2026 Active Directory Sızma Testi: Kimlik Altyapısında Risk, Yöntem ve Kurumsal Dayanıklılık
2026 itibarıyla Active Directory (AD) ortamları yalnızca “kullanıcı dizini” değil; kimlik doğrulama, yetkilendirme, ayrıcalıklı erişim ve uçtan uca operasyonel sürekliliğin merkezinde konumlanmaktadır. Bu sebeple Active Directory sızma testi, salt port/servis doğrulamasının ötesinde; Kerberos/NTLM akışları, ayrıcalıklı hesap mimarisi, yanlış yapılandırmalar ve yatay hareket (lateral movement) senaryoları üzerinden gerçekçi saldırı yollarını simüle eden bir güvenlik doğrulama çalışmasıdır.
Kurumsal hedef; bulgu tespitinden ziyade, AD üzerinde oluşabilecek bir ihlalin iş etkisini ortaya koymak, kritik zayıflıkları önceliklendirmek, düzeltici aksiyonları planlamak ve yeniden test ile kapanışı doğrulamaktır. KVKK m.12 kapsamındaki teknik tedbirler ve ISO/IEC 27001 kontrolleri açısından AD pentest çıktıları, denetim kanıtı ve risk yönetimi girdisi niteliği taşır.
Odak: Kerberos/NTLM, ayrıcalıklı hesaplar, ACL/GPO yanlışları, kimlik bilgisi hijyeni, yatay hareket.
Yaklaşım: Keşif → yol haritası (attack path) → doğrulama → kanıt → aksiyon planı → yeniden test.
Çıktı: Teknik detay + iş etkisi + öncelik + öneri + doğrulama adımı + yönetici özeti.
Uygunluk: KVKK m.12 teknik tedbirleri ve ISO/IEC 27001 kapsamında denetim kanıtı niteliği.
1. 2026’da AD Sızma Testi: Kapsam ve Metodoloji
Active Directory test kapsamı, yalnızca Domain Controller erişimiyle sınırlı ele alınmamalıdır. Kurumsal kimlik ekosistemi; DC’ler, üye sunucular, istemciler, entegrasyon servisleri, sertifika hizmetleri, uzaktan yönetim kanalları, ayrıcalıklı hesap politikaları ve log/izleme katmanı ile birlikte değerlendirilmelidir.
1.1. Kapsam Tanımı
- AD bileşenleri: Domain Controller’lar, site/replication topolojisi, FSMO rolleri, DNS entegrasyonu
- Kimlik akışları: Kerberos, NTLM, LDAP/LDAPS, SSO entegrasyonları
- Ayrıcalıklı hesaplar: Domain Admins/Enterprise Admins, service accounts, delegated admin
- Politika ve yetkiler: GPO, OU tasarımı, ACL/permission yapısı, delegation senaryoları
- Uç ve sunucu güvenliği: Credential hijacking riski, EDR/AV etkileşimi, hardening seviyesi
- Gözlem katmanı: Loglama, SIEM entegrasyonu, anomali tespiti ve olay müdahale akışları
1.2. Metodoloji (Uçtan Uca)
Kurumsal bir AD pentest çalışması; saldırı yollarını “bulgu listesi” olmaktan çıkarıp, ölçülebilir risk senaryolarına dönüştürmeyi hedefler:
- Keşif: Varlık/rol haritalama, servis ve kimlik akışlarının çıkarımı
- Attack path analizi: Düşük yetkiden yüksek yetkiye olası zincirlerin modellenmesi
- Doğrulama: Yanlış yapılandırma ve zafiyetlerin istismar edilebilirliğinin kanıtlanması
- Kanıt seti: Reprodüksiyon adımları, ilgili yapılandırma ekranları/çıktılar, zaman damgası
- Raporlama: Teknik detay + iş etkisi + öncelik + öneri + uygulanabilir aksiyon planı
- Yeniden test: Düzeltme sonrası kapanış doğrulaması ve regresyon kontrolü
2. Kerberos/NTLM ve AD Zafiyet Kategorileri: Kapsam ve Örnekler
2026 tehdit manzarasında Active Directory tarafında risk; çoğunlukla “tek bir kritik açık”tan değil, yanlış yapılandırma + zayıf kimlik hijyeni + ayrıcalık yönetimi zafiyetlerinin birleşiminden doğar. Bu nedenle test planı, AD’nin kimlik ve yetki katmanını kategorik olarak ele almalıdır.
