İçeriğe Atla
Mustafa Erbay
Teknoloji · 13 dk okuma · görüntülenme Read in English
100%

Active Directory Tier Modeline Geçişte Yaptığım Üç Yanlış Varsayım

Microsoft tier modeli (T0/T1/T2) tasarımdan üretime geçişte üç büyük varsayımım çürüdü: 8 aylık sahada bedel ödediğim dersler.

#security #active-directory #identity #operations #lessons-learned
Active Directory Tier Modeline Geçişte Yaptığım Üç Yanlış Varsayım — kapak görseli

Active Directory tier modeline geçişi planladığım gün, Microsoft dokümantasyonuna bakıp “üç ayda biter, sonra hayat normale döner” demiştim. Sekiz ay sürdü. Üç temel varsayımım çürüdü, her biri sahada bedel ödedi.

Bu yazı, T0/T1/T2 ayrımına geçen birinin —çoktan kitabını okumuş hâliyle— gerçekte ne ile karşılaştığını anlatıyor. Teknik adımları değil, planın çatlayan yerlerini paylaşacağım.

Hızlı tekrar: tier modeli neyi ayırıyor

Tier modeli (Microsoft Enhanced Security Admin Environment / ESAE’nin sadeleştirilmiş hâli) üç katman tanımlar:

  • T0: Domain controller’lar, ADFS, PKI, ESAE forest’ı, T0 admin hesapları
  • T1: Sunucular (uygulama, veritabanı, dosya, izleme), T1 admin hesapları
  • T2: Workstation’lar, son kullanıcı hesapları

Kural çok basit görünür: bir tier’daki credential daha düşük tier’a inebilir, daha yüksek tier’a çıkamaz. T0 admin’i T2 makinesine RDP yapamaz; T2 kullanıcısı T1 sunucusunda yerel admin yetkisine sahip olmaz.

Mantıklı, temiz, çizilebilir. Sahaya geldiğinde üç şeyim yanlıştı.

Yanlış varsayım 1 — “Bu teknik bir geçiştir”

İlk hafta jump host kurdum, GPO’larla Domain Admins grubunu Deny logon locally + Deny logon as a batch job şeklinde T1/T2 makinelerine kısıttım. Restricted Admin RDP açtım. Protected Users grubuna T0 hesaplarını ekledim. Microsoft kitabını yumuşacık takip ediyordum.

İkinci hafta tıkanmalar başladı:

  • Bir T1 admin’i workstation’ından doğrudan dosya sunucusuna bağlanamadığında bana yazdı: “Şimdi her seferinde jump host’a önce bağlanıp oradan mı gideceğim? Niye bu kadar zorlaştık?”
  • Bir veritabanı admin’i, T0 PKI sunucusundaki sertifika sorununu kendi T1 hesabıyla “hızlıca düzeltmek” istedi. Politika izin vermedi. Aradı, sesi gergindi.
  • Helpdesk ekibi, kendi kullanıcı oturumundan workstation desteği veriyordu. Tier ayrımı sonrası “T2 desteği” rolü olmadığı için bağlanamaz oldular.

Bu yüzden geçişin görünür adımları ile görünmeyen adımları ayrı çizelgelere düştü:

  • Görünür: jump host, GPO, kısıtlamalar, jump host failover, Protected Users
  • Görünmez: helpdesk rol matrisi yeniden yazımı, change request prosedürü, jump host’ta MFA, “T0 işi” tanımının yazılı hâle gelmesi, jump host sessiz timeout disiplini

Yazılı olmayan kısım, yazılı kısmın iki katı zaman aldı.

Yanlış varsayım 2 — “Hesap envanterimi biliyorum”

Geçiş başlamadan önce iki haftalık bir envanter çalışması yapmıştım. Privileged groups’a baktım, Domain Admins, Enterprise Admins, Schema Admins gibi açık T0 grupları temizdi. Service account’ları ayrı bir OU’da topladık, hangi servise ait olduklarını işaretledik. Plan teorik olarak kapalıydı.

