Active Directory on Kürşat Bal

Kuso AD Check — Active Directory Güvenlik Değerlendirmesi

Sun, 23 Jun 2024 00:00:00 +0000

⬇

KusoADCheck — Script Paketi

Aracı buradan indirebilirsiniz.

Active Directory, bir organizasyonun kimlik, erişim ve politika altyapısının merkezidir. AD’i ele geçiren saldırgan tüm ortamı ele geçirmiş demektir. Kuso AD Check, bu yüzeyi sistematik olarak 16 menü ekranı ve 6 risk kategorisinde 96 kural ile tarayan, özel geliştirilmiş bir denetim aracıdır.

Sol Navigasyon Menüsündeki Ekranlar

Araç açıldığında sol tarafta görünen her menü maddesi, AD ortamının farklı bir boyutunu analiz eder.

AD Risk Dashboard

Tüm ortamın tek ekranda özetlendiği yönetici görünümü. İlk açılan ana ekrandır.

Risk Skoru (0–100): Her kategorideki bulguların ağırlıklı toplamından türetilen genel güvenlik puanı
Radar grafiği: 6 kategori için görsel risk dağılımı — hangi alanda en fazla açık var?
Kategori kartları: Privileged Infrastructure, Privileged Accounts, Stale Objects, Anomalies, Hygiene, Trusts — özet skor ve bulgu sayısı
Top 5 Active Risks: O anda en yüksek puanlı 5 risk maddesi
Attack Chain (Saldırı Zinciri): Mevcut bulgular üzerinden kurgulanmış gerçekçi saldırı senaryosu
Recommended Sequence: Hangi bulguyu önce kapatmalı? Öncelik sırası
MITRE ATT&CK eşleştirmesi: Her bulgunun karşılık geldiği ATT&CK tekniği
Remediation Tracking: Bulgular açık / kapatılmış / istisna olarak işaretlenmiş mi?
Risk Simülatörü: “Şu bulguları kapatsam skor kaç olur?” sorusunu anlık yanıtlar
Risk trend grafiği: Geçmiş taramalarla karşılaştırmalı skor değişimi

Risk Baseline Diff

İki farklı tarama arasındaki farkları gösterir. Güvenlik kapatma çalışması sonrasında “ne değişti?” sorusunu yanıtlar.

Yeni bulgular: Son taramada ortaya çıkan, öncekinde olmayan riskler
Kapanan bulgular: Bir önceki taramaya göre düzeltilen güvenlik açıkları
Değişen bulgular: Var olmaya devam eden ama durumu değişen bulgular
Kategori bazlı dağılım: Hangi kategoride ne kadar ilerleme var?

AD User Risk Level

Kullanıcı bazında risk analizi. Her kullanıcının son 30 günlük davranışı ve hesap özellikleri değerlendirilerek risk skoru hesaplanır.

Hesap kilitleme sayısı: Son 30 günde kilitlenen hesaplar ve sıklığı
Başarısız giriş denemeleri: Brute-force göstergesi
Kaynak IP analizi: Beklenmedik IP tespiti
Kullanıcı–cihaz eşleşmesi: Normalde hangi cihazdan giriş yapıyor, sapmalar var mı?
Davranış ısı haritası: Aktivitenin saat/gün dağılımı — mesai dışı erişim tespiti

Windows OS Overview

AD’e kayıtlı tüm Windows makinelerinin işletim sistemi dağılımı ve sürüm bazlı envanteri.

Windows Server OS: Sunucu sürüm dağılımı (2019, 2022 vb.), aktiflik durumu, eski/desteksiz sürüm işaretleme
Windows Client OS: İstemci sürüm dağılımı (Win10/11), 90+ gün inaktifler

Eski OS = yamalanamayan açık. EternalBlue/WannaCry örneğinde görüldüğü üzere tek yama almamış makine tüm ağa sıçramanın kapısıdır.

AD Users Overview

AD’deki tüm kullanıcı hesaplarının kapsamlı envanteri ve güvenlik durumu.

All Users: Tüm hesaplar — etkin/devre dışı, son giriş, ayrıcalık durumu, şifre özellikleri
Password Never Expires: PasswordNeverExpires=True olan hesaplar — kimlik bilgisi sızıntısı süresiz kullanılabilir
Domain Admins: DA grubu üyeleri — son kullanım tarihi, şifre yaşı
Schema Admins: SA grubu üyeleri — bu grup normalde boş olmalıdır
Enterprise Admins: EA grubu üyeleri — orman geneli yetki, sadece geçici kullanım için
Disabled Users: Devre dışı hesaplar — silinmeyi bekleyenler

Groups & Security

AD’deki tüm grupların envanteri ve güvenlik analizi.

