HYHüseyin.dev
Tüm yazılar
·2 dk okuma

Active Directory 101: Sahada Öğrendiğim 10 Altın Kural

5 yıllık saha tecrübesinden, AD yönetirken herkesin bilmesi gereken 10 pratik kural.

active-directorywindows-serversiber-güvenliksaha

Active Directory 20+ yıllık bir teknoloji ama hâlâ şirketlerin %90'ında omurga. Bu yazıda, saha deneyimlerimden çıkardığım 10 altın kuralı paylaşıyorum.

1. Tier modelini uygula

  • Tier 0: Domain Controller, Azure AD Connect
  • Tier 1: Sunucular, uygulama hesapları
  • Tier 2: Kullanıcı workstation'ları

Bir Tier 2 makinesinden Tier 0'a giriş yapma. Asla.

2. Service Account'lara insan gibi muamele et

  • MFA zorunlu kıl (Cloud-only ise Conditional Access, on-prem ise LAPS + jump host)
  • Password'i 365 günde bir döndür
  • Kullanıcı adını tahmin edilebilir yap: svc-uygulamaadi değil, svc-app-2f8a

3. Group Policy'yi dokümante et

Her GPO'nun amacı, kime bağlı olduğu ve son değiştirilme tarihi tek bir spreadsheet'te. "Neden bu ayar açık?" sorusu 2 yıl sonra geliyor, hazırlıklı ol.

4. LAPS (Local Admin Password Solution) kur

Yerel yönetici parolaları asla aynı kalmasın. Microsoft LAPS (2023+ ile entegre) ile her makine kendi rastgele parolasını alır.

5. Audit log'u gerçekten izle

4624, 4625, 4720, 4732 — bu Event ID'leri bir SIEM'e akıt. SIEM yoksa bile, 4720 (yeni hesap açılışı) haftalık raporu yeterli başlangıç.

6. Time synchronization kritik

Kerberos, 5 dakikadan fazla saat farkı olan istekleri reddeder. Tüm DC'lerin aynı NTP kaynağından beslendiğinden emin ol.

7. DNS'in yedeği olsun

AD ortamında her şey DNS'ten geçer. İkinci bir DNS sunucusu (veya forwarder) olmadan felaket kapıda.

8. Yedekle, yedekle, yedekle

System State yedeği olmadan "DC'yi yeniden kurabilir miyim?" sorusuna güvenle "evet" diyemezsin. Bare-metal recovery testini en az yılda bir yap.

9. FSMO rollerini bil

Schema master, Domain naming master, RID master, PDC emulator, Infrastructure master — bunlar nerede? Bir netdom query fsmo çıktısı her zaman poster olarak asılı olmalı.

10. Offline crack'e karşı korun

NTDS.dit dosyası, AD'nin tüm parola hash'lerini içerir. Bu dosyayı alabilen bir saldırgan, tüm parolaları offline kırabilir. Tier 0 erişimi olan makinelerde credential guard ve credential isolation zorunlu.

Bonus: Test ortamı

Production'a dokunmadan önce kurduğun her şeyi, aynı yapıda izole bir test AD'sinde (en az 2 DC) dene. Bu yatırım, ilk production hatasında kendini amorti eder.