Windows Server Salt Okunur Etki Alanı Denetçileri |
Yanıt Yaz |
Yazar | |
megabros
Security Professional Kayıt Tarihi: 08-06-2009 Konum: Turkey Status: Aktif Değil Points: 752 |
Mesaj Seçenekleri
Yanıt Yaz
Alıntı megabros
Bu mesaj kurallara aykırıysa buradan yöneticileri bilgilendirebilirsiniz.
Gönderim Zamanı: 23-08-2009 Saat 13:07 |
Bu makalede Windows Server 2008 işletim sistemiyle beraber gelen ve güvenlik açısından düşünüldüğünde oldukça faydalı bir özellik olan Salt Okunur Etki Alanı Denetçileri (Read-Only Domain Controllers – RODCs) ele alınmıştır.Özellikle Kamu kurumlarıda kullanımıyla sağlanacak faydaların üzerinde durulmuş, kullanımında karşılaşılabilecek sorunlar irdelenmiştir. Ülkemizdeki kamu kurumlarının yapısı düşünüldüğünde genelde Ankara’da merkez bir binadan ve taşrada birçok şubeden oluştukları söylenebilir. Sistem denetlemesini yaptığımız bir çok kamu kurumunda merkez binanın bilişim sisteminin sahip olduğu güvenlik imkanlarının taşraya pek yayılamadığını rahatlıkla söyleyebiliriz. Dolayısıyla, “bu kurumların sahip oldukları güvenlik derecesini, en zayıf halkaları olarak nitelendirebileceğimiz taşradaki şubeleri belirler”, demek pek de yanlış olmaz. Özellikle fiziksel güvenlik ele alındığında taşradaki şubelerin bu konuda oldukça zayıf kaldığı söylenebilir. Taşradaki şubelerin genel özelliklerini şu şekilde sıralayabiliriz:
İşte bu noktada RODC’lerin önemi ortaya çıkmaktadır. RODC’lerin amacı, şubelerde ne meydana geliyorsa, onun orada kalması olarak özetlenebilir. Kamu kurumlarının taşradaki şubelerinde elbette bir etki alanı denetçisi (DC – Domain Controller) ihtiyacı olacaktır. Fakat bu şubelerin fiziksel güvenliği yeterince sağlanamadığından, yazılabilir bir DC kurmak yerine bir RODC kurmak daha uygun olacaktır. Böylece daha gelişmiş güvenlik özellikleri, daha kısa sisteme giriş süreleri ve ağ üzerindeki kaynaklara daha verimli erişim sağlanmış olacaktır. Bir RODC’ye sahip olabilmek için Windows Server 2003 orman fonksiyonel seviyeye (forest functional level) ve en az bir adet Windows Server 2008 DC’ye sahip olmak gerekmektedir. Windows 2008 aktif dizin kurulumu esnasında Şekil-1’deki pencere karşımıza çıkacaktır. Şekilden de görüldüğü gibi ağacımızdaki ilk DC’yi (FDC de diyebiliriz – Full Domain Controller) oluşturacağımız için RODC seçeneği pasif durumda gözükmektedir. RODC’ler kullanıcı hesabı şifre özetleri (RODC ile aynı sitede olan kullanıcı ve bilgisayarlar hariç) haricinde yazılabilir bir DC’de tutulan tüm nesne ve özellikleri (attributes) barındırır. Veritabanında bir değişiklik olacağı zaman RODC üzerinde direkt bir değişiklik yapılmaz. Yazılabilir DC üzerinde değişiklik yapılır, daha sonra bu değişiklik RODC’ye replike edilir. Aktif dizini kullanan bazı uygulamalara ait örneğin şifreler ya da kimlik bilgileri gibi kritik bilgiler olabilir. RODC’nin ele geçirilmesi durumunda bu bilgilerin saldırganın eline geçmesini engellemek gerekecektir. Bu gibi durumlar için RODC’ye replike edilmeyen bir grup özellik konfigürasyonu yapmak mümkündür. İşte bu özellik kümesine RODC filtrelenmiş özellik kümesi (RODC filtered attribute set – RO-FAS) adı verilir. RO-FAS’a özellik atamak için aktif dizin şemasında searchFlags özelliğinin 9. biti (0×0200) set edilir. Ele geçirilmiş bir RODC, kritik hesaplar için şifre özeti talep edebilir. Bunu engellemek için sistem yöneticisi her RODC için ADSI EDIT ile veya Active Directory Users and Computers bileşeni üzerinden bir şifre replikasyon politikası oluşturabilir. Bu politikaların iki özelliği vardır:
Diğer önemli özellikler de:
RODC üzerinde herhangi bir değişiklik yapılmadığından, RODC’den dışarıya doğru bir replikasyona gerek kalmamakta, replikasyon sadece RODC’ye doğru yapılmaktadır, dolayısıyla tek yönlü bir replikasyon söz konusu olmaktadır. Bu da zaten düşük bandgenişliğine sahip olan taşra şubelerindeki ağ yükünü azaltan bir avantaj olarak gözükmektedir. Kullanıcılara ait şifre özetleri, bir DC’de tutulan yegane kritik değerler değildir. KrbTGT hesabı her bir DC’de çalışan Kerberos Key Distribution Center (KDC) servisi için anahtarlar içerir. Tipik olarak domaindeki her bir KDC aynı KrbTGT hesabını paylaşır. Dolayısıyla saldırgan DC’yi ele geçirdiğinde bu hesapları da ele geçirmiş olur ve etki alanının tümüne saldırabilir. Fakat yeni sistemde her bir RODC’nin kendine ait KrbTGT hesabı vardır.
RODC’lerin bir başka özelliği de, FDC’lerin aslında RODC’leri etki alanı denetçisi olarak güvenilir görmemeleri (not trusted), RODC’leri member server olarak görmeleridir. Bir RODC “enterprise domain controllers” ve “domain controllers” gruplarına üye değildir. RODC’ler salt okunur çalıştıkları ve diğer DC’ler RODC’lerden replike olmadıkları için RODC’lerin bazı tuhaf davranışları da mevcuttur:
Sonuç olarak RODC yapısının Türkiye’deki merkez-taşra yapısına sahip olan ve özellikle taşra tarafında fiziksel güvenlik zaafları bulunan kurumlar için oldukça yararlı olduğu düşünülmektedir. Saygılar..
|
|
Yanıt Yaz | |
Tweet |
Forum Atla | Forum İzinleri Kapalı Foruma Yeni Konu Gönderme Kapalı Forumdaki Konulara Cevap Yazma Kapalı Forumda Cevapları Silme Kapalı Forumdaki Cevapları Düzenleme Kapalı Forumda Anket Açma Açık Forumda Anketlerde Oy Kullanma |