Security Groups: Toplam 70 grup — Windows yerleşik (28), domain varsayılan (22), özel/organizasyonel (20)
Tehlikeli üyelikler: Domain Admins, Schema Admins, Administrators gibi kritik gruplara beklenmedik üyelikler vurgulanır
Distribution Groups: Mail dağıtım gruplarının envanteri

Yanlış grup üyeliği en yaygın aşırı yetki kaynağıdır. Boş gruplar zamanla sahipsiz kalır ve saldırganlar tarafından dolaylı yetki kazanmak için kullanılabilir.

Inactive Objects

Son 90+ gündür hiç aktivite göstermemiş kullanıcı ve bilgisayar hesapları.

Inactive Users: Son 90 günde giriş yapmayan etkin kullanıcılar. Ayrıcalıklı inaktif hesaplar kırmızıyla vurgulanır
Inactive Computers: Son 90 günde ağa bağlanmayan bilgisayar hesapları

İnaktif hesaplar sahipsizdir. Ele geçirilmiş inaktif hesap alarm tetiklemez.

Exchange / O365 Users

AD’deki mail özniteliklerine göre posta kutusu bulunan kullanıcıların envanteri ve hibrit yapı analizi.

Toplam mail kullanıcıları, On-Prem Exchange kullanıcıları, Hibrit (M365 Mailbox) kullanıcıları
AD Connect hesap durumu: Azure AD Connect servis hesapları tespit edilir ve maruziyeti değerlendirilir

Locked Accounts

Anlık hesap kilitleme durumu ve brute-force göstergeleri.

Şu anda kilitli hesaplar ve yönetici hesaplarının kilitleme durumu
BadPwdCount >= 5: 5 veya üzeri başarısız giriş denemesi — devam eden brute-force işareti
Kilitleme yoğunlaşması; credential stuffing, parola spreyi veya eski parola kullanan servislerin tespitinde kritik veri

Password Expiry

Parolaların yaşam döngüsü.

Süresi dolmuş parolalar: Servis kesintisi riski
Yakında dolacaklar (7 gün)
Hiç sona ermeyenler: PasswordNeverExpires bayrağı — güvenlik riski olarak işaretlenir

Password Policies

Domain genelinde uygulanan parola politikalarının tam görünümü.

Default Domain Password Policy: Minimum uzunluk, karmaşıklık, geçmiş sayısı, kilit eşiği
Fine-Grained Password Policies (PSO): Belirli gruplara özel politikalar

Domain Admin ile normal kullanıcı aynı parola politikasına tabi olmamalıdır. PSO ile ayrıcalıklı hesaplara 20+ karakter, daha sık rotasyon uygulanabilir.

Group Policy Check

Tüm GPO’ların envanteri, OU bağlantı haritası ve hijyen analizi.

Orphaned (Yetim) GPO’lar: Hiçbir OU’ya bağlı olmayan GPO’lar — saldırganlar için gizli değişiklik noktası
Boş GPO’lar: Hiç ayar içermeyenler
OU bağlantı haritası: Hangi GPO hangi OU’ya bağlı?

GPO’lar tüm ağa yazılım dağıtabilir, betik çalıştırabilir, güvenlik ayarlarını değiştirebilir. Yanlış yazma izni tüm domain’i toplu saldırı vektörüne dönüştürür.

AD Sites & Topology

Active Directory Sites and Services yapılandırmasının görsel ve tablolu özeti.

Site listesi, DC dağılımı, Subnet–Site eşleşmesi, site linkleri ve replikasyon maliyetleri

DC Health & FSMO

Domain Controller’ların servis sağlığı, DNS durumu, replikasyon kalitesi ve FSMO rol dağılımı.

DC listesi, DNS sağlığı (SOA kaydı, ters lookup zone), replikasyon durumu
FSMO rolleri: PDC Emulator, RID Master, Infrastructure Master, Schema Master, Domain Naming Master

Hybrid / Entra Join

On-prem AD makinelerinin Microsoft Entra ID ile hibrit kayıt durumu.

Hibrit join durumu ve kayıtlı cihaz sayısı
AD Connect hesapları: Servis hesabının aşırı yetkisi DCSync’e eşdeğer risk oluşturabilir

Skipped / Unreachable DCs

Tarama sırasında erişilemeyen veya atlanan domain controller’ların listesi ve nedenleri.

Erişilemeyen DC’ler: WinRM veya RPC bağlantısı kurulamayan DC’ler
Atlama nedeni: Bağlantı hatası, kimlik doğrulama sorunu, zaman aşımı

Erişilemeyen DC kör nokta demektir. Eksik DC verisi yanlış güvenlik profili oluşturur.

AD Risk Dashboard: 6 Güvenlik Kategorisi ve 96 Kural

Kategori 1 — Privileged Infrastructure (55 kural)

Tüm domaine doğrudan etki eden altyapısal güvenlik kontrolleri. Bu kategorideki açıklar genellikle tek adımda tam domain ele geçirilmesiyle sonuçlanır.

