MS14-068 Kritik Windows Güncellemesi ve Zafiyetin İstismarı

MS14-068 Kritik Windows Güncellemesi ve Zafiyetin İstismarı

Microsoft tarafından MS14-068 hak yükseltme zafiyetine ait bülten 18 Kasım 2014 tarihinde yayınlanmıştı. Zafiyete ait güncelleme KB3011780 güncelleme paketi bulunmaktadır. Bu paketin sistemde mevcudiyetini kontrol etmek için bağlantıdaki Powershell betiği kullanılabilir veya daha basit olarak aşağıdaki komut çalıştırılabilir:

wmic qfe where HotFixID="KB3011780" get Caption, HotFixID

Yazının devamı için bakınız:
http://www.siberportal.org/blue-team/securing-microsoft-domain-environment/mitigating-the-vulnerability-in-kerberos-could-allow-elevation-of-privilege-ms14-068/
ve
http://www.siberportal.org/red-team/microsoft-domain-environment-penetration-tests/obtaining-domain-admin-privileges-by-exploiting-ms14-068-vulnerability-with-the-python-kerberos-exploitation-kit-pykek/
ve
http://www.siberportal.org/blue-team/securing-microsoft-domain-environment/analysis-vulnerability-in-kerberos-could-allow-elevation-of-privilege-ms14-068/

Etki Alanı Saldırılarından Korunma Yolları: Diğer Güvenlik Önlemleri

Etki Alanı Saldırılarından Korunma Yolları: Diğer Güvenlik Önlemleri

Etki alanı sızma testlerinden ve etki alanında gerçekleştirilebilecek saldırılardan korunmak için birçok önlem bulunmaktadır. Bu önlemlerden bazıları şu şekildedir:

a) Kaba kuvvet saldırılarından korunmak için parola ilkesi uygun şekilde ayarlanmalıdır. Bu amaçla karmaşık, uzun, sık sık güncellenen, birbirini tekrar etmeyen parolaların kullanılması sağlanmalıdır. Kritik kullanıcılar için özel parola politikaları belirlenmelidir. Bu amaçla gölge (shadow) gruplar oluşturularak bu gruplara Fine-Grained Parola Politikaları uygulanabilir. 

b) Kullanıcıların bilgisayarlarında yönetici olarak oturum açmaması sağlanmalıdır. Yönetici hakkı ile gerçekleştirilmesi gereken işlemler özel bir grup (yardım masası gibi) tarafından gerçekleştirilmeli ve gerekli işlemler gerçekleştirildikten sonra bilgisayar yeniden başlatılmalıdır. 

c) En az yetki prensibi doğrultusunda, yerel bilgisayarlardaki ve etki alanındaki kullanıcılara sadece görevleri doğrultusunda haklar verilmelidir. Kısa süreli olarak gerekli olan haklar ise, takip edilmeli ve denetlenmelidir; işlem bittikten sonra bu haklar geri alınmalıdır. Özellikle antivirüs, DLP gibi ajanlarla çalışan sistemler etki alanındaki kritik kullanıcıların hakları ile çalıştırılmamalı, özel olarak oluşturulmuş ve yetkilendirme yapılmış servis hesapları ile çalıştırılmalıdır. Kritik hesap yetkileri ile çalıştırılması durumunda, ilgili makinede yönetici yetkisi olan bir kullanıcı saldırı araçları ile o hesabın jetonu (token) alarak veya prosesine sıçrayarak etki alanında yönetici durumuna geçebilir ve kendisine Domain Admins veya Enterprise Admins gruplarına üye olan bir kullanıcı oluşturabilir (alarm oluşturulmamışsa bu durumdan haberdar olunmaz). En az yetki prensibinin bir tarafı da yetkinin uygulandığı alan olarak düşünülebilir. Özellikle kritik işlemler için, işlemi yapan kullanıcının yetkisinin sınırlı olması yetmez, yetkinin kullanıldığı sistemin (bilgisayarın) da sınırlı yetkilendirmeye sahip bir bilgisayar olması tavsiye edilmektedir. Şöyle ki, yardım masası gibi belli yetkileri olan kullanıcıların, RDP veya bazı sistemler kullanarak kurum personelinin bilgisayarına eriştiği makinenin (kurumsal görevi için kullandığı makinenin), günlük işlemler için kullandığı makine haricinde olması, mümkinse de bir sanal makine veya uzak makine olması güvenliği bir kat daha arttıracaktır. 

