Kimlik Bilgileri Koruması ve Yönetimi

  • Makale

 

Uygulama Alanı: Windows Server 2012 R2

BT uzmanlarına yönelik bu konuda, Windows Server 2012 R2 ile Windows 8.1 sürümlerinde ilk kez kullanıma sunulan, kimlik bilgisi hırsızlığının azaltılması amacıyla kimlik bilgilerini korumaya ve etki alanı kimlik doğrulaması denetimlerine yönelik özellik ve yöntemler açıklanmıştır.

Uzak Masaüstü Bağlantısı için Kısıtlı Yönetici modu

Kısıtlı Yönetici modu, uzak bir ana bilgisayar sunucusunda, kimlik bilgilerinizi sunucuya aktarmadan etkileşimli bir biçimde oturum açmak için bir yöntem sağlar. Bu, sunucunun güvenliğinin ihlal edildiği durumlarda, ilk bağlantı sırasında kimlik bilgilerinizin toplanmasını engeller.

Bu modu yönetici kimlik bilgileriyle kullanan uzak masaüstü istemcisi, kimlik bilgileri gönderilmeden de bu modu destekleyen bir ana bilgisayarda etkileşimli oturum açma girişiminde bulunur. Ana bilgisayar tarafından bağlanan kullanıcı hesabının yönetici hakları varsa ve Kısıtlı Yönetici modunu destekliyorsa, bağlantı başarılı olur. Aksi takdirde, bu bağlantı girişimleri başarısız olur. Kısıtlı Yönetici modu, uzak bilgisayarlara hiçbir şekilde düz metin veya başka türlü yeniden kullanılabilir biçimlerde kimlik bilgisi göndermez.

Daha fazla bilgi için bkz. Windows Server’daki Uzak Masaüstü Hizmetleri’ndeki Yenilikler.

LSA koruması

Yerel Güvenlik Yetkilisi Güvenlik Hizmeti (LSASS) sürecine dahil olan Yerel Güvenlik Yetkilisi (LSA), yerel ve uzaktan oturum açma işlemleri için kullanıcıları doğrular ve yerel güvenlik ilkelerini uygular.Windows 8.1 işletim sistemi LSA için, korunmayan işlemlerin kod eklemesini önlemeye yönelik ek koruma sağlar. Bu da LSA tarafından depolanan ve yönetilen kimlik bilgileri için ek güvenlik sağlar. LSA'ya yönelik bu korumalı işlem ayarı, Windows 8.1 içinde yapılandırılabilir ancak Windows RT 8.1 sürümünde varsayılan olarak açıktır ve değiştirilemez.

LSA korumasını yapılandırma hakkında bilgi edinmek için bkz. Ek LSA Koruması Yapılandırma.

Korunan Kullanıcılar güvenlik grubu

Bu yeni etki alanı genel grubu, Windows Server 2012 R2 ve Windows 8.1 çalıştıran cihazlarda ve ana bilgisayarlarda yeni, yapılandırılamayan korumayı tetikler. Korunan Kullanıcılar grubu, Windows Server 2012 R2 etki alanlarındaki etki alanı denetleyicileri ve etki alanları için ek koruma olanaklarını etkinleştirir. Bu da kullanıcılar ağdaki bilgisayarlarda güvenliği ihlal edilmemiş bir bilgisayardan oturum açtığında, kullanılabilen kimlik bilgisi türlerini azaltır.

Korunan Kullanıcılar grubunun üyeleri, şu kimlik doğrulama yöntemleriyle daha da fazla kısıtlamaya tabi tutulur:

  • Korunan Kullanıcılar grubunun bir üyesi, yalnızca Kerberos protokolünü kullanarak oturum açabilir. Hesap, NTLM, Özet Kimlik Doğrulaması veya CredSSP kullanılarak kimlik doğrulaması yapamaz.Windows 8.1 çalıştıran bir cihazda parolalar önbelleğe alınmadığından, hesap Korunan Kullanıcılar grubunun bir üyesiyse bu Güvenlik Desteği Sağlayıcılarından (SSP) herhangi birini kullanan cihazın kimliği bir etki alanında doğrulanamaz.