Tier 0 — Domain Düzeyi Kontroller (En Kritik)

DCSync hakları: Domain kökünde DS-Replication-Get-Changes-All yetkisi olan hesaplar tespit edilir. Bu yetki yalnızca DC makine hesaplarında bulunmalıdır; user hesabında varsa saldırgan tüm hash’leri DC’ye dokunmadan dökebilir
Kritik nesnelerde tehlikeli ACE’ler: Domain kökü, AdminSDHolder, CN=Policies gibi kritik AD nesneleri üzerinde GenericAll, WriteDacl, WriteOwner, GenericWrite izinleri taranır
LSA Koruması (RunAsPPL): Her DC’de RunAsPPL kayıt defteri değeri kontrol edilir — boşsa Mimikatz doğrudan çalışır
SMBv1 DC’de etkin mi? EternalBlue/WannaCry saldırısının kapısı
WDigest düz metin kimlik bilgileri: WDigest etkinse Windows bellekte düz metin parola tutar
NTLMv1 aktif kullanım: Event ID 4624 incelenerek NTLMv1 kimlik doğrulaması hâlâ gerçekleşiyor mu tespit edilir
AD CS — ESC1: Sertifika şablonunda kullanıcı SAN girebiliyor mu? Domain Admin sertifikası talep edilebilir
AD CS — ESC4: Şablon ACL’inde geniş gruplara yazma izni var mı?
AD CS — ESC6: CA’da EDITF_ATTRIBUTESUBJECTALTNAME2 bayrağı açık mı? Tüm şablonlar ESC1’e dönüşür

Tier 1 — Sunucu Katmanı Kontrolleri

Kerberoastable normal kullanıcılar: SPN taşıyan non-privileged hesaplar — offline hash kırma hedefi
Shadow credentials (msDS-KeyCredentialLink): Beklenmedik giriş var mı? Parola sıfırlamaya dayanıklı arka kapı
ESC8 — AD CS HTTP relay yüzeyi: /certsrv endpoint’i NTLM üzerinden erişilebilir mi?
GPO sahip anomalileri: GPO’ların sahibi Domain Admins dışı birisi mi?
DNS yönetici maruziyeti: DnsAdmins grubunda gereksiz üye var mı? DC’de DNS DLL injection riski
Atıl veya yetim servis hesapları: 90+ gündür giriş yapmayan SPN’li hesaplar — Kerberoasting’e açık

Tier 2 — Temel Güvenlik Kontrolleri

SMB ve LDAP imzalama: DC’lerde SMB imzalama, LDAP imzalama ve LDAP kanal bağlama — üçü birlikte NTLM relay saldırılarını kapatır
CredSSP maruziyeti: PowerShell remoting için CredSSP etkinse DC’de düz metin kimlik bilgisi bellekte kalır
gMSA benimsemesi: Servis hesapları Group Managed Service Account’a taşınmış mı? gMSA = 240 karakter otomatik rotasyon, Kerberoasting’e karşı bağışık

Privileged Group Review — Kritik Grupların Üyelik Denetimi

Grup	Beklenen Durum
Domain Admins	Minimum üye, Protected Users kapsamında
Enterprise Admins	Normalde boş — sadece geçici JIT erişimle
Schema Admins	Normalde boş
Administrators	Doğrudan ve dolaylı üyelikler (iç içe gruplar) dahil denetlenir
DnsAdmins	DC’de DLL injection riski — minimize edilmeli
Account/Server/Backup/Print Operators	Modern ortamda boş olmalı

Kategori 2 — Privileged Accounts (11 kural)

krbtgt şifre yaşı: 755 gün gibi uzun süreler Golden Ticket saldırısı için idealdir. Hedef: en az 180 günde bir rotasyon, 2 adımlı
Kısıtsız delegasyon (Unconstrained Delegation): TrustedForDelegation=True olan DC dışı makineler — DC’nin TGT’si çalınabilir. PrinterBug/PetitPotam ile birleşince full domain
Kısıtlı delegasyon (Constrained Delegation): Hangi hesaplar hangi servisler için taklit yapabiliyor? Protocol transition ile daha tehlikeli
Protected Users grubu kapsamı: DA/EA/SA hesapları Protected Users’da mı? Olmayanlara PtH ve PtT uygulanabilir
DA hesaplarında PasswordNeverExpires: Sınırsız saldırı penceresi
adminCount kayması (drift): Gruptan çıkarılmış ama adminCount=1 kalmış hesaplar — SDProp koruması devam eder
RBCD maruziyeti: msDS-AllowedToActOnBehalfOfOtherIdentity ile oluşturulmuş Resource-Based Constrained Delegation yolları
Ayrıcalıklı hesapta SPN: DA/EA/SA hesabında SPN varsa Kerberoasting hedefi — offline hash kırma

Kategori 3 — Stale Objects (8 kural)

Bakımsız ortam, saldırganlar için fırsattır.

