Protected User Groups Nedir? Nasıl Kullanılır ?

Protected User Security Groups, Windows Server 2012 R2 ile tanıtılan bir güvenlik özelliğidir. Active Directory ortamlarında belirli kullanıcı hesaplarının kimlik bilgilerini korumak için kullanılmaktadır. Bu gruba dahil edilen kullanıcılar, saldırı risklerini azaltacak belirli güvenlik ilkelerine tabi tutulmaktadır. Özellikle kritik kullanıcı hesapları için kullanılmaktadır ve kimlik doğrulama işlemleri sırasında ek güvenlik önlemleri sağlamaktadır.

Protected User Security Groups Ne Amaçla Kullanılır ?

1. Kimlik bilgisi hırsızlığını önlemek: Kimlik avı, pass-the-hash, pass-the-ticket gibi saldırılarda kimlik bilgilerinin çalınması büyük bir risk teşkil eder. Protected User Security Groups, bu tür saldırıları engellemeye yönelik ek koruma sağlar.
2. Güvenli oturum açma: Bu gruptaki kullanıcılar, yalnızca Kerberos gibi daha güvenli kimlik doğrulama protokollerini kullanmaktadır. Eski, zayıf güvenlik protokolleri ise devre dışı bırakılmaktadır.
3. Zayıf kimlik doğrulama yöntemlerini engellemek: Protected User Groups üyeleri için NTLM gibi zayıf kimlik doğrulama protokolleri kullanılamaz ve yalnızca güvenli protokoller devreye girer.

Protected User Groups’un Özellikleri

• NTLM Kimlik Doğrulama Engelleme: Protected User Security Group üyeleri yalnızca Kerberos kullanmaktadır. NTLM gibi eski ve zayıf protokoller devre dışı bırakılmaktadır.
• TGT Yenileme Kısıtlaması: Kerberos TGT (Ticket Granting Ticket) biletleri kısa süreli geçerlidir (genelde 4 saat) ve yenilenemez. Bu da kimlik doğrulamanın sık sık yapılmasını gerektirir.
• Delegasyon Kısıtlaması: Protected User Security Group üyeleri, kimlik bilgilerinin başka sistemler tarafından kullanılmasına izin veren delegasyon özelliğinden muaftır. Bu da kimlik bilgilerinin istismarını engeller.
• Yerel Oturum Açma Kısıtlamaları: Bu grup üyeleri, yerel yönetici yetkisi gerektiren bilgisayarlarda oturum açamaz. Bu, saldırı riskini azaltmak için uygulanır.
• Hafif Şifre Saklama: Protected User Security Group üyelerinin kimlik bilgileri LSASS (Local Security Authority Subsystem Service) içinde saklanmamaktadır. Böylece kimlik bilgilerinin bellekte çalınması zorlaşır.
• Desteklenmeyen Protokoller: Kerberos pre-authentication ve DES veya RC4 şifrelemesi kullanmamaktadır.

Artıları

1. Güçlü Güvenlik: Bu gruptaki kullanıcılar yalnızca Kerberos gibi modern kimlik doğrulama yöntemlerini kullanır. Bu da kimlik bilgisi çalınma saldırılarına karşı daha fazla güvenlik sağlar.
2. Zayıf Protokoller Kullanılmaz: NTLM, DES veya RC4 gibi diğer eski kimlik doğrulama protokolleri devre dışı bırakılır. Bu da güvenliği önemli ölçüde artırır.
3. Kimlik Bilgisi Sızıntılarına Karşı Koruma: Kimlik bilgileri LSASS tarafından saklanmadığı için bellek tabanlı saldırılar (örneğin, pass-the-hash) riskini azaltır.
4. Delegasyonun Kaldırılması: Kullanıcı kimlik bilgilerinin başka sistemler tarafından kullanılmaması, kimlik bilgilerinin istismar edilmesini önler.

Eksileri

1. Eski Protokollerle Uyumsuzluk: NTLM veya eski protokolleri kullanan uygulamalar ve sistemler bu gruba üye kullanıcılar tarafından erişilemez. Eski altyapılarla entegrasyon sorunları yaşanabilir.
2. Kerberos TGT Yenilenemez: Kullanıcılar sürekli olarak kimlik doğrulaması yapmak zorunda kalabilirler çünkü Kerberos TGT biletleri kısa ömürlüdür ve yenilenemez. Bu, uzun süreli oturumlarda veya sürekli bağlantı gerektiren sistemlerde iş sürekliliğini olumsuz etkileyebilir.
3. Delegasyon İhtiyacı Olan Sistemlerde Sorunlar: Delegasyon gerektiren uygulamalar bu gruptaki kullanıcılar için çalışmaz. Bu da bazı iş akışlarını kesintiye uğramasına neden olur.

Protected User Groups Nasıl Aktif Edilir?

