Active Directory Sızma Testi: Kapsamlı Güvenlik Değerlendirme Rehberi

Kerberos saldırılarından Domain Dominance'a, AD ortamlarınızı gerçek saldırgan perspektifiyle test etmenin adım adım yol haritası.

Active Directory sızma testi kapak görseli
Active Directory sızma testi: keşiften domain dominance'a kapsamlı güvenlik değerlendirmesi.

Kısaca

Active Directory (AD), kurumsal ağların kimlik ve erişim yönetimi omurgasıdır. Dünya genelinde Fortune 500 şirketlerinin %95'inden fazlası Active Directory kullanmaktadır. Bu durum AD'yi siber saldırganlar için en değerli hedeflerden biri haline getirmektedir. Active Directory sızma testi, bir kuruluşun AD altyapısındaki güvenlik açıklarını, yanlış yapılandırmaları ve zayıf politikaları gerçek saldırgan teknikleriyle belirleyen kapsamlı bir siber güvenlik değerlendirme sürecidir.

Bu rehberde; AD sızma testi metodolojisini, keşif ve numaralandırma tekniklerini, Kerberos tabanlı saldırıları, yetki yükseltme yöntemlerini, lateral movement stratejilerini ve güncel güvenlik sertleştirme önerilerini detaylı biçimde ele alıyoruz. Zafiyet yönetimi süreçlerinizi AD ortamları için nasıl optimize edebileceğinizi de adım adım açıklıyoruz.

Active Directory Neden Hedef?

Active Directory'nin saldırganlar için bu denli cazip olmasının birçok temel nedeni vardır:

  • Merkezi Kimlik Yönetimi: AD, tüm kullanıcı hesaplarını, parolaları, grup üyeliklerini ve izinleri tek bir noktadan yönetir. Domain Admin hesabına erişim sağlayan bir saldırgan, organizasyondaki tüm sistemlere sınırsız erişim kazanır.
  • Geniş Saldırı Yüzeyi: LDAP, Kerberos, NTLM, DNS, SMB, RPC gibi çok sayıda protokol ve servis, her biri ayrı saldırı vektörleri sunar. Yanlış yapılandırılmış bir Group Policy bile tüm domain'i tehlikeye atabilir.
  • Kalıcılık İmkânları: Golden Ticket, Silver Ticket, Skeleton Key gibi teknikler saldırganlara uzun süreli ve tespit edilmesi zor erişim sağlar. Bir Golden Ticket, domain parola politikası değiştirilene kadar 10 yıl boyunca geçerli kalabilir.
  • Lateral Movement Kolaylığı: Bir kullanıcı hesabı ele geçirildikten sonra, trust ilişkileri ve paylaşımlı kaynaklar aracılığıyla ağ içinde yanal hareket oldukça kolaydır.
  • Geriye Dönük Uyumluluk: Birçok kuruluş hâlâ NTLM v1, SMBv1, eski Windows Server sürümleri gibi eski teknolojileri desteklemek zorundadır. Bu durum bilinen zafiyetleri canlı tutar.

Araştırmalara göre başarılı iç ağ saldırılarının %80'inden fazlasında Active Directory zafiyetleri kullanılmaktadır. Bu nedenle düzenli sızma testi ve zafiyet değerlendirmesi, kurumsal siber güvenliğin temel taşlarından biridir.

AD Sızma Testi Metodolojisi

Profesyonel bir Active Directory sızma testi, sistematik bir metodoloji izlemelidir. Aşağıda yaygın olarak kabul gören aşamalar sıralanmıştır:

  1. Kapsam Belirleme ve Planlama: Hedef domain(ler), test türü (black-box, grey-box, white-box), izin verilen teknikler, test süresi ve kısıtlamalar belirlenir. Yazılı onay (Rules of Engagement) alınır.
  2. Pasif Keşif: OSINT teknikleriyle hedef organizasyon hakkında dışarıdan bilgi toplanır - e-posta adresleri, çalışan isimleri, domain yapısı, LinkedIn profilleri gibi açık kaynaklar taranır.
  3. Aktif Keşif ve Numaralandırma: Ağa erişim sağlandıktan sonra LDAP sorguları, DNS zone transferleri, SMB enumeration, BloodHound analizi ile detaylı AD haritası çıkarılır.
  4. Kimlik Doğrulama Saldırıları: Kerberoasting, AS-REP Roasting, Password Spraying, Brute Force gibi tekniklerle kullanıcı kimlik bilgileri elde edilmeye çalışılır.
  5. Yetki Yükseltme: Elde edilen düşük yetkili hesaptan Domain Admin'e giden yol araştırılır - Group Policy istismarı, ACL kötüye kullanımı, token manipülasyonu gibi teknikler uygulanır.
  6. Lateral Movement: Pass-the-Hash, Pass-the-Ticket, Overpass-the-Hash, WMI/PSRemoting ile ağ içinde yanal hareket gerçekleştirilir.
  7. Domain Dominance: DCSync, Golden Ticket, Silver Ticket gibi tekniklerle domain seviyesinde tam kontrol sağlanır.
  8. Temizlik ve Raporlama: Test izleri temizlenir, bulgular CVSS puanlarıyla sınıflandırılır ve düzeltme önerileriyle birlikte kapsamlı rapor hazırlanır.

Bu metodoloji, MITRE ATT&CK Enterprise matrisi ve PTES (Penetration Testing Execution Standard) ile uyumludur. Her aşamada detaylı dokümantasyon tutulması, hem yasal hem de teknik açıdan kritik önem taşır.

Keşif ve Numaralandırma: LDAP, BloodHound ve Ötesi

AD sızma testinin en kritik aşamalarından biri hedef ortamın detaylı haritasını çıkarmaktır. Etkili numaralandırma, sonraki saldırı adımlarının başarısını doğrudan etkiler.

LDAP Numaralandırma

Active Directory'nin kalbi LDAP (Lightweight Directory Access Protocol) protokolüdür. Herhangi bir domain kullanıcısı, varsayılan yapılandırmada aşağıdaki bilgilere erişebilir:

  • Tüm kullanıcı hesapları, açıklamaları ve öznitelikleri (bazen parola bile Description alanında bulunur)
  • Grup üyelikleri ve iç içe gruplar
  • Bilgisayar hesapları ve işletim sistemi sürümleri
  • Service Principal Names (SPN) - Kerberoasting hedefleri
  • Organizational Unit (OU) yapısı ve Group Policy bağlantıları
  • Trust ilişkileri ve domain yapılandırması

ldapsearch, PowerView (Get-DomainUser, Get-DomainGroup), ADExplorer ve ldapdomaindump gibi araçlar bu süreçte yaygın olarak kullanılır.

BloodHound ile Saldırı Yolu Analizi

BloodHound, AD ortamındaki ilişkileri graf veritabanı (Neo4j) üzerinde görselleştirerek en kısa saldırı yollarını otomatik olarak hesaplayan güçlü bir araçtır. SharpHound veya BloodHound.py ile veri toplanır ve şunlar analiz edilir:

  • Domain Admin'e giden en kısa yollar
  • Aşırı yetkili kullanıcılar ve gruplar
  • Tehlikeli ACL yapılandırmaları (GenericAll, WriteDACL, ForceChangePassword)
  • Kerberoastable ve AS-REP Roastable hesaplar
  • Session bilgileri ve admin erişimleri

BloodHound'un "Shortest Paths to Domain Admins" sorgusu, tek başına bile birçok AD ortamında kritik güvenlik açıklarını ortaya koyar.

Diğer Numaralandırma Teknikleri

  • DNS Zone Transfer: Yanlış yapılandırılmış DNS sunucularından tüm kayıtların çekilmesi
  • SMB Enumeration: Paylaşımlar, null session erişimi, NetBIOS bilgileri
  • RPC Enumeration: rpcclient ile kullanıcı ve grup listeleme
  • ADCS Enumeration: Certificate Authority yapılandırması ve şablon zafiyetleri (ESC1-ESC8)

Kimlik Doğrulama Saldırıları

Active Directory'de kimlik doğrulama, Kerberos ve NTLM protokolleri üzerinden gerçekleştirilir. Her iki protokolün de bilinen ve sıklıkla istismar edilen zafiyetleri vardır.