Beşinci ayda Splunk dashboard’unda bir grafik düştü: bir BI raporlama aracının service account’ı, son 30 günde 17 farklı sunucuya RDP yapıyordu. Aracın dokümanı yoktu, hangi tier’a ait olduğu yazmıyordu, hatta hangi tier’a ait olması gerektiği de kimsenin masasında değildi.

Kazma kürek araştırma yaptım:

  1. Service account, beş yıl önce bir veri ambarı projesi için açılmış
  2. O zamanlar SQL Server’da local admin yetkisi gerektiriyormuş
  3. Sonradan birden fazla sunucuya “kolaylık olsun” diye yetki eklenmiş
  4. Originally sadece veri okuma yapması gerekirken 17 sunucuda interaktif login alıyordu

Bu kabus tek değildi. Üç ay içinde benzer dört “hayalet” hesap buldum: dokümanı yok, sahibi belirsiz, yetki düzeyi planda değil.

Sonra “linked account” sorunu çıktı. Bir T1 admin’in günlük kullanıcı hesabı ve T1 admin hesabı, AD’de “manager” alanı üzerinden birbirine bağlanmıştı. Phishing e-postası → günlük hesabı kompromize ederse → manager alanından T1 hesabı izlenebilir → token replay potansiyeli. Microsoft’un “günlük ve admin hesapları aynı kişi olabilir ama altyapısal olarak ayrı olmalı” tavsiyesini görmüştüm, fakat saha yapısında bu link’in nereden geldiğini farkına dahi varmamıştım.

Yanlış varsayım 3 — “Geçiş tamamlanır, bittikten sonra bakım kolaydır”

Sekizinci ayda büyük teknik adımları bitirdim. T0 izole, T1 düzenli, T2 disipline. Tüm jump host’lardan MFA aktif. Service account’lar dağıtılmış, yetkileri minimal. Project plan kapanmış görünüyordu.

İki hafta sonra yeni bir uygulama deployment’ında bir aksaklık: developer ekibi, yeni servisin Service Account’unu “Domain Admins” altında istedi. Bu kez prosedür yazılı olduğu için reddedildi. Ama developer’ların basıncı sürdü — yöneticilerine, sonra direktöre.

Tier modeli tek seferlik bir geçiş değil, sürekli bir disiplin. Yapısı oturdu diye bakım otomatize olmaz; tam tersi, yeni servis/sistem/proje her geldiğinde model tekrar test edilir. Eğer “ekstra adımı pas geçelim, bu sefer hızlı çıkalım” diyebileceğin bir yapı varsa, tier modeli zamanla aşınır.

Şu üç şeyi gözden kaçırmayacağıma yemin ettim:

  • Quarterly tier audit: her çeyrek tier sınırlarının hâlâ uygulanıp uygulanmadığını doğrulayan bir BloodHound + custom PowerShell çalıştırması
  • New service onboarding checklist: yeni bir kurumsal servis geldiğinde hangi tier’a ait, hangi service account ile koşacak, jump host gerektirir mi — dokümante
  • Quarterly red team simülasyonu: T2 makinesinden başlayıp T0’a sıçramayı denediğimiz iç tatbikatlar. Sıçrayabiliyorsak tier’da bir delik var demektir.

Tier modelinin “küçük” ortamlarda da değerli olduğu yer

Belki kurumsal ölçek değilsin: 50 endpoint, 5 sunucu, küçük ofis. Tam Microsoft tier modeli aşırı gelebilir. Yine de iki minimal disiplin işe yarar:

  • Ayrı admin hesap kullanımı: günlük kullanıcı hesabıyla server’a RDP yapma. Ayrı bir “admin” hesap aç, sadece o ile yönet. Bu tier modelinin %60’ı.
  • Domain admin’inden uzak durma: yerel admin yeterse domain admin verme. Tek bir Domain Admin hesap, sadece DC üzerinde kullanılan. Workstation’a oturum açmaz. Bu da tier modelinin %30’u.