Protected User Groups işlevini test etmek için aşağıdaki adımları gerçekleştiriyoruz. Bu adımlardan sonra, test ettiğimiz kullanıcıyı Protected Users grubuna ekledikten sonraki değişimleri inceleyeceğiz.

İlk olarak, Domain Controller harici bir sunucuda Domain Admin yetkisine sahip bir hesapla oturum açıyoruz. Ardından, CMD konsolunu yönetici olarak çalıştırıyoruz ve şu komutu giriyoruz:

whoami /all

Bu komut, kullanıcı hesabının hangi gruplara üye olduğunu ve mevcut grupları görüntülememizi sağlıyor.

Oturum açtığımız Domain Admin hesabıyla klist tgt komutunu kullandığımızda, atanan Kerberos TGT (Ticket Granting Ticket) içeriğini görüntülüyoruz. 10 saatlik bir yaşam süresine sahip TGT’nin atanmış olduğunu görüyoruz.

klist tgt

Yine klist.exe aracı ile KDC (Key Distribution Center) tarafından Domain Admin hesabına atanan Kerberos biletlerini incelediğimizde, biletin sağlıklı bir şekilde alındığını ve GPO tanımına göre 10 saatlik bir yaşam süresine sahip biletin verildiğini doğruluyoruz.

klist tickets

İstemci bilgisayarımızın Event Viewer konsolunda Security günlükleri içerisinde oturum açma esnasındaki kimlik doğrulama protokolünün Kerberos olduğunu ve yüklenen kimlik doğrulama paketinin de yine Kerberos paketi olduğunu kontrol edebiliriz. Bunun için Security kategorisinde “Filter Current Log” seçeneğine tıklıyoruz. Gelen ekranda Event ID alanında 4624 ID’sini filtreleyip giriş yaptığımız kullanıcı adını aratarak bu sonuca daha hızlı ulaşabiliriz.

Kullanıcı hesabımız Protected Users grubuna üye olmadığı için herhangi bir kısıtlama veya sınırlandırma uygulanmamaktadır.

Kullanıcı, işletim sistemlerine RDP bağlantıları gerçekleştirebilir ve network share üzerinden file server’lara giriş yapabilir. Ayrıca, hem Kerberos hem de NTLM ile oturum açabilir. Bunu test etmek için, ortamınızdaki Domain Controller üzerindeki tüm KDC servislerini kapatmanız gerekmektedir. Kerberos servisine ulaşamayınca, NTLM seviyesine düşerek kimlik doğrulamasını bu şekilde gerçekleştirecektir.

Kullanıcıyı Protected Users Grubuna Ekleme:

Protected User Groups özelliğini etkinleştirmek için izlenmesi gereken temel adımlar şunlardır:

Protected User grubuna eklemek istediğiniz kullanıcıyı Active Directory Users and Computers (ADUC) konsolunda bulun ve kullanıcı hesabı üzerinde sağ tıklayıp Properties (Özellikler) seçeneğine tıklayın. Member Of sekmesine gidin. Add butonuna tıklayın ve Protected Users grubuna ekleyin.

İstemci bilgisayarımızda tekrar oturum açtığımızda, Kerberos biletinin yaşam süresinin 4 saate düştüğünü görüyoruz. Bu, Protected Users grubuna üye olanlar için varsayılan bir değerdir.

Domain Controller üzerinde bulunan KDC servisini kapatarak Protected Users grubuna dahil ettiğim kullanıcı ile giriş yapmayı denediğimde, aşağıdaki gibi bir hata uyarısı alıyorum. KDC servisini tüm DC sunucularında kapatmanız gerekmektedir; aksi takdirde kullanıcılar, diğer DC ortamındaki KDC servislerinden hizmet almaya devam edecektir.

Protected Users grubuna üye bir kullanıcıyla ağ kaynaklarına IP adresi üzerinden veya net use komutunu kullanarak erişmeye çalıştığınızda, erişimin başarısız olduğunu göreceksiniz. Bu hatanın sebebini Event Log‘larda 4822 event ID’si ile tespit edebilirsiniz; hata, kullanıcının Protected Users grubuna üye olmasından kaynaklanır. Bunun nedeni, IP adresiyle yapılan bağlantılarda NTLM kimlik doğrulamasının devreye girmesidir. Ancak, Protected Users grubuna üye olan kullanıcılar için NTLM devre dışı olduğu için bu tür bağlantılar başarısız olur. Alternatif olarak, NetBIOS adı veya host adı kullanıldığında, bağlantının sorunsuz gerçekleştiğini gözlemleyebilirsiniz.

Sonuç olarak;

Protected User Groups, özellikle kritik roller üstlenen kullanıcıların güvenliğini artırmak için etkili bir çözümdür. Ancak, eski sistemlerle uyumsuzluk, kimlik doğrulama süreçlerinin karmaşıklaşması gibi eksileri de göz önünde bulundurulmalıdır. Bu grubu kullanmadan önce altyapınızın modern güvenlik protokollerine uygun olup olmadığını değerlendirmek önemlidir.