylece dış dünyaya değil, sadece ADManager aracılığıyla kontrollü erişim sağlanmış olur.

Identity Risk Assigment Raporu

• RISK SCORE: Aracımız, güvenlik olaylarına yalnızca meydana geldiği anda tepki vermek yerine, kimlik altyapınızı tarayıp değerlendirerek, riskleri önem derecesine göre değerlendirip önceliklendirerek, ayrıntılı risk raporları oluşturarak ve kuralcı çözümler sunarak kimlik tabanlı saldırılara karşı proaktif bir duruş sergilemenizi sağlar.
• Uygulamaya tanıtılmış olan domain yapısının risk skoru nasıl hesaplanır, hesaplanırken hangi raporlara ihtiyaç duyar: Ayrıcalıklı kullanıcılar, Etkin Olmayan Kullanıcılar, Hiç Oturum Açmamış Kullanıcılar, Şifreleri Değişmeyen Kullanıcılar, Şifresinin süresi hiç dolmayan Kullanıcılar, Şifre Gerekmeyen Kullanıcılar, Engelli Kullanıcılar, Ayrıcalıklı Grupların Üyeleri, Ayrıcalıklı olmayan kullanıcılar, Engelli Bilgisayarlar, Aktif Olmayan Bilgisayarlar, Kısıtsız Yetkilendirmeyle Güvenilen Bilgisayarlar, Eski İşletim Sistemi Sürümlerini Çalıştıran Bilgisayarlar, BitLocker Devre Dışı Bırakılan Bilgisayarlar, Boş Gruplar, Ayrıcalıklı Gruplar, Büyük Ayrıcalıklı Gruplar, Tek Üyeli Gruplar, Bağlantısız GPO’lar vb..
• Bu risk göstergelerinin eşik değeri, ayarlar düğmesine basılarak yapılandırılabilir.

5.1.2. ADSelfService Plus ile Kimlik Doğrulamanın Güçlendirilmesi

ADSelfService Plus, kullanıcıların kendi kimlikleriyle ilgili işlemleri (şifre sıfırlama, hesap kilidi açma, profil güncelleme vb.) güvenli şekilde yapmasını sağlar. Ancak ürün yalnızca self-service değil, aynı zamanda çok katmanli kimlik doğrulama (mfa), koşullu erişim, cihaz bazli kisitlama gibi yetenekleriyle de dikkat çeker.

MFA ile Başlayan Güvenlik

• Kullanıcı, bilgisayarını açtığında AD oturumuna girmeden önce OTP, mobil onay veya e-posta ile ek bir kimlik doğrulama adımıyla karşılaşır.

• Özellikle VPN üzerinden ya da dış ağdan erişimlerde çok faktörlü kimlik doğrulama zorunlu hale getirilir.

Koşullu erişim ile belirli saatlerde, belirli IP’lerden veya coğrafi lokasyonlardan erişime izin verilirken, diğer durumlarda erişim engellenebilir.

Bu yöntemlerle, yalnızca yetkili ve uygun koşullardaki kullanıcıların erişim sağlayabilmesi garanti altına alınır.

5.1.3. ADAudit Plus ile İzleme, Uyarı ve Otomatik Aksiyon

Active Directory ortamında güvenliği sağlamanın bir diğer kritik yönü de gerçek zamanli izleme ve olaylara müdahale edebilme kabiliyetidir. Adaudit plus, bu konuda güçlü bir çözüm sunar.

İzlenebilecek Kritik Olaylar

• Domain Admin grubuna yapılan yetkisiz kullanıcı eklemeleri,
• Şüpheli saatlerde yapılan oturum açma girişimleri,
• Kullanıcıların grup üyeliklerinde yapılan ani değişiklikler,
• Hesap kilitlenmeleri, başarısız oturumlar zinciri.

Gerçek Zamanlı Alert ve Aksiyonlar

ADAudit ile bu olaylar anlık olarak algılanır ve belirlenen yöneticilere mail/sms ile bildirilir. Ayrıca gelişmiş entegrasyonlarla bu alarmlara otomatik PowerShell scriptleri bağlanabilir:

• İzinsiz bir domain admin eklendiğinde, kullanıcı hesabını anında devre dışı bırakma,
• Şüpheli IP’den gelen girişte tüm oturumları sonlandırma,

• Kritik kullanıcı değişikliklerinde SIEM sistemlerine log gönderimi gibi.

Bu yapı sayesinde sadece izlemekle kalmaz, aynı zamanda olay anında aksiyon alabilen reaktif bir güvenlik modeli inşa edilir.

6.Sonuç

Active Directory güvenliği, yalnızca güçlü parola politikaları veya antivirüs çözümleriyle sağlanamaz. Kapsayıcı bir güvenlik mimarisi; merkezi yönetim, yetki minimizasyonu, çok katmanlı kimlik doğrulama, izole erişim katmanları ve denetlenebilir aktiviteler gerektirir.

ManageEngine ürün ailesiyle oluşturulacak yapı sayesinde:

• Yetki dağınıklığı sona erdirilir,
• Erişimler sınırlanır ve izole edilir,
• Kimlik doğrulama politikaları güçlendirilir,
• Tüm olaylar izlenebilir ve otomatik aksiyonlar tanımlanabilir hale gelir.

Bu yazıda örneklendirdiğimiz yöntemlerle, AD ortamınızı sadece yönetilebilir değil, aynı zamanda siber tehditlere karşi dirençli hale getirebilirsiniz.

7.ek

Bu makalede genel güvenlik mimarisi içinde PAM360 ürününe de yer verdik. PAM360, özellikle ayrıcalıklı erişim yönetimi (Privileged Access Management) ihtiyacı olan yapılarda kritik bir rol oynar. Domain ortamlarına doğrudan erişimi sınırlayarak yetkili kullanıcıların izole, kayıt altına alınabilir ve kontrol edilebilir sanal oturumlar üzerinden çalışmasını sağlar. Bu yapı, Active Directory güvenliğini yalnızca yönetimsel sınırlarla değil, aynı zamanda erişim kontrolü ve oturum denetimi boyutlarıyla da sağlamlaştırır. PAM360’ın sunduğu kapsamlı özellikler (örn. onay süreçleri, parola kasaları, erişim denetim zamanlayıcıları, detaylı video kayıtları, entegre SIEM bildirimleri) bu makalenin çerçevesini aşacak kadar derinliklidir. Bu sebeble bu konu hakkında ayrıca makale paylaşılacaktır.

8. Kaynaklar

• “ADManager Plus User Guide” by ManageEngine.
• “ADAudit Plus User Guide” by ManageEngine.
• “ADSelfService Plus User Guide” by ManageEngine.