Ayrıcalıklı Hesapların Güvenli Erişim İş İstasyonları (SAW) ile Korunması

Ayrıcalıklı Hesapların Güvenli Erişim İş İstasyonları (SAW) ile Korunması

11/08/2024

Bu teknik ve eğitici makale, ayrıcalıklı hesapları ve görevleri korumak için güvenlik analistlerine, BT yöneticilerine ve sistem mühendislerine Ayrıcalıklı Erişim İş İstasyonları (PAW) olarak da bilinen Güvenli Erişim İş İstasyonlarını (SAW) uygulamada rehberlik etmeyi amaçlamaktadır. SAW'lar, saldırganlar için en değerli hedefler olan yüksek ayrıcalıklı hesapların ele geçirilmesi riskini en aza indirerek son derece güvenli ve izole bir bilgi işlem ortamı oluşturmak üzere tasarlanmıştır [1].

Giriş

Ayrıcalıklı kimlik bilgilerinin tehlikeye atılması en yıkıcı saldırı vektörlerinden biridir. Yönetim ve üretkenlik görevleri (e-posta, göz atma) için aynı iş istasyonunu kullanmaya yönelik geleneksel yaklaşım, ayrıcalıklı kimlik bilgilerini kabul edilemez risklere maruz bırakır. SAW'lar bu sorunu, Temiz Kaynak Prensibi'ne uygun olarak yalnızca idari görevler için kullanılan özel ve güçlendirilmiş bilgisayarlar olarak çözmektedir: daha yüksek güvenlikli bir sistem asla daha düşük güvenlikli bir sistemden yönetilmemelidir [2].

SAW'lar neden önemlidir?

  • Kimlik Bilgisi Yalıtımı: Ayrıcalıklı kimlik bilgilerinin daha az güvenli ortamlara maruz kalmasını önler.
  • Saldırı Yüzeyini Azaltma: Yönetim iş istasyonunda bulunan saldırı vektörlerini en aza indirir.
  • Sıkı Kontrol: Genel amaçlı iş istasyonlarında pratik olmayan uygulama kontrolü gibi katı güvenlik politikalarının uygulanmasına olanak tanır.

Önkoşullar

  1. Lisanslama: Windows 10/11 Enterprise. Yönetim için Microsoft Intune gibi araçlar şiddetle tavsiye edilir.
  2. Yönetim Erişimi: Güvenlik ilkelerini (GPO veya Intune) yapılandırma ayrıcalıkları.
  3. Özel Donanım veya Güvenli Sanallaştırılmış Ortam: Fiziksel bilgisayarlar veya yalıtılmış VM'ler.

Adım Adım: SAW'ın Uygulanması

1. Katmanlama Modelini Tanımlama

Microsoft'un ayrıcalıklı erişim modeli, varlıkları katmanlara ayırır. SAW, en yüksek katmanlara erişimi korumak için gereklidir:

  • Kademe 0: Altyapının doğrudan kontrolü (Örn: Etki Alanı Denetleyicileri, Azure AD Genel Yöneticileri).
  • Kademe 1: Sunucular ve kritik görev uygulamaları.
  • Kademe 2: Son kullanıcı iş istasyonları.

Katman 0 SAW yalnızca Katman 0 kaynaklarını yönetmek için kullanılmalıdır.

2. SAW Tedarik ve Sertleştirme

  1. Temiz Kurulum: Windows 10/11 Enterprise'ın temiz bir kopyasını yükleyin. Gereksiz yazılım yüklemeyin.
  2. Güncellemeler: En son güvenlik yamalarının tümünü uygulayın.
  3. Windows Güvenlik Duvarı: Güvenlik duvarını varsayılan olarak tüm gelen trafiği engelleyecek ve yalnızca yönetim görevleri (ör. belirli sunuculara RDP, bulut portallarına erişim) için kesinlikle gerekli olan giden trafiğe izin verecek şekilde yapılandırın.
  4. Gereksiz Hizmetleri Devre Dışı Bırakın: Gerekli olmayan hizmetleri devre dışı bırakmak için PowerShell'i kullanın. ```powershell # Yazdırma biriktiricisi hizmetini devre dışı bırakma örneği Set-Service -Name "Biriktirici" -StartupType Devre Dışı Stop-Service -Ad "Biriktirici" ''''
  5. Güvenlik Temellerini Uygulayın: GPO veya Intune aracılığıyla yüzlerce güvenlik ayarını aynı anda uygulamak için Microsoft veya CIS (İnternet Güvenliği Merkezi) güvenlik temellerini kullanın.

3. Uygulama Kontrolünü Uygulamak

Bu, SAW üzerindeki en önemli kontrollerden biridir. Yalnızca açıkça izin verilen uygulamalar çalışabilmelidir.