  • Kerberos protokolü ön kimlik doğrulama işleminde daha zayıf şifreleme türleri olan DES veya RC4'ü kullanmaz. Bu da etki alanının en az AES şifreleme paketini destekleyecek biçimde yapılandırılması gerektiği anlamına gelir.

  • Kullanıcının hesabına kısıtlanmış veya kısıtlanmamış Kerberos yetkilendirmesi ile yetki verilemez. Bu, kullanıcı Protected Users grubunun üyesiyse, diğer sistemlere eski bağlantı başarısız olabileceği anlamına gelir.

  • Varsayılan Kerberos Anahtar Verme Anahtarları (TGT) ömür ayarı olan dört saat, Kimlik Doğrulama İlkeleri ve Active Directory Yönetim Merkezi (ADAC) üzerinden erişilebilen silolar kullanılarak yapılandırılabilir. Bu, dört saat geçtikten sonra kullanıcının yeniden kimlik doğrulaması gerektiği anlamına gelir.

Uyarı

Hizmetler ve bilgisayarlar için hesaplar, Protected Users grubunun üyesi olmamalıdır. Bu grup, parola veya sertifika her zaman ana bilgisayarda bulunduğundan, yerel koruma sağlamaz. Kimlik doğrulama, Protected Users grubuna eklenen herhangi bir hizmet veya bilgisayar için, "kullanıcı adı veya parola yanlış" hatasıyla başarısız olacaktır.

Bu grup hakkında daha fazla bilgi için bkz. Protected Users Güvenlik Grubu.

Kimlik Doğrulama İlkesi ve Kimlik Doğrulama İlkesi Siloları

Kullanıma sunulan orman tabanlı Active Directory ilkeleri Windows Server 2012 R2 etki alanı işlevsel düzeyine sahip bir etki alanındaki hesaplara uygulanabilir. Bu kimlik doğrulama ilkeleri, bir kullanıcı tarafından oturum açılırken hangi ana bilgisayarların kullanılabileceğini denetleyebilir. Bunlar, Korunan Kullanıcılar güvenlik grubuyla birlikte çalışır ve yöneticiler, hesaplara yönelik kimlik doğrulama işlemleri için erişim denetimi koşulları uygulayabilir. Kimlik doğrulama ilkeleri, ilgili hesapları yalıtarak bir ağın sınırını kısıtlar.

Kimlik Doğrulama İlkesi adlı yeni Active Directory nesne sınıfı, Windows Server 2012 R2 etki alanı işlevsel düzeyine sahip etki alanlarındaki hesap sınıflarına kimlik doğrulaması yapılandırması uygulamanıza imkan sağlar. Kimlik doğrulama ilkeleri Kerberos AS veya TGS değişimi sırasında uygulanır. Active Directory hesap sınıfları şunlardır:

  • Kullanıcı

  • Bilgisayar

  • Yönetilen Hizmet Hesabı

  • Grup Yönetilen Hizmet Hesabı

Daha fazla bilgi için bkz. Kimlik Doğrulama İlkeleri ve Kimlik Doğrulama İlkesi Siloları.

Korunan hesapların yapılandırılması konusunda daha fazla bilgi edinmek için bkz. Korumalı Hesaplar Nasıl Yapılandırılır?.

Ayrıca bkz:

LSA ve LSASS hakkında daha fazla bilgi edinmek için Windows Oturum Açma ve Kimlik Doğrulamasına Teknik Genel Bakış.

Windows tarafından kimlik bilgilerinin yönetilme şekli hakkında daha fazla bilgi için bkz. Önbelleğe Alınan ve Depolanan Kimlik Bilgileri Teknik Genel Bakışı.