Etkin olmayan kullanıcı hesapları: Son 90 günde giriş yapılmamış, hâlâ etkin hesaplar
Machine Account Quota: ms-DS-MachineAccountQuota varsayılan 10 = her domain kullanıcısı 10 bilgisayar hesabı açabilir — RBCD saldırısının temel ön koşulu
Eski Windows sürümleri: Desteksiz veya güncel olmayan OS çalıştıran makineler
Zayıf Kerberos şifreleme (RC4/DES): DES veya RC4 kullanan hesaplar — AES’e göre Kerberoasting’de çok daha hızlı kırılır
LAPS kapsamı: Legacy LAPS ve Windows LAPS ayrı ayrı kontrol edilir. Kapsam dışı makineler aynı yerel admin parolasını paylaşıyor olabilir — lateral movement
Eski NTLM duruşu: LmCompatibilityLevel değeri — LM ve NTLMv1 hâlâ etkin mi?

Kategori 4 — Anomalies (16 kural)

Güvenli varsayılan yapılandırmadan sapan, tek başına küçük görünen ama kombinasyonlarda kritik hale gelebilen anormallikler.

DC coercion maruziyeti: PetitPotam/PrinterBug gibi saldırıların ön koşulu olan servisler DC’lerde çalışıyor mu?
DC spooler maruziyeti: Print Spooler servisi DC’de aktif mi? Kapalı olmalıdır
GPP cpassword kalıntıları: SYSVOL’deki XML dosyalarında cpassword özniteliği var mı? MS14-025 ile anahtarı yayınlanan sabit AES şifrelemesi
AS-REP Roastable kullanıcılar: DONT_REQ_PREAUTH bayrağı — şifresiz hash elde edilebilir, DC’de iz bırakmaz
LLMNR devre dışı değil: LLMNR protokolü GPO ile kapatılmamışsa Responder saldırılarına zemin hazırlar
PowerShell script block logging: GPO üzerinden PS script block ve module logging etkin mi? Olmadan saldırgan PS komutları iz bırakmaz
CVE-2021-42291 dsHeuristics: KB5008383 kapsamındaki LDAPAddAuthZVerifications ve LDAPOwnerModify değerleri 1 olarak ayarlanmış mı?

Kategori 5 — Hygiene (4 kural)

Uzun vadeli güvenlik duruşunu belirleyen temel yapılandırma olgunluğu.

Fine-Grained Password Policies (PSO): PSO yapılandırılmış mı? Hangi gruplara uygulanmış?
Domain/Forest Functional Level: Eski seviyeler Protected Users, Kerberos armoring ve PAM özelliklerini kısıtlar
Hybrid/Entra join kapsamı: Kayıt dışı makineler koşullu erişim politikalarının körü
Azure AD Connect senkronizasyon hesabı maruziyeti: AD Connect servis hesabı bazen DCSync yetkisiyle çalışır — domain tehlikesi

Kategori 6 — Trusts (2 kural)

Birden fazla domain veya forest içeren ortamlarda güven ilişkileri ek saldırı yüzeyleri oluşturur.

Trust posture: SID filtreleme (SIDFilteringQuarantined) aktif mi? Kapalı SID filtreleme ile alt domain ele geçirilmesiyle ana domain DA yetkisi kazanılabilir
SIDHistory kullanımı: Domain geçişlerinden kalan SID geçmişi temizlenmiş mi? Saldırganlar DA SID’ini herhangi bir hesabın SIDHistory’sine enjekte ederek grup listelerinde görünmeden tam yetki alabilir

Kapsam Özeti

Ekran / Kategori	Kapsam
AD Risk Dashboard	Risk skoru, radar, attack chain, remediation tracking, simülatör
Risk Baseline Diff	Taramalar arası fark analizi — yeni / kapanan / değişen bulgular
AD User Risk Level	Kullanıcı bazında davranış ve risk puanı (son 30 gün)
Windows OS Overview	Sunucu ve istemci OS envanteri, desteksiz sürüm tespiti
AD Users Overview	Tüm kullanıcı hesapları, ayrıcalık grupları, şifre durumu
Groups & Security	Güvenlik ve dağıtım grubu envanteri, boş/tehlikeli gruplar
Inactive Objects	Atıl kullanıcı ve bilgisayar hesapları (90+ gün)
Exchange / O365 Users	Posta kutusu envanteri ve hibrit yapı durumu
Locked Accounts	Kilitleme yoğunlaşması ve brute-force tespiti
Password Expiry	Parola yaşam döngüsü takibi
Password Policies	Domain ve fine-grained (PSO) parola politikaları
Group Policy Check	GPO envanteri, OU bağlantı haritası, yetim/boş GPO analizi
AD Sites & Topology	Site yapısı, DC dağılımı, subnet eşleşmesi
DC Health & FSMO	DC sağlığı, DNS, replikasyon kalitesi, FSMO rolleri
Hybrid / Entra Join	Entra ID kayıt kapsamı ve AD Connect hesap durumu
Skipped / Unreachable DCs	Erişilemeyen DC’ler ve raporun kör noktaları
Risk: Privileged Infrastructure	55 kural — Tier 0/1/2 + Privileged Group Review
Risk: Privileged Accounts	11 kural — krbtgt, delegasyon, Protected Users, adminCount
Risk: Stale Objects	8 kural — inaktif hesaplar, NTLM, LAPS, Machine Quota
Risk: Anomalies	16 kural — şifre uzunluğu, denetim, coercion, GPP, LLMNR
Risk: Hygiene	4 kural — PSO, DFL/FFL, Entra join, AD Connect
Risk: Trusts	2 kural — SID filtering, SIDHistory
TOPLAM	16 ekran + 96 güvenlik kuralı

Kuso AD Check, 16 ekran ve 96 kural ile saldırganın kullanabileceği her yüzeyi önceden görünür kılar. Periyodik tarama, AD’in canlı ortamda nasıl değiştiğini izlemek ve güvenlik borcunun birikmesini önlemek için kritiktir.

802.1X Network Authentication — AD CS ile Kurumsal Ağ Kimlik Doğrulama

Wed, 24 Jun 2026 00:00:00 +0000

⬇

802.1X Deployment Rehberi — PDF

Bu rehberin tam sürümünü PDF olarak indirebilirsiniz.

İndir (PDF)

1. Giriş ve Mimari Genel Bakış

1.1 802.1X Nedir?

IEEE 802.1X, ağ cihazlarına erişim öncesinde kimlik doğrulama zorunluluğu getiren bir port tabanlı erişim kontrol standardıdır. Kablosuz (Wi-Fi) ve kablolu (Ethernet) ağlarda çalışır. Bir istemci ağa bağlanmaya çalıştığında, switch veya Access Point bu isteği doğrudan karşılamaz; kimlik doğrulama trafiğini bir RADIUS sunucusuna (bu senaryoda NPS) yönlendirir. RADIUS sunucusu doğrulamayı yapar ve erişime izin verir ya da reddeder.

1

Supplicant (PC/Laptop) ──EAPOL──► Authenticator (Switch/AP) ──RADIUS UDP 1812──► Auth Server (NPS)

1.2 EAP-TLS vs PEAP — Neden Sertifika Seçtik?

Özellik	PEAP-MSCHAPv2	EAP-TLS (Seçilen)
İstemci Kimlik Doğrulama	Kullanıcı adı + Parola	X.509 Sertifikası
Sunucu Kimlik Doğrulama	Sunucu Sertifikası	Sunucu Sertifikası
Parola Ele Geçirme Riski	Yüksek (offline brute-force)	Yok
Sertifika Altyapısı Gereksinimi	Sadece sunucu	Sunucu + İstemci
Yönetim Karmaşıklığı	Düşük	Orta (GPO ile otomatize)
Güvenlik Seviyesi	Orta	Yüksek (önerilen)

✅ Best Practice EAP-TLS, sertifika tabanlı kimlik doğrulama sayesinde parola güvenliği sorununu ortadan kaldırır. AD CS + GPO autoenrollment kombinasyonu ile istemci sertifikaları otomatik dağıtılır, yönetim yükü minimumdur.

1.3 Ortam Bilgileri

Bileşen	Detay
Domain	ortakvy.local
CA Sunucusu	Windows Server 2019 — Enterprise Root CA
NPS Sunucusu	Windows Server 2019 (CA ile aynı veya ayrı)
İstemciler	Windows 10/11 — Domain Member
Wireless Infrastructure	802.1X destekli Access Point’ler
Kablolu Infrastructure	802.1X destekli Cisco Switch’ler
Sertifika Geçerlilik Süresi	Bilgisayar: 2 yıl, Kullanıcı: 1 yıl

2. AD CS — Sertifika Altyapısı Kurulumu

2.1 CA Rolü Kurulumu (Enterprise Root CA)

Active Directory Certificate Services (AD CS), PKI altyapısının temelini oluşturur. Enterprise Root CA seçimi, sertifikaların Active Directory ile entegre çalışmasını ve autoenrollment özelliğinin kullanılabilmesini sağlar.

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


# AD CS rolünü kur
Install-WindowsFeature -Name AD-Certificate -IncludeManagementTools

# Enterprise Root CA olarak yapılandır
Install-AdcsCertificationAuthority `
 -CAType EnterpriseRootCa `
 -CACommonName 'OrtakVY-Root-CA' `
 -KeyLength 2048 `
 -HashAlgorithmName SHA256 `
 -ValidityPeriod Years `
 -ValidityPeriodUnits 10 `
 -Force

⚠ Dikkat Production ortamında Root CA'yı offline tutmak best practice'tir. Ancak SMB ölçeğindeki ortamlarda online Enterprise Root CA kabul edilebilir bir trade-off'tur.

2.2 Sertifika Şablonları Oluşturma

802.1X için iki ayrı sertifika şablonu oluşturulur: biri NPS sunucusu, diğeri domain istemcileri için. Mevcut şablonlar kopyalanarak özelleştirilir.

Şablon 1 — NPS Server Sertifikası:

Ayar	Değer
Kaynak Şablon	Computer (Windows Server 2003 veya üstü)
Şablon Adı	NPS-Server-Auth
Subject Name	Build from Active Directory (DNS name dahil)
Key Usage	Digital Signature, Key Encipherment
Extended Key Usage	Server Authentication (1.3.6.1.5.5.7.3.1)
Validity Period	2 Years \| Renewal: 6 Weeks
Permissions	NPS sunucu bilgisayar hesabına Read + Enroll
Publish to AD	Hayır

Şablon 2 — İstemci Bilgisayar Sertifikası:

Ayar	Değer
Kaynak Şablon	Computer (mevcut şablonu kopyala)
Şablon Adı	8021X-Computer-Auth
Subject Name	Build from Active Directory
Key Usage	Digital Signature, Key Encipherment
Extended Key Usage	Client Authentication (1.3.6.1.5.5.7.3.2)
Validity Period	2 Years \| Renewal: 6 Weeks
Private Key Export	HAYIR — güvenlik
Permissions	Domain Computers grubuna Read + Enroll + Autoenroll

2.3 Şablonların Yayınlanması

1
2
3
4
5


# certutil ile şablon yayınlama
certutil -SetCAtemplates +NPS-Server-Auth
certutil -SetCAtemplates +8021X-Computer-Auth

# Alternatif: CA MMC > Certificate Templates > New > Certificate Template to Issue

Not Şablon değişikliklerinin AD'ye yayılması için CA servisini yeniden başlatın veya gpupdate /force çalıştırın. Propagation süresi genellikle 15-30 dakikadır.

3. NPS (Network Policy Server) Yapılandırması

3.1 NPS Rolü Kurulumu

1
2
3
4
5


# NPS rolünü kur
Install-WindowsFeature -Name NPAS -IncludeManagementTools

# NPS'i AD'ye kaydet
netsh nps add registeredserver domain=ortakvy.local server=<NPS-FQDN>

⚠ Kritik NPS sunucusunun AD'ye kayıt işlemi kritiktir. Kayıt yapılmadan NPS, kullanıcı/bilgisayar hesaplarını doğrulayamaz ve tüm 802.1X istekleri 'Access-Reject' döner.

3.2 RADIUS Client Tanımları (Switch / AP)

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


# PowerShell ile RADIUS Client ekleme
New-NpsRadiusClient `
 -Name 'Core-Switch-01' `
 -Address '192.168.1.1' `
 -SharedSecret 'Guclu_Shared_Secret_2026!' `
 -VendorName 'Cisco'

New-NpsRadiusClient `
 -Name 'AP-Floor1' `
 -Address '192.168.1.10' `
 -SharedSecret 'Guclu_Shared_Secret_2026!' `
 -VendorName 'Standard'

✅ Best Practice Kritik ortamlarda her switch/AP grubu için farklı shared secret kullanın. Minimum 22 karakter, karmaşık secret önerilir.

3.3 Connection Request Policy

Ayar	Değer
Policy Name	802.1X-CRP
Policy Type	Grant access
Condition — NAS Port Type	Ethernet VEYA IEEE 802.11 Wireless
Authentication	Authenticate requests on this server
Sıra (Order)	1 (en yüksek öncelik)

3.4 Network Policy — EAP-TLS

Ayar	Değer
Policy Name	802.1X-EAP-TLS-Computers
Access Permission	Grant access
Condition — Windows Groups	Domain Computers
Condition — NAS Port Type	Ethernet + Wireless
Authentication Method	EAP — Microsoft: Smart Card or other certificate
EAP Type Sertifikası	NPS-Server-Auth sertifikası (CA’dan alınan)
Certificate Validation	Verify issuer = ortakvy.local CA
Constraints	SADECE EAP (PEAP/MSCHAPv2 işaretlenmez)

⚠ Dikkat EAP-TLS policy'de 'Less secure authentication methods' seçeneklerini (MSCHAPv2, PAP) kesinlikle işaretlemeyin. Bu seçenekler güvenlik modelini bozar.

4. GPO ile Sertifika Otomatik Dağıtımı

GPO Autoenrollment, domain üyesi bilgisayarların sertifika şablonlarından otomatik sertifika talep etmesini sağlar. Kullanıcı müdahalesi gerekmez; sertifikalar arka planda alınır ve yenilenir.

4.1 Computer Sertifikası Autoenrollment GPO

Ayar	Değer
GPO Adı	8021X-Certificate-Autoenrollment
Bağlantı	Domain kök veya hedef OU
Yol	`Computer Configuration > Windows Settings > Security Settings > Public Key Policies > Certificate Services Client - Auto-Enrollment`
Ayar	Enabled
Seçenek 1	✅ Renew expired certificates…
Seçenek 2	✅ Update certificates that use certificate templates

4.2 Trusted Root CA Dağıtımı

1
2
3
4
5
6
7
8


# İstemci üzerinde sertifikaları doğrula
Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object {
 $_.EnhancedKeyUsageList -like '*Client Authentication*'
} | Select-Object Subject, NotAfter, Thumbprint

# Autoenrollment'ı manuel tetikle (test için)
certutil -pulse
gpupdate /force

5. Kablosuz Ağ (Wireless) 802.1X Yapılandırması

5.1 GPO ile Wireless Profile Dağıtımı

GPO Yolu: Computer Configuration > Windows Settings > Security Settings > Wireless Network (IEEE 802.11) Policies

Ayar	Değer
Network Name (SSID)	ORTAKVY-CORP
Connection Type	ESS (Infrastructure Mode)
Security	WPA2-Enterprise
Encryption	AES (CCMP)
Authentication	EAP
Authentication Method	Smart Card or other certificate
Certificate Issuer	OrtakVY-Root-CA
Connect automatically	Evet

⚠ Dikkat Wireless GPO'da 'Validate server certificate' seçeneği mutlaka işaretli olmalıdır. Bu seçenek devre dışı bırakılırsa rogue AP saldırılarına karşı koruma ortadan kalkar.

5.2 Access Point Tarafı Yapılandırması

AP Ayarı	Değer
SSID	ORTAKVY-CORP
Security Mode	WPA2-Enterprise
Encryption	AES
RADIUS Server IP	NPS sunucu IP adresi
RADIUS Port (Auth)	1812
RADIUS Port (Accounting)	1813
Shared Secret	NPS’e girilen shared secret (aynı değer)
MAC Auth Bypass	Devre dışı (EAP-TLS kullanıldığında gereksiz)

6. Kablolu Ağ (Wired) 802.1X Yapılandırması

6.1 GPO ile Wired Autoconfig Servisi

Servis GPO Yolu: Computer Configuration > Windows Settings > Security Settings > System Services

Servis: Wired AutoConfig (dot3svc) — Startup: Automatic

Wired Policy GPO Yolu: Computer Configuration > Windows Settings > Security Settings > Wired Network (IEEE 802.3) Policies

Ayar	Değer
Security Type	802.1X
Authentication	User or Computer authentication
EAP Type	Smart Card or other certificate
Validate server certificate	Evet
Trusted Root CA	OrtakVY-Root-CA

6.2 Switch Port Yapılandırması (Cisco)

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25


! Global RADIUS yapılandırması
aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa accounting dot1x default start-stop group radius

radius server NPS-Primary
 address ipv4 <NPS-IP> auth-port 1812 acct-port 1813
 key Guclu_Shared_Secret_2026!

! 802.1X global aktivasyon
dot1x system-auth-control

! Access port yapılandırması
interface GigabitEthernet1/0/1
 description Workstation-Port
 switchport mode access
 switchport access vlan 10
 authentication port-control auto
 dot1x pae authenticator
 spanning-tree portfast

 ! Opsiyonel: Auth-Fail VLAN
 authentication event fail action authorize vlan 999
 authentication event no-response action authorize vlan 999

✅ Best Practice Guest VLAN ve Auth-Fail VLAN yapılandırması, domain dışı cihazların sınırlı ağa erişimini sağlar. Bu sayede misafir cihazlar tamamen bloke edilmek yerine yönlendirilebilir.

7. Test ve Doğrulama

7.1 NPS Event Log Kontrolü

1
2
3
4


# Son 50 NPS event (6272 = Başarılı, 6273 = Reddedildi)
Get-WinEvent -LogName 'Security' -MaxEvents 50 | Where-Object {
 $_.Id -in @(6272, 6273)
} | Select-Object TimeCreated, Id, Message | Format-List

Event ID	Anlam	Kontrol Edilecek Alan
6272	Access Granted (Başarılı)	Account Name, Policy Name
6273	Access Denied (Reddedildi)	Reason Code — hata sebebi
6274	Request Discarded	NPS’e ulaşan ama işlenemeyen istek

7.2 Sık Karşılaşılan Hatalar ve Çözümleri

Hata / Belirti	Muhtemel Sebep	Çözüm
Event 6273 Reason 16	Sertifika yok veya geçersiz	`certmgr.msc > Personal` kontrol
Event 6273 Reason 22	Sertifika süresi dolmuş	Autoenrollment GPO’yu doğrula
Event 6273 Reason 48	CA’ya güven yok	Trusted Root CA GPO’nun uygulandığını doğrula
NPS sertifika görmüyor	CA’dan sertifika alınmamış	`certmgr.msc (Local Computer) > Personal'da NPS-Server-Auth` olmalı
Switch port açılmıyor	Shared secret uyuşmuyor	NPS RADIUS client ve switch config’deki secret’ı karşılaştır
Wired 802.1X çalışmıyor	dot3svc servisi çalışmıyor	`services.msc > Wired AutoConfig > Automatic + Start`

