Active Directory Zafiyetleri Artık Daha Kritik Finans ve Üretim Sektöründe Görülen Ortak Senaryolar

1. Active Directory Neden Kritik Bir Altyapıdır?

Active Directory, kurumsal ağlarda kimlik doğrulama, kullanıcı ve grup yetkilendirmesi, cihaz ve politika yönetimi gibi temel fonksiyonları üstlenen merkezi dizin hizmetidir. Kullanıcı hesapları, servis hesapları, grup yapıları, erişim kuralları ve çok sayıda iş kritik sistemle entegrasyon, AD üzerinden yönetilir.

Türkiye’deki finans kuruluşları ve üretim tesislerinde AD; core banking, SWIFT, CRM, ERP, terminal sunucuları, üretim otomasyonu, SCADA ve benzeri sistemlerle doğrudan veya dolaylı şekilde entegre çalışmaktadır. Bir domain controller’ın ele geçirilmesi, pratikte kurumun dijital omurgasının saldırganın kontrolüne geçmesi anlamına gelir.

2025 İtibarıyla Değişen Soru: “AD Hack’lenir mi?” Değil

Sahadaki tablo şunu gösteriyor: AD zafiyetleri yalnızca teknik açıklarla sınırlı değil. Yanlış yapılandırma, güncellenmeyen mimari, zayıf erişim politikaları, ortak lokal admin parolaları, yetersiz segmentasyon ve otomatize edilmemiş kimlik yaşam döngüsü; saldırı yüzeyini genişleten başlıca unsurlar.

Bu nedenle artık kurumların sorması gereken sorular şunlar:

• AD ortamı saldırıya uğradığında hasarı nasıl sınırlayabiliriz?
• Domain admin seviyesine çıkışı nasıl zorlaştırabiliriz?
• Finansal operasyonların ve üretim hatlarının durmasını nasıl engelleriz?

Nesil Teknoloji olarak saha çalışmalarımızda; özellikle finans ve üretim sektörlerinde AD zafiyetlerinin benzer davranış kalıplarından beslendiğini ve saldırı zincirlerinin tekrar eden rutinler üzerinden ilerlediğini gözlemliyoruz.

2. Finans Sektöründe Active Directory Neden Daha Kritik?

Finans sektörü, siber saldırganlar için en yüksek getiri potansiyeline sahip alanlardan biridir. Bankalar, finans kuruluşları ve ödeme sistemleri; doğrudan para, finansal veri ve regülasyon yükümlülükleri sebebiyle saldırganların en olgunlaştırdığı hedefler arasında yer alır. Bu tabloda AD, kurum içi ve dışı tüm erişimlerin kontrol edildiği ana kapıdır.

2.1. Yüksek Erişim Yoğunluğu

Finans kurumlarında çalışanlar, aynı anda çok sayıda uygulama ve sisteme erişir:

• Core banking sistemleri ve ana bankacılık altyapısı,
• SWIFT ve diğer uluslararası ödeme altyapıları,
• CRM ve çağrı merkezi uygulamaları,
• Finansal raporlama ve risk analiz yazılımları,
• Terminal sunucuları ve uzak masaüstü altyapıları.

Bu yoğunluk, AD üzerinde çok sayıda kimlik, grup ve yetki kombinasyonu üretilmesine yol açar. Erişim taleplerinin hızı ve hacmi arttıkça, insan hatasına bağlı yanlış yapılandırma olasılığı da ciddi ölçüde yükselir.

2.2. Karmaşık Entegrasyonlar

Finans kurumlarında AD, API’ler, DLP çözümleri, SIEM, EDR, firewall, PAM, ERP ve uçtan uca birçok sistemle entegre çalışır. Bu entegrasyonlar; servis hesapları ve SPN (Service Principal Name) yapıları üzerinden yönetilir. Yanlış yapılandırılmış bir servis hesabı bile tüm ortamı riske atabilecek güce sahiptir.

Saha çalışmalarında sıkça gördüğümüz tipik örnekler:

• Parolası 5–10 yıldır değişmeyen kritik servis hesapları,
• Local admin veya domain admin yetkisi verilmiş teknik kullanıcılar,
• “Temp”, “Test”, “Operator”, “ServiceUser” gibi kolay tahmin edilebilir hesap adları,
• Zayıf parola kombinasyonları ve rotasyonsuz hesap yaşam döngüleri.