Bu iki adım küçük ortamlarda dahi compromise yarıçapını ciddi kısaltır. Tam tier modelini sonradan ekleyebilirsin.

Sonuç

Active Directory tier modeline geçiş, planda göründüğü kadar lineer değil. Kitap üç ay diyor, saha sekiz ay verdi. Üç temel varsayım üzerinden bedel ödedim:

  1. “Bu teknik bir geçiştir” → değil; davranışsal bir yeniden yazımdı
  2. “Hesap envanterimi biliyorum” → bilmiyordum; hayalet service account’lar dolaşıyordu
  3. “Geçiş tamamlanır, bakım kolaydır” → tamamlanmaz; sürekli disiplin gerektirir

Tier modeli, lateral movement riskini ciddi şekilde azaltır — fakat değer üretmesi için uzun süreli organizasyonel disiplin ister. Eğer bu disiplini sürdüremeyeceğiniz bir ortamdaysanız, model kâğıt üzerinde kalır; gerçek faydası alınmaz.

Hâlâ tier modeline geçmemiş bir ortamı yönetiyorsanız, üç ayda bitireceğinizi planlayın; sekiz aya hazırlanın. Tutkulu olun ama acele etmeyin.

Paylaş:

Bu yazı faydalı oldu mu?

Yükleniyor...

Bu yazı nasıldı?

Sıkça Sorulanlar

Bu makale ile ilgili okurların sorduğu yaygın sorular.

Active Directory tier modeli (T0/T1/T2) tam olarak neyi çözmeye çalışır ve gerçekten gerekli mi?
Tier modeli, kimliklerin ve kaynakların ayrıcalık seviyesine göre üç ayrı katmanda izole edilmesini ister: T0 (domain controller'lar + tier 0 admin'leri), T1 (sunucular + uygulama admin'leri), T2 (workstation'lar + standart kullanıcılar). Asıl çözdüğü şey lateral movement: bir T2 makinesi compromise olduğunda saldırgan oradan T0'a sıçrayamasın. Gerekli mi? Eğer ortamınız 30 kullanıcılı küçük bir ofis ise overkill olabilir, ama 200+ endpoint, 20+ sunucu, çok lokasyonlu bir kurumsal yapıda neredeyse zorunlu. Benim 8 aylık geçiş sürecimde gördüm ki tier modeli olmadan herhangi bir EDR/SIEM yatırımı yarı yarıya değer kaybediyor — çünkü saldırgan en zayıf endpoint'ten DC'ye kadar bir hamlede uçabiliyorsa, ne kadar alarm kursanız da tepki gecikmesinin maliyeti yüksek.
Tier modeline geçişin en yanlış varsayımı sizce neydi?
Benim en yanıltıcı varsayımım 'tier sınırlarının teknik bir konu olduğu' düşüncesiydi. Project plan'a baktığımda Microsoft dokümanları çok net görünüyordu: jump host kur, GPO'larla logon engelle, RDP kısıtla, Protected Users grubuna al. Üç ayda biter zannettim. Sahada gerçek tıkanma noktası teknik değil, davranışsal çıktı. T1 admin'i 'workstation'ından doğrudan sunucuya bağlanmaya' alışmış, T0 sınırını jump host üzerinden geçmesi günde 5 dakika ekstra adım demek. Çoğu admin direnç gösterdi: 'çalışıyorduk, neden değiştiriyoruz?' Üç ay teknik kurulum, sonraki beş ay ise organizasyonel disiplinin oturmasıydı. Yani gerçek mücadele Active Directory'de değil, koridor sohbetlerindeydi.
Tier modeli geçişinde 'görünmez' (kolayca atlanan) riskler nelerdir?
En sinsi olanı service account'lar. Standart kullanıcı hesabı gibi görünür ama bir SQL Server üzerinde domain admin yetkili koşuyor olabilir. Geçiş planımda hesap envanteri çıkardığımı sanıyordum, oysa beş aydan sonra Splunk'ta bir aksaklık fark ettim: bir BI raporlama aracı, dokümanı olmayan eski bir hizmet hesabıyla 17 farklı sunucuya RDP yapıyordu — ne yetki seviyesi gerçek bildirimliydi, ne hangi tier'a ait olduğu netti. İkinci sinsi risk: linked accounts. Bir admin'in T0 admin hesabı ve günlük kullanıcı hesabı 'sicil-bazlı' aynı kişiyse, e-posta phishing → günlük hesap compromise → linked T0 hesap → kabus. Bunu Identity Manager geçişinde sırlamadan 'hayalet' bir köprü gibi yaşadık.
Tier geçişi tamamlandıktan sonra başarıyı nasıl ölçüyorsunuz?
Üç metrik kullanıyorum, hiçbiri klasik 'compliance check' değil. Birincisi: bir T2 makinesinden başlayan ve 60 dakika içinde T0 yetkisiyle herhangi bir DC'ye komut çalıştıran teorik bir saldırı path'i kurabiliyor muyum? (BloodHound + Powerview ile manuel keşif). İkincisi: T0/T1 admin'lerinin son 90 günde T2 workstation'larında interaktif logon (event 4624 type 2/10) yapıp yapmadığı. Üçüncüsü: privileged group üyeliği değişim sıklığı — eğer Domain Admins her ay 5+ kez değişiyorsa modelde yapısal bir sızıntı var demektir. Bu üç metrik düştükçe ve stabilleştikçe model gerçekten 'oturdu' demek; aksi takdirde sadece kağıt üzerinde tier var.
ME