  • Windows Defender Uygulama Kontrolü (WDAC): Tercih edilen ve en güvenli teknolojidir. WDAC, çekirdek düzeyinde uygulanan kod bütünlüğü ilkeleri oluşturarak yetkisiz yazılımların veya komut dosyalarının çalışmasını engeller. Yapılandırma daha karmaşıktır ancak en yüksek düzeyde güvenlik sunar [3].
  • AppLocker: Yönetilmesi daha kolaydır ancak bilinen bypass'lara sahip eski bir teknoloji olarak kabul edilir. Belirli senaryolar için WDAC'ı tamamlayıcı bir katman olarak kullanılabilir.

AppLocker ile temel uygulama (GPO aracılığıyla):

  1. 'Bilgisayar Yapılandırması > İlkeler > Windows Ayarları > Güvenlik Ayarları > Uygulama Kontrol İlkeleri > AppLocker'a gidin.
  2. Dosyanın yürütülmesine izin vermek için Varsayılan Kurallar oluşturunWindows uluyor.
  3. Yalnızca yürütülebilir dosyalara, komut dosyalarına ve gerekli yönetim araçlarının yükleyicilerine (örneğin, 'mmc.exe', 'Uzak Masaüstü Bağlantısı') izin verecek kurallar oluşturun.
  4. 'Uygulama Kimliği' hizmetini otomatik olarak başlayacak şekilde yapılandırın.

4. İnternete ve Yerel Kaynaklara Erişimi Kısıtlama

  • Ağ Yalıtımı: SAW, gelen ve giden trafiği kontrol eden katı güvenlik duvarı kurallarına sahip, yalıtılmış bir VLAN veya ağ bölümünde olmalıdır.
  • Gözatma Engelleme: İnternet erişimi bir proxy sunucu veya güvenlik duvarı aracılığıyla engellenmeli veya en azından çok küçük bir güvenilir site listesiyle (ör. "portal.azure.com", "portal.office.com") sınırlandırılmalıdır.
  • Çıkarılabilir Medya Engelleme: USB sürücülerin ve diğer çıkarılabilir depolama birimlerinin kullanımını engellemek için cihaz politikalarını kullanın.
  • Hesapların Ayrılması: SAW kullanıcısı makinede yerel yönetici değil, standart kullanıcı olmalıdır. SAW'da oturum açmak için kullanılan hesap, etki alanı veya bulut ayrıcalıklarına sahip aynı hesap olmamalıdır. Ayrıcalıkların yükseltilmesi yalnızca hedef kaynağa bağlanırken gerçekleşmelidir (örneğin, 'runas' kullanılarak veya yönetim aracına kimlik bilgileri girilirken).

5. SAW Yönetimi ve Bakımı

  • Güncellemeler: SAW'ın güvenlik yamalarını almak ve uygulamak için sıkı bir süreci olması gerekir.
  • İzleme: SAW, SIEM'iniz (Microsoft Sentinel gibi) ve EDR çözümünüz (Uç Nokta için Microsoft Defender) tarafından yakından izlenmelidir. Herhangi bir anormal aktivite yüksek öncelikli bir uyarı oluşturmalıdır.

Günlük Kullanım Örneği

  1. Yönetici, üretkenlik görevleri (e-posta, Ekipler) için kullanıcı iş istasyonunda (Kademe 2) oturum açar.
  2. Bir yönetim görevi gerçekleştirmesi gerektiğinde (örneğin bir Etki Alanı Denetleyicisini yönetmek), fiziksel olarak SAW'sine (Kademe 0) taşınır veya güvenli bir yöntemle ona bağlanır.
  3. SAW'da standart SAW kullanıcı hesabıyla oturum açar.
  4. Yönetim aracını açar (örneğin: 'Active Directory Kullanıcıları ve Bilgisayarları'). Araç çalışır ve Etki Alanı Denetleyicisine bağlanırken Etki Alanı Yöneticisi (Kademe 0) kimlik bilgilerinizi kullanır.
  5. Görevi tamamladıktan sonra aracı kapatır ve SAW oturumunu kapatır. Seviye 0 kimlik bilgileri hiçbir zaman SAW dışında yazılmadı veya açığa çıkarılmadı.

Sonuç

Güvenli Erişim İş İstasyonlarını uygulamak, bir kuruluşun "krallığın anahtarlarını" korumak için temel bir derinlemesine savunma önlemidir. SAW'lar, idari görevleri sağlamlaştırılmış, sıkı bir şekilde kontrol edilen bir ortamda izole ederek, rakiplerin ayrıcalıkları artırmak ve yatay hareket etmek için kullandığı saldırı zincirini kırar. Planlama ve disiplin gerektirse de güvenli bir yönetim ortamı oluşturmaya yatırım yapmak, bir kuruluşun kendisini gelişmiş siber saldırılara karşı korumak için atabileceği en önemli adımlardan biridir.

Referanslar

[1] Microsoft. (2023). Ayrıcalıklı erişimin güvence altına alınmasına genel bakış. [2] Microsoft. (2023). Temiz kaynak ilkesi. [3] Microsoft. (2023). Windows Defender Uygulama Denetimi (WDAC). [4] Microsoft. (2023). Ayrıcalıklı erişim modeli.