Kerberoasting

Kerberoasting, herhangi bir domain kullanıcısının Service Principal Name (SPN) atanmış hesaplar için Kerberos TGS bileti talep edebilmesi prensibine dayanır. Elde edilen bilet, servis hesabının NTLM hash'i ile şifrelenmiştir ve offline olarak kırılabilir.

  • Rubeus, Impacket (GetUserSPNs.py) veya PowerView ile SPN'li hesaplar belirlenir
  • TGS biletleri talep edilir ve dışa aktarılır
  • Hashcat veya John the Ripper ile offline parola kırma yapılır
  • Zayıf parolalı servis hesapları dakikalar içinde kırılabilir

AS-REP Roasting

"Do not require Kerberos preauthentication" özelliği etkin olan hesaplar için, herhangi bir kimlik doğrulaması olmadan AS-REP yanıtı alınabilir ve bu yanıt offline olarak kırılabilir. Bu özellik genellikle eski uygulamalar veya yanlış yapılandırma nedeniyle etkindir.

Pass-the-Hash (PtH)

NTLM kimlik doğrulamada, parola yerine hash değeri doğrudan kullanılabilir. Bir sistemden elde edilen NTLM hash'i, parola bilinmeden diğer sistemlere erişim için kullanılır. Mimikatz, CrackMapExec, Impacket araçları bu teknik için yaygın olarak tercih edilir.

Password Spraying

Hesap kilitleme eşiğinin altında kalarak, tek bir yaygın parola (ör. "Şirket2026!") tüm kullanıcı hesaplarında denenir. Bu teknik, Lockout politikasını tetiklemeden geniş çapta parola tahmini yapılmasına olanak tanır.

NTLM Relay

NTLM kimlik doğrulama mesajlarının saldırgan tarafından yakalanıp başka bir hedefe yönlendirilmesi tekniğidir. Responder ve ntlmrelayx araçları ile LLMNR/NBT-NS zehirlemesi yapılarak hash'ler yakalanabilir veya relay saldırıları gerçekleştirilebilir.

Yetki Yükseltme Teknikleri

Düşük yetkili bir hesaptan Domain Admin seviyesine yükselme, AD sızma testinin en kritik aşamasıdır. Aşağıda yaygın yetki yükseltme vektörleri ele alınmıştır:

ACL Kötüye Kullanımı

Active Directory'de her nesnenin bir Access Control List (ACL) yapısı vardır. Yanlış konfigüre edilmiş ACL'ler ciddi güvenlik riskleri oluşturur:

  • GenericAll: Hedef nesne üzerinde tam kontrol - parola sıfırlama, grup üyeliği değiştirme
  • WriteDACL: Nesnenin ACL'sini değiştirme yetkisi - kendine GenericAll verme
  • ForceChangePassword: Hedef kullanıcının parolasını bilmeden sıfırlama
  • WriteOwner: Nesnenin sahibini değiştirme
  • GenericWrite: Nesne özniteliklerini değiştirme - SPN ekleme (hedefli Kerberoasting)

AD Certificate Services (ADCS) İstismarı

ADCS, son yıllarda keşfedilen en ciddi AD saldırı yüzeyi olmuştur. ESC1-ESC8 olarak bilinen zafiyet sınıfları, sertifika şablonlarının yanlış yapılandırılmasından kaynaklanır:

  • ESC1: Düşük yetkili kullanıcının başka bir kullanıcı adına sertifika talep edebilmesi
  • ESC4: Sertifika şablonu üzerinde yazma yetkisi olan kullanıcıların şablonu değiştirmesi
  • ESC8: NTLM relay ile web enrollment üzerinden sertifika elde etme

Token Manipülasyonu

SeImpersonatePrivilege veya SeAssignPrimaryTokenPrivilege yetkilerine sahip hesaplardan (genellikle servis hesapları) SYSTEM veya Domain Admin yetkisine yükseltme yapılabilir. PrintSpoofer, JuicyPotato, GodPotato gibi araçlar bu kategoride kullanılır.

