Planla, Kur, Yönet: Active Directory Nedir?

24 Şubat 2025 Sistem Yorum Yapın

10 adet bilgisayarı yönetmek ne kadar zor olabilir? Peki, 1000 tanesini yönetmek? Aslına bakarsanız bu sayı fark etmeksizin cihazlarınızı kolaylıkla yönetebilirsiniz(tabii işin detaylarına hakim olduğunuz müddetçe). Nasıl mı? Windows işletim sistemine sahip makineleriniz için Active Directory belki de en doğru çözüm diyebilirim. Takdir edersiniz ki, her bir cihazın grubunu, kullanıcısını ve kurallarını yönetmek ayrı ayrı çok fazla zaman ve efora mal olacaktır. Bu anlamda merkezi bir platformdan işlemlerinizi yürütmek mümkün olduğunda hem zamandan hem de işten tasarruf edebilirsiniz. Bu içeriğimde, Active Directory’nin ne olduğuna, ne işe yaradığına ve tabii ki siber güvenlik açısından nasıl değerlendirilebileceğini keşfedeceksiniz. Öyleyse hemen başlayalım.

Active Directory Nedir?

Yukarıda özellikle “Windows” işletim sistemine sahip cihazlardan bahsettim. Çünkü Microsoft tarafında geliştirilen Active Directory, Windows temelli ağlarda kullanıcıları, cihazları ve diğer kaynakları merkezi olarak yönetmektedir. AD(Active Directory’nin kısaltılışı), bir kimlik erişim yönetimi(IAM) hizmetidir.

Hazır kimlik erişim yönetimine değinmişken bu hizmeti aynı zamanda kullanıcıları doğrulamak ve ilgili cihazlardaki yetkilerini yönetmek için de kullanılmaktadır. Dolayısıyla yetkisi bulunmayan bir kullanıcının fileserver’de veya başka bir dosya paylaşım ortamında izinsiz erişimlerinin önüne geçilmiş olacaktır. Keza bu durum yalnızca ortak alanlar için değil, aynı zamanda kişinin kendi bilgisayarında da geçerli bir husustur.

Bununla birlikte AD, LDAP tabanlıdır. Ayrıca SSO(Single Sign On) gibi güvenlik özelliklerini desteklediğinden siber güvenlik açısından da avantaj sağlamaktadır.

Active Directory Ne İşe Yarar?

Buraya kadar bu hizmetin ne olduğunu ve nasıl çalıştığını zihninizde canlandırdığınızı düşünüyorum. Peki, AD ne işe yarar? Aslına bakarsanız akla ilk gelenlerin yanı sıra daha komplike yetkinlikleri de bulunmaktadır. Gelin, bunları birlikte liste halinde inceleyelim.

active directory nedir ne işe yarar,

Kimlik Yönetimi

Bir şirkette sistem destek uzmanı olarak çalıştığınızı düşünelim. Bu şirketin hem Ankara hem de İstanbul’da operasyon merkezleri olsun ve siz de Ankara’da ikamet ediyorsunuz. İstanbul’daki Ahsen Hanım’ın kullanıcısının parolasının sıfırlanması gerekiyor? İstanbul’a mı gideceksiniz? Tabii ki hayır :). Bunun yerine Active Directory üzerinden ilgili kullanıcının parolasını sıfırlayabilirsiniz. Ahsen Hanım iç rotasyon ile İK biriminden Organizasyonel Gelişim birimine geçti. Bu birimin erişeceği alanlar için AD’de ilgili gruplara atamasını yaptınız. Özetle, bu yetkinliği ile hesap oluşturma, silme, düzenleme işlemlerini gerçekleştirebilirsiniz.

Kimlik Doğrulama

Benim bilgisayarıma yalnızca benim erişmem gerek. Örneğin AAA-10 isimli bilgisayar, dogukan.karadag kullanıcısına aittir. Bu kullanıcı bu cihaza erişmek istediğinde LDAP bilgileri ile kontrolü sağlayabilir.

Yetkilendirme

Kullanıcının hangi alanlara yetkisinin olacağını belirleyerek sadece izin verilen kaynaklara erişimin sağlanması mümkündür.

Grup Politikaları

AD üzerinden grup politikaları oluşturup bu kuralları ilgili cihaz ve kullanıcılara tanımlayabilirsiniz. Bu sayede her bir cihaz ve kullanıcı özelinde spesifik kural tanımlamadan toplu olarak atamaları gerçekleştirebilirsiniz.

Merkezi Yönetim

Kimlik yönetimi başlığında da verdiğim örnekten yola çıkarak tüm cihazların tek bir platform üzerinden operasyonel işlemlerinin gerçekleşmesine olanak tanımaktadır.