Mustafa Erbay

Sistem Mimarisi · Network Uzmanı · Altyapı, Güvenlik ve Yazılım

2006'dan bu yana sistem mimarisi, network, sunucu altyapıları, büyük yapıların kurulumu, yazılım ve sistem güvenliği ekseninde çalışıyorum. Bu blogda sahada karşılığı olan teknik deneyimlerimi paylaşıyorum.

Kişisel Notlar

Bu notlar sadece sizde saklanır. Tarayıcınızda yerel olarak tutulur.

Hazır 0 karakter

Yorumlar

Sunucu Taraflı AI Moderasyon

Yorumlar sunucuda yapay zeka ile denetlenir ve kalıcı olarak saklanır.

?
0/2000

Sunucu taraflı AI denetim

✉️ Ücretsiz · Spam yok · İstediğin an çık

Haftalık özet — AI değil, bizzat ben seçiyorum

Haftada bir mail: o haftanın en önemli yazısı, perde arkası notları, ve "bu hafta gerçekten kullandığım araç" bölümü. Az gürültü, çok sinyal.

  • 📌
    Haftanın en iyisi Sadece okumaya değer tek yazı
  • 🔧
    Alet çantası Bu hafta kullandığım araçlar
  • 🧠
    Perde arkası Blog'a girmeyen notlar

Spam yapmıyoruz. İstediğiniz zaman ayrılabilirsiniz. · Sadece Umami (self-hosted, Google yok) ile takip.

Okuma İstatistikleriniz

0

Yazı Okundu

0dk

Okuma Süresi

0

Gün Serisi

-

Favori Kategori

İlgili Yazılar

Teknoloji

JWT Lifecycle Yönetiminin Operasyonel Maliyeti: Gözden Kaçan Detaylar

JWT yaşam döngüsü yönetiminin operasyonel yükünü ve maliyetini derinlemesine inceleyerek, gözden kaçan stratejik noktaları ve pratik çözümleri ele alıyorum.

Teknoloji

Çoklu Sağlayıcı Yapay Zeka Mimarisinde Kota Fail-Over Disiplini

Üretim AI pipeline'ında Gemini, Groq, Cerebras arasında fail-over disiplini: kota görünmez tükenir, sessiz çürüme yakalanmazsa kalite sessizce sapar.

Teknoloji

Feature Flag ve Konfigürasyon Governance: Parametre Store ve Audit

Konfigürasyonu ürün gibi yönetmek: feature flag, parametre store, şema, onay akışı, audit log ve geri dönüş disiplini.