Bu yazıda, teoride tek tıkla yapılabilen ancak pratikte çoğu zaman sorun çıkaran; üstelik doğru bilinmezse gereksiz yetki veya delegasyon kullanımıyla saldırı yüzeyini artırabilecek bir durumdan bahsedeceğim.
Daha önce karşılaşmış olsam da o dönemler yazıya dökmediğim bu konuyu, geçtiğimiz günlerde tarafıma gelen telefon üzerine sizinle de paylaşmak istedim.
Bilindiği üzere domain ortamlarında en yetkili hesaplar enterprise admin, domain admin, schema admin gibi hesaplar… Evet varlar, fakat öyle günlük işlerde pek kullanılmazlar. Hatta çoğu yerde, şifreleri bile bir kasada durur. Normal bir durumdur, çünkü güvenlik işi bu; kimse risk almak istemez. Peki ya DHCP’yi authorize etmek? İşte o da bu “yüksek yetki” isteyen işlemlerden biri. Teoride, Commit tuşuna tıklarsın, biter. Ama pratikte… O yetkili hesap sende yoksa işler pek de öyle olmaz. Telefondaki kişinin yaşadığı sorun da tam olarak buradan kaynaklanıyordu. Kısaca söylemek gerekirse : “Commit’e tıklıyoruz ama authorize olmuyor.” Bu işlemi yukarıdaki hesaplardan biriyle yaparsanız hata almayacaksınızdır fakat belirttiğim gibi kurumsal ve güvenli networklerde Tier 0 dışındaki makinelerde bu hesaplar kullanılmaz. Bunun yerine belirli görevler için Active Directory üzerinden hassas ve kontrollü yetki devri (delegation) yapılır. Böylece hem güvenlik riskleri azaltılır hem de operasyonel işler tek bir ekibe bağlı kalmadan yürüyebilir.
DHCP yetkilendirme (authorize) işlemi de bu kapsama giren güzel örneklerden biridir. DHCP Role kurma işlemi sonrasında Authorize yapmak istediğinizde aldığınız hata aşağıdaki gibi olacaktır.
DHCP Authorize Failed
 |
 |
DhcpAdmin kullanıcımız AD üzerinde değil sadefce sunucu üzerinde yetkili olması dolayısı ile bu hatayı almaktasınız.
Delegasyon işlemi için Active Directory sunucusu üzerinde “Active Directory Sites and Services” konsolunu açıyoruz. View kısmından Show Services Node seçeneğini seçiyoruz.
Aşağı eklenecek olan Services alanından NetService klasörüne sağ click yaparak Delegate Control… seçeneğini seçiyoruz.
Açılan pencere üzerinde yetki vermek istediğimiz grubu seçiyor ve Custom delegation olarak full controll yetkisi tanımlıyoruz. Değişiklik yapılan ekranlar aşağıdaki gibi belirtilmiştir.
 |
 |
 |
 |
| Select User or Group | Custom Task to Delegate | Select AD Object Type | Select Full Control |
Gerekli yetkiler tanımlnadıktan sonra, Authorize işlemi yeniden gerçekleştirildiğinde aşağıdaki örnekte olduğu gibi “Done” ekranı ile başarılı bir şekilde tamamlandığını göreceksinz.
 |
 |
İlgili Microsoft makalesini Delegate ability to authorize DHCP servers to a non-enterprise administrator | Microsoft Learn başlıklı yazıdan okuyabilirisniz.
Günvelik Duvarı ortamlarında DHCP Management konsolunu farklı bir billgisayar (Connect Remote Computer) için çalıştırmak istiyor ve hata alıyor iseniz ; daha önce yazılmış Güvenlik Duvarı Ortamlarında RPC Dinamik Port Yapılandırması Nasıl Yapılır? konulu yazımı da okuyabilirsiniz.
Faydalı olması dileğiyle…