2.3. Finans Sektörüne Özgü Saldırı Motivasyonları

Saldırganların hedefi sadece doğrudan para çalmak değildir. Finans sektöründe motivasyonlar çok katmanlıdır:

• SWIFT manipülasyonları ve sahte transfer girişimleri,
• Müşteri hesap verilerinin çalınması ve satılması,
• Kurumsal şantaj ve reputasyon baskısı oluşturma,
• Finansal operasyonların durdurulması ve hizmet kesintisi,
• Regülasyon ihlalleri üzerinden idari para cezaları oluşturma.

Tüm bu motivasyonlar, Active Directory’yi finans sektörü için hem saldırı zincirinin başlangıç noktası hem de nihai hedef hâline getiriyor.

3. Üretim Sektöründe Active Directory Zafiyetlerinin Artmasının Nedeni

Geleneksel olarak siber tehditlerin odağında olmayan üretim sektörü, OT (Operational Technology) ve IT sistemlerinin birleşmesiyle kritik bir hedef hâline geldi. Artık sadece ofis bilgisayarları değil; üretim hatları, robotik sistemler, SCADA ve PLC altyapıları da AD kaynaklı risklerden etkilenebilir durumda.

3.1. OT–IT Entegrasyonu Zafiyetleri

Modern üretim tesislerinde PLC’ler, SCADA sistemleri, robotik hatlar ve üretim otomasyonu; çoğunlukla AD ile entegre çalışan merkezi kimlik doğrulama yapılarıyla yönetilir. Bu nedenle AD’ye yapılacak bir saldırı, sadece kullanıcı bilgisayarlarını değil, fiziksel üretim sürecini de doğrudan etkileyebilir.

Üretim tarafında hâlen “OT ağı kapalıdır, dışarıya kapalı olduğu için güvendeyiz” varsayımı sık görülmekle birlikte, sahadaki gerçek; bu izolasyonun çoğu zaman tam anlamıyla sağlanamadığı yönündedir.

3.2. Zayıf Segmentasyon

Birçok üretim tesisinde OT ağı ile kurumsal IT ağı doğru şekilde segment edilmez. Bu durumda tipik saldırı zinciri şu şekilde ilerleyebilir:

• Bir kullanıcı bilgisayarının phishing veya zararlı yazılımla hack’lenmesi,
• Ortak lokal admin parolalarına sahip sunuculara sıçrama,
• Oradan da OT/üretim sistemlerini yöneten sunuculara geçiş.

Segmentasyon eksikliği, saldırganların lateral movement adımlarını son derece kolaylaştırır ve üretim hattının durmasına kadar gidebilen zincirleme etkiler doğurabilir.

3.3. Gecikmiş Güncellemeler ve Eski DC’ler

Üretim tesislerinde sistemler genellikle 7/24 çalıştığı için bakım ve güncelleme pencereleri sınırlıdır. Bu durum:

• Eski domain controller’ların (örneğin 2008 veya 2012’den upgrade edilmiş DC’lerin) uzun süre ortamda kalmasına,
• Güvenlik protokollerinin modern saldırı tekniklerine karşı zayıf kalmasına,
• Uyumsuz GPO’lar ve yetersiz loglama kabiliyetlerine

neden olur. Sonuçta üretim tarafındaki AD yapısı, hem siber saldırılara hem de regülasyon kaynaklı risklere karşı savunmasız hâle gelir.

4. Finans ve Üretim Sektörlerinde Ortak Görülen AD Zafiyet Senaryoları

Aşağıda yer alan senaryolar, Nesil Teknoloji’nin penetrasyon testleri, kırmızı takım faaliyetleri ve AD güvenlik denetimleri sırasında sıkça karşılaştığı gerçek vakalardan derlenmiştir. Finans ve üretim sektörleri farklı dinamiklere sahip olsa da, AD tarafında ortaya çıkan zafiyet kümeleri büyük ölçüde benzerdir.

4.1. Yanlış Yapılandırılmış Servis Hesapları

Servis hesapları genellikle:

• Kompleks parola gerektirmeden çalışır veya istisna tanımlanmıştır,
• Parolası yıllarca değiştirilmez,
• Local admin veya domain admin gibi geniş yetkilerle donatılmıştır.

Bu hesaplar, saldırganlar için Kerberoasting gibi tekniklerle hedeflenen birincil bileşenlerdir. Güncel donanımlarla hash kırma işlemleri dakikalar içinde sonuçlanabilir ve kısa sürede domain içindeki kritik yetkilere erişim sağlanabilir.

