Share via

Active Directory Güvenliği İsteğe Bağlı Değerlendirmeye Başlarken

  • Makale

Active Directory Güvenliği değerlendirmesi; Active Directory ve kuruluşunuzda güvenlik risklerini azaltmak üzere belirli etkileşimli kılavuzlar sağlamak adına tasarlanmıştır. Bu çözüm ayrıca, Active Directory'nin kritik bir bileşeni olan Ayrıcalıklı Erişim Güvenliğini Sağlama (SPA) için Microsoft'un önerdiği yol haritasına göre ilerleme durumunuzu görmenizi sağlar.

Active Directory Güvenliği Değerlendirmesi, birkaç ana sütuna odaklanır. Buna aşağıdakiler de dahildir:

  • Operasyonel işlemlerin incelenmesi
  • Normal hesapların durumunun yanı sıra ayrıcalıklı hesapların/grupların üyeliklerinin incelenmesi
  • Ormanın ve etki alanı güvenlerinin incelenmesi
  • İşletim sistemi yapılandırması, güvenlik yaması ve güncelleştirme düzeylerinin incelenmesi
  • Etki alanı ve etki alanı denetleyicisi yapılandırmasının Microsoft tarafından önerilen kılavuza kıyasla incelenmesi
  • Ana Active Directory nesne izni temsilcisinin incelenmesi

Active Directory Güvenliği Değerlendirmesini Çalıştırma

Önkoşullar

Services Hub üzerinden sunulan İsteğe Bağlı Değerlendirmelerden tam olarak yararlanmak için aşağıdakileri yapmanız gerekir:

  1. Etkin Azure Aboneliğini Services Hub'a bağlayın ve AD Güvenlik Değerlendirmesini ekleyin. Daha fazla bilgi için İsteğe Bağlı Değerlendirmelere Başlarken belgesine bakın veya nasıl bağlayabileceğinizi gösteren videoyu izleyin.
  2. Aşağıdaki haklara sahip bir etki alanı hesabına (Kullanıcı veya Yönetilen Hizmet Hesabı) sahip olun:
    • Kuruluş Yöneticisi grubu üyeliği VEYA
    • Ormandaki her etki alanına Yerleşik Yönetici grubu üyeliği.
    • Veri Toplama Makinesinde Yerel Yöneticiler grubu üyeliği.
    • Etki alanı denetleyicilerinin katıldığı her Microsoft Etki Alanı Adı Sistemi (DNS) sunucusuna yönetici erişimi.
  3. AD Güvenlik Değerlendirmesi için Önkoşullar belgesi'ni gözden geçirin. Bu belgede AD Güvenlik Değerlendirmesinin detaylı teknik belgeleri ve değerlendirmeyi çalıştırmak için gereken sunucu hazırlığı açıklanır. Ayrıca değerlendirme tarafından toplanan farklı veri türleri de belgelenir.

              Not: Ortamınızı İsteğe Bağlı Değerlendirmeleri çalıştıracak şekilde yapılandırmanız ortalama iki saat sürer. Değerlendirmeyi çalıştırdıktan sonra verileri Azure Log Analytics'te inceleyebilirsiniz. Burada altı odak alanına ayrılmış öncelikli öneriler listesi sağlanır. Böylece ekibinizle birlikte risk düzeylerini ve ortamlarınızın sistem durumunu hızlıca anlayabilir, riski azaltmak için harekete geçebilir ve genel BT sistem durumunuzu iyileştirebilirsiniz.

AD Güvenlik Değerlendirmesinin Kurulumu

              Not: Değerlendirmeyi başarılı bir şekilde kurabilmek için önce Azure Aboneliğinizi Services Hub'a bağlamanız ve Services Hub'da BT Sistem Durumu -> İsteğe Bağlı Değerlendirmeler bölümünden AD Güvenlik Değerlendirmesini eklemeniz gerekir.

  1. Veri toplama makinesinde C:\OMS\ADS klasörünü (veya sistem tarafından ayrılmış olan C:\ODA dışında başka herhangi bir klasörü) oluşturun.

  2. Normal PowerShell'i (ISE'yi değil) Yönetici modunda açın ve aşağıdaki cmdlet'i çalıştırın:

    Add-ADSecurityAssessmentTask -WorkingDirectory <workingdirectorypath> command,

                  WorkingDirectory, ortamdan veri toplayıp analiz ederken oluşturulan dosyaların depolandığı mevcut dizinin yoludur.

    Workspace Id - karşıya yüklenen verileri depolamak için kullanılacak olan Log Analytics çalışma alanı için kimlik belirtin

  3. Bu makalede bahsedilen gereksinimleri karşılayan gerekli kullanıcı hesabı kimlik bilgilerini girin.

  4. Önceki betiğin çalıştırıldığı ilk bir saat içinde ve daha sonra her 7 günde bir ADSecurityAssessment adlı zamanlanmış görev veri toplama tetikler. Görev başka bir tarihte/saatte çalıştırılacak şekilde ayarlanabilir ve hatta görev zamanlayıcı kitaplığı -> Microsoft -> Operations Management Suite > AOI*** > Değerlendirmeler > ADSecurityAssessment üzerinden hemen çalıştırılmaya zorlanabilir.

  5. Toplama ve analiz yapılırken veriler, kurulum esnasında yapılandırılan Çalışma Dizini klasöründe geçici olarak depolanır.

  6. Birkaç saat sonra değerlendirme sonuçlarınıza Log Analytics ve Services Hub Panonuzdan erişebilirsiniz. Sonuçları, Services Hub > Sistem Durumu > Değerlendirmeler'e gidip etkin değerlendirmenin yanında bulunan "Tüm önerileri görüntüle"ye tıklayarak görebilirsiniz.

  7. AD Ortamınız ile ilgili sorunlarınızı sizinle beraber ele alacak Onaylanmış bir Microsoft Mühendisi ile çalışmak isterseniz Microsoft Temsilciniz ile iletişime geçebilir ve temsilcinizden Uzaktan veya Yerinde CE Liderliğinde Teslim hakkında bilgi alabilirsiniz.

sözleşme Uzaktan Mühendis Yerinde Mühendis
Premier               ADS Uzak Veri Sayfası               ADS Yerinde Veri Sayfası
Birleştirilmiş               ADS Uzak Veri Sayfası               ADS Yerinde Veri Sayfası