26.01.2017 4 dak okuma Makale dili
Makale dili

Active Directory Etki Alanı Hizmetleri’ni Koruma —
AD yönetimi için en iyi uygulamalar (1. bölüm)

Clint Wyckoff Clint Wyckoff

Tüm yazı dizisini okuyun:

1. Bölüm — Active Directory Etki Alanı Hizmetleri’ni Koruma
2. Bölüm — Salt Okunur Etki Alanı Denetleyicisi (RODC)
3. Bölüm — Active Directory Etki Alanı Hizmetleri’ni Kurtarma

 

Modern Veri Merkezlerinin tüm bileşenleri bir tür kimlik doğrulama gerektirir. Microsoft’un Active Directory Hizmetleri, forest dahilindeki farklı nesneler hakkında bilgileri kapsar ve ilişkisel bir veritabanında (ntds.dit) yer alan gerekli bilgileri depolar. Etki Alanı Denetleyicileri, altyapıda kimlik doğrulama ve oturum açma işlemleri aracılığıyla kaynaklara erişimi kontrol eden başlıca bileşenlerdir. Bir kullanıcı kurumsal etki alanı tabanlı bir dosya sunucusundaki bir dosyaya erişmeye çalıştığında, bilgisayarın veya kullanıcının kimliğini doğrulamak için Kerberos ya da NTLM kimlik doğrulama protokolleri kullanılır. En kısa deyimiyle, kimlik doğrulama Always-On Business için kritik öneme sahiptir.

Yüksek Kullanılabilirlik için Tasarlandı

BT profesyonelleri ve mühendisler, potansiyel sorunları ortadan kaldırmak amacıyla yüksek kullanılabilirliğe sahip bir Active Directory Etki Alanı Hizmetleri altyapısını ayrıntılandırırken özenli davranır ve kapsamlı planlar yaparlar. Ağ kesintisi veya yama uygulanması sırasında yeniden başlatma gibi nedenlerle tek bir etki alanı denetleyicisinin kullanılamaması durumunda tüm iletişimin kesilmesini istemediğimiz için esneklik kavramına göre tasarım yaparız. Microsoft’un Active Directory Siteleri ve Hizmetleri (dssite.msc), replikasyon motorunu veya etki alanı denetleyicileri arasında replikasyonun gerçekleştirileceği zaman aralığını kontrol eder. Bu, son yapılan değişikliklerin siteler arasında otomatik olarak taşınmasını sağlar. Bu durumda, büyük ölçüde normal replikasyon sürecinden çıkarılan bir “gecikme” sitesi oluşturmak en iyi uygulamalardan biridir. Bu değerler maliyet ve zaman aralığı modeliyle yönetilir. En yüksek maliyet ve replikasyon aralığına sahip siteler en düşük önceliğe sahip olur. Bir kuruluş birimi (OU) yanlışlıkla silinirse, bu işlemin ortamda anında replikasyon işlemine tabi tutulması trajik sonuçlar doğuracaktır. Gecikme sitesi bu nedenle önemlidir.

ad-1

1. Örnek: Active Directory Siteleri ve Hizmetleri – Maliyet ve Aralık Replikasyonu

Veeam Backup & Replication kullanan bizler ise bir şeyin yanlışlıkla düzenlenmesi veya kaldırılması durumunda farklı nesneleri ya da nesne özniteliklerini hızlı, kolay ve güvenli bir şekilde geri yükleyebiliriz. Bu, Microsoft Active Directory için Veeam Explorer kullanılarak gerçekleştirilir.

Kalenin Anahtarlarını Kontrol Edin

Active Directory (AD); bazıları bilgisayar nesneleri, bazıları ise kullanıcı nesneleri için olan çok sayıda yerleşik genel güvenlik grubu içerir. Bazı örnekler şunlardır:

  • Domain Admins
  • Enterprise Admins
  • Schema Admins
  • Domain Users
  • Domain Controllers
  • Domain Computers

Atamaların başarıyla uygulanması için, AD içindeki güvenlik modellerinin nasıl çalıştığını anlamak önemlidir. Ben bunların, NTFS gibi oldukça basit olduklarını düşünüyorum. En üst seviyede ayarlanan izinler, etki alanı hiyerarşisi içindeki iç içe geçmiş OU’lar ve nesneler üzerinden yayılabilir.