| Kategori | Tipik Risk (Örnek) | İş Etkisi (Örnek) |
|---|---|---|
| Ayrıcalıklı Hesaplar | Fazla yetki, paylaşımlı admin hesapları, yetersiz MFA/koşullu erişim | Domain compromise, kritik sistemlere tam erişim |
| Kerberos / Kimlik Akışları | Yanlış SPN/servis hesabı pratikleri, zayıf parola politikaları | Kimlik bilgisi ele geçirme, ayrıcalık zinciri oluşturma |
| GPO / ACL Yapısı | Yanlış delegation, hatalı OU tasarımı, zayıf ACL’ler | Yetki yükseltme, kalıcılık (persistence), policy hijacking |
| LDAP / Dizin Erişimi | LDAPS zorunluluğu yok, aşırı bilgi ifşası, yetki kontrolleri zayıf | Envanter sızıntısı, hedefli saldırı hazırlığı |
| İstemci & Sunucu Credential Hijyeni | Hash/credential sızıntısı, local admin yaygınlığı, zayıf hardening | Lateral movement, hızlı yayılım, servis kesintisi riski |
Özetle; AD pentest kapsamında “protokol” kadar, yetki mimarisi ve operasyonel pratikler (hesap yönetimi, parola politikası, hardening, loglama) test planının merkezinde konumlandırılmalıdır.
3. Risk Önceliklendirme: Etki, Maruziyet ve Doğrulama
AD bulgularında en yaygın hata; teknik bulguyu “orta/düşük” etiketiyle geçiştirmek ve zincir etkisini göz ardı etmektir. AD ortamında küçük görünen bir yanlış yapılandırma, doğru kombinasyonla domain compromise sonucuna gidebilir. Bu nedenle önceliklendirme, zincir (attack path) mantığı ile yapılmalıdır.
3.1. Önceliklendirme Kriterleri
- İş Etkisi: Domain compromise, kritik sistem erişimi, üretim kesintisi, veri ihlali
- Maruziyet: Ayrıcalıklı hesap erişim yüzeyi, uzaktan yönetim kanalları, segmentasyon seviyesi
- Sömürülebilirlik: Otomasyona uygunluk, saldırgan eforu, tespit edilme olasılığı
- Zincir rolü: Bulgunun attack path üzerindeki “anahtar halka” olup olmaması
- Kontrol ortamı: MFA, EDR, log/izleme, anomali tespiti, PAM kullanımı
3.2. Kapanış ve Yeniden Test
AD tarafında “düzeltildi” kararı; yalnızca GPO değişikliği veya hesap güncellemesi ile verilmemelidir. Kapanış; yeniden test ile doğrulanmalı, ayrıca yeni bir zayıflık doğurmadığı regresyon kontrolleri ile teyit edilmelidir.
- Reprodüksiyon adımlarının tekrar denenmesi ve başarısız olduğunun kanıtı
- Ayrıcalıklı hesap akışlarının (login, admin task, remote management) yeniden doğrulanması
- Log/izleme tarafında beklenen görünürlüğün teyidi (olay kaydı, alarm üretimi, korelasyon)
4. Kurumsal Örnek Senaryolar: Yetki Yükseltme ve Lateral Movement
Aşağıdaki senaryolar; 2026 AD ortamlarında sahada sıklıkla gözlemlenen risk alanlarını, teknik doğrulama ile iş etkisi arasındaki bağı görünür kılacak şekilde özetler.
4.1. Yanlış Delegation / ACL ile Yetki Yükseltme
OU/ACL tasarımında yapılan hatalar, düşük yetkili bir hesabın belirli obje/hesaplar üzerinde beklenmeyen değişiklikler yapmasına imkan tanıyabilir. Bu durum, uygun bir zincirle ayrıcalık yükseltme ve kalıcılık (persistence) riskini doğurur.
- Yetki devrinin (delegation) standardize edilmemesi
- Gruplar arası yetki ilişkilerinin kontrol edilmemesi
- OU tasarımının operasyonel ihtiyaçtan fazla geniş tutulması
4.2. Service Account Pratikleri ile Kimlik Bilgisi Riskleri
Servis hesaplarının şifre politikaları, kullanım kapsamı ve izleme seviyesi; AD güvenliği açısından kritik bir bileşendir. Zayıf uygulamalar; kimlik bilgisi ele geçirme ve zincir etkisi ile ayrıcalıklı hesaplara geçiş riskini artırır.
4.3. Segmentasyon Zayıflığı ile Lateral Movement
İstemci ve sunucu segmentasyonunun yetersiz olduğu ortamlarda, bir uçtan ele geçirilen kimlik bilgisi; yatay hareket ile farklı sistemlere taşınabilir. Bu senaryo; özellikle local admin yaygınlığı, ortak parolalar ve yetersiz EDR görünürlüğü ile hızlanır.
5. Uyum, Riskler ve En İyi Uygulamalar
Active Directory sızma testinin hatalı kurgulanması; “test yapıldı” görünmesine rağmen gerçek risk zincirlerinin gözden kaçmasına neden olur. Bu nedenle süreç; güvenlik mimarisi, operasyon ve uyum perspektifini birlikte ele almalıdır.
5.1. Başlıca Riskler
- Kapsam kör noktaları: Ayrıcalıklı hesaplar, servis hesapları ve GPO/ACL katmanının dışarıda kalması
- Kanıt zayıflığı: Attack path’ı doğrulamayan, istismar edilebilirliği göstermeyen bulgular
- Öncelik hatası: Zincir risklerinin parçalı görülmesi ve düşük önceliğe itilmesi
- Kapanış yapılmaması: Yeniden test olmadan “düzeldi” kabulü
- İzleme eksikliği: Kritik kimlik olaylarının SIEM/EDR’de görünür olmaması
5.2. En İyi Uygulamalar (Kurumsal Seviye)
- Ayrıcalıklı erişim modeli: Role-based admin, PAM yaklaşımı, ayrı admin workstation (PAW) kurgusu
- GPO/ACL standardı: Delegation standartları, değişiklik onay akışı, periyodik gözden geçirme
- Kimlik hijyeni: Şifre politikaları, servis hesabı yönetimi, riskli protokollerin kontrolü
- Segmentasyon: İstemci/sunucu ayrımı, DC erişim kısıtları, lateral movement azaltma
- Log/izleme: Kimlik olayları korelasyonu, anomali tespiti, olay müdahale senaryoları
- Yeniden test: Kapanış doğrulaması + regresyon kontrolleri + denetim kanıt paketi
6. Sık Sorulan Sorular
Active Directory sızma testi ile network sızma testi aynı mıdır?
Hayır. Network testi ağ servislerini ve erişim yüzeyini değerlendirirken; AD sızma testi, kimlik/ yetkilendirme mimarisini, ayrıcalıklı hesap modelini ve attack path zincirlerini hedefler. AD testi, doğası gereği “kimlik temelli” riskleri önceliklendirir.
AD’de “küçük” bir yanlış yapılandırma gerçekten kritik olabilir mi?
Evet. AD riskleri çoğu zaman zincir etki üretir. Tek başına düşük görünen bir kontrol eksikliği, başka bir zayıflıkla birleştiğinde yetki yükseltme ve domain compromise senaryosuna taşınabilir.
Yönetim tarafı rapordan ne beklemeli?
Yönetim; teknik ayrıntıdan önce, attack path özetini, iş etkisini, öncelik sırasını, terminleri ve sorumlulukları görmek ister. Bu nedenle yönetici özeti ve aksiyon planı bölümü kritik önemdedir.
Yeniden test neden zorunlu gibi ele alınıyor?
AD tarafında bir değişiklik, başka bağımlılıkları etkileyebilir. Yeniden test; düzeltmenin işe yaradığını ve yeni bir risk doğurmadığını doğrulayan kapanış kontrolüdür. Yeniden test olmadan kapanış, kurumsal riskin “varsayımsal” yönetilmesine neden olur.