4.2. Kerberoasting’e Açık SPN Konfigürasyonu

Finans ve üretim ortamlarında SPN yapılandırmalarının önemli bir kısmı zayıf şifrelerle korunmaktadır. Saldırgan, domain üzerinde düşük yetkili bir kullanıcı hesabı elde ettikten sonra SPN yapısını sorgulayarak servis hesaplarının hash’lerini indirebilir ve offline ortamda kırmaya çalışır.

En sık görülen problemler:

• “Temp”, “Test”, “Operator”, “ServiceUser” gibi tahmin edilmesi kolay hesap adları,
• Zayıf ve tekrar eden parola kombinasyonları,
• Servis hesaplarına gereğinden fazla yetkinin atanması.

4.3. Privilege Escalation Zincirleri

AD üzerinde zincirleme yetki yolaklarının oluşması, saldırganların düşük yetkili bir kullanıcı hesabından başlayarak kısa süre içerisinde Domain Admin seviyesine yükselmesine imkân tanır. Saha senaryolarında sık karşılaşılan örnek bir zincir şudur:

• Kullanıcı bilgisayarından local admin haklarının elde edilmesi,
• LAPS devrede değilse tüm lokal admin parolalarının ortak olması,
• Bu bilgisayardan finans/üretim sunucularına atlama,
• Backup operatörü yetkisinin ele geçirilmesi,
• Backup üzerinden domain admin kimlik bilgilerinin dışa aktarılması.

Bu zincirin sonunda domain kontrolü tam kapsamlı olarak saldırganın eline geçer.

4.4. SMB Signing Devre Dışı ve NTLM Relay

Birçok kurumda hâlâ SMB Signing devre dışıdır. Bu durum, NTLM relay saldırıları için elverişli bir zemin oluşturur. Saldırgan, kimlik doğrulama trafiğini yeniden oynatarak domain ortamında lateral movement gerçekleştirebilir. Özellikle finans kuruluşlarında terminal sunucuları üzerinde bu zafiyet sıkça tespit edilmektedir.

4.5. Eski Domain Controller’ların Kullanımı

Üretim tesislerinde sıkça rastlanan tipik bir senaryo:

• Windows Server 2008’den upgrade edilmiş bir DC,
• Üzerine eklenmiş 2012 ve 2022 DC’ler,
• Arada kalmış, güncellenmemiş güvenlik politikaları ve eski şifreleme protokolleri.

Bu tür ortamlarda düşük SSP güvenliği, uyumsuz GPO’lar ve yetersiz loglama; AD güvenliğini ciddi biçimde zayıflatır.

4.6. GPO’ların Yanlış Konumlandırılması

GPO hataları, kurumların önemli bir kısmında aşağıdaki sonuçlara yol açmaktadır:

• Tüm kullanıcı bilgisayarlarına gereksiz admin yetkisi atanması,
• Şifrelerin GPO içinde düz metin tutulan script’lerde yer alması,
• Yazılım dağıtımlarının herkese açık ve kontrolsüz şekilde yapılması.

Bu hatalar, özellikle kırmızı takım perspektifinden bakıldığında saldırganlar için adeta altın madenidir.

4.7. Lokal Administrator Parolalarının Ortak Olması

LAPS veya Enhanced LAPS kullanılmadığında, aynı lokal admin parolası ile açılmış yüzlerce bilgisayarın ele geçirilmesi son derece kolay hâle gelir. Bu durum:

• Finans sektöründe lateral movement’ı hızlandırır,
• Üretim sektöründe ise OT ağına geçişi kolaylaştırır.

5. AD Saldırı Teknikleri ve Güvenlik Önlemleri

Active Directory zafiyetleri, saldırganların farklı teknikleri bir araya getirerek zincirleme şekilde ilerlemesine olanak tanır. Nesil Teknoloji’nin kırmızı takım operasyonlarında sıkça gözlemlediği başlıca teknikler şunlardır:

5.1. Saldırganların En Sık Kullandığı Teknikler

• Pass-the-Hash: NTLM hash’lerinin düz parola yerine kullanılması.
• Pass-the-Ticket: Ele geçirilen Kerberos ticket’larının farklı sistemlere erişimde kullanılması.
• Kerberoasting: SPN sahibi servis hesaplarının ticket’larının çekilip offline ortamda kırılması.
• AS-REP Roasting: “Do not require pre-authentication” özelliği açık hesapların hedeflenmesi.
• Mimikatz Credential Dumping: Bellekten kimlik bilgisi ve hash çıkarılması.
• BloodHound Attack Path Analysis: AD üzerindeki yetki ilişkilerinin grafiksel analizi.
• NTLM Relay: SMB Signing devre dışı olduğunda kimlik doğrulama trafiğinin yeniden oynatılması.
• Golden & Silver Ticket: KRBTGT veya hizmet bazlı ticket’lar üzerinden kalıcı erişim.