d) Linkedin, Hotmail, Facebook gibi sitelerdeki üyelerin parolaları veya parolaların özetlerinin saldırganlar tarafından ele geçirildiği sık sık gündeme gelmektedir. Bu sebeple etki alanındaki (özellikle kritik sistemlere erişen) personelin oturum açmak için ve kurum içindeki sistemlere bağlantı için kullandıkları parolalarını, kurum dışındaki sistemlerde (bloglar, sosyal paylaşım siteleri, haber siteleri vs) kullanmamaları önerilmelidir. Ayrıca parolalarının da bu sitelerdeki parolalarıyla benzer olmaması - tahmin edilebilir olmaması - da tavsiye edilmektedir. 

e) Kurumdaki personelin kurum ile ilgili parolalarını açık olarak saklamamaları, parola saklama programları veya en azından MS Ofis programları içerisinde şifreli olarak saklamaları tavsiye edilmektedir. Sızma testi adımlarında bahsi geçen "Araştırma" adımında bazı anahtar kelimelere göre (parola, şifre, password, root, admin vs) bilgisayarlar taranarak parola dosyaları arandığı göz önüne alındığında, parolaların saklandığı dosyaların adının kolay tahmin edilebilir olmaması ek güvenlik sağlayacaktır. Parola güvenliği ile ilgili bir yazı Bilgi Güvenliği Kapısı'nda yayınlanmıştır. 

f) Bilgisayarlardaki güvenlik duvarları, UAC gibi güvenlik sistemleri etkin olmalıdır. Hak yükseltme işlemleri sırasında işletim sistemi tarafından yönetici onay modunun etkinleştirilmesi tavsiye edilmektedir. Konu ile ilgili bir yazı Bilgi Güvenliği Kapısı'nda yayınlanmıştır. 

g) Bilgisayarlar veya paylaşımlar üzerinde kritik bilgiler bulunmamalıdır. Bu kritik bilgilerden bazıları aşağıdaki gibidir:

• Şifresiz olarak saklanan kritik bilgiler (özellikle kritik kullanıcılara ait parola ve kritik sunuculara ait IP veya oturum bilgileri)

• Zamanlanmış görevler veya özel operasyonlar için kullanılan betikler içerisinde kullanıcı hesabı ve sistem bilgileri

• Kritik sistemlere bağlantı için kullanılan ve oturum bilgileri içerisinde kayıtlı olan RDP, SSH veya FTP bağlantı dosyaları

h) Etki alanı denetleyicisi (DC) gibi kritik sunuculara uzaktan erişimler (RDP,SSH, FTP,... vs.) engellenmelidir. Kritik sunuculara fiziksel güvenlik önlemlerinin alındığı ortamlardan erişilebilmelidir. Bu önlemin mümkün olmadığı durumlarda sadece belli adreslerden uzak bağlantı yapılmasına izin verilmelidir. Bunun yanı sıra güvenliğin yeteri kadar sağlanamadığı ortamlara etki alanı denetleyicisi kurulması gerekiyorsa RODC sunucularının kullanılması tavsiye edilmektedir. RODC ile iligli ayrıntılı bir yazı Bilgi Güvenliği Kapısı'nda yayınlanmıştır. 

i) Gerçekleştirilecek her güvenlik önlemi iyi planlanmalı, test edilmeli, daha sonra uygulanmalıdır. Gerçekleştirilen önlemler öncesinde ve sonrasında denetlenmelidir. 

