Yedekleme sunucusunun güvenliği, BT altyapısının kritik bir parçasıdır ve titizlikle planlanmış ve sıkı önlemler gerektirir. Çok Faktörlü Kimlik Doğrulama (MFA) ek bir güvenlik katmanı sunsa da, belirli koşullar altında atlatılabilir. Bu makalede, Veeam Backup & Replication üzerinde MFA’nın nasıl atlatılabileceğine dair bir senaryo ve bu tür riskleri azaltmak için uygulanabilecek pratik çözümler ele alınmıştır.
Senaryo: MFA lockout olduysa Regedit ile Atlatılması
Aşağıdaki adımlar, MFA’nın yerel yönetici erişimiyle nasıl atlatılabileceğini göstermektedir:
- MFA Lisans Anahtarını Silin:
Şu kayıt defteri yoluna gidin:HKEY_LOCAL_MACHINE\SOFTWARE\Veeam\Veeam Backup and Replication\license\Lic*
MFA yapılandırmasıyla ilgili anahtarı silin. - Veeam Backup Servisini Yeniden Başlatın:
Windows Hizmet Yönetimini açın, Veeam Backup Service hizmetini bulun ve yeniden başlatın. - Yedekleme Konsoluna Giriş Yapın:
Hizmeti yeniden başlattıktan sonra, Veeam Yedekleme Konsoluna giriş yapın. - Lisansı Yeniden Yükleyin:
Lisans dosyasını tekrar yükleyerek yapılandırmayı tamamlayın. - MFA’yı Sıfırlayın veya Devre Dışı Bırakın:
Bu noktada MFA sıfırlanabilir veya devre dışı bırakılabilir, bu da sunucuya sınırsız erişim sağlar.
Zayıflık Analizi
Bu yöntem önemli bir tasarım hususunu ortaya koymaktadır:
- Yerel Yönetici Erişimi: Yedekleme sunucusuna doğrudan erişimi olan herhangi bir yerel yönetici, kayıt defteri anahtarlarını veya yapılandırmaları değiştirerek MFA’yı atlatabilir.
- Yedekleme Sunucusu Maruziyeti: Yedekleme sunucusuna uzaktan erişim verilmesi riski artırır, çünkü potansiyel saldırganlar benzer zafiyetleri kullanabilir.
Veeam v12 Tasarım Sürecindeki Yaklaşımlar
Veeam v12 geliştirme sürecinin erken aşamalarında, yerel yöneticiler için MFA sağlamama kararı alınmıştı. Bunun nedeni, bir yerel yöneticinin sadece MFA’yı devre dışı bırakabileceği değil, aynı zamanda yapılandırmaları değiştirme veya silme gibi daha kötü eylemler gerçekleştirebileceği gerçeğiydi.
Çözüm Yolları
Yedekleme altyapınızı korumak için şu çözümleri değerlendirebilirsiniz:
- Uzaktan Erişimi Kısıtlayın:
Yedekleme sunucusuna uzaktan giriş yapılmasını engelleyerek saldırı yüzeyini en aza indirin. - Yedekleme Sunucusu Güvenliğini Güçlendirin:
- Sunucunun fiziksel güvenliğini sağlayın.
- Yönetici erişimini yalnızca güvenilir ve sınırlı personele tahsis edin.
- Ağ Segmentasyonu Uygulayın:
Yedekleme sunucusunu, genel kullanıcı erişiminden izole edilmiş, yüksek güvenlikli bir ağ segmentine yerleştirin. - Denetim İzlerini Etkinleştirin:
Tüm yönetici faaliyetlerini izlemek ve yetkisiz eylemleri hızlı bir şekilde tespit etmek için loglama ve izleme araçlarını etkinleştirin. - Özel Hesaplar Kullanın:
Genel yönetici hesapları yerine, yedekleme işlemleri için sınırlı yetkilere sahip hizmet hesapları kullanın.
Sonuç
MFA, önemli bir güvenlik önlemi olsa da, yerel yönetici erişimi olduğunda etkinliği sınırlıdır. Organizasyonlar, yedekleme sunucularını korumak için güçlü fiziksel, idari ve teknik kontroller uygulamalıdır. Uzaktan erişimi ortadan kaldırarak, sıkı erişim politikalarını uygulayarak ve faaliyetleri sürekli izleyerek, BT ekipleri zafiyetleri en aza indirebilir ve potansiyel tehditlere karşı savunmalarını güçlendirebilir.