Kuruluşlar, Microsoft’un Dizin hizmeti olan Active Directory’yi geniş çapta kullanmaktadır. Microsoft, Windows Server 2012 R2 ile birlikte kimlik hırsızlığına karşı üstün koruma sağlayan “Protected Users” adlı bir güvenlik grubu tanıttı.
Protected Users grubu daha güvenilir ve kimlik hırsızlığına karşı daha iyi bir koruma sağlamaktadır.
Active Directory Protected Users grubu, CACHE mantığı ile çalışmamaktadır ve NTLM kullanmamaktadır ve bu yüzden LSAAS belleği kullanılmıyor.
Active Directory Protected Group Özellikleri ve Yapısı
“Protected Users” grubunun temel özellikleri şunlardır:
- NTLM Kullanmama: Protected Group üyeleri NTLM kullanmaz. Yalnızca Kerberos protokolü ile doğrulama yaparlar. Bu, sunucu üzerinde Kerberos servislerinin çalışmadığı durumlarda login işleminin yapılamayacağı anlamına gelir.
- CACHE Kullanmama: Protected Group üyeleri için Kerberos protokolü her istek için bağımsız doğrulama yapar ve bu nedenle Ticket Granting Ticket (TGT) önbelleğe alınmaz.
- Offline Login: Bu grup üyeleri her zaman offline login yaparlar, bu da sistemin güvenliğini artırır.
- Güvenli Şifreleme Protokolleri: “Protected Users” grubu üyeleri düşük güvenlikli şifreleme tipleri olan DES veya RC4‘ü kullanmaz. Bunun yerine, domain’in AES standartlarına uyumlu olması gerekir.
Protected Group Gereksinimleri
Protected Group kullanabilmek için Active Directory Schema’nın en az Server 2012 R2(69) sürümünde olması gerekmektedir. Ayrıca, TGT yenileme süresi bu gruptaki üyeler için 4 saattir ve bu süre dolunca kullanıcıların sistemde kalabilmeleri için yeniden kimlik doğrulaması yapmaları gerekir.
Protected Group Active Directory Schema Server 2012 R2 (69) olması gerekmektedir.
Protected Group Üye Ekleme ve Yönetimi
Protected Users grubunun üyelerini yönetmek için ADAC, ADUC veya PowerShell araçları kullanılabilir.
Powershell ile Protected Group içerisine üye eklemek için aşağıdaki komutu kullanabilirsiniz
Get-ADGroup -Identity "Protected Users" | Add-ADGroupMember –Members "CN=Cengiz,CN=Users,DC=cengizyilmaz,DC=net"Active Directory Users and Computers kullanarak üye eklemek için;
ADUC – Users adımlarını takip ederek “Protected Users” grubunu açıyoruz ve Members adımından eklemek istediğimiz kullanıcıları seçmemiz yeterli olacaktır.
Powershell kullanarak grup üyelerini görüntülemek için:
Get-ADGroup -Identity "Protected Users"
Protected Users grubunun etkinliğini ve güvenliğini test etmek için Mimikatz gibi araçlar kullanılabilir.
Üyelik öncesi ve sonrası kullanıcıların TGT bilet süresini kontrol etmek için klist komutu kullanılabilir. Protected Users grubuna üye olan kullanıcıların TGT yenileme süresi 10 saatten 4 saate düşürülmektedir.
Active Directory gMSA için makalemizi okumak için aşağıdaki linki inceleyebilirsiniz.
Exchange Server Active Directory Schema versiyonları için oluşturulan makale için:
