Windows Domain Pentest Senaryosu

kullanici2

Nisan 9, 2026

Uncategorized

Giriş

Kurumsal ağların omurgasını oluşturan Microsoft Active Directory (AD) yapıları, sunduğu merkezi yönetim kolaylığının yanı sıra saldırganlar için de devasa bir hedef tahtası niteliğindedir. Bir Windows Domain ortamında gerçekleştirilen sızma testi (pentest), sadece izole bir zafiyeti bulmayı değil, ağ içerisindeki güven ilişkilerini, yanlış yapılandırmaları ve yetki hiyerarşisindeki boşlukları kullanarak en yüksek yetki seviyesi olan **”Domain Admin”**e ulaşma sürecini simüle eder.

Bu süreç, dış savunma hattının (firewall, WAF vb.) bir şekilde aşıldığı veya içeriden bir tehdidin oluştuğu varsayımıyla (Assume Breach) başlar. Bu makalede, profesyonel bir siber güvenlik operasyonunda izlenen adım adım saldırı zincirini teknik derinliğiyle ele alacağız.

Konun Temel Açıklaması

Windows Domain ortamında sızma testi senaryosu, doğrusal olmayan ve sürekli keşif gerektiren bir döngüdür. Senaryo tipik olarak düşük yetkili bir kullanıcı hesabının ele geçirilmesi veya ağa fiziksel/VPN erişimi sağlanmasıyla başlar.

Buradaki temel mantık, “Domain” yapısının doğası gereği her nesnenin (kullanıcı, bilgisayar, grup) diğeriyle bir şekilde konuşmak zorunda olmasıdır. Saldırgan bu iletişim protokollerini (SMB, Kerberos, LDAP, LLMNR) manipüle ederek ağ üzerinde yanal olarak ilerler (Lateral Movement). Nihai hedef, domain kontrolcüsü (Domain Controller) üzerinde tam yetki sahibi olmaktır.

Teknik Detaylar ve Aşamalar

1. Keşif ve İlk Bilgi Toplama (Enumeration)

Ağ erişimi sağlandığı anda saldırganın ilk işi, “neredeyim ve kimleri görüyorum?” sorusuna yanıt aramaktır.

  • LLMNR ve NBT-NS Zehirleme: Windows sistemleri bir ismi çözemediğinde ağa yayın (broadcast) yapar. Saldırgan Responder gibi araçlarla bu isteklere “ben o aradığın kişiyim” diyerek cevap verir ve kurbanın NTLMv2 hash’ini ele geçirir.

  • Active Directory Keşfi: BloodHound ve SharpHound gibi araçlar kullanılarak AD veri tabanındaki tüm ilişkiler (kullanıcılar, gruplar, admin yetkileri) çekilir ve saldırı yolları haritalandırılır.

2. Kimlik Bilgisi Avcılığı (Credential Harvesting)

  • Kerberoasting: Herhangi bir domain kullanıcısı, servis hesapları (MSSQL, IIS vb.) için Kerberos bileti isteyebilir. Bu biletlerin (TGS) şifreli kısımları çevrimdışı (offline) olarak kırılarak servis hesaplarının düz metin parolaları ele geçirilebilir.

  • LSASS Bellek Dökümü: Eğer saldırgan bir iş istasyonunda yerel admin yetkisi elde ederse, Mimikatz ile bellekte (LSASS) kalan sistem yöneticilerinin hash’lerini veya biletlerini çalabilir.

3. Yetki Yükseltme ve Yatay Hareket (Privilege Escalation & Lateral Movement)

  • Pass-the-Hash (PtH): Eğer bir yöneticinin NTLM hash’i ele geçirilmişse, parolanın ne olduğunu bilmeye gerek kalmadan bu hash ile uzak sunuculara (SMB veya RDP üzerinden) giriş yapılabilir.

  • AS-REP Roasting: “Kerberos Pre-Authentication” özelliği kapalı olan kullanıcıların hash’leri, hiçbir etkileşime gerek kalmadan doğrudan domain kontrolcüsünden istenebilir ve kırılabilir.

4. Etki Alanı Hakimiyeti (Domain Dominance)

Domain Admin yetkisi alındıktan sonra saldırganın amacı sistemde kalıcı olmaktır.

  • Golden Ticket: Domain’deki en yetkili anahtar olan KRBTGT hesabının hash’i çalınarak, süresi asla dolmayan sahte biletler oluşturulabilir.

  • DCSync Saldırısı: Domain kontrolcüsü taklit edilerek AD veri tabanındaki (ntds.dit) tüm kullanıcıların hash’leri senkronize edilerek çalınır.

Riskler ve Kurumsal Etkiler

  • Tam Veri Sızıntısı: Şirketin tüm e-posta trafiği, müşteri verileri ve finansal kayıtlar saldırganın kontrolüne geçer.

  • İş Sürekliliğinin Kaybı: Saldırgan tüm sistemleri kilitleyebilir veya fidye yazılımı (ransomware) yayarak operasyonları durdurabilir.

  • İtibar ve Yasal Riskler: KVKK/GDPR kapsamında milyonlarca liralık cezalar ve güven kaybı yaşanır.

Önleme ve Güvenlik Önlemleri

  • Tiered Administration (Katmanlı Yönetim): Domain Admin hesaplarının asla standart kullanıcı bilgisayarlarında oturum açmaması sağlanmalıdır.

  • LAPS (Local Admin Password Solution): Her bilgisayarın yerel yönetici parolası benzersiz ve karmaşık olmalı, AD üzerinde güvenli şekilde saklanmalıdır.

  • Protokol Sıkılaştırma: LLMNR, NBT-NS ve SMBv1 gibi eski protokoller GPO üzerinden tamamen devre dışı bırakılmalıdır.

  • MFA ve PAM: Tüm admin girişlerinde Çok Faktörlü Kimlik Doğrulama (MFA) zorunlu tutulmalı ve Ayrıcalıklı Erişim Yönetimi (PAM) çözümleri kullanılmalıdır.

  • İzleme: PowerShell aktiviteleri ve alışılmadık LDAP sorguları SIEM/EDR üzerinden gerçek zamanlı olarak takip edilmelidir.

Sonuç

Windows Domain ortamında pentest senaryoları, savunma ekiplerine “kale içindeki gedikleri” gösteren en etkili aynadır. Güvenlik, durağan bir durum değil, sürekli bir denetim ve sıkılaştırma döngüsüdür. Bu senaryolardan elde edilen bulgularla mimariyi güçlendirmek, sadece bugünün saldırılarını değil, gelecekteki karmaşık tehditleri de durdurmanın anahtarıdır.

 

Tags :
ActiveDirectory,ActiveDirectorySecurity,WindowsDomainPentest
Share This :

Diğer Yazılar

Bize Soru Sorun

Soru ve görüşleriniz için bizimle iletişime geçebilirsiniz.

Instagram Youtube

Telif Hakkı © 2021 SiberTim Tüm Hakları Saklıdır.