30 Mart 2013 Cumartesi

Notlar: Kayıt Tutma (Audit)

Notlar: Kayıt Tutma

Güvenliği sağlamanın bir adımı da denetleme ve izlemedir. Bu amaçlar denetim kayıtları kullanılmaktadır. Bu kayıtlarla muhtemel saldırılara karşı tedbir alınabilir, gerçekleşmiş bir saldırı hakkında bilgi sahibi olunabilir. Denetim kayıtları konusunda bazı dikkat edilmesi gereken noktalar şunlardır:
  • Denetim kayıtların merkezi bir yerde saklanmalıdır. Bu kayıtlara erişimler kısıtlanmalıdır. Böylece, bir sisteme girilmiş fakat bu sistem ile alakalı kayıt dosyaları uzak bir sunucuda tutulmuş ise saldırganın yaptığı işlemleri gizlemesi çok zor olacaktır.
  • Bütün kayıt dosyalarının tek bir yerde tutulması sisteminiz için ek bir güvenlik önlemi getirmenin yanı sıra merkezi bir sistemden kayıt dosyalarının incelenmesi ve yönetilmesi çok daha kolay olacaktır. Bu merkezi yerin güvenliğinin sağlanması ayrı bir önem arz etmektedir.
  • Özellikle kritik veriler için denetim kayıtlarının son 2 yedeklemeden sonrası için üzerine yazılması tavsiye edilmektedir. Örneğin haftada bir denetim kayıtlarının yedeklemenin yapıldığı bir sistemdeki denetim kayıtları 15 günde bir üzerine yazılacak şekilde ayarlanmalıdır. Aksi halde veri kaybı yaşanabilmektedir.
  • Kayıtlarda en önemli bilgi zaman bilgisidir. Kayıtların anlamlı olabilmesi için bu kayıtların zaman bilgilerinin doğru olmasına dikkat edilmelidir. Ortamdaki sistemlerin zaman bilgilerinin doğru ya da senkron olmaması durumda, sistemlerden toplanan bilgiler büyük oranda işe yaramayacaktır. Örneğin, zaman senkronizasyonunun olmaması durumunda Kerberos ile kimlik doğrulama gerçekleşemeyecektir.
  • Mevcut kayıtların belli periyotlarla gözden geçirilmesi ve değerlendirilmesi, gerekli önlemlerin alınması büyük önem arz etmektedir. Böylece olası tehditlerin riski azaltılabilecektir.

Kayıtlarda olması tavsiye edilen temel bilgiler şu şekildedir: Olayın gerçekleştiği zaman bilgisi, olayı gerçekleştiren kullanıcı bilgisi, hedef ve kaynak sistem bilgileri, vs.

Kayıtların tutulması bazı yükümlülükler için de gereklidir. Bu yükümlülükler bilinerek kayıtların tutulması organizasyonun imajını koruyacaktır.
Gönderen zaman: Hiç yorum yok:
Etiketler: , , , , ,

23 Mart 2013 Cumartesi

Notlar: Belli Kullanıcıların Logon Ekranında Gizlenmesi


Belli Bir Kullanıcının Gizlenmesi

Herhangi özel bir ayar yapılmamışsa, varsayılan olarak oturum açma ekranında kullanıcılar listelenir:

"Kullanici2" adlı kullanıcıyı kaldırmak için aşağıdaki adımlar izlenmelidir.
Kayıt Defteri üzerinde Winlogon altına "SpecialAccounts" adında bir anahtar oluşturulur:

Daha sonra bu anahtar altına "UserList" adında yeni bir anahtar oluşturulur:

Bu anahtar altına yeni bir kayıt değeri girilir:

Not: Bu kayıt değeri 0 olarak oluşturulmuştur.
Bu kayıt değeri gizlenmesini istediğimiz kullanıcı veya kullanıcılar olabilir:

Artık "Kullanici2" oturum açma ekranında gözükmemektedir:

Ayrıca Denetim Masası'nda da bu kayıt gözükmemektedir. Komut satırından veya Yerel kullanıcılar kısmında ise gözükmektedir.

Eğer kullanıcı eski haline getirmek istenirse ya o kayıt değeri "1" olarak değiştirilir ya da o kayıt tamamen silinir:

Gönderen zaman: Hiç yorum yok:
Etiketler: , , , , ,

Notlar: Dump Verisinin Kaydedilmesi


Notlar: Mavi Ekran Hatası

Bir problem olduğunda ve bilgisayar mavi ekran (BSOD - Blue Screen of Death) verdiğinde hatayı bulmak veya hata öncesinde RAM'deki bilgileri elde etmek için kernel memory dump'ı gerekir. Bu dosyada RAM'in anlık bir snapshot'ı bulunur. Bu dump dosyasının alınması için aşağıdaki ayarın yapılması gerekir:

Dump dosyalarının alınması 3 şekilde olabilir:
  • Küçük dump: Sistem çökerken RAM'de bulunan exe/binary dosyalarının kaydını tutmaz. 64 KB kadardır. "%SystemRoot%\Minidump" altındadır. Sistem çöktükçe bu kayıtlar devamlı tutulur.
  • Kernel Dump: Kernelin tüm kaydını tutar. Sistemin çökmesi ile ilgili olmadığı düşünülen veri hariç, tüm verilerin kaydını tutar. Kernel boyutu kadardır. 512 MB RAM için ortalama olarak 60 MB, 4 GB RAM için ortalama olarak 530 MB kadar olabilir. "%SystemRoot%\MEMORY.DMP" dosyasıdır. Yukarıdaki resimdeki ayara göre sadece en son sistem çöküşündeki kernel dump'ı tutulmaktadır. Bu sebeple 1 tane dosya bulunmaktadır.
  • Tam Dump: RAM'in tamamını tutar.

Kaynak site:
http://www.networkworld.com/news/2005/041105-windows-crash.html?page=1
Gönderen zaman: Hiç yorum yok:
Etiketler: , , , , ,

NetBIOS İptali


Notlar: NetBIOS'un Devre Dışı Bırakılması

Netbios kullanılmasının önlenilmesi için hem networksel olarak kullanımı önlenmeli, hem de bu işlemi gerçekleştiren sürücü devre dışı bırakılmalıdır.

WINS ayarı
TCP/IP üzerinden NetBIOS kullanımını devre dışı bırakmak için WINS sekmesinden iptal seçeneği ayarlanmalıdır:

Sürücü ayarı
Netbt.sys sürücüsünün kaldırılması için komut satırını yönetici olarak başlattıktan sonra "sc.exe config netbt start= disabled" komutu çalıştırılmalıdır:

Sürücünün devre dışı bırakılması Aygıt Yöneticisi kullanılarak da gerçekleştirilebilir. Bunun için gizli sürücülerin izlenmesi sağlanır:

Daha sonra NetBT sürücüsünün başlama tipi devre dışı olarak belirlenir ve bilgisayar yeniden başlatılır:

Gönderen zaman: Hiç yorum yok:
Etiketler: , , , , ,
Kaydol: Kayıtlar (Atom)