1 hafta önce
9
Active Directory ortamlarında kullanıcı ve servis hesaplarının parola güvenliği genelleme parola yaşı (password age) üzerinden değerlendirilir. Birçok güvenlik aracı ve denetim mekanizması, tek hesabın parolasının en oğullar ne zamanlar değiştirildiğini belirledi için pwdLastSet attribute’unu kullanır. Ancak Active Directory’de uzunluğu süredir var olan tek davranış nedeniyle, tek hesabın parolası gerçekten değiştirilmeden pwdLastSet değeri güncellenebilir. Bu durum, parola güvenliği denetimlerinin yanıltılmasına ve önceki parolaların yepyeni değiştirilmiş gibi görünmesine nedenler olabilir.
Bu makalede Active Directory’de “Fake Password Change” olarak bilinen bu davranışın nasıl oluştuğu, nasıl belirleme edileceği ve güvenlik açısından nasıl yönetilmesi lüzumtiği ele alınacaktır.
Active Directory’de Parola Değişim Bilgisi Nasıl Tutulur?
Active Directory’de tek kullanıcının parolasının en oğullar ne zamanlar değiştirildiği pwdLastSet attribute’ü ile takip edilir.
Bu attribute birçok güvenlik kontrolünde ilköğretim atıf olarak kullanılır. Örneğin:
- Parola süresinin dolup dolmadığını belirlemek
- Eski parolaları belirleme etmek
- Güvenlik denetimleri ve compliance kontrolleri
Bu nedenle pwdLastSet değeri birçok organizasyonda parola güvenliği için eleştirel tek göstergedir.
Fake Password Change Nedir?
Fake password change, tek kullanıcının parolası değiştirilmeden pwdLastSet değerinin güncellenmesi durumudur.
Bu durumda:
- Parola gerçekte değişmemiştir
- Ancak sistemde yepyeni değiştirilmiş gibi görünür
Bu şart özellikle aşağıdaki kontrolleri yanıltabilir:
- Parola yaşı kontrolleri
- Service account denetimleri
- Güvenlik raporları
Bu Davranış Neden Oluşur?
Bu davranış Active Directory’de bulunan “User zorunlu change password atgiller sonraki logon” seçeneğinin çalışma mantığından kaynaklanır.
Bu seçenek etkin edildiğinde Active Directory şu işlemi gerçekleştirir:
pwdLastSet = 0
Bu değer, kullanıcının henüz yepyeni tek parola belirlemediğini gösterir.
Daha sonraları bu seçenek kaldırıldığında Active Directory şu varsayımı yapar:
Kullanıcı parolasını değiştirdi.
Bu nedenle pwdLastSet değeri şimdiki gün ve zaman ile güncellenir.
Ancak bu işlem sırasında kullanıcı parolası gerçekte değiştirilmemiş olabilir.
Fake Password Change Nasıl Gerçekleştirilir?
Bu davranış oldukça basit tek şekilde tetiklenebilir.
“User zorunlu change password atgiller sonraki logon” seçeneği işaretlenir ve apply seçilir
Aşağıda görüldüğü gibi pwdLastSet = 0 olarak güncellendi diğer kullanıcının henüz yepyeni tek parola belirlemediğini gösterir.
Aynı seçenek tekrar kaldırılır ve apply seçilir.
Bu işlem sonrasında pwdLastSet değeri güncel gün olur. Ancak parolanın kendisi değişmemiştir.
Güvenlik Açısından Riskler
Bu davranış özellikle ikisi senaryoda güvenlik riski oluşturabilir.
Service Account Yönetimi
Service account parolaları genelleme uzunluğu süre değiştirilmez çünkü parola değişimi başvuru kesintilerine nedenler olabilir. Bu nedenle bazı yöneticiler gerçek parola değişimi seçenek pwdLastSet değerini güncelleyebilir.
Saldırgan Aktivitesi
Bir saldırgan tek hesabın kontrolünü ele geçirdiğinde ve pwdLastSet attribute’unu değiştirme ytesirsine sahipse bu tekniği kullanabilir.
Bu durumda saldırgan:
- Eski parolayı kullanmaya devam eder
- Ancak sistemde parola yepyeni değiştirilmiş gibi görünür
Bu şart özellikle önceki parolaların belirlemeine dayanan güvenlik kontrollerini yanıltabilir.
Fake Password Change Nasıl Tespit Edilir?
Bu durumu belirleme etmek için yalnızca pwdLastSet değerine ttesirk etmek yeterlilik değildir.
Gerçek parola değişimini doğrulamak için unicodePwd attribute’unun değişim zamanı incelenmelidir.
Active Directory replikasyon metadata’sı kullanılarak attribute değişim zamanları çözümleme edilebilir.
Örneğin aşağıdaki PowerShell komutu tek hesabın attribute değişim metadata’sını gösterir:
Get-ADReplicationAttributeMetadata
Bu çıktıda özellikle şu ikisi attribute incelenmelidir:
- pwdLastSet
- unicodePwd
Eğer pwdLastSet değeri güncel fakat unicodePwd değişim zamanı eskiyse, bu şart sahte parola değişimine işaret edebilir.
Fake password belirleme etmek için aşağıdaki senaryolar ben da kullanabilirsiniz.
https://github.com/PyroTek3/ActiveDirectory/blob/main/Get-FakePWChanges.ps1
Ölçekli Ortamlarda Tespit
Büyük ortamlarda bu tür durumları manuel olarak belirleme etmek güçleri olabilir. Bu nedenle PowerShell ile domain genelinde tarama yapılabilir.
Bu yaklaşım sayesinde:
- Domain Admin hesapları
- Service account’lar
- Kritik kullanıcılar
gibi hesaplar hızlı şekilde çözümleme edilebilir.
Önleme ve Güvenlik Önerileri
Bu davranış Active Directory’nin tasarımından kaynaklandığı için tamamlanmış manilenmesi mümkün değildir. Ancak aşağıdaki önlemler riski azaltabilir:
- Kullanıcı ve servis hesaplarında lüzumsiz attribute yazma izinlerinin kaldırılması
- Service account yönetimi için gMSA kullanılması
- Parola değişimlerinin etkinlikler log üzerinden izlenmesi
- pwdLastSet seçenek birden fazla bilgi kaynağı kullanılarak güvenlik analizi yapılması
Active Directory’de pwdLastSet attribute’u birçok güvenlik kontrolünün temelini oluşturur. Ancak bu attribute bazı durumlarda gerçek parola değişimi gerçekleşmeden güncellenebilir.
Bu nedenle parola güvenliği değerlendirmelerinde yalnızca pwdLastSet değerine güvenmek seçenek ilave log kaynakları ve replikasyon metadata’sı da incelenmelidir.
Doğru izleme ve erişim kontrolü mekanizmaları ile sahte parola değişimleri belirleme edilebilir ve güvenlik riskleri azaltılabilir.
English (US) ·