j) Farklı etki alanlarına sahip kurumlarda, sızılan bir etki alanından diğer etki alanlarına erişilememesi için, her etki alanı diğer etki alanları ile olabildiğince soyutlanmalıdır. Bu amaça boş kök etki alanı (empty root domain) kullanılabilir. Ayrıca, kök etki alanında bulunan kritik gruplardaki (Enterprise Admins) kullanıcılar, alt etki alanlarında oturum açmamalıdır. Bunun yanında etki alanları arasında kurulan güven ilişkilerinde (trust relationship); ilişkinin geçişliliği, yönü ve türü konularına dikkat edilmeli, seçmeli kimlimlik doğrulama (selective authentication) kullanılmalıdır. Böylece saldırı yüzeyi daraltılmaktadır. 

k) DMZ içerisindeki sunucular tekil (stand-alone) olarak çalışmalı veya kuruma ait etki alanı dışında ayrı bir etki alanı ile yönetilmelidir. Ayrı olarak oluşturulacak yeni etki alanının, kurum etki alanıyla ilişkisi bulunmamalıdır. İki farklı etki alanının yöneten sistem yöneticileri farklı olmalı veya farklı/benzer olmayan hesap bilgileri kullanmalıdırlar. 

l) Sızma testleri ve etki alanı saldırıları sırasında etki alanındaki hesapların ve kurumda bulunan bilgisayarlardaki yerel hesapların parolaları açık olarak ve özet halinde elde edilebilmektedir. Bu sebeple bir saldırı durumunda veya etki alanı sızma testinden sonra, bilgisayarlardaki yerel kullanıcıların (local users) ve etki alanındaki kullanıcıların (domain users) parolaları değiştirilmelidir. Etki alanındaki kullanıcıların parolalarını değiştimeleri için grup ilkeleri ile değişikliğin gerçekleştirilmesi beklenebilir, ancak kritik sistemlere (veritabanı, aktif cihaz gibi) erişimi olan veya kurum için kritik varlıklara (müşteri bilgileri gibi) erişimi olan personelin parolalarını derhal değiştirmeleri tavsiye edilmektedir. Benzer şekilde kritik makinelerdeki yerel kullanıcıların parolaları değiştirilmeli,  yerel yönetici parolaları birbirinden farklı olarak ayarlanmalıdır.

Not: Etki alanı sızma testlerinden önce (ve saldırının her an olabileceği düşüncesi ile belli periyotlarla) kritik sistemlere ait yedeklerin alınması ve güvenilir şekilde korunması tavsiye edilmektedir. Bir problem durumunda gerçekleştirilecek işlemler için de acil eylem planlarının hazır olması tavsiye edilmektedir. 

m) Kimlik doğrulamasını etki alanı denetleyicilerine sorgulatan ara sistemlerden (örneğin, Exchange Server 2010 için CAS rolüne sahip sunuculardan) personelin parolaları, bazı proseslerden açık olarak alınabilmektedir. Bu durum kurumda bir takım iyileştirmeler için de kullanılabilir. Örneğin;

• İç eğitimlerde kullanılabilir. Personele, özel hayatında kullandığı parolalara benzer parolalar kullanmaması gerektiği belirtilebilir. Özellikle kritik sistemlere ve verilere erişimi olan personelin parolalarını farklı oluşturmaları sağlanmalıdır.

• Denetimlerde kullanılabilir. Bu sunuculardaki proseslerinin dump'ının alınması da dahil olmak üzere, belirli nesnelere erişimlere erişimleri kayıtları alınmalı ve bu kayıtlar güçler ayrılığı prensibine uygun olacak şekilde (Güvenlik Birimi gibi sistemin yöneticileri haricinde bir grup tarafından) denetlenmelidir.