Group Policy Zafiyetleri

Group Policy Objects (GPO), Active Directory'de toplu yapılandırma yönetimi için kullanılır. Ancak yanlış yapılandırılmış GPO'lar domain genelinde zafiyetlere yol açabilir.

  • GPP (Group Policy Preferences) Parolaları: Eski Windows Server sürümlerinde, GPP ile dağıtılan parolalar SYSVOL paylaşımında AES-256 ile şifrelenmiş olarak saklanırdı. Microsoft şifreleme anahtarını yayınladığı için bu parolalar kolayca çözülebilir. Get-GPPPassword aracı bu zafiyeti istismar eder.
  • GPO Yazma Yetkisi: Düşük yetkili bir kullanıcının bir GPO'yu düzenleme yetkisi varsa, Scheduled Task veya startup script ekleyerek etkilenen tüm bilgisayarlarda kod çalıştırabilir.
  • SYSVOL Erişim İzinleri: SYSVOL paylaşımındaki script dosyaları ve yapılandırma dosyalarının yetersiz izin ayarları, hassas bilgi sızıntısına veya script değiştirme saldırılarına yol açabilir.
  • Restricted Groups Yanlış Kullanımı: Restricted Groups ile Local Administrators grubuna eklenen kullanıcılar tüm etkilenen bilgisayarlarda yerel admin yetkisi kazanır.

GPO güvenliği, düzenli olarak denetlenmeli ve değişiklik takibi yapılmalıdır. Zafiyet yönetimi platformları, GPO yapılandırma sapmalarını otomatik olarak tespit edebilir.

Lateral Movement ve Pivoting

İlk erişim sağlandıktan sonra, saldırganlar hedeflerine ulaşmak için ağ içinde yanal hareket gerçekleştirirler. AD ortamları, trust ilişkileri ve paylaşımlı kaynak yapısı nedeniyle lateral movement için ideal bir ortam sunar.

Yaygın Lateral Movement Teknikleri

  • Pass-the-Hash: NTLM hash'i ile SMB, WMI, WinRM üzerinden uzak sistemlere erişim
  • Pass-the-Ticket: Çalınan veya oluşturulan Kerberos biletleriyle kimlik doğrulama
  • Overpass-the-Hash: NTLM hash'ten Kerberos TGT elde etme
  • PsExec / SMBExec: Admin paylaşımları üzerinden uzaktan komut çalıştırma
  • WMI (Windows Management Instrumentation): WMI üzerinden uzaktan proses başlatma
  • PowerShell Remoting (WinRM): PSSession ile uzak sistemlerde komut çalıştırma
  • DCOM (Distributed Component Object Model): COM nesneleri üzerinden uzaktan kod çalıştırma
  • RDP Hijacking: Mevcut RDP oturumlarını ele geçirme

Pivoting

Farklı ağ segmentlerine erişim için pivot teknikleri kullanılır. Compromised bir sunucu, diğer segmentlere erişim sağlayan bir köprü görevi görür. SSH tünelleri, SOCKS proxy'leri ve chisel/ligolo gibi araçlar pivoting için yaygın olarak kullanılır.

Tespit ve Önleme

Lateral movement tespiti için Windows Event Log'ları (4624, 4625, 4648, 4672), EDR çözümleri ve ağ segmentasyonu kritik öneme sahiptir. Özellikle Tier 0/1/2 modeli ile ayrıcalıklı erişim katmanlara ayrılmalıdır.

Domain Dominance: DCSync, Golden ve Silver Ticket

Domain Dominance, saldırganın Active Directory üzerinde tam kontrol sağladığı ve kalıcılığını garanti altına aldığı aşamadır. Bu seviyeye ulaşan bir saldırganı ortamdan temizlemek son derece zordur.

