bios etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster
bios etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster

8 Mart 2014 Cumartesi

Etki Alanı Saldırılarından Korunma Yolları: İmaj Yapılandırması

Etki Alanı Saldırılarından Korunma Yolları: İmaj Yapılandırması

Etki alanı sızma testlerinde gerçekleştirilen adımlardan birisi de yayılma adımıdır. Bir bilgisayardan yerel yöneticilerinin parolaları alındıktan sonra, aynı kullanıcı bilgilerini kullanan diğer bilgisayarlara giriş yapılmaya çalışılır. Bu amaçla aşağıdaki 2 yazı incelenebilir:
http://ertugrulbasaranoglu.blogspot.com.tr/2013/10/ipucu-smblogin-modulu-ile-yaylabilecek.html
http://ertugrulbasaranoglu.blogspot.com.tr/2013/10/ipucu-psexec-modulu-ile-yeni.html
Bu adımlardan gerçekleştirilmesinin önüne geçilmesi için etki alanındaki bir bilgisayarda bir şekilde elde edilen yerel yönetici kullanıcı parola bilgileri kullanılarak  (özet veya açık halinin) diğer bilgisayarlara erişim sağlanamamalıdır. Bu amaçla, kurum içinde kullanılan imajlar uygun şekilde oluşturulmalı ve özelleştirilerek kullanılmalıdır.
İmaj yapılandırılması için, en az aşağıdaki ayarların uygulanması gerekmektedir.
a) İmajlar güncellenmeli ve en güncel hali ile kullanılması sağlanmalıdır. Sıkılaştırma işlemleri için güvenlik şablonları kullanılabilmektedir. Güvenlik şablonları için aşağıda belirtilen kaynaklar tercih edilebilir:
http://www.bilgiguvenligi.gov.tr/kilavuz-dokumanlar/index.phphttps://benchmarks.cisecurity.org/downloads/multiform/http://web.nvd.nist.gov/view/ncp/repository
b) Etki alanına eklenen bir bilgisayar özel bir OU altına yönlendirilmesi sağlanarak (redircmp aracıyla veya hazırlanabilecek betiklerle) bu bilgisayarlar için özel grup ilkeleri kullanılmalıdır. Böylece etki alanına eklenen bir bilgisayarın otomatik olarak sıkılaştırılması da gerçekleştirilebilir. 
c) İmajlar kullanılarak işletim sistemi kurulurken, sadece gerektiği kadar kullanıcı oluşturulması saldırı yüzeyini azaltacaktır. Yerel yönetici haklarına sahip kullanıcılar oluşturulmamalı veya kontrollü bir şekilde oluşturulmalıdır. 
d) Etki alanı saldırılarından korunma için kullanılan en temel yöntemlerden biri de tuzak kullanıcı oluşturmaktır. Bu amaçla, etki alanında kullanılan yerel ilkede üç adım gerçekleştirilebilir.
  • Bilgisayardaki gömülü (built-in) yerel yönetici kullanıcısı (Administrator) devre dışı bırakılarak, adı “Test” veya “Deneme” gibi şüphe çekmeyecek şekilde güncellenir. Parolası uzun ve karmaşık verilebilir. Bu işlem grup ilkelerindeki Preferences özelliği kullanılarak aşağıdaki gibi gerçekleştirilebilir.
Gömülü Yerel Yönetici Kullanıcı Bilgilerinin Güncellenmesi
  • Gerçek yerel yönetici kullanıcısının kimliği güncellendikten sonra, yerel yönetici olarak kullanıcı adı Administrator, tanımı gömülü yerel yönetici tanımı ile aynı olan ("Built-in account for administering the computer/domain") tuzak bir kullanıcı oluşturulur. Tuzak kullanıcı parolası çok uzun ve karmaşık seçilerek parolanın açık halinin elde edilmesi zorlaştırılabilir. Ayrıca bu kullanıcı devre dışı bırakılarak, saldırganın zaman kaybetmesi sağlanabilir.Bu işlem grup ilkelerindeki Preferences özelliği kullanılarak aşağıdaki gibi gerçekleştirilebilir.
Tuzak Yerel Yönetici Kullanıcısının Oluşturulması
Not: Tuzak kullanıcı yukarıdaki gibi önleyici amaçla kullanılabildiği gibi, tespit amaçlı da kullanılabilir. Bu amaçla, tuzak kullanıcı parolası kolay elde edilebilecek şekilde kısa olarak ayarlanır. Daha sonra bu hesap ile bir kez oturum açılarak hesap etkin olarak bırakılır. Bu hesap ile yapılan işlemlerin denetim kayıtları tutularak bu hesaplar ile yapılan işlemlerden anlık olarak haberdar olunması sağlanabilir. Bu yöntem kullanılırken anlık haberleşme sisteminin etkin şekilde çalıştığından emin olunmalıdır.
  • Son adım olarak da, oluşturulan tuzak kullanıcı Users veya Guests gibi bir gruba üye yapılabilir ve bilgisayar üzerindeki tüm hakları alınır.
 
