Kimlik Yönetimi (Active Directory)

Leadpro, Active Directory 2003’ten bu yana tüm sürümlerde Analiz,Health Check, Kurulum, Upgrade ve Cross Frost Migration çalışmalarını başarıyla yürütmüştür. Çalışmalar arasında çoklu root, tree, child üzerinden çoklu root,tree,child’a aktarım, eş zamanlı Exchange migration gibi çalışmalar da yürütmüştür

Kimlik Yönetimi (Active Directory) Tamamlanmış Projeler

0
AD Migration
0
AD Analiz
0
AD Hardening

AD Migration

AD Migration süreçlerinde en önemli noktalar olan kullanıcı,grup, OU, Group policy dizaynı, taşımasına dikkat ediyoruz. AGUDLP dizaynı, File Server, Exchange Server, SQL Server gibi domain name bağımlı servislerin taşınması başta olmak üzere tüm olası riskleri sıfıra indirmek için A’dan Z’ye el hazır listelerimizi ortamınıza uygun olarak düzenliyoruz

  • Root-Tree, Root-Child, Tree-Child, Child-Child taşıma işlemlerinde Grup ve kullanıcıların farklı domainlere taşındığı senaryolar dahil incelenerek ADMT ile taşıma işlemi yapılır
  • Objelerin yeni düzene geçeceği durumlarda domain bazlı kullanıcı ve gruba bağımlı olan tüm servisler listelenir
  • Risk, geri dönüş planlarının yanısıra tüm çalışmalar ufak gruplar haline yapılarak öngörülmeyen riskler sıfıra indirilir

  • Inter-Forest’a ek olarak SID Translation, SID History, ADMT hatalarına karşı tüm Child-Tree-Root arasında DNS, WINS uyarlamaları yapılır
  • Farklı Root’larda bulunan farklı child’lara taşınacak ve grup üyeliklerini kaybedecek objeler tasarlanır, gerekli noktalarda ek olarak OU Export, Import, GPO Import export yapılır. Group policy objeleri migrate edilir.
  • Mesajlaşma sistemi dahil olduğu durumlarda ADMT, Move Prep, Mailbox Move, Grup, user taşıma gibi tüm adımlar defalarca denenmiş ve kabul görmüş olan el kitabımıza göre yapılır

AD Hardening

Ad Hardening ile sunucu, istemci hesapları ve erişimler tasarlanarak yeni kullanıcılar, gruplar oluşturulur, yeni haklar atanır. Herhangi bir segmentte oluşan riskin diğer segmentlere geçmesi engellenir. Sıkılaştırma ile domain, local admin hakları, zayıf şifreler ve metotlar gibi zaafiyet olasılıklarını en aza indirmek için 500+ maddeden oluşan listemiz uyarlanır.

  • Istemci, Sunucu hesap ayrıştırma, gruplama, hak atamaları, kısıtlamaların uyarlanması
  • Servis hesaplarının ayrıştırılması, interaktif logon uyarlamaları
  • Uygulama hesaplarının tespiti ve değişiklikleri

  • Group policy security uyarlamaları ile sıkılaştırma
  • Registry bazlı ve protokol bazlı sıkılaştırma
  • OS bazlı sıkılaştırma
  • Admin, Domain admin bazlı sıkılaştırma

AD Analiz

Active Directory Analizi, diğer tüm uygulamalardan ayrı olarak erişilebilirlik,entegrasyon,güvenlik,izleme gibi tüm alanlarda ayrıca incelenmelidir. Bununla beraber önerilen en iyi uyarlamalar, Fiziksel, mantıksal yapı, Subnet, Site, Group Policy uyarlamaları, Global catalog, Imtersite Topology genarator, FSMO roles gibi önemli kavramları incelenmelidir.

  • Erisebilirlik, AD altyapısı için fiziksel ortamdan, mantıksal yapıya, AD kullanan servislerden objelere kadar çeşitlilik göstermekle beraber düzgün bir FSMO rol dağılımı, Additional DC kurulumları, IP aralıklarının Sites&Services’da uyarlanması, Global katalog, ISTG uyarlamaları ile mümkün kılınmaktadır
  • Tree,Child uyarlamalarında Domain ve Forest bazlı roller, isim çözümlemeleri, GPO ve Grup tipleri/üyelikleri daha büyük önem kazanmaktadır. Hızlı ve performanslı bir yapı için bu detaylar incelenmelidir
  • Zaman senkronu, OU ve GPO dizaynı, DNS ile Trust ilişkilendirmeleri de listede önemli olan diğer noktalardır

  • Domain admin seviyesinde bulunan kullanicilar, local admin haklari, protokol seviyeleri, açık portlar, gerekli olmayan servis ve roller temel zaafiyet taramalari maddelerindendir
  • Daha detayli incelemelerde tüm servis hesaplari, kullanici segmentasyonu, AD Audit, NTDAS izinleri, Group policy uyarlamalari detayli olarak incelenir
  • Alt kirilimlarda ise Pass-The-Hash, Disconnected domain admin, Domain controller hardening gibi ayrintili kontroller yapilarak yapi raporlanir

  • İzleme servislerinde AD ortamının en iyi şekilde izlendiğini doğrulamak analizin önemli etmenlerindendir, AD servisleri, IP altyapısı, netlogon işlemleri, FSMO rolleri gibi hizmetler Monitoring uygulaması ile eksiksiz izlendiğinden emin olunmalı
  • Hassas hesap hareketleri, replikasyonlar, NTDS , SYSVOL sağlığı, ayrıca DNS sağlığı ile beraber incelenmelidir
  • SRV Kayıtları, DC Locator , AD Binf ve oturum açma performansları, kullanıcı bazlı site oturum açma raporları izleme servislerinde mutlaka barındırılmalıdır

  • Anlık izleme dışında dashboard veya raporlama araçlarıyla düzenli rapor almak önemlidir ve mutlaka icra edilmelidir. AD Hassas hesaplarında ki değişikliklerin trendi, NTDS büyümesi, AD rolleri geriye dönük sağlık trendi raporlanıp raporlanmadığı inceleme konusudur
  • GPO eklenme, düzenleme grafiği, Bir OU bazında ekli GPO objeleri, replikasyona olan boyut bazlı yükünü gösteren raporlar tecrübe sahibi AD uzmanlarının mutlaka uyarlaması gereken raporlardır.