DCSync Saldırısı

DCSync, saldırganın kendisini bir Domain Controller gibi göstererek replikasyon istekleri göndermesine ve tüm kullanıcı hash'lerini (krbtgt dahil) elde etmesine olanak tanır. Bu saldırı için "Replicating Directory Changes" ve "Replicating Directory Changes All" yetkilerine sahip olmak yeterlidir.

  • Mimikatz: lsadump::dcsync /domain:hedef.local /all
  • Impacket: secretsdump.py domain/user@DC_IP
  • Tüm kullanıcı NTLM hash'leri, Kerberos anahtarları ve parola geçmişi elde edilir

Golden Ticket

Golden Ticket, krbtgt hesabının NTLM hash'i kullanılarak oluşturulan sahte bir TGT biletidir. Bu bilet ile:

  • Domain'deki herhangi bir kullanıcı (mevcut olmayan dahil) taklit edilebilir
  • Bilet, krbtgt parolası değiştirilene kadar (varsayılan 10 yıl) geçerli kalır
  • Standart log'larda meşru bir oturum açma işleminden ayırt edilmesi oldukça zordur
  • krbtgt parolası iki kez sıfırlanmalıdır (parola geçmişi nedeniyle)

Silver Ticket

Silver Ticket, belirli bir servis hesabının hash'i ile oluşturulan sahte TGS biletidir. Golden Ticket'tan farklı olarak yalnızca hedeflenen servise erişim sağlar, ancak Domain Controller ile iletişim gerektirmediği için tespit edilmesi daha zordur.

Diğer Kalıcılık Teknikleri

  • Skeleton Key: Domain Controller'ın belleğine enjekte edilen ve tüm hesaplara master parola ile erişim sağlayan teknik
  • AdminSDHolder: Korunan grupların ACL'sini 60 dakikada bir geri yükleyen mekanizmayı kötüye kullanma
  • SID History Injection: Bir kullanıcıya Domain Admin SID'sini SID History olarak ekleme
  • DCShadow: Sahte bir Domain Controller kaydederek AD veritabanına doğrudan değişiklik yazma

AD Güvenlik Sertleştirme Önerileri

Active Directory güvenliğini artırmak için kapsamlı bir sertleştirme stratejisi uygulanmalıdır. Aşağıda en kritik öneriler kategori bazında listelenmiştir:

Kimlik ve Erişim Yönetimi

  • Tüm ayrıcalıklı hesaplarda 25+ karakter parola ve MFA zorunlu kılın
  • Servis hesaplarında Group Managed Service Accounts (gMSA) kullanarak otomatik parola rotasyonu sağlayın
  • Kerberos ön-kimlik doğrulamayı tüm hesaplarda zorunlu tutun (AS-REP Roasting önlemi)
  • AES-256 şifrelemeyi zorunlu kılarak RC4 (NTLM) kullanımını devre dışı bırakın
  • Tiered Administration (Tier 0/1/2) modelini uygulayın
  • Protected Users grubuna ayrıcalıklı hesapları ekleyin

Ağ ve Protokol Güvenliği

  • NTLM kimlik doğrulamayı mümkün olduğunca kısıtlayın veya devre dışı bırakın
  • SMB imzalamayı zorunlu kılın (NTLM relay önlemi)
  • LDAP imzalama ve kanal bağlamayı etkinleştirin
  • LLMNR ve NBT-NS'yi devre dışı bırakın
  • Domain Controller'ları ayrı bir ağ segmentinde izole edin

İzleme ve Tespit

  • Gelişmiş denetim politikaları etkinleştirin (4769, 4768, 4771, 4624, 4625, 4672, 4688)
  • Honey Token hesapları oluşturarak erken uyarı sağlayın
  • krbtgt parolasını düzenli olarak sıfırlayın (en az 180 günde bir)
  • SIEM/EDR çözümlerini AD spesifik kurallarla yapılandırın
  • Microsoft Defender for Identity veya benzeri bir AD güvenlik çözümü konuşlandırın

