Yönetici ayrıcalıklarını bölümlere ayırmak için katman modeli

  • Makale

Bu makalede, yüksek ayrıcalıklı etkinlikleri yüksek riskli bölgelerden ayrı tutarak ayrıcalık yükseltmesine karşı koruma sağlamayı hedefleyen bir güvenlik modeli açıklanır.

Önemli

bu makaledeki model yalnızca MIM PAM kullanan yalıtılmış Active Directory ortamları için tasarlanmıştır. Karma ortamlar için, bunun yerine kuruluş erişim modelindekikılavuza bakın.

Active Directory ormanlarında ayrıcalığı yükseltme

Windows Server Active Directory (AD) ormanları üzerinde kalıcı yönetim ayrıcalıkları verilmiş olan kullanıcı, hizmet veya uygulama hesapları, kuruluşun misyonu ve işleri üzerinde ciddi bir risk oluşturur. Bu hesaplar genellikle saldırganlar tarafından hedeflenir çünkü tehlikede olmaları durumunda saldırgan, etki alanındaki diğer sunuculara veya uygulamalara bağlanma haklarına sahiptir.

Katman modeli, yönettikleri kaynaklar temelinde yöneticiler arasında ayrımlar oluşturur. Kullanıcı iş istasyonları üzerinde denetimi olan yöneticiler, uygulamaları denetleyen veya kurumsal kimlikleri yönetenlerden ayrılır.

Oturum açma kısıtlamalarıyla kimlik bilgilerinin açıklanmasını sınırlandırma

Yönetim hesaplarında kimlik bilgilerinin çalınma riskini azalmak için, normal olarak saldırganlara açıklanmasını sınırlandıracak şekilde yönetim uygulamalarını yeniden şekillendirmek gerekir. İlk adım olarak, kuruluşlara şunları yapmaları önerilir:

  • Yönetim kimlik bilgilerinin gösterildiği konakların sayısını sınırlandırma.
  • Rol ayrıcalıklarını gereken en alt düzeyde sınırlandırma.
  • Yönetim görevlerinin, standart kullanıcı etkinlikleri (örneğin, e-posta ve web’e göz atma) için kullanılan konaklarda gerçekleştirilmediğinden emin olma.

Sonraki adım, oturum açma kısıtlamalarını uygulamak ve katman modeli gereksinimlerine uyacak şekilde işlemleri ve uygulamaları etkinleştirmektir. İdeal olan, kimlik bilgilerinin gösterilmesinin de her katman içinde rol için gereken en düşük ayrıcalığa indirilmesidir.

Üst düzeyde ayrıcalıklı hesapların daha düşük güvenlikli kaynaklara erişmediğinden emin olmak için, oturum açma kısıtlamaları zorunlu tutulmalıdır. Örnek:

  • Etki alanı yöneticileri (katman 0), kurumsal sunucularda (katman 1) ve standart kullanıcı iş istasyonlarında (katman 2) oturum açamaz.
  • Sunucu yöneticileri (katman 1), standart kullanıcı iş istasyonlarında (katman 2) oturum açamaz.

Not

Sunucu yöneticileri, etki alanı yöneticisi grubuna üye olmamalıdır. Hem etki alanı denetleyicilerini hem de kurumsal sunucuları yönetme sorumluluklarını üstlenen personele ayrı hesaplar verilmelidir.

Oturum açma kısıtlamalarını zorunlu tutmak için şunlar kullanılabilir:

  • Grup İlkesi Oturum Açma Hakları Kısıtlamaları:
    • Bu bilgisayara ağ üzerinden erişime izin verme
    • Toplu iş olarak oturum açmayı reddet
    • Hizmet olarak oturum açmayı reddet
    • Yerel olarak oturum açmayı reddet
    • Uzak Masaüstü ayarlarını aracılığıyla oturum açmayı reddet
  • Windows Server 2012 veya üstü kullanılıyorsa, kimlik doğrulama ilkeleri ve siloları
  • Hesap belirlenmiş bir yönetim ormanındaysa, seçime bağlı kimlik doğrulaması

Sonraki adımlar

  • Sonraki makalede (Savunma ortamını planlama), yönetim hesaplarını oluşturmak üzere Microsoft Identity Manager için belirtilmiş bir yönetim ormanının nasıl eklendiği açıklanır.
  • Cihazların güvenliğini sağlamak, Internet saldırıları ve tehdit vektörlerinden korunan hassas görevler için ayrılmış bir işletim sistemi sağlar.