Yalçın TAŞDEMİR
Support Engineer at Cynoks - CyberArk Certified Delivery Engineer ( PAM-CDE , EPM-CDE )
Yerel Yönetici Hesabı
Yerel yöneticiler, sunuculardaki veya istemcilerdeki en yetkili hesaplardır. Tam denetime sahiptirler ve başka yerel kullanıcılar oluşturabilir, kullanıcı hakları atayabilir veya izinler atayabilirler. Bu hesaplardan bir tanesi hepimiz için çok tanıdık: Administrator. Windows işletim sistemi yüklendiğinde otomatik olarak oluşturulan, sistemimizin ilk yönetici hesabıdır. Bu yönetici hesabı silinemez, ancak yeniden adlandırılabilir veya devre dışı bırakılabilir.
Yerel Yönetici Hakları
“Çalışma arkadaşımız bir uygulama kuracakmış ama admin yetkisi olmadığı için kuramıyormuş. Hiç uğraşmadan administrators grubuna ekleyelim, arkadaşımızın işi görülsün!!!”
Bu sözler tanıdık geldi mi?
Aslında kullanıcının yönetici hakkı istemesi doğal bir davranıştır. Çoğu uygulama kurulumu yönetici hakkı ister. Fakat kolay yolu seçerek bu kullanıcıya yerel yönetici yetkisi vermek güvenli bir yaklaşım değildir. Kullanıcı artık o uygulamayı kurabilir, fakat bu yetkiyle başka neler yapabilir?
Sistem yapılandırmalarını değiştirebilir.
Anti-virüsü devre dışı bırakabilir veya kaldırabilir.
Servis kurabilir, başlatabilir veya durdurabilir.
Sürücüleri kaldırabilir.
Kötü amaçları yazılımlar kurabilir.
Yerel hesaplara erişebilir, değiştirebilir.
Diğer kullanıcılara ait verilere erişebilir.
Gördüğünüz gibi aslında bu kullanıcıya sadece uygulama kurma yetkisi vermediniz; “Ne istiyorsan onu yapabilirsin” yetkisi verdiniz!
Aynı durum sadece yazıcı kurmak isteyen, yeni bir monitor eklemek isteyen veya yeni bir cihaz eklemek isteyen kullanıcılar için de geçerlidir. Bu tip işlemler yerel yönetici hakkı olmadan sorunlu hale gelir. Ama yerel yönetici yetkisi verdiğinizde de neler yapılabilir gördünüz.
Riskler
Kötü amaçlı yazılımların sisteme girmesi
Pass-the-hash saldırıları
Yanal hareket
Kuruluş genelindeki işleyişi aksatma
Risklerin Azaltılması
Aslında çoğu sistem yöneticileri risklerin farkındadırlar ve dışarıdan şu rahatlıkla söylenebilir; Yerel yönetici hakları bu kadar kritikse çoğu kuruluşlar yerel yönetici haklarını kaldırıyordur.
CyberArk’ın bir raporunda, kuruluşların %87’sinin yerel yönetici haklarını kaldırmadığı belirtiliyor. (CyberArk Threat Landscape Survey, 2018)
Kuruluşlar, yönetici haklarını kaldırmadığı için, kolaylık güvenlikten üstün geliyor. Bu sırada güvenlik açıkları artıyor ve güvenlik ekibi de herhangi bir kötü niyetli yazılımın ortama yayılmadığından emin olmak istiyor. Diğer tarafta yönetici haklarını kaldırırlarsa destek ekibine oldukça fazla bir yük biniyor. Peki nasıl yapacağız? Bir yanda güvenlik unsuru var, bir yanda çalışan verimliliği var. Aslında dünyada herşeyin bir denge üzerinde kurulu olduğunu düşünürsek, bu da bir denge meselesidir.
Uç nokta güvenliğini sağlamayı amaçlayan bazı ürünler ile kullanıcı, rol veya uygulama bazlı yetkilendirmeler kolaylıkla yapılabilir. Ekiplere veya kullanıcılara sadece ihtiyaçları olan “yönetici hakları” verilir. Powershell gibi uygulamalar bloklanabilir. Şirket ağında bulunan ve sürekli kontrol edilip korunan ortak paylaşımlı klasörlerden bütün kullanıcıların yerel yönetici yetkisine sahip olmadan kurulum yapabilmesi sağlanabilir.