ADCS Güvenliği

  • Sertifika şablonlarını ESC1-ESC8 zafiyetleri için denetleyin
  • Web enrollment devre dışı bırakın veya EPA (Extended Protection for Authentication) etkinleştirin
  • Sertifika şablonlarında "Subject Alternative Name" (SAN) kullanımını kısıtlayın

SİTEY ile AD Zafiyet Yönetimi

SİTEY platformu, Active Directory ortamlarınızdaki güvenlik açıklarını uçtan uca yönetmenizi sağlar:

  • Otomatik AD Keşfi: Domain yapınızı otomatik olarak tarar ve envantere ekler - kullanıcılar, gruplar, bilgisayarlar, GPO'lar ve trust ilişkileri dahil.
  • Zafiyet Tespiti ve Önceliklendirme: AD spesifik zafiyetleri CVSS ve bağlamsal risk skoruyla değerlendirir. Kerberoastable hesaplar, zayıf ACL yapılandırmaları, ADCS zafiyetleri otomatik olarak raporlanır.
  • Sızma Testi Entegrasyonu: Pentest bulgularını platforma aktararak düzeltme süreçlerini takip edin. Her bulguya sorumlu atayın, SLA sürelerini izleyin.
  • Sürekli İzleme: AD yapılandırma değişikliklerini gerçek zamanlı izleyin. Yeni eklenen ayrıcalıklı hesaplar, GPO değişiklikleri ve trust ilişkisi güncellemeleri anında bildirilir.
  • Uyumluluk Raporlama: CIS Benchmark, NIST ve kurumsal güvenlik politikalarıyla uyumu otomatik olarak değerlendirin ve raporlayın.

SİTEY'in zafiyet yönetimi yaklaşımı, tekil taramalar yerine sürekli bir güvenlik döngüsü oluşturarak AD ortamınızın güvenlik olgunluğunu kademeli olarak artırır.

AD Güvenliğinde Sık Yapılan Hatalar

Birçok kuruluşun Active Directory güvenliğinde tekrarlayan hataları bulunmaktadır:

  • Aşırı Yetkili Hesaplar: Gerekenden fazla kullanıcının Domain Admins grubunda olması. Prensip: en az yetki prensibi uygulanmalıdır.
  • Servis Hesabı İhmali: Servis hesaplarına güçlü parola atanmaması, gMSA kullanılmaması, SPN yapılandırmasının denetlenmemesi.
  • Parola Politikası Yetersizliği: Minimum 12 karakter altında parola uzunluğu, sözlük kontrolünün yapılmaması.
  • Log İzleme Eksikliği: Windows Event Log'larının toplanmaması veya analiz edilmemesi. Özellikle DC loglarının izlenmemesi.
  • Patch Yönetimi: Domain Controller'ların zamanında güncellenmemesi, eski işletim sistemi sürümlerinin kullanılması.
  • Eski Protokol Desteği: NTLM v1, SMBv1 gibi bilinen güvenlik açıkları bulunan protokollerin hâlâ aktif olması.
  • Trust İlişkisi İhmali: Forest trust'ların incelenmemesi, SID filtering uygulanmaması.
  • Yedekleme Güvenliği: AD yedeklerinin şifrelenmeden saklanması - saldırganlar yedekten hash çıkarabilir.

Adım Adım AD Sızma Testi Planı

Aşağıda, bir AD sızma testini baştan sona yürütmek için kullanılabilecek kapsamlı bir kontrol listesi sunulmaktadır:

Hazırlık Aşaması

  1. Kapsam ve kurallar (Rules of Engagement) belirleme
  2. Yazılı yetkilendirme ve iletişim planı oluşturma
  3. Test araçlarını ve ortamını hazırlama (Kali Linux, Windows saldırı makinesi)
  4. Acil durum iletişim kanallarını tanımlama

