Active Directory kullanan çoğu kuruluş, sistemlerini korumak için parolasız doğrulama gibi daha yeni yöntemlerden yararlanmak, koşullu erişim kullanmak için Azure Active Directory gibi Cloud tabanlı platformları kullanmaya başlıyor.
Kuruluşların bu cloud yolcuğunun bir çoğu aslında Hybrid yapılar oluşturmaktadır. Bu durumda On-Premises Active Directory sunucuları kurumlar için büyük önemlidir, çünkü Active Directory sunucuları saldırganların hedefi olmaya devam ediyor.
DC’leri saldırılardan korumak, yöneticiler için her zaman önceliklidir. Kuruluşların DC’lerini güvende tutmalarının bazı örnekleri şunlardır:
- Etki Alanı Yöneticisi ayrıcalıklarının kullanımını sınırlama
- RDP erişimi veya MMC erişimi için atlama kutularını kullanın.
- DC Sunucularına 3.party yazılım yüklenmemesi
- DC’lere internet erişimini kısıtlama
Modern bir güvenlik ekibinin karşılaştığı zorluklar göz önüne alındığında, iyileştirmelerin nerede yapılabileceğini görmek için bu en iyi uygulamaları tekrar gözden geçirme potansiyeli vardır.
Microsoft, müşterilerine mümkün olan en yüksek düzeyde koruma sağlamaya ve destek vermek için düzenli olarak bilgilendirmeler ve patch yayınlaması yapmakta. Cloud güvenlik ürünleri, modern tehditlere karşı en iyi savunma şeklidir. Bulut destekli güvenlik, işlem, kapasite ve ölçekle ilgili tüm kısıtlamaları ortadan kaldırır.
Microsoft, DC sunucuları için best practices tarafında güncelleme gerçekleştirdi.
Microsoft artık DC’lerin hiçbir koşulda internet erişimine sahip olmaması gerektiğini önermemektedir.
Bunun yerine, değişen güvenlik ortamına uygun önerilerde bulundu. En başından beri açık olmak gerekirse, Microsoft hala DC’lerin filtrelenmemiş internet erişimine sahip olmamasını ve interneti bu sunuculardan bir tarayıcı aracılığıyla kullanmanın hala yasaklanması gerektiğini savunuyor. DC’leri internet erişiminden tamamen izole etmek ve asla ihlal edilmeyeceklerini varsaymak yerine, ihlalleri her zaman izlemek için modern tehdit koruması da dahil olmak üzere derinlemesine bir savunma yaklaşımı öneriyor.
Defender, şirket içi ortamlarda kimlik tabanlı tehditleri ve güvenliği ihlal edilmiş kullanıcıları algılar ve müşterilerin tehlikeleri ve yanal hareketi önlemek için saldırı yüzeyini azaltmalarına yardımcı olur. Kimlik için Defender’ın etkinliği o kadar büyüktür ki, Microsoft’un Algılama ve Yanıt Ekibi (DART) kuruluşlara güvenlik olaylarında yardımcı olmak için görevlendirildiğinde, Kimlik için Defender gerçekleşen etkileşimin ön koşullarından biridir. Kimlik için Defender şu anda on milyonlarca Active Directory varlığını korumaktadır ve bu nedenle en iyi uygulama kılavuzumuzun dünya genelindeki kullanımınıza göre güncellenmesi gerektiği açıktır.
Yayımlanan en iyi uygulamada yapılan değişiklik, çoğu kuruluşun içinde bulunduğu bulut yolculuğunu tanımaktadır. Mümkünse kuruluşunuzdaki tek kimlik ve erişim yönetimi aracı olarak Azure Active Directory’nin kullanılmasını önermeye devam ediyor.
Microsoft, karma durumu desteklemek amacıyla Kimlik için Defender kullanarak şirket içi Active Directory için bulut destekli koruma önerir. Bu, DC’lere ve AD FS sunucularına yüklenen Kimlik için Defender’ı, kodlanmış, tek yönlü bir bağlantı aracılığıyla, bir web proxy’si aracılığıyla aday uç nokta adlarına bulut hizmetiyle iletişim kuracak şekilde yapılandırarak güvenli bir şekilde gerçekleştirilebilir. Bu, Kimlik için Defender belgeleri sayfalarında açıklanan komut satırı seçenekleri aracılığıyla yapılırsa, bu erişimi yalnızca sensör tarafından kullanılan Kimlik için Defender işlemiyle de sınırlar.
Son olarak, yasal veya düzenleyici nedenlerle tamamen hava boşluklu ortamlarda bulunan kuruluşlar için öneri, statükoyu korumak ve etki alanı denetleyicilerini hem teknik hem de politika tabanlı kontroller yoluyla herhangi bir internet erişiminden tamamen kısıtlamaktır.
Tabii ki, kimlik tehdit koruma yaklaşımında sadece bir unsurdur. Tam Microsoft 365 Defender ürün serisi de dahil olmak üzere kimlikleri, uç noktaları, uygulamaları ve bulut altyapısını koruyan XDR teknolojilerini göz önünde bulundurmanızı öneririz.
Microsoft, müşterilerini ve iş ortaklarını her zaman mümkün olduğunca güvenli ve emniyetli tutmak için çaba gösterecektir. Dağıtım engelleyicilerini kaldırarak, kuruluşların Microsoft’un sunduğu en iyi korumalardan mümkün olduğunca basit bir şekilde yararlanmalarını sağlayabilir.
Updating best practices for Domain Controllers – Microsoft Tech Community