Entegrasyon

Office 365, Microsoft SCCM, Microsoft Intune ve diğer 3. parti uygulamalarla entegre olabildiğinden gerek sistemsel gerekse de güvenlik çözümleri hususunda tercih edilebilirliği daha yüksektir.

Intune ve SCCM’in ne olduğunu detayları ile merak ediyorsanız, sistem başlığı altındaki kategorimi ziyaret ederek bilgi sahibi olabilirsiniz.

Active Directory Nasıl Çalışır?

AD, hiyerarşik bir mekanizma ile çalışmaktadır. Bu yapının yönetimini ise DC(Domain Controller) isimli sunucular yönetmektedir. Şimdi de Active Directory’nin temel bileşenlerini ele alalım.

  • Domain: Çalıştığınız şirket içerisinde hepimiz bir domaine bağlı olmak durumundayız. Bu domain dogukankaradag.com’da olabilir veya şirket isminiz ne ise o da olabilir. Bu, AD tarafındaki domainimizdir.
  • Domain Controller: LDAP ve Kerberos protokolleri ile çalışan DC, kimlik doğrulama ve yetkilendirme işlemlerini gerçekleştirmektedir.
  • Organizational Units(OU): Burada kullanıcı, cihaz ve grupları ayrıştırmak ve kendi içlerinde kategorize etmek için OU’lara ihtiyaç duyulmaktadır.
  • Group Policy(GPO): Cihaz ve kullanıcıların sistem içerisinde nasıl davranması gerektiğini group policyler vasıtası ile gerçekleştirebiliriz.

Active Directory ve Siber Güvenlik

Onlarca, yüzlerce hatta belki binlerce cihazın ve kullanıcının yönetildiği bir platformun güvenliği nasıl sağlanıyor veya nasıl sağlanmalıdır? Aslına bakarsanız halihazırda Active Directory’nin halihazırda güvenliğini sağlamak için temel prensipler vardır. Pektabii bu güvenliği üst seviyeye çıkarmanın da yöntemleri bulunmaktadır. Şimdi bunları birlikte inceleyelim.

active directory siber güvenlik,

Eğer şu an da bir şirkette çalışıyorsanız, kuvvetle muhtemel(ISO 27001 denetimlerinde de zorunludur) bir parola politikasına uymak zorundasınızdır. Bu kural, group policy ile tüm AD kullanıcılarına atanmaktadır. Nedir? Parolanızın minimum 8 karakterden oluşması, 45 günde bir yenilenmesi gerektiği gibi hususlarla güvenliğin sürekliliği önceliklendirilmektedir.

Siber güvenlik açısından AD mimarinizi güçlendirmek için şu yöntemleri uygulayabilirsiniz;

  • MFA kullanımı.
  • Tiered AD yapısının kullanımı.
    • Tier 0: Kritik sistemler ve DC.
    • Tier 1: Sunucular ve uygulamalar.
    • Tier 2: Kullanıcı sistemleri.
  • RDP ve LDAP sistemlerinin kısıtlanması.
  • Minimum yetki seviyesinin kullanılması ve böylece gereksiz yetkilerle yetkisiz erişimlerin önüne geçilmesiç
  • AD loglarının SIEM ortamı ile entegre edilmesi. Bu sayede olası anomalilerin erken tespiti ve müdahalesinin sağlanması.
  • Güvenlik güncellemelerinin takibi ve uygulanması.

Yukarıda bahsettiğim maddeleri sizler de kurumunuzda denetleyerek operasyonel planlarınıza dahil edebilirsiniz. Böylece gerek şirketinizi gerekse de kullanıcılarınızın güvenliğini sıkılaştırabilirsiniz. Maddi-manevi zararlara uğramak istemiyorsak siber güvenlikten başka başvuracağımız bir alan var mı? Belki de vardır. Bir kurtlar vadisi sahnesi zihnimde canlanıyor. Siber saldırıya uğrayan Polat Alemdar ve ekibi, bu saldırıdan kurtulmak için tüm sunucuların fişini çekiyor. Biz de tüm fişlerimizi çekelim mi? Yoksa korunmak için temellerimizi sağlam mı atalım? Tercih sizlerin… AD hakkında sizin düşünceleriniz neler? Aşağıda yorumlar kısmından paylaşabilirsiniz. Bir sonraki içeriğimde görüşmek dileğiyle, sağlıkla ve güvenle kalın.

İşinize Yarayabilir

radius nedir ne işe yarar,

Protokolümüz: Güvenlik– RADIUS Nedir?

Arabanızı kimler kullanabiliyor? Eğer anahtar yalnızca sizde varsa ve kimseye vermiyorsanız yalnızca siz erişebilir ve …

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Siber Güvenlik Uzmanı | Doğukan Karadağ
© Copyright 2018 Doğukan Karadağ.