Bir çok kuruluş bünyesinde Microsoft’un Dizin hizmeti olan “Active Directory” bünyesinde kullanmaktadır. Microsoft, Windows Server 2012 R2 ile birlikte “Protected Users” adı altında bir Security Group tanıttı ve günümüze kadar geldi.
Bu grup diğer gruplara göre daha güvenilir ve kimlik hırsızlığına karşı daha iyi bir koruma sağlamaktadır.
Active Directory Protected Users grubu, CACHE mantığı ile çalışmamaktadır ve NTLM kullanmamaktadır ve bu yüzden LSAAS belleği kullanılmıyor.
Bu grup üyeleri aşağıdaki maddeler gibi çalışmaktadır;
- NTLM kullanmazlar ve sadece Kerberos ile doğrulama yapılmaktadır. Sunucu üzerinde Kerberos servisleri STOP durumdaysa LOGIN işlemini gerçekleştiremezler.
- CACHE mantığı bulunmamaktadır, Kerberos protokolü yapılan her isteği doğrulama işlemi yapar ve TGT bulunmamaktadır.
- LOGIN işlemleri her zaman Offline olarak çalışmaktadır.
- Protected Users Group üyesi hesaplar DES, RC4 gibi kriptoloma tiplerini kullanmamaktadır. Bu yüzden Domain ortamınızın AES standartlarında olması gerekir.
Bu grup için Active Directory Schema Server 2012 R2 (69) olması gerekmektedir.
TGTs için 4 saat süre bulunmaktadır, 4 saat sonunda grup üyeleri tekrar kimlik doğrulama sürecine girmektedir.
Ortamınızda bulunan Protected Users grubunun incelemek için;
Get-ADGroup -Identity "Protected Users"
ADAC, ADUC ve PowerShell kullanarak Protected Users grubuna üye yapabiliriz.
ADUC içerisinde Users içerisinde yer almaktadır.
PowerShell ile aşağıdaki komutu kullanarak üye yapabilirsiniz;
Get-ADGroup -Identity "Protected Users" | Add-ADGroupMember –Members "CN=Cengiz,CN=Users,DC=cengizyilmaz,DC=net"ADUC üzerinden ise Protec Users Properties – Members bölümünden kullanıcılarınızı ekleyebilirsiniz.
Protected Users grubunu test etmek için Mimikatz kullanabilirsiniz;
mimikatz/README.md at master · gentilkiwi/mimikatz · GitHub
Protected Users grubuna kulanıcılarınızı üye yapmadan önce “klist” ile ilgili kullanıcının TGT biletini kontrol edebilirsiniz, 10 saatlik süre bölümünü. Protected Users grubuna üye olduktan sonra bu süre 4 saat olarak güncellenecektir.