8. Best Practice Kontrol Listesi

AD CS

☑ Enterprise Root CA — SHA256, 2048-bit minimum
☑ Sertifika şablonlarında minimum gerekli izinler (Domain Computers: Enroll + Autoenroll)
☑ Şablon geçerlilik süresi makul (bilgisayar 2 yıl, kullanıcı 1 yıl)
☑ Private key export izni kapalı

NPS

☑ NPS’i AD’ye kaydet (netsh nps add registeredserver)
☑ Her RADIUS client için güçlü ve benzersiz shared secret
☑ Sadece EAP-TLS kabul et, zayıf metodları devre dışı bırak
☑ NPS sertifikasının FQDN’i ile uyumlu SAN içermesini sağla

GPO

☑ Autoenrollment her iki kutucuğu da işaretli olmalı
☑ Wireless/Wired policy’de ‘Validate server certificate’ açık
☑ Trusted Root CA GPO ile dağıtılmış
☑ Wired AutoConfig servisi otomatik başlatma

Network

☑ Switch/AP’lerde auth-fail VLAN tanımlı (misafir/bilinmeyen cihaz izolasyonu)
☑ NPS sunucusuna erişim için güvenlik duvarı: UDP 1812, 1813
☑ Printerlar, IP phoneler için MAB (MAC Auth Bypass) ek önlem olarak yapılandır
☑ NPS log’larını düzenli izle (SIEM entegrasyonu önerilir)

Bu doküman, VMind Bilgi ve Teknolojileri A.Ş. bünyesinde gerçekleştirilen ortakvy.local ortamı 802.1X deployment deneyimine dayanarak hazırlanmıştır.

Active Directory Ortamında Temel Sağlık Kontrolleri

Wed, 24 Jun 2026 00:00:00 +0000

Neden Periyodik Sağlık Kontrolü?

Active Directory, kurumsal kimlik altyapısının omurgasıdır. Domain Controller’ların replikasyon durumu, SYSVOL sağlığı, DNS tutarsızlıkları gibi sorunlar sessizce birikir ve en kötü zamanda kendini gösterir.

Bu yazıda hızlıca koşturabileceğiniz kontrolleri paylaşıyorum.

1. Domain Controller Replikasyon Durumu

1
2
3
4
5


# Tüm DC'ler arası replikasyon özetini göster
repadmin /replsummary

# Hataları filtrele
repadmin /showrepl * /errorsonly

repadmin /replsummary çıktısında Largest delta kolonuna dikkat edin. 60 dakikanın üzerindeyse replikasyon sağlıklı değildir.

2. SYSVOL ve NETLOGON Paylaşım Kontrolü

SYSVOL paylaşımı her DC’de erişilebilir olmalı:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


$DCs = (Get-ADDomainController -Filter *).Name
foreach ($dc in $DCs) {
 $sysvol = Test-Path "\\$dc\SYSVOL"
 $netlogon = Test-Path "\\$dc\NETLOGON"
 [PSCustomObject]@{
 DC = $dc
 SYSVOL = $sysvol
 NETLOGON = $netlogon
 }
}

3. FSMO Rolleri

1
2
3
4
5
6


# Domain FSMO rolleri
netdom query fsmo

# PowerShell ile daha detaylı
Get-ADForest | Select-Object SchemaMaster, DomainNamingMaster
Get-ADDomain | Select-Object PDCEmulator, RIDMaster, InfrastructureMaster

PDCEmulator rolü, şifre değişiklikleri ve zaman senkronizasyonu için kritiktir. Erişilebilir mi kontrol edin:

1
2


$pdc = (Get-ADDomain).PDCEmulator
Test-NetConnection -ComputerName $pdc -Port 389

4. DNS Sağlık Kontrolü

1
2
3
4
5


# DC'nin kendi DNS kayıtlarını doğrula
dcdiag /test:dns /v

# SRV kayıtları
nslookup -type=SRV _ldap._tcp.dc._msdcs.<DomainFQDN>

5. Event Log — Kritik Hatalar

1
2
3
4
5
6


# Son 24 saatte Directory Services hatalarını çek
Get-WinEvent -LogName "Directory Service" -ComputerName $env:COMPUTERNAME |
 Where-Object { $_.LevelDisplayName -in "Error","Critical" -and
 $_.TimeCreated -gt (Get-Date).AddHours(-24) } |
 Select-Object TimeCreated, Id, Message |
 Format-Table -AutoSize

Özet Kontrol Listesi

Kontrol	Araç	Sıklık
Replikasyon	`repadmin /replsummary`	Günlük
SYSVOL paylaşımı	`Test-Path`	Günlük
FSMO rolleri	`netdom query fsmo`	Haftalık
DNS SRV kayıtları	`dcdiag /test:dns`	Haftalık
Event Log hataları	`Get-WinEvent`	Günlük

Bir sonraki yazıda bu kontrolleri otomasyona taşıyıp e-posta raporlama ekleyeceğiz.