Oluşturulan Tuzak Yerel Yönetici Kullanıcısının Guests Grubuna Üye Yapılması
Not: Tuzak kullanıcı oluşturma oldukça yaygın kullanılan bir yöntemdir. Bu sebeple sızma testi sırasında deneyimli kişilerce veya saldırı anında deneyimli saldırganlarca kullanıcıların SID değerleri kontrol edilerek tespit edilebilir. Ayrıca tuzak kullanıcı oluşturulurken Preferences üzerinden parola atanması işlemi çok güvenilir bir yöntem değildir. Konu ile ilgili bir sunum için bakınız. Bu sebeple, yerel yönetici parolalarının yönetimi için özelleşmiş uygulamaların veya betiklerin kullanılması tavsiye edilmektedir. 
- Bazı özel uygulamalar ile hem parola değişiklikleri otomatik, birbirinden farklı, rastgele ve periyodik olarak sağlanabilmekte; hem de gerektiği süre boyunca bu parolaların hangi kullanıcı tarafından, hangi amaç için kullanıldığı takip edilebilmektedir. Bu uygulamaların kullanılması yerel kullanıcıların yönetimini kolaylaştıracaktır. 
- Yerel yöneticilerin parolasının verilmesi betikler kullanılarak da gerçekleştirilebilir. Bu amaçla, bilgisayar adının (hostname) özelleştirilerek kullanılması yerel yönetici parolalarının farklılaşmasını sağlamaktadır. Yerel yöneticilerin ve BIOS şifrelerinin otomatik / birbirinden farklı olarak ayarlanması ve merkezi olarak yönetilmesi konusu ile ilgili bir yazı Bilgi Güvenliği Kapısı'nda yayınlanmıştır.

Gönderen zaman: Hiç yorum yok:
Etiketler: , , , , , , , , , , , , , , ,

13 Ağustos 2013 Salı

Etki Alanı Saldırılarından Korunma Yolları: Fiziksel Yapılandırma

Etki Alanı Saldırılarından Korunma Yolları: Fiziksel Yapılandırma

Etki alanına karşı yapılan saldırılar ve sızma testleri sırasında, fiziksel olarak erişim sağlanan bir bilgisayardan - SAM ve SYSTEM dosyalarına erişim sağlanarak - yerel kullanıcıların (özellikle yerel yöneticinin) kimlik bilgileri (kullanıcı adı ve parolası / parolasının özeti) alınmaktadır. Yerel yöneticilerin kimlik bilgilerinin saldırgan tarafından ele geçirilmesi çevrimiçi veya çevrimdışı yollarla gerçekleştirilebilir.  Bu tip saldırılar aşağıdaki gibi gerçekleştirilmektedir:

Samdump, Ophcrack, Cain & Abel gibi araçlar kullanılarak bu dosyalardan yerel kullanıcı hesap bilgileri elde edilebilir.
Bilgisayarların fiziksel yapılandırılması için, en az aşağıdaki ayarların uygulanması gerekmektedir.
  • Kritik sistemlere fiziksel erişimler kısıtlanmalıdır. Bu amaçla fiziksel güvenliğe önem verilmelidir.
  • Kayıt defterinden SAM ve SYSTEM dosyalarının elde edilememesi için veya Cain&Abel gibi uygulamalarla çevrim içi yollarla yerel kullanıcı hesap bilgilerinin alınamaması için mevcut kullanıcıların yönetici hakları ile oturum açmaması gerekmektedir. Yerel yönetici hakkına sahip kullanıcılardan bu hakların alınması veya süreli olarak verilmesi tavsiye edilmektedir.
  • Bilgisayarın BIOS ayarı yapılandırılmasında parola koruması eklenmelidir. Bu parolalar oldukça karmaşık ve her bilgisayar için farklı olması tavsiye edilmektedir. Bilgisayarın pili çıkarıldığında BIOS şifresinin sıfırlanmaması için özel ve yeni donanımlar tercih edilmelidir.

  • Bilgisayarın BIOS ayarı kontrol edilmeli ve öncelikle hard diskten başlatıldığından emin olunmalıdır.
  • USB veya CD-ROM / DVD-ROM gibi aygıtların kurum politikasına uygun olarak kullanılması ve gerek duyulmuyorsa, bu aygıtların devre dışı bırakılması veya donanımsal olarak bulundurulmaması tavsiye edilmektedir.
  • BIOS ayarı uygun şekilde yapılandırılmış olsa bile harici donanımlar kullanılarak harddisk içerisindeki bilgiler okunabilmektedir. Böylece BIOS ayarı yapılmış olsa bile, bilgisayardaki verilere (SAM ve SYSTEM dosyalarına) erişilebilmektedir. Bilgisayarlar çevrim dışı olarak açıldığında içerisindeki verilere erişilememesi için, Bitlocker / Truecrypt gibi çözümler kullanılarak (tam) disk şifreleme gerçekleştirilmelidir. Böylece,  kullanılan uygulamanın bir zafiyeti bulunmadığı takdirde, disk içerisindeki veriler elde edilemeyecektir. Disk şifreleme işleminde her bilgisayar için farklı bir parolanın / özel anahtarın kullanılması saldırı yüzeyini daraltacaktır.
  • Yerel kullanıcıların bilgilerine erişilebilse bile, parolanın açık halinin elde edilmesinin zorlaştırılması için hem LM özetlerinin kaydedilmemesi hem de parola oldukça karmaşık olarak belirlenmesi gerekmektedir. LM özetinin zayıflıkları konusu ile ilgili bir yazı Bilgi Güvenliği Kapısı'nda yayınlanmıştır: https://www.bilgiguvenligi.gov.tr/microsoft-guvenligi/lanman-sifre-ozetinin-zayifliklari.html. Ancak Windows işletim sistemindeki kimlik doğrulama mekanizmalarındaki zayıflıktan dolayı parolaların açık hali elde edilmeden de, parola özetleri kullanılarak diğer bilgisayarlara yayılma gerçekleşebilir (Pass The Hash). Bu sebeple, BIOS yapılandırılması ve özellikle disk şifreleme gerçekleştirilerek, SAM ve SYSTEM dosyasına erişilememesi sağlanmalıdır.
Gönderen zaman: Hiç yorum yok:
Etiketler: , , , , , , , , , , , , , , , , ,

1 Aralık 2012 Cumartesi

İpucu: Makineye Fiziksel Olarak Erişerek CD/USB'den Boot Edilmesi


Makineye Fiziksel Olarak Erişerek CD/USB'den Boot Edilmesi

Amaç
BIOS koruması olmayan bir son kullanıcı makinesi, USB den çalışan bir işletim sistemi ile başlatılarak makinedeki yerel kullanıcıların şifreleri ve/veya şifrelerinin özeti elde edilecektir.