Hatalar her zaman olabilir! Hizmet Masası’nda görevli John, SQL altyapısı için tüm Hizmet Hesaplarını içeren OU’yu yanlışlıkla silerse ne olur? Kötü bir gün olacağı kesin! İnsan hatalarına veya daha kötüsü kötü niyetli sızmalara karşı koruma sağlamak için bu gruplardaki üyeliklerin yakından izlenmesi gerekir. Hangi kullanıcı hesaplarının hangi gruplara erişimi olduğunu doğrulamak için periyodik denetimler yapılmalıdır. Farklı kullanıcıların oturum açmak için kullandığı tüm uygulama tabanlı kullanıcı hesapları için hizmet hesapları (svc-xxxx) ve yükseltilmiş erişime sahip tüm hesaplar için de yönetici hesapları (admin-xxxx) oluşturmak en iyi uygulamalardan biridir. Örneğin, benim normal etki alanı hesabımın (cwyckoff) Domain Admins grubuna erişimi ASLA olamaz. Bu erişime ihtiyacım olduğunda admin-cwyckoff adında bir hesap oluşturarak kullanırım. Ayrıca kullanıcı hesapları için çalışan kimlikleri gibi rastgele karakterler de kullanabilirsiniz (örn. v123456 veya admin-v123456). Bu, kullanıcı hesaplarının adlarının tahmin edilmesini ve dışarıdaki bilgisayar korsanlarının bilinen bir adlandırma kuralını temel alarak deneme yanılma saldırısı yapmalarını güçleştirir.

BT içindeki diğer üyelere roller atamak, ekibin diğer üyelerinin belirli etkinlikleri gerçekleştirmesini sağlamak için iyi bir yoldur. Tipik olarak geniş BT ortamlarında mühendislik ve mimari ekipleri Active Directory Kimlik Doğrulama Hizmeti’ni sahiplenir, denetleme ile erişim süreçlerini ise yönetim ve operatör düzeyindeki ekiplere atarlar. Bunu yapmak için Active Directory Kullanıcıları ve Bilgisayarları içindeki yerleşik aracı kullanmanız gerekir (dsa.msc). Bu, sık kullanılan görevleri tamamlamak üzere farklı kullanıcılara ya da kullanıcı gruplarına erişim atamanın kolay ve hızlı bir yoldur. “Bilgisayarı etki alanına ekle” veya “Sonraki oturum açılışında kullanıcı parolalarını sıfırla ve parola değiştirmeye zorla” seçenekleri bu işlemlere örnek olarak verilebilir. Ayrıca gerçekleştirmeye çalıştığınız işlem, sihirbazda bulunan kullanılmaya hazır sık kullanılan görevlerden biri değilse özel görev de oluşturabilirsiniz. Her kullanıcının ya da kullanıcı grubunun gerçekleştirdiği görevlerin listelenmesi, rol tabanlı bir yaklaşım benimsememize olanak tanır. Kesinlikle en iyi uygulamalardan biri olan bu yaklaşım, uygun ekiplerin işlerini gerçekleştirmeleri için tam olarak gerekli izinlere sahip olmalarını sağlamanın harika bir yoludur. Böylece ekiplerin fazla ya da az izne sahip olmalarının önüne geçilebilir.

ad-2

2. Örnek: Yerleşik Denetim Temsilcisi Sihirbazı

Sonuç

Etki alanı kimlik doğrulaması, altyapının genelde dikkate alınmayan ancak iş için kritik bileşenlerinden biridir. Etki alanı hizmetlerini çalıştıran üyeler, BT içinde hangi üyenin hangi özel role sahip olduğunu çoğu zaman düşünmezler. En kolay çözüm herkese gereğinden fazla izin vermektir. Bu da işlerin kısa süre içinde tehlikeli bir hal almasına yol açar. Yerel koruma ilkeleri ve son derece kararlı bir mimari oluşturmak, tüm bileşenlerin en uygun şekilde çalışmalarına olanak tanır. Bir sonraki yazıda, tüm site için hata ve kurtarma bileşenlerinin yanı sıra AD ortamını daha da güvenli hale getirmek için Salt Okunur Etki Alanı Denetleyicileri’ni (RODC) nasıl kullanacağınızı ele alacağız.

Clint Wyckoff
Clint Wyckoff
Clint Wyckoff is an avid technologist and virtualization fanatic with over a decade of Enterprise Data Center Architecture experience. Clint is an energetic and engaging speaker that places a large emphasis on solving real-world IT challenges. Additionally, he has been awarded VMware vExpert designation for 2015 and is also a VMCE and MCP. Follow Clint on Twitter @ClintWyckoff.
More about author
Önceki gönderi Sonraki gönderi
Makale İçerikleri
Makale dili
Türkçe
Haftalık blog güncellemeleri alın
Abone olarak kişisel bilgilerinizin Veeam'in Gizlilik Politikası hükümleri uyarınca yönetilmesini kabul etmiş olursunuz
Bize güvenip e-posta kutunuzda yer açtığınız için teşekkür ederiz!
Artık bu haftalık bülten sayesinde, blogumuzda olan biteni kaçırmayacaksınız.
Tamam
Free trial
Try now