• Sıkılaştırmalarda kullanılabilir. Elde edilen parolalar kullanılarak, personelin kullandığı parolaların güçlü olup olmadığı incelenebilir. Kolay parola kullanan, kaba kuvvet saldırıları ile parolası tespit edilebilecek personel uyarılmalıdır.

n) Microsoft, sistemin sürekliliğinin sağlanması için önbelleğe alınmış kimlik bilgileri (cached credentials) kullanmaktadır. Bu bilgiler sayesinde etki alanı denetleyicisine erişim sağlanamadan etki alanı hesabı ile oturum açılabilmekte ve bazı sistemlere erişim sağlanabilmektedir. Ancak bu durum saldırganlar tarafından kötüye kullanılabilmektedir. Bilgisayarı ele geçiren ve kaba kuvvet saldırısı gerçekleştiren saldırgan - hesap kilitleme, loglanma, parola kırma gibi dertleri olmadan - kullanıcıya ait kimlik bilgilerini ele geçirebilir. Bu sebeple özellikle kritik kullanıcıların son oturumlarına ait bilgilerinin bilgisayar üzerinde saklanmaması tavsiye edilmektedir. 

o) Sızma testleri sırasında, sızma testlerini gerçekleştiren kullanıcılara ve bu kullanıcıların bilgisayarlarına verilen tüm yetkilerin geri alınması unutulmamalıdır. Ayrıca sızma testlerini gerçekleştiren personelin, test sırasında oluşturduğu tüm kullanıcılar ve gerçekleştirdikleri tüm değişiklikler geri alınmalıdır. 

p) Gerçekleştirilecek teknik önlemler haricinde iki temel noktaya daha dikkat çekilmesinde fayda bulunmaktadır.

• Kurumda çalışan personel belki de kurum için en zayıf halka niteliğindedir. Nasıl ki bir zincir en zayıf halkası kadar güçlü ise, bir kurumun güvenliği de en zayıf bileşeni kadar güvenilir sayılır. Bu sebeple kurum personeline gerekli güvenlik eğitimlerinin verildiğine ve bilinçlenmenin sağlandığına emin olunmalıdır. Yeni işe başlayan veya teknik işlerde çalışmayan personel de dahil olmak üzere uygun seviyede bilinçlendirme eğitimleri düzenlenmeli, bu eğitimler ölçülmeli, iyileştirilmeli ve sürekliliği sağlanmalıdır. Özellikle sosyal mühendislik saldırılarına karşı bilinçlendirme sağlanmalıdır.

• Belki de en önemli önlem: Üst Yönetim Desteği. Etki alanı saldırılarına karşı teknik operasyonların uygulanması ve sürekliliğin sağlanması oldukça önemli konulardır. Ancak gerçekleştirilen bu önlemler kurum personelinin tepkisine yol açabilecektir. Örneğin; personelin parolasını en az 8 karakter olarak oluşturmak zorunda olması, bilgisayarlarında yerel yönetici haklarına sahip olan personelden bu hakların alınması,... gibi durumlarda karşılaşılabilecek tepkilere karşı üst yönetim maddi ve manevi destekten kaçınmamalıdır. Böylece sadece kurum bilgisi ve imajı korunmayacak, ayrıca ülkeyi zor durumda bırakacak durumlara karşı da tedbir alınmış olunacaktır.

Etki Alanı Saldırılarından Korunma Yolları: Kritik Hesapların Kullanımı

Etki Alanı Saldırılarından Korunma Yolları: Kritik Hesapların Kullanımı

Etki alanı sızma testlerinde gerçekleştirilen adımlardan birisi de araştırma adımıdır. Bu adımla ilgili ayrıntılı bilgi için bakınız:

http://ertugrulbasaranoglu.blogspot.com.tr/2013/10/ipucu-yuksek-yetkili-kullanc-haklarnn.html 

http://ertugrulbasaranoglu.blogspot.com.tr/2013/10/ipucu-domainde-yetkili-kullancnn.html

Araştırma adımında, oturum açılan bilgisayarlarda kritik kullanıcılara ait bilgilerin elde edilememesi sağlanmalıdır. Bu amaçla, etki alanındaki kritik hesaplar uygun şekilde kullanılmalıdır.
Kritik hesaba sahip kullanıcıların iki ayrı hesabı bulunmalıdır: Etki alanında yönetimsel operasyonlar için kullanılan yetkili kullanıcı hesabı ve bu kritik hesaba sahip yöneticinin günlük işlemlerini gerçekleştirdiği yetkisiz kullanıcı hesabı. Kritik hesapların kullanımı için, en az aşağıdaki önlemlerin uygulanması gerekmektedir.

