Active Directory ortamlarının güvenliğini artırmaya çalışan kuruluşlar basit bir sorunla karşı karşıyadır: Saldırganların çok fazla seçeneği vardır. Ortalama bir kurumsal AD ortamında, düşük ayrıcalıklı bir kullanıcıya ilk erişimi olan bir saldırganın ayrıcalığı yükseltmesine, yanal olarak yüksek ayrıcalıklı bir kullanıcıya geçmesine ve ardından diğer kullanıcıya geçmesi gibi.
Her yanlış yapılandırmayı düzeltmek mümkün olmasa da, güvenlik ve kimlik ve erişim yönetimi yöneticileri, AD’yi güvenceye alma yolunda kesinlikle anlamlı ilerleme kaydedebilir. Ancak bunu başarılı bir şekilde yapmak için işlerine öncelik vermenin bir yoluna ihtiyaçları var.
Birinci Grup: Etki Alanı Kontrol Grupları
İlk olarak, bir etki alanının tam denetimini elinde bulunduran veya bu gruplara erişim kazanmak için (etkili) geri alınamaz bir yeteneğe sahip olan nesneleri dahil ediyoruz. Grup izinleri devralındığından, iç içe geçmiş grupları belirlemek için AD’deki tüm ayrıcalıklı grup üyeliklerini incelemeyi unutmayın.
İkinci Grup: Anahtar Kimlik Sistemleri
Ardından, sıfır seviyesi, aşağıdaki sistemlerle ilişkili bilgisayarları ve hizmet hesaplarını içermelidir. Bunlar neredeyse her zaman sıfır seviyesinde olacaktır, ancak bunları tanımlama süreci ortama bağlı olarak değişiklik gösterecektir.
Üçüncü Grup: Kod Yürütme Yeteneğine Sahip Sistemler
Son olarak, sıfır seviyesi, yukarıda listelenen sıfır seviyesi sistemlerinde kod yürütme yeteneğine (veya diğer ayrıcalıklı kontrole) sahip sistemleri içermelidir. Örneğin, etki alanı denetleyicileri Microsoft System Center Configuration Manager’dan (SCCM) yönetiliyorsa, SCCM’nin güvenliğinin aşılması, saldırganın etki alanı denetleyicilerinde kod yürütmesine olanak tanır. SCCM, bu durumda, ortam üzerinde tam denetime giden dolaylı bir yoldur ve bu nedenle, sıfır seviye bir sistemdir. Bu saldırı daha fazla karmaşıklık gerektirir, ancak yine de bir düşman için geçerli bir seçenektir ve kuruluşlar bu olasılığa hazırlıklı olmalıdır.