Bazı durumlarda etki alanı içerisinde çalışan bilgisayarlar üzerindeki yerel gruplara (local groups) hangi kullanıcı hesaplarının üye olması gerektiğini belirlemek, dahası bu listeyi belirli kullanıcı hesapları ile sınırlandırmak isteyebilirsiniz. Örneğin local administrators grubu bu konudaki güzel örneklerden biridir. Local administrators grubu, etki alanı içerisindeki bilgisayarlar üzerinde bulunan en yüksek yetkilere sahip gruptur ve bu grup üyesi kullanıcı hesapları o bilgisayar üzerinde 10 kaplan gücündedir :) Yerel administrator hesabı ve eğer bilgisayar etki alanı üyesi ise Domain Admins grubu varsayılan olarak yerel Administrators grubuna üye durumdadır.

Özellikle hassas yerel grupların üye listesinde her zaman belirli kullanıcı hesaplarının yer almasını ve bir şekilde manuel olarak liste dışından hesaplar eklendiğinde dahi ilk gpupdate’de ezilip orijinal listeye geri dönmesini istiyorsanız kullanmanız gereken GPO Restricted Groups policy ayarıdır. Restricted Groups policy ayarı bir yerel gruba hangi kullanıcı hesaplarının veya hangi grupların üye olacağını veya bu yerel grubun hangi diğer gruplara üye olacağını belirlemek ve sınırlandırmak için kullanılır.

Restricted Groups (sınırlı gruplar) policy ayarı çok eski Windows sürümlerinde bu yana vardır ama Local Users and Groups policy ayarı kadar kapsamlı ve esnek değildir çünkü sadece belirli bir amaç için kullanılır; yerel gruplara üye olan hesapların her zaman aynı kalmasını garanti etmek. Eğer söz konusu yerel grup için tüm istemci bilgisayarlar üzerindeki ihtiyaç (yani üye olan hesaplar listesi veya üye olunan diğer gruplar listesi) aynı ise, bu GPO’yu o gruba yeni bir hesabı üye yapmak için de kullanabilirsiniz. Ama şunu unutmayın: yeni hesap bu GPO’dan etkilenen tüm bilgisayarlar üzerindeki ilgili gruba üye yapılır ve gönderilen listeyle örtüşmeyen tüm kullanıcı hesaplarının üyelikleri yerel gruptan silinir.

Devamını oku…

Çeşitli nedenlerden ötürü Active Directory (AD) etki alanı üyesi Windows tabanlı bilgisayarlar üzerindeki local (yerel) gruplara yeni kullanıcı hesapları eklemek isteyebilirsiniz. Bu işi bir bilgisayar üzerinde Local Users and Groups altında Groups bölümünden kolayca yapmanız mümkün. Ama bunu birden fazla bilgisayar için yapmanız gerekiyorsa tek tek uğraşmak zaman kaybı olacaktır.

Örneğin otomatikleştirilmiş ve merkezileştirilmiş birtakım operasyonel işlerde kullanmak üzere ve Active Directory organizasyonu içerisindeki tüm bilgisayarlar üzerinde yerel yönetici (local administrator) yetkilerine sahip bir etki alanı hesabı (domain user account) oluşturmak istiyorsunuz. Bu operasyonel işler için domain administrator hesabını kullanmayı da tercih edebilirsiniz ama Domain Admins grubuna üye bir hesap muhtemelen gereğinden fazla yetkili olacak ve daha önemlisi bir güvenlik tedbiri olarak bu seviyede yetkili hesapları bu gibi operasyonel işlerde kullanmamalısınız.

Öncelikle Active Directory Users and Computers yönetim konsolunu kullanarak bir kullanıcı hesabı (user account) oluşturun. Bu hesabın sadece Domain Users grubuna üye olması yeterli çünkü asıl hedef bu hesabın istemci bilgisayarlar (clients) üzerinde yetkili olması.

Aşağıda logon name’i clientadmin olan ve Domain Users üyesi bir hesap görebilirsiniz.

Bu domain user account’u organizasyon içerisindeki tüm bilgisayarların local administrators (yerel yöneticiler) grubuna topluca üye yapmak için birkaç şansınız var. Bunlar arasında en kolayı ise hiç şüphesiz Group Policy Object (GPO) mekanizmasını kullanmak. GPO’lar organizasyon içerisindeki sunucu ve istemci bilgisayarlarda gerçekleştirmek durumunda olduğunuz birçok operasyonel işi topluca uygulamanıza yardımcı olan objelerdir ve merkezi olarak oluşturulup yönetilirler.

Devamını oku…

BT yapılarında büyük oranda kabul görmüş olan Microsoft Active Directory servislerine (Directory Services) yönelik gerçekleştirilen dış ve iç ataklar, büyüyen ve gelişen BT dünyasında popülerliğini korumaya devam ediyor. Şirketlerin kimlik yönetimi ve doğrulama süreçlerinde kritik görevler üstlenen Active Directory servisleri, uzun süredir dış ve iç saldırılara karşı korunması gereken en önemli bileşenlerden biri durumunda.

Microsoft IT tarafından Nisan ayında hazırlanan Best Practices for Securing Active Directory başlıklı doküman yardımıyla kuruluşunuzun Active Directory ortamını korumak için atabileceğiniz adımlar hakkında en güncel bilgilere sahip olabilir, üreticinin güvenlik uzmanları tarafından önerilen en iyi uygulama yöntemlerini öğrenebilir ve mevcut önlemlerinizi geliştirerek güvenliğinizi bir üst seviyeye taşıyabilirsiniz.

Dokümanda aşağıdaki ana başlıklar hakkında detaylı bilgiler yer alıyor.

• Zayıf noktaların belirlenmesi
• Active Directory atak yüzeyinin daraltılması
• Uzlaşma belirtilerinin izlenmesi (takip edilmesi)
• Uzun vadeli bir güvenlik planının geliştirilmesi

Başlıkların derinlemesine ele alındığı ana dokümana ise aşağıdaki bağlantı üzerinden ulaşabilirsiniz:

Best Practices for Securing Active Directory
http://aka.ms/bpsadtrd

İlgili güvenlik dokümanının genel bakış amaçlı özetine aşağıdaki bağlantı üzerinden ulaşabilirsiniz:

Securing Active Directory: An Overview of Best Practices
http://www.microsoft.com/en-us/download/details.aspx?id=38815&WT.mc_id=rss_alldownloads_all