Best Practices for Active Directory

Çoğu kuruluş, daha yeni yöntemlerden yararlanarak ve Azure Active Directory gibi bulut tabanlı platformlar kullanarak sistemlerini korumak için parolasız doğrulama gibi teknikler ve koşullu erişim gibi yöntemler kullanmaya başladı.

Bu süreç, genellikle Hybrid yapılar oluşturarak yürütülmektedir. Bu durumda, On-Premises Active Directory sunucuları, kuruluşlar için kritik öneme sahiptir çünkü saldırganlar için hedef olmaya devam etmektedirler.

Domain Controller‘ları (DC) saldırılardan korumak, yöneticiler için her zaman öncelikli bir konudur. Kuruluşların DC’lerini güvende tutmalarına yardımcı olabilecek bazı yöntemler şunlardır:

  • Etki Alanı Yöneticisi ayrıcalıklarının kullanımını kısıtlama
  • RDP erişimi veya MMC erişimi için atlama kullanma
  • DC Sunucularına üçüncü parti yazılım yüklenmemesi
  • DC’lerin internet erişimini kısıtlama

Modern bir güvenlik ekibi, iyileştirmelerin nerede yapılabileceğini belirlemek için bu en iyi uygulamaları düzenli olarak gözden geçirmek zorundadır.

Microsoft, müşterilerine mümkün olan en yüksek düzeyde koruma sağlamak ve destek vermek amacıyla düzenli olarak bilgilendirmeler ve yama güncellemeleri yayınlamaktadır. Bulut destekli güvenlik, modern tehditlere karşı en etkili savunmayı sunar ve işlem, kapasite ve ölçekleme gibi tüm kısıtlamaları ortadan kaldırır.

Son olarak, Microsoft, DC’lerin internet erişimine sahip olmamasını önermekten artık kaçınmaktadır. Bunun yerine, değişen güvenlik ortamına uygun yeni önerilerde bulunmuştur. Microsoft, DC’leri internet erişiminden tamamen izole etmek yerine, ihlalleri sürekli olarak izlemek için modern tehdit korumasını önerir.

Bu, Defender gibi araçlarla şirket içi ortamlarda kimlik tabanlı tehditleri algılayarak ve müşterilerin tehditleri ve yanal hareketi engellemelerine yardımcı olarak gerçekleştirilir. Microsoft’un Kimlik için Defender’ı, milyonlarca Active Directory varlığını koruyarak etkinliğini kanıtlamıştır ve bu da en iyi uygulama rehberinin güncellenmesini gerektirir.

Microsoft, kuruluşlara Kimlik için Defender kullanarak şirket içi Active Directory için bulut destekli koruma önermektedir. Bu, DC’lerin ve AD FS sunucularının, kodlanmış ve tek yönlü bir bağlantı aracılığıyla güvenli bir şekilde bulut hizmetiyle iletişim kurmasını sağlayarak gerçekleştirilebilir.

Son olarak, yasal veya düzenleyici nedenlerle tamamen izole ortamlarda bulunan kuruluşlar için öneri, etki alanı denetleyicilerini her türlü internet erişiminden tamamen kısıtlamak ve güvenlik için teknik ve politika tabanlı kontroller kullanmaktır.

Kimlik tehdit koruması, bir kuruluşun güvenlik stratejisinin yalnızca bir parçasıdır. Microsoft, kimlikleri, uç noktaları, uygulamaları ve bulut altyapısını koruyan kapsamlı Microsoft 365 Defender ürün serisini kullanmayı önermektedir. Microsoft, müşterilerini ve iş ortaklarını her zaman mümkün olan en güvenli şekilde korumaya ve onlara en iyi korumaları sunmaya devam edecektir. Kuruluşların Microsoft’un sunduğu en iyi korumalardan mümkün olan en basit şekilde yararlanmalarını sağlamak için dağıtım engellerini kaldırır.

Yorum yapın