Yöntem
Son kullanıcı bilgisayarları farklı bir işletim sistemi ile açılabildiği takdirde bu bilgisayarlara ve bu bilgisayardaki verilere tam yetki ile erişim mümkün olmaktadır.
Fiziki olarak sahip olduğumuz makine - boot edilebilir bir Backtrack USB veya CD'si kullanılarak - boot edilir. Backtrack arayüzünden fiziksel makinenin hard diskine geçilir:
cd media/ ls -la
cd C6FA48EAFA48D877/
ls -la
USB/CD kullanılarak boot edilen makinenin hard diskine erişilmesi

Not: Eğer boot edilen bilgisayarın disk sistemi otomatik olarak mount edilememişse, önce mount edilebilecek disk bölümleri listelenir; daha sonra da bir klasöre, C diski mount edilir. Bu işlemler aşağıdaki komutlarla gerçekleştirilebilir:
fdisk -l
mkdir /root/YeniKlasor
mount /dev/sda3 /root/YeniKlasor


Fiziksel makinenin Windows/System32/config dizininden SAM ve SYSTEM dosyaları boot edilen sistemin bir dizinine konur:
cd Windows/System32/config 
cp SAM /root/Desktop 
cp SYSTEM /root/Desktop

Makinenin SAM ve SYSTEM dosyalarının makinemize komut satırı ile kopyalanması

Not: Windows makineden SAM ve SYSTEM dosyalarının alınması işlemi, Windows makinenin hard diskine girilip, sürükle bırak yöntemi ile de gerçekleştirilebilirdi.
Makinenin SAM ve SYSTEM dosyalarının makinemize arayüz ile kopyalanması

SAM ve SYSTEM dosyalarından yerel kullanıcıların şifrelerinin özeti elde edilebilir:
bkhive SYSTEM SAMAnahtari
samdump2 SAM SAMAnahtarı
samdump2 komutu ile yerel kullanıcı şifre özetlerinin elde edilmesi

Not: bkhive komutuna verilen SYSTEM dosyası Windows işletim sisteminden alınmıştır. bkhive komutu SYSTEM dosyasını kullanarak bir çıktı üretmekte ve sonucunu SAMAnahtari adlı yeni bir dosyaya yazmaktadır. Bu dosya ismi rastgele olarak verilebilir. Ancak samdump2 aracına SAM dosyasına ek olarak yeni dosya adının verilmesi gerekmektedir.

Böylece önce bkhive ile veritabanını çözecek key oluşturmalı sonrasında oluşturulan key samdump2 programına verilmelidir.
Not: Bu çıktı bir dosyaya kaydedilip, daha sonra kullanılabilir.

Vista öncesi Windows işletim sistemlerinde kullanıcı şifreleri varsayılan ayarlarda iki farklı özetleme algoritması ile saklanmaktadır. Bunlardan ilki ve en eskisi LM (Lan Manager) özetleme, diğeri ise NTLM özetleme algoritmasıdır. LM özetleme algoritması ciddi güvenlik zafiyetleri içermektedir ve bu yüzden güncel teknolojik imkânlar (gökkuşağı saldırısı vs.) ile çok kısa sürede kırılabilmektedir. Fakat saldıralar için sadece NT özeti yeterlidir.

Not: Bu işlemler yerine Cain&Abel, Ophcrack gibi araçlar da SAM ve SYSTEM dosyasından parolanın özeti elde edilebilir.

Not: Fiziksel olarak erişim sağlanan bir bilgisayarda SYSTEM haklarına sahip olmak için diğer bir yöntem de Yapışkan Tuşlar Hilesi adı verilen bir hiledir. Daha sonra da bağlantıdaki gibi kayıt defterinden SAM ve SYSTEM dosyaları elde edilir.

Kimlik doğrulamasını atlatmanın diğer yolları için bakınız:
http://ertugrulbasaranoglu.blogspot.com.tr/2012/11/logon-authentication-bypass-senaryolar.html

Önlem
  • Makineler CD-ROM / USB yolu ile boot edilememelidir. BIOS ayarlarından CD-