Dijital Krallığın Anahtarları: Active Directory Grupları, Yetki Matrisi ve KVKK Uyumu

Gerçek dünyada, büyük ve gizli projelerin yürütüldüğü devasa bir holding binası hayal edin. Bu binada herkesin boynunda, üzerinde çip olan bir yaka kartı vardır. Stajyerlerin kartı sadece giriş katındaki turnikeleri ve yemekhaneyi açarken, insan kaynakları müdürünün kartı özlük dosyalarının bulunduğu arşiv odasını, sistem yöneticisinin kartı ise tüm binanın altyapısının bulunduğu sistem odasını açar. Eğer bu binada herkese, her kapıyı açan bir “maymuncuk” anahtar verirseniz, o binada güvenlikten söz edemezsiniz.

İşte siber dünyada, şirket ağlarındaki bu yaka kartlarını basan, turnikeleri yöneten ve kapıların kilidini açan o devasa mekanizmanın adı Active Directory (AD)‘dir. Active Directory’nin içindeki yapılandırma ne kadar düzenli ve kurallara uygunsa, kurumun verileri de o kadar güvendedir. Ancak bu sadece teknik bir gereklilik değil; günümüzde KVKK (Kişisel Verilerin Korunması Kanunu) gibi yasal düzenlemelerin de en katı şekilde emrettiği bir zorunluluktur.

KVKK ve “Bilmesi Gereken” (Need-to-Know) Prensibi

KVKK, şirketlere kişisel verileri korumaları için hem idari hem de teknik tedbirler alma zorunluluğu getirir. Kurulun yayınladığı teknik rehberde en çok vurgulanan maddelerden biri **”Erişim Kontrolü ve Sınırlandırması”**dır. Kanun temelde şunu söyler: “Bir çalışanın, işini yapabilmesi için hangi verilere ihtiyacı varsa, sadece o verilere erişebilmesini sağla. İşin bitince veya çalışan işten ayrılınca bu erişimi derhal kes.”

Siber güvenlikte bu kavrama “Bilmesi Gereken” (Need-to-Know) veya “En Az Yetki” (Least Privilege) prensibi denir. Bir pazarlama uzmanının, şirketin finansal bilançolarını veya diğer çalışanların maaş bordrolarını okumasına gerek yoktur. Eğer bu dosyalara erişebiliyorsa, o kurum KVKK’nın “Erişim Kontrolü” yükümlülüğünü ihlal etmiş demektir.

Kaostan Düzene: Yetki Matrisi (Privilege Matrix) Neden Hayatidir?

Yetki matrisi, bir kurumdaki departmanların, unvanların ve bu unvanların hangi dijital kaynaklara (klasörler, sunucular, uygulamalar) hangi seviyede (Okuma, Yazma, Değiştirme, Silme) erişebileceğini gösteren bir haritadır.

Zamanla “Yetki Sünmesi” (Privilege Creep) dediğimiz kaosun oluşmaması için bu matris kritiktir. Yıllar içinde departman değiştiren bir çalışanın üzerinde eski yetkilerinin birikmesi, saldırganlar için açık kapı demektir. Yetki matrisi, kimin hangi role istinaden nereye erişeceğini net kurallara bağlayan mimari bir projedir.

Mimariyi İnşa Etmek: Active Directory Gruplarının Gücü

Yetki matrisi işin mimari planıysa, Active Directory grupları da o planı hayata geçiren tuğlalardır. Windows mimarisinde altın bir kural vardır: Kullanıcılara doğrudan yetki verilmez; yetkiler gruplara verilir, kullanıcılar ise o gruplara üye yapılır. Bu kavrama Rol Tabanlı Erişim Kontrolü (RBAC) denir.

Bu yapıda süreç şöyle işler:

1. AD üzerinde bir grup oluşturulur (Örn: IK_Gizli_Klasor_Okuma).

2. Klasör yetkisi doğrudan bu gruba tanımlanır.

3. İlgili personel bu gruba eklenir.

Personel ayrıldığında, sadece gruptan çıkarılması tüm erişiminin saniyeler içinde kesilmesini sağlar. KVKK’nın tam olarak istediği anında müdahale ve sınırlandırma budur.

Sızma Testleri Açısından: Yanlış Yapılandırmanın Bedeli

Kurumsal bir ağa sızan bir saldırganın ilk işi, standart bir kullanıcı haklarıyla Active Directory’yi sorgulamaktır. Saldırgan şunları arar:

• Yetki Sünmesi: Standart bir çalışanın unutulmuş kritik grup üyelikleri.

• İç İçe Gruplar (Nested Groups): Grupların birbirine kontrolsüzce eklenmesiyle oluşan yetki zincirleri.

Saldırganlar, BloodHound gibi araçlarla bu karmaşık ilişkileri analiz ederek sıradan bir hesaptan en tepeye (Domain Admin) nasıl ulaşabileceklerinin haritasını çıkarırlar. Eğer yetki matrisi doğru uygulanmamışsa, saldırgan sıradan bir hesapla tüm sunuculara fidye yazılımı (Ransomware) bulaştırabilir.