a) Yetkili hesap ile DC hariç hiçbir bilgisayarda oturum açılmamalıdır. Açılmış oturum varsa, bu oturumlar kapatılmalıdır. Gerekiyorsa etki alanındaki kritik kullanıcıların istemci makinelerde ve DMZ ağındaki bazı sunucular olmak üzere bu hesapların oturum açması gerekmeyen sunucularda oturum açamayacakları şekilde grup ilkeleri düzenlenmelidir. Etki alanında kritik olan gruplar yerine, yardım masası veya destek grupları gibi grupların bu sistemlerde oturum açıp, bakım yapabilmesine izin verilmelidir. İzin verilen bu kullanıcıların da yetkilerinin iyi sınırlandırılmış olması, sadece gerekli izinlerin verildiğinden emin olunması gerekir. Günümüzde sızma testlerinde açık bırakılmış oturumdaki parola bilgilerini RAM’den elde edebilen ve parolaları açık olarak sunan uygulamalar (WCE, Mimikatz gibi) kullanılmaktadır. Bu uygulamalar hakkında ayrıntılı bilgi için Bellekten Parolaların Elde Edilmesi - 1 ve Bellekten Parolaların Elde Edilmesi - 2 yazıları incelenebilir. Bu uygulamalardan korunmak için çeşitli yöntemler vardır. En önemli önlem ise kritik hesaplarla oturum açıldıktan sonra bilgisayarın yeniden başlatılmasıdır. Diğer güvenlik önlemleri için bakınız: Bellekten Parolaların Elde Edilmesi - 3 

b) Sızma testlerinde, ele geçirilen bilgisayarlar üzerinde kritik kullanıcı hesabı ile başlatılmış prosesler tespit edilerek, o proseslere atlandığı “araştırma” adımında görülmüştü. Bu sebeple etki alanında kritik olan hesaplar ile DC haricinde hiçbir bilgisayarda proses başlatılmamalıdır. Başlatılmış proses varsa, bu prosesler sonlandırılmalıdır. Proseslerin sonlandırılmasının yanında, bilgisayarın yeniden başlatılması tavsiye edilmektedir. 

c) Yetkili hesaplar ile etki alanı denetleyicisi (DC) üzerinde açılan oturumda sadece etki alanı yönetimi ile ilgili işlemler gerçekleştirilmelidir. Özel işlemler için yetkisiz olan hesap ve kritik olmayan bir bilgisayar kullanılmalıdır. 

d) Yetkili hesaplarla gerçekleştirilen kritik işlemler sırasında anlık olarak bilgilendirme sağlanabilmesi için alarmlar oluşturulmalıdır. Alarm oluşturulabilecek bazı durumlar aşağıdaki gibidir:

• Etki alanındaki kritik gruplara kullanıcı ekleme veya kritik gruplardan kullanıcı çıkarma işlemleri

• Etki alanındaki kritik gruplar veya kullanıcılar üzerinde gerçekleştirilen yetki değiştirme işlemleri

• Grup politikaları üzerinde gerçekleştirilen güncelleme, yetki devri, yetki değiştirme işlemleri

• Kritik grupların kapsam (scope) veya tipi (type) üzerindeki değişiklik işlemleri  

e) Yetkili ve yetkisiz kullanıcı hesaplarının adlarının (account name) birbiri ile benzer olmaması gerekmektedir. Böylece etki alanında yönetici konumda olan kişinin bilgisayarının tespiti kısmen de olsa zorlaşır, etki alanı yöneticisine ait bilgisayardan elde edilebilecek kritik bir takım bilgilerin elde edilmesi daha fazla zaman alır. 

