Active Directory Güvenliği: Eski GPP Parolalarının Gizli Tehlikesi

Nis 3, 2025
Active Directory / Cyber Security / Sistem
GPP Parolaları

Eski GPP Parolaları: Active Directory’nizde Gizlenen Tehlike

Kurumsal ağınızın güvenliği söz konusu olduğunda, bazen en büyük tehditler gözden kaçan eski yapılandırmalardan gelir. Bugün, birçok kuruluşun farkında olmadığı ancak potansiyel olarak felaket sonuçlar doğurabilecek bir Active Directory güvenlik açığını ele alacağız: 2014 öncesi Grup İlkesi Tercihleri (GPP) ile depolanan parolalar.

Sorunun Temeli: 2014 Öncesi GPP

2014’ten önce, sistem yöneticileri çeşitli görevler, hizmetler ve yapılandırmalar için parola belirlemek amacıyla Grup İlkesi Tercihleri’ni yaygın olarak kullanıyordu. Bu yöntem kullanışlı görünüyordu – tek bir yerden birden fazla sisteme parola dağıtmanın basit bir yoluydu. Ancak bu kolaylığın bedeli, şimdi anladığımız gibi, çok yüksekti.

Neden Bu Kadar Tehlikeli?

Bu eski GPP yapılandırmalarının neden bu kadar riskli olduğunu anlamak için birkaç kritik faktörü göz önünde bulundurmamız gerekiyor:

  1. Depolama Konumu: Bu parolalar, kimliği doğrulanmış herhangi bir kullanıcının erişebildiği SYSVOL klasöründe saklanıyordu.
  2. Zayıf Şifreleme: Evet, parolalar şifreleniyordu, ancak kullanılan AES şifreleme anahtarı kamuya açıktı. Microsoft tarafından belgelenmiş ve herkes tarafından biliniyordu, bu da şifre çözme işlemini son derece basit hale getiriyordu.
  3. Kalıcılık Sorunu: Microsoft bu sorunu 2014’te düzeltti, ancak daha önce oluşturulan ve güvenlik açığı içeren GPO’lar otomatik olarak düzeltilmedi. Bu, on yıl öncesine ait güvenlik açıklarının hala aktif olabileceği anlamına geliyor.

Ortamınızı Kontrol Edin

Active Directory ortamınızın bu güvenlik açığından etkilenip etkilenmediğini belirlemek için, aşağıdaki basit PowerShell komutunu çalıştırmanız yeterlidir:

$domain = Get-ADDomain | select -ExpandProperty Forest
findstr /S /I cpassword \\$domain\SYSVOL\$domain\Policies\*.xml

Bu komut, SYSVOL dizinindeki tüm ilke dosyalarını arayarak şifrelenmiş parolaları tespit edecektir. Eğer sonuç alırsanız, bu güvenlik açığının kurumunuzu etkilediği anlamına gelir.

Çözüm Önerileri

Eğer savunmasız GPO’lar tespit ederseniz, şu adımları izlemelisiniz:

  1. Envanter Çıkarın: Etkilenen tüm GPO’ları tanımlayın ve belgelendirin.
  2. Parolaları Değiştirin: GPP aracılığıyla depolanan tüm parolaları hemen değiştirin, çünkü bunlar potansiyel olarak tehlikededir.
  3. Modern Alternatifler Kullanın: GPP ile parola depolamak yerine, şu güvenli alternatifleri değerlendirin:
    • Grup Yönetimli Hizmet Hesapları (gMSA)
    • Yerel Yönetici Parola Çözümü (LAPS)
    • Privileged Access Management (PAM)
    • Just-In-Time (JIT) erişim çözümleri
  4. Düzenli Taramalar Yapın: Bu tür güvenlik açıklarını düzenli olarak tarayın ve belirleyin.

Siber güvenlikte, bazen en büyük tehditler en görünür olanlar değil, uzun zamandır unutulmuş olan yapılandırmalardır. On yıl önce oluşturulmuş bir GPO, bugün kuruluşunuzun güvenliğini tehdit edebilir. Proaktif bir yaklaşım benimseyerek ve eski güvenlik açıklarını tespit ederek, kurumsal ağınızı daha güvenli hale getirebilirsiniz.

Güvenli sistemler dileğiyle!

Not: Bu blog yazısı yalnızca bilgilendirme amaçlıdır. Her zaman kendi kuruluşunuzun güvenlik politikalarına uygun şekilde hareket ettiğinizden emin olun ve önemli değişiklikler yapmadan önce güvenlik ekibinize danışın.