5.2. Finans ve Üretim Sektörleri İçin Önerilen AD Güvenlik Önlemleri

Bu tekniklere karşı etkili bir savunma inşa etmek için AD güvenlik mimarisi, katmanlı ve risk bazlı bir yaklaşımla yeniden tasarlanmalıdır.

5.2.1. Tiered AD Yapısının Kurulması

Kullanıcı, yönetici ve sunucu erişimleri farklı Tier seviyelerine ayrılmalıdır. Yüksek yetkili hesapların düşük güvenlik seviyesindeki cihazlarda oturum açması engellenerek “tek zafiyet → tüm domain düşer” etkisi minimize edilir.

5.2.2. LAPS veya Enhanced LAPS Uygulaması

Ortak lokal admin parolası kullanımını engellemek için LAPS / Enhanced LAPS devreye alınmalıdır. Böylece her makine için rastgele ve periyodik olarak değişen lokal admin parolaları üretilir; lateral movement riski ciddi oranda düşer.

5.2.3. Servis Hesapları İçin Özel Güvenlik Politikaları

Servis hesapları standart kullanıcı hesaplarından ayrı ele alınmalı ve şu prensiplerle yönetilmelidir:

• Düzenli parola dönüşümü ve zorunlu kompleks parola politikaları,
• Least privilege prensibine göre minimum yetki ataması,
• Mümkün olduğunda Kerberos only authentication kullanımı,
• Detaylı loglama ve periyodik denetim.

5.2.4. GPO Güvenlik Kontrollerinin Yeniden Tasarlanması

GPO’lar yalnızca konfigürasyon aracı değil, aynı zamanda güvenlik kontrol mekanizması olarak tasarlanmalıdır. Özellikle finans ve üretim şirketlerinde:

• Yerel admin haklarının minimize edilmesi,
• Local security policy ayarlarının sıkılaştırılması,
• Powershell yürütme politikalarının kısıtlanması,
• Kullanıcı izolasyonu ve oturum kısıtlamalarının devreye alınması

kritik önem taşır.

5.2.5. Kimlik Yönetiminin Sıkılaştırılması (PAM, MFA, Conditional Access)

Özellikle finans kurumlarında MFA, birçok kritik sistem için standart hâle gelmiş durumda. Üretim tarafında ise henüz aynı seviyede yaygın değildir; oysa OT ağlarına ve yönetim arayüzlerine erişimde MFA kullanımı artık zorunlu bir güvenlik katmanı olarak değerlendirilmelidir.

Buna ek olarak:

• Privileged Access Management (PAM) ile yüksek yetkili hesaplar kontrollü ve izlenebilir hâle getirilmeli,
• Conditional Access politikalarıyla riskli oturum ve lokasyonlar için ek doğrulama adımları uygulanmalıdır.

5.2.6. OT–IT Segmentasyonunun Katılaştırılması

Üretim ortamlarında firewall, VLAN ve erişim politikaları OT–IT ayrımı gözetilerek yeniden tasarlanmalıdır. Amaç, AD üzerinden gelen risklerin OT ağına kontrolsüz şekilde taşınmasını engellemektir.

5.2.7. BloodHound ile Düzenli Attack Path Analizi

Nesil Teknoloji’nin birçok müşterisinde periyodik olarak gerçekleştirdiği BloodHound tabanlı attack path analizi, kurumun AD zafiyet haritasını çıkarır. Böylece IT ve güvenlik ekipleri, sınırlı kaynaklarını en kritik risklere hızla odaklayabilir.

5.3. Türkiye’de AD Olgunluğu: 2025 Görünümü

Saha verilerimize göre özet tablo şöyle:

• Finans sektörü: Güvenlik ürünleri olgun, ancak yanlış yapılandırmalar ve servis hesabı yönetimi kritik risk oluşturuyor.
• Üretim sektörü: OT güvenliği AD ile daha fazla entegre, ancak siber güvenlik olgunluğu yeni yeni gelişiyor; görünürlük ve loglama çoğu kurumda yetersiz.

Her iki sektörde de Active Directory güvenliği, genel siber dayanıklılığın en kritik belirleyicilerinden biri hâline gelmiş durumda. AD sertleştirilmemiş bir kurum, ne kadar güvenlik ürünü kullanırsa kullansın saldırıya açıktır.

6. Sık Sorulan Sorular (SSS)