f) Bir kullanıcı herhangi bir bilgisayarda ilk kez oturum açtığında bilgisayar üzerinde bazı bilgiler oluşturulmaktadır. Örneğin kayıt defteri (Registry Editor) değerlerinde bazı güncelleştirmeler gerçekleştirilmekte, Windows 7 işletim sisteminde C:\Users altında otomatik olarak bazı dosyalar oluşturulmaktadır. Sızma testleri ve etki alanı saldırılarındaki adımlardan biri olan "Araştırma" adımında otomatik olarak oluşturulan bu bilgiler aranmaktadır. Bu sebeple, kritik kullanıcıların (Domain Admins grubu kullanılmıyorsa Yardım Masası gibi grupların üyeleri kritik grup olarak görülebilir) kendi bilgisayarları haricinde oturum açtığı oturumlar kapatıldığında bu bilgilerin otomatik olarak silinmesi için grup ilkeleri ile betikler kullanılabilir. 

Post Exploitation: Yönetimsel Paylaşımların Açılması

Post Exploitation: Yönetimsel Paylaşımların Açılması

Etki alanı saldırılarında Domain Admin olduktan sonra diğer sistemlere (veritabanı, ağ cihazları, sanallaştırma sistemler vs) giriş sağlamak için bu sistemlerin yöneticilerinin bilgisayarları tespit edilir. Örneğin, bir bilgisayarda önemli bir kullanıcının (EaKullanicisi1, Oracle DB yoneticisi, Network Yoneticisi vs) oturum açtığı ve bu bilgisayarın ilgili kişinin istemci bilgisayar olduğu tespit edilir.

Not: Bilgisayarı tespit etmek için KACAK adlı betik hedefe yönelik sonuç alma konusunda oldukça yararlıdır. Bunların haricinde birbirinden daha farklı yöntemler de vardır. Ancak belli kullanıcının oturum açtığı istemci bilgisayarını tespit etme konusu kapsam dışındadır.

Aranılan bilgisayar tespit edildikten sonra bu bilgisayara bağlantı kurulmaya çalışdığında RDP ile bağlanılamamakta ve yönetimsel paylaşımına girilememektedir. Çünkü bu bilgisayar kullanıcısı tarafından sıkılaştırılmış olabilmektedir.

Çünkü bu bilgisayarın yönetimsel paylaşım ve uzak masaüstü bağlantı ayarları aşağıdaki gibidir:

net share
reg query HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters /v AutoShareWks
reg query HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters /v AutoShareServer
reg query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections

Mevcut port tarama sonucu şu şekildedir:

Not: Paylaşım portu (445) açıkken, masaüstü erişim portu (3389) kapalıdır. Ancak 445. port açık olmasına (servis çalışmasına) rağmen daha önceki resimde de görüldüğü gibi ynetimsel paylaşımlar (C$ ve Admin$) kapalıdır.

Ancak bu metod etki alanı sızma testlerinde  etki alanı yönetici haklarına sahip olunduktan sonra saldırgan rolündeki kişi tarafından atlatılabilir. Bu bilgisayara erişmek için yönetimsel paylaşımı veya RDP bağlantısı açılması gerekmektedir. Bu işlem Remote Registry Editor (regedit.exe) ile kolaylıkla gerçekleştirilebilir. Eğer birden fazla bilgisayar (veya kullanıcı) söz konusu ise bu işlem zorlaşabilmektedir. Bunun gibi bir durumda ise betikler veya DC üzerindeki Grup İlkeleri kullanılabilir.

1) Remote Registry Editor (regedit.exe) veya Betik ile
smb_enumusers_domain modülünde kullanılan veya hedef istemci bilgisayarda yetkili olan bir hesap ile aşağıdaki komutlar çalıştırılarak ilgili kayıt değerleri değiştirilebilir:

reg add \\192.168.8.143\HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters /v AutoShareWks /t REG_DWORD /d 1 /f
reg add \\192.168.8.143\HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters /v AutoShareServer /t REG_DWORD /d 1 /f
reg add "\\192.168.8.143\HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f

Not: Bu işlemin geçerli olması için istemcideki "Remote Registry" adlı servisi çalışıyor olmalıdır.
Not: Eğer birden fazla bilgisayar için işlem yapmak gerekiyorsa bir betikle her IP değeri için bu işlem gerçekleştirilmelidir.

Bunun yanında görsel olarak da editor üzerinden bu işlem gerçekleştirilebilir. Herhangi bir Windows makinede Registry Editor üzerinde "File > Connect Network Registry" adımları ile istenilen bilgisayara bağlanılabilir.

Daha sonra da istenilen değişiklik gerçekleştirilir.

Not: Yönetimsel paylaşımların etkinliği için gerçekleştirilen değişikliklerin gerçekleşmesi için bilgisayar yeniden başlamalıdır. Yeniden başlama işlemi için yine uzaktan bir komut ile (shutdown /m \\PC1 /f /r /t 0) bilgisayar yeniden başlatılmaya zorlanmalıdır.

Not: Yeniden başlatmaya gerek kalmadan lanmanworkstation ve lanmanserver servisleri durdurulup tekrar başlatılırsa (net stop <ServisAdi> ve net start <ServisAdi>) da ilgili değişiklikler yansıyabilir. Ancak bu durum her zaman geçerli olmayabiliyor. Bu sebeple bilgisayarn yeniden başlatılması daha garanti bir yöntemdir.

Son durumda (kayıt değerleri değiştirildikten ve bilgisayar yeniden başladıktan sonra) istemci üzerinde aşağıdaki komutlar kullanıldığında uygulanan değişikliklerin yansıdığı görülmüştür:

net share
reg query HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters /v AutoShareWks
reg query HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters /v AutoShareServer
reg query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections

Böylece yetkili herhangi bir Windows makineden, yönetimsel paylaşımların açıldığı ve uzak masaüstü bağlantısının etkinleştiriği görülmektedir.

2) Grup İlkeleri ile
Kayıt Defteri (veya regedit) ile kayıt değerlerinin değiştirilmesi için Remote Registry adlı servisin başlatılmış olması gerekir. Eğer başlatılmamışsa Grup İlkeleri ile daha önceden gerçekleştirilen aynı işlemler gerçekleştirilebilir.

Bu amaçla ilgili bilgisayarın [(PC1) veya kullanıcının (eakullanicisi1)] bulunduğu OU (sirket.local/Bilgisayarlar/Ankara/Bilgi Islem/Sistem ve Guvenlik/PC1) altındaki grup ilke nesnesi (GPO) kullanılacaktır. Grup ilkesinin ilk hali şu şekildedir:

Grup ilkesi için kayıt değeri aşağıdaki şekilde güncellenir:

• Bu amaçla Registry Wizard kullanılabilir. Ayrıntılı bilgi için bakınız: http://technet.microsoft.com/en-us/library/cc771001.aspx
• Diğer bir yöntem de şu şekildedir: http://technet.microsoft.com/en-us/library/cc753092.aspx
• Ayrıca betiklerle de bu işlem gerçekleştirilebilir: http://technet.microsoft.com/en-us/library/cc779329(v=ws.10).aspx

Son durumdaki grup ilkesi aşağıdaki gibi olacaktır.

Grup ilke nesnesi güncellendikten sonra ilgili değişiklikler gerçekleşmiştir (Bilgisayarın kendi kendine politikayı alması beklenmemesi için "gpupdate /force" komutu kullanılmıştır)

UYARI: Grup ilkelerinin kullanılması durumunda, ilkenin uygulanacağı nesneler (kulalnıcı hesabı, bilgisayar hesabı vs) iyi belirlenmelidir. Aksi halde istenilmeyen durumlar oluşabilir. Örneğin, bir kişiye veya gruba uygulanmak istenen üstteki politika aynı zamanda o kullanıcıların oturum açtığı her bilgisayarda etkin olabilir. Bu durumda bu kullanıcıların oturum açtığı her bilgisayarda RDC ve yönetimsel paylaşımlar açılabilir.

İpucu: Hedef Makineden Sistem ve Domain Hakkında Bilgi Edinme

Hedef Makineden Sistem ve Domain Hakkında Bilgi Edinme

Amaç

• Etki alanı ve son kullanıcıları bilgisayarları sızma testlerindeki hedef; domain admin kullanıcısının şifresini/biletini elde etmek ve/veya domain controller makinesine yetkili kullanıcı ile erişebilmektir. Bu hedefe ulaşmak için domain hakkında bilgi sahibi olunacaktır.
• "Domain Admins" kullanıcı grubunda bulunan domain yöneticilerine ait hesap adları bulunacaktır.
• "Domain Controllers" makine grubunda bulunan makineler tespit edilecektir.
• Paylaşımları belirlenecektir. Bu bilgi ileriki adımlarda, hedef makinelere aktarım yapıp, o makinelerde program çalıştırmak için kullanılacaktır.

Yöntem
Sızılan bir makineden olabildiğince fazla bilgi edinilmeye çalışılır. Bu bilgiler makineye özel olabildiği gibi, makine domainde ise domain hakkında da olabilir. Bu bilgilerden bazıları aşağıdaki gibidir:

• Makinede oturum açan kullanıcının aktiflik süresi:

idletime

Makinede oturum açan kullanıcının aktiflik süresinin bulunması

• Hedef makinede çalışan prosesler:

ps

Çalışan proseslerin listelenmesi - 1

• İkinci seçenek:

tasklist

Çalışan proseslerin listelenmesi - 2

• Hedef makinedeki yerel kullanıcılar:

net user

Yerel kullanıcılarının listelenmesi

• Hedef makinedeki yerel yöneticiler:

net localgroup administrators

Yerel yönetici grubu üyelerinin listelenmesi

• Hedef makinedeki paylaşımlar:

net share

Makinedeki paylaşımların listelenmesi

• Hedef makinenin bağlı olduğu domaindeki kullanıcılar:

net user /domain

Domain kullanıcılarının listelenmesi

• Hedef makinenin bağlı olduğu domaindeki gruplar:

net groups /domain

Domain gruplarının listelenmesi

• Domain Admins grubunun üyeleri:

net group “Domain Admins” /domain

Domain yöneticilerinin listelenmesi

• Hedef makinenin bağlı olduğu domainde bulunan makineler:

net group “Domain Computers” /domain

Domaindeki makinelerinin listelenmesi

• Domain Controller makineleri::

net group “Domain Controllers” /domain

Domaindeki Controller makinelerinin listelenmesi

• Hedef makinenin bağlı olduğu ağdaki paylaştırılmış kaynaklar:

net view

Ağdaki paylaştırılmış kaynakların listelenmesi

"net" komutu ile yukarıda belirtilen bilgilerin haricinde daha bir çok bilgi edinilebilir. Bu komut yerine DC üzerinde hesap, grup sorgulaması yapan ve arayüze sahip "Active Directory Explorer" uygulaması da kullanılabilir. Bu araç aşağıdaki adresten indirilebilir:

http://technet.microsoft.com/en-us/sysinternals/bb963907.aspx

Not: Domainden elde edilebilecek bilgilerle ilgili aşağıdaki sayfa incelenebilir:

http://ertugrulbasaranoglu.blogspot.com.tr/2012/10/domainden-elde-edilebilecek-baz-onemli.html

Önlem

• Domain makinelerinde "net" komutunun kullanılması engellenmelidir.
• Domain yöneticileri gibi yetkili kullanıcıların bulundukları grupların adları, dikkat çekmeyecek şekilde değiştirilmelidir.
• Açılan paylaşımlardaki izinler sadece erişmesi gerekenlerin ulaşabilmesine olanak verecek şekilde ayarlanmalıdır. Yönetimsel paylaşımlar eğer kullanımları gerekmiyor ise domain politikaları ile kaldırılmalıdır.