Keşif Aşaması

  1. OSINT ile çalışan ve e-posta bilgilerini toplama
  2. DNS enumeration ve zone transfer denemeleri
  3. LDAP anonymous bind kontrolü
  4. NetBIOS ve SMB enumeration
  5. BloodHound/SharpHound ile AD graf analizi

Saldırı Aşaması

  1. Password Spraying saldırısı (lockout eşiğine dikkat)
  2. Kerberoasting - SPN'li hesapların TGS biletlerini kırma
  3. AS-REP Roasting - PreAuth devre dışı hesaplar
  4. NTLM Relay / Responder ile hash yakalama
  5. Elde edilen kimlik bilgileriyle lateral movement
  6. ACL, GPO ve ADCS zafiyetlerini istismar
  7. Domain Dominance (DCSync, Golden Ticket) denemeleri

Raporlama Aşaması

  1. Tüm bulguları CVSS v3.1 ile puanlama
  2. Her bulgu için detaylı düzeltme önerisi hazırlama
  3. Saldırı zincirlerini görselleştirme
  4. Yönetici özeti ve teknik detay raporu oluşturma
  5. Düzeltme sonrası doğrulama testi planlama

Sıkça Sorulan Sorular (SSS)

Active Directory sızma testi ne sıklıkla yapılmalıdır?

Active Directory sızma testi en az yılda bir kez yapılmalıdır. Ancak büyük yapısal değişiklikler (domain migration, forest trust değişiklikleri, yeni ADCS kurulumu), önemli güvenlik olayları sonrası veya uyumluluk gereksinimleri doğrultusunda daha sık test yapılması önerilir. Kritik AD ortamları için 6 ayda bir test ideal bir frekanstır.

AD sızma testi sırasında üretim ortamı etkilenir mi?

Profesyonel bir sızma testi, üretim ortamını minimum düzeyde etkiler. Ancak Password Spraying sırasında hesap kilitleme, yoğun LDAP sorguları nedeniyle performans düşüşü veya yanlışlıkla kritik bir servis hesabının parolasının değiştirilmesi gibi riskler mevcuttur. Bu nedenle kapsam belirleme aşamasında dikkatli planlama ve acil durum prosedürleri hayati önem taşır.

BloodHound kullanımı tespit edilebilir mi?

Evet, SharpHound veri toplama işlemi tespit edilebilir. SharpHound, çok sayıda LDAP sorgusu ve uzak oturum sorgulaması yapar. EDR çözümleri SharpHound imzalarını tanıyabilir, ve yoğun LDAP trafiği SIEM kuralları ile tespit edilebilir. BOF (Beacon Object File) tabanlı toplayıcılar ve OPSEC-güvenli sürümler tespitten kaçınmayı zorlaştırır ama imkansız kılmaz.

Kerberoasting'den korunmak için ne yapılmalıdır?

Kerberoasting'den korunmak için: SPN atanmış tüm servis hesaplarında 25+ karakter uzunluğunda rastgele parolalar kullanın. Mümkünse Group Managed Service Accounts (gMSA) ile otomatik parola rotasyonu uygulayın. AES-256 şifrelemeyi zorunlu kılın (RC4 devre dışı). Düzenli olarak SPN'li hesapları denetleyin ve gereksiz SPN kayıtlarını kaldırın. Servis hesaplarına ayrıcalıklı grup üyelikleri vermeyin.

Golden Ticket saldırısı nasıl tespit edilir ve önlenir?

Golden Ticket tespiti oldukça zordur çünkü meşru Kerberos biletlerinden ayırt edilmesi güçtür. Temel önlemler: krbtgt hesabının parolasını düzenli olarak (180 günde bir) iki kez sıfırlayın. Windows Event ID 4769'u izleyin ve anomali tespiti yapın. PAC doğrulamasını etkinleştirin. Microsoft Defender for Identity gibi çözümlerle davranışsal analiz uygulayın. Bilet ömrü ve yenileme sürelerindeki tutarsızlıkları izleyin.

İlgili Yazılar

SİTEY ile bu süreçleri tek platformda otomatikleştirin.

Sınırsız Demo İndir Platformu İnceleyin