Active Directory Tam Ele Geçirme Senaryosu

kullanici1

Nisan 13, 2026

Siber Güvenlik,Uncategorized

Kurumsal BT altyapılarının kimlik ve erişim omurgasını oluşturan Active Directory (AD), on binlerce kullanıcı, bilgisayar, servis hesabı ve güvenlik ilkesini tek bir merkezi yapı üzerinden yönetir. Bu merkeziyet, yönetim kolaylığı ve ölçeklenebilirlik sağlarken, aynı zamanda siber tehdit aktörleri için de en stratejik hedefi oluşturur. Active Directory’nin tam ele geçirilmesi, tek bir hesabın compromisinden çok daha öteye geçer; domain genelinde yetki kontrolünün kaybedilmesi, hassas verilere sınırsız erişim, kalıcı arka kapıların kurulması ve iş sürekliliğinin doğrudan tehdit edilmesi anlamına gelir. Bu yazıda, yetkili bir Red Team operasyonu kapsamında AD tam ele geçirme senaryosunun nasıl kurgulandığını, saldırganların izlediği teknik zinciri, bu simülasyonların savunma olgunluğuna katkısını ve kimlik tabanlı riskleri proaktif şekilde yönetmek için uygulanması gereken stratejik adımları ele alacağız.

AD Tam Ele Geçirme Nedir ve Neden Geleneksel Sızmalardan Farklıdır?

Active Directory tam ele geçirme, saldırganın veya test ekibinin Domain Admin, Enterprise Admin veya eşdeğer yetkilerle domain kontrolörlerini, güvenlik ilkelerini (GPO), kimlik doğrulama mekanizmalarını ve merkezi erişim yapılarını yönetebilir hale gelmesi durumudur. Geleneksel ağ veya uygulama sızma testlerinden ayrışmasının temel sebepleri şunlardır:

  • Kimlik Tabanlı Güven İlişkisi: AD, “güven” üzerine kuruludur. Yanlış yapılandırılmış izinler (ACL), delegasyon hataları veya aşırı yetkili servis hesapları, saldırganın minimum gürültüyle yatay ve dikey ilerlemesini sağlar.   
  • Merkezi Yetki ve Zincirleme Etki: Bir Domain Admin hesabının ele geçirilmesi, neredeyse tüm sistemlere, verilere ve uygulamalara dolaylı erişim kapısı açar. Saldırgan, her hedef için ayrı açıklara ihtiyaç duymaz; kimlik, anahtara dönüşür.   
  • Düşük Teknik Eşik, Yüksek Operasyonel Etki: Karmaşık exploit geliştirmeye gerek kalmadan, yapılandırma hataları, zayıf şifreleme politikaları veya eksik izleme ile domain kontrolü ele geçirilebilir. Ancak etkisi, tüm işletmeyi felç edebilecek düzeydedir.   
  • Savunma Olgunluğunun Gerçekçi Validasyonu: “EDR ve SIEM’imiz var” iddiası, AD tabanlı kimlik manipülasyonu, DCSync simülasyonları veya Golden Ticket senaryoları altında test edilmediğinde gerçek kapasitesi ölçülemez.
programming-background-concept
Google Drive Icon Line Connection of Circuit Board

AD Saldırı Zinciri ve Teknik Vektörler

Yetkili Red Team operasyonlarında tam ele geçirme senaryoları, genellikle beş aşamalı bir kimlik odaklı zincir üzerinden kurgulanır: 

  1. Keşif ve Haritalama (Reconnaissance):BloodHound, LDAP sorguları ve SPN taramaları ile kullanıcı-grup ilişkileri, yetki zincirleri, paylaşımlar, güven ilişkileri ve yapılandırma hataları pasif şekilde haritalanır. Amaç, gürültü çıkarmadan en düşük eforlu saldırı yolunu belirlemektir.
  2. Kimlik Bilgisi Toplama ve İlk Ele Geçirme:LSASS bellek dökümleri,Kerberoasting (TGS isteklerinin offline kırılabilecek şifreleme ile alınması), AS-REP Roasting (önceden kimlik doğrulama gerektirmeyen hesaplar), phishing veya vishing ile başlangıç noktası elde edilir.
  3. Yetki Yükseltme ve Yatay Hareket:Pass-the-Hash,Pass-the-Ticket, token manipülasyonu, ACL abuse (WriteDACL, ForceChangePassword, GenericAll), constrained/unconstrained delegation ve ADCS (Active Directory Certificate Services) zafiyetleri ile yetki seviyesi kademeli olarak yükseltilir. 
  4. DomainDominansıve Kalıcılık: DCSync ile NTDS.dit dosyasının uzaktan kopyalanması, Golden/Silver Ticket üretimi, GPO manipülasyonu, adminSDHolder abuse ve yedekleme operatörü hesaplarının kötüye kullanımı ile domain genelinde kontrol ve kalıcılık sağlanır. 
  5. Veri Toplama ve Erişim Sürekliliği:Ele geçirilen kimlikler ile kritik sunuculara, bulut entegrasyonlarına ve üçüncü taraf sistemlere erişim sağlanır. Tespit edilmeden kalma süresi (dwelltime) ölçülür ve veri akışları izlenir.

AD Simülasyonlarının Savunmaya Stratejik Katkıları

Planlı ve yetkili Active Directory ele geçirme testleri, kurumların güvenlik olgunluğunu teknik ve operasyonel düzeyde dönüştürür: 

  • Kimlik Tabanlı Tespit Yeteneğinin Ölçülmesi: SIEM korelasyon kuralları, EDR davranış alarmları ve SOC prosedürleri, geleneksel ağ saldırıları yerine kimlik manipülasyonu senaryoları altında test edildiğinde gerçek kapasiteleri ortaya çıkar.   
  • Yanlış Pozitif/Negatif Dengesinin İyileştirmesi: Hangi ACL değişikliklerinin, token hareketlerinin veya kerberos isteklerinin “gerçek tehdit” hangilerinin “gürültü” olduğu analiz edilerek alarm yorgunluğu azaltılır.
  • Olay Müdahale ve Kök Neden Analizi Validasyonu: Kimlik ele geçirme sonrası karantina, hesap kilitleme, forensic toplama, şifre sıfırlama ve sistem geri yükleme adımları gerçekçi koşullarda test edilir.   
  • Regülatör ve Denetim Uyumluluğunun Somut Kanıtı: ISO 27001, NIS2, PCI DSS ve KVKK, kimlik yönetimi, ayrıcalıklı erişim ve gelişmiş tehdit simülasyonlarını talep eder. AD test raporları, bu gerekliliklerin en üst düzey denetim kanıtıdır.

Kimlik Tabanlı Savunma Ekosistemini Güçlendirmek İçin Stratejiler

AD saldırı vektörlerini anlamak, savunma katmanlarını proaktif şekilde güçlendirmenin ilk adımıdır. Kurumların benimsemesi gereken temel prensipler şunlardır: 

  • Kimlik Katmanlama (Tiering) ve Ayrıcalıklı Erişim İstasyonları (PAW): Domain Admin, Server Admin ve Workstation Admin hesapları fiziksel ve mantıksal olarak ayrılmalı, yüksek yetkili oturumlar yal nızca hardened PAW cihazlarndan açılmalıdır. 
  • En Düşük Ayrıcalık ve ACL Sertleştirme: Kullanıcı ve grup izinleri düzenli olarak gözden geçirilmeli, WriteDACL, GenericAll, ForceChangePassword gibi riskli yetkiler kaldırılmalı, delegation  yapıları minimize edilmelidi.   
  • Kerberos ve Sertifika Güvenliği: Zayıf şifreleme algoritmaları (RC4, DES) devre dışı bırakılmalı, Kerberoasting ve AS-REP Roasting riski taşıyan hesaplar tespit edilmeli, ADCS şabl onları sıkı erişim kontrolü ie korunmalıdır.   
  • Davranı şsal İzleme ve Anomal Tespiti: Event ID 4624, 4672, 4768, 4769, 4662, 4670, 5136, 5137 gibi kritik loglar merkezi SIEM’e aktarılmalı, DCSync benzeri istekler, anormal token hareketleri ve yetki zinciri değişiklik leri otomatik alarm üretmeliir.   
  • Sıfır Güven (Zero Trust) ve Kimlik Merkezli Erişim: Tüm erişim talepleri, konumdan bağımsız olarak kimlik, cihaz sağlığı ve bağlam doğrulamasından geçmeli, just-in-time erişim ve PAM çözümleri ile ayrıcalıklı oturumlar sınırlandırılmalıdır. 
  • Yedekleme, Kurtarma ve Acil Durum Hazırlığı: Domain kontrolcü yedekleri şifreli ve air-gapped ortamlarda saklanmalı, güvenli şifre sıfırlama prosedürleri dokümante edilmeli, AD kurtarma tatbikatları düzenli olarak yürütülmelidir.

Active Directory tam ele geçirme senaryoları, siber güvenliğin en kritik ve en yüksek etkiye sahip cephesidir. Kimlik, modern altyapıların yeni güvenlik sınırıyken, bu sınırın ihlali yalnızca teknik bir açık değil; kurumsal kontrolün kaybı anlamına gelir. Yetkili simülasyonlar, bu riski proaktif şekilde yönetmenin, tespit yeteneklerini kalibre etmenin ve savunma mimarisini gerçek tehdit dinamiklerine göre şekillendirmenin en güvenilir yoludur. Doğru katmanlama, sıkı izin yönetimi, zengin telemetri ve sürekli validasyon kültürüyle kurgulanan bir kimlik savunma ekosistemi, AD ele geçirme iddiasını en güçlü şekilde çürütür ve dijital altyapıların gerçek dünya tehditlerine karşı direncini sürdürülebilir kılar. Güvenlik, kimlikleri korumakla başlar; onları simüle ederek, test ederek ve sürekli izleyerek pekişir.

Tags :
#ActiveDirectory,KimlikYönetimi,redteam
Share This :

Diğer Yazılar

Bize Soru Sorun

Soru ve görüşleriniz için bizimle iletişime geçebilirsiniz.

Instagram Youtube

Telif Hakkı © 2021 SiberTim Tüm Hakları Saklıdır.