Protected Users Group’u Kulanıyor musunuz?

14/06/2022 Okuma süresi: 2dk, 13sn

Pandeminin hayatımıza girmesi ile uzaktan çalışma oranları büyük oranda arttı. Bu durum üretkenliği arttırması ile güvenlik sorununu da beraberinde getirdi. Günün sonunda biz MFA kullanıyoruz, VPN ile bağlantı gerçekleştiriyoruz gibi korumacı cevaplar gelecektir, fakat atak alanının son kullanıcı makinasına indirgenmiş olduğu gerçeğini de değiştirmemektedir. Hele ki ayrıcalıklı kullanıcılar ile son kullanıcı cihazında run as çalıştırabiliyor isek veya Domain Controller, SQL, SCCM gibi kritik sunuculara hala kendi makinamızdan bağlanabiliyorsak olay daha da kritik seviyelere ulaşmaktadır.

Mobilitenin artması ile kullanıcılar da istedikleri yerden çalışabildikleri için, özellikle restoran, kafe vs. gibi güvensiz ağların kullanımında ciddi artış oldu. Bunu bilen saldırganlar elbette ki bunu fırsata çevirdiler. Benim bu yazıyı ele almamdaki ana sebep ise en azından kritik haklara sahip kullanıcılarımızı Protected Users Group ile koruyarak NTLM hash bilgisinin çalınmasının önüne geçmek. Bu elbette bizi %100 olarak korumamaktadır, ama asıl amacımız atak yüzeyini daraltmak olduğu unutmamalıyız.

İşin teknik tarafına geçmeden önce tam da yukarı anlattıklarıma uyan sqladmin kullanıcısının her yerde rastgele kullanıldığını varsayalım. Mimikatz ile hash bilgisini almaya çalıştığımda kolay bir şekilde ele geçirdim. Bizim yapmak istediğimiz ise ntml hash bilgisinin çalınmasını engellemekti.

Resim-1

Konunun ne kadar ciddi olduğunu göstermek amacıyla ilgili kullanıcıya atanan hakları aşağıda sizlerle paylaşıyorum. Yorumu da size bırakıyorum !

Resim-2

AD gruplarım içerisinde Protected Users grunun olduğunu görebiliyoruz.

Resim-3

Add-ADGroupMember -Identity “Protected Users” -Members “CN=SQL ADMIN,CN=Users,DC=hd,DC=com” komutu ile ilgili kullanıcımı Protected users grubuna ekliyorum.

Resim-4

Mimikatz ile aynı komutu tekrar çalıştırdığımda ise NTLM bilgisini artık görüntüleyemediğimi görüyorum. Yukarıda da belirttiğim gibi farklı methodlar ile NTLM bilgisi alınabilmekedir. Burada bizim sorumluluğumuz olabildiğince bu atak yüzeylerini daraltmak olacaktır. Konu kapmasından bunlardan bir tanesini görmuş olduk.

Resim-5

Konu ile ilgili ön gereksinimleri ve dikkat edilmesi gereken noktaları aşağıdaki makaleden inceleyebilirsiniz.

Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.

Referanslar

www.mshowto.org

https://docs.microsoft.com/en-us/windows-server/security/credentials-protection-and-management/protected-users-security-group

TAGs:Protected Users Group,Protected Users Group nedir,Protected Users Group’u Kulanıyor musunuz?, mimikatz

Bu İçeriğe Tepkin Ne Oldu?

2
Harika!!
0
Beğenmedim
0
Çok iyi
1
Sevdim!
0
Bilemedim!
0
Olmadı!
0
Kızdım!

Hasan Dimdik

2008 yılından itibaren bilişim camiasının içerisindeyim. 11 Yıllık dönem içerisinde teknikerlikten başlayarak bir çok farklı pozisyonda çalıştım. Dünyanın en büyük sigorta şirketleri arasında yer alan Allianz Türkiye’ de Kıdemli Sistem Uzmanı olarak çalıştıktan sonra kariyerimde değişiklik yaparak UAE’ nin en büyük bankası Emirates NBD bankasında kıdemli teknoloji mühendisi olarak devam etmektiyim. Profesyonel iş yaşantımın dışında yönetim kadrosunda yer aldığım www.mshowto.org sitesinde gönüllü yazarlık ve yöneticilik yapmaktayım. 15+ konferansda konuşmacı olarak yer aldım. 150+ makale ve 7 E-Kitap yayınladım. İki defa TRT Kent Radyosunda söyleşi yapma deneyimini yaşadım. MCSE, MCPS, MS ve Tenable Certificate of Proficiency ünvanlarına sahibim. Aynı zamanda 2 yıl Microsoft Enterprise Mobility MVP ünvanına layık görüldükten sonra uzmanlık alanı değiştirerek Cloud and Datacenter MVP olarak devam etmekteyim.

Yazarın Profili