Bilindiği üzere, her windows bilgisayarda bir admin hesabı bulunur. Bu hesabın şifresini değiştirmek önemli bir güvenlik prosedürlerinden biridir. Domain ortamı bulunan bir çok organizasyon için standart süreç, bu şifrelerin Group Policy ile değiştirilmesini öngörür. Lakin bu süreçte kaçırılan/aksatılan önemli bir konu da, GPO ile değiştirilen tüm yerel yönetici hesaplarının aynı yapılmasıdır. İşte burada ortaya çıkan bir zafiyet, sisteminizde ele geçirilmiş olan bir yerel kullanıcı hesabıyla tüm cihazlarda yerel yönetici hesabıyla erişim sağlamaya olanak tanır.
SYSVOL :
Sistem birimi (Sysvol) dosyaların paylaşılması gereken ortak erişim ve bir etki alanı genelinde çoğaltma sunucusu kopyasını saklayan ve paylaşılan bir dizindir. Sysvol klasörü domain controller’da aşağıdaki öğeleri içerir:
- Net Logon : Bunlar genellikle oturum açma komut dosyaları ve istemci bilgisayarların ağ ilkesi nesneleri barındırır.
- Active Directory Kullanıcıları ve bilgisayarları kullanan etki alanları için kullanıcı oturum açma komut dosyaları.
- Windows Grup İlkesi.
- Etki alanı denetleyicileri arasında eşitlenmiş olması gereken dosyaları Dosya Çoğaltma Hizmeti (FRS).
Bu tanımlamadan sonra;
bütün domain Group Policy’lerinin şurada tutulduğunu anlayabiliriz:
\\<DOMAIN>\SYSVOL\<DOMAIN>\Policies\
Domain adminlerin çoğu yerel yönetici şifrelerini bir script ile değiştirir:
Örnek :
Bu tür scriptler ile lütfen kullanıcı parolalarını değiştirmeyiniz
Group Policy Preferences
Kullanışlı bir araç olmasının yanında ciddi zafiyetlere de olanak sağlayan bir araç olarak karşımıza çıkıyor. Zira bir obje oluştuğunda aşağıdaki objelerde beraberinde geliyor.
Nedir bunlar?
- Map drives (Drives.xml)
- Create Local Users
- Data Sources (DataSources.xml)
- Printer configuration (Printers.xml)
- Create/Update Services (Services.xml)
- Scheduled Tasks (ScheduledTasks.xml)
- Change local Administrator passwords
Görüldüğü üzere oluşan objeler ortama dair ciddi bilgilerin sağlandığı objeler.
Buradaki kritik soru şu:
oluşan ilgili objeler, herhangi bir şifreleme metodu kullanılarak şifreleniyor mu?
Evet ama 2012 öncesine kadar bir nokta haricinde.
Domaindeki SYSVOL paylaşımı içinde oluşmuş XML dosyalarına bakarsanız içinde encrypt edilmiş “cppasword” satırını görebilirsniz.
Bu noktada ;
AES metodu ile encrypt edilmiş bu kullanıcı bilgilerini decrypt etmek için güçlü bir araç yayınlandı.
İlgili araç için : Tıklayınız
Özetle; GPP ile oluşturduğunuz objeler ile kritik bilgiler içeren encrypt edilmiş dosyalar oluşmakta fakat bu şifrelenmiş dosyalardaki bilgiler yukarıda üretilmiş araç ile okunabilmekte.
Peki bundan nasıl korunuruz?
+ Microsoft’un bu patch’ini mutlaka uygulayın : Tıklayınız
+ XML dosyalarının bulunduğu dizini mutlak erişime kapatınız.
+ Domain ortamında uzaktan şifre değiştirmek için kesinlikle Group Policy kullanmayın.
+ Uzak şifre işlemleri için Microsoft Local Administrator Password Solution (LAPS) kullanın.
Aynen Öyle Yaptığımız büyük halardan biri her yere aynı şifreyi gömmek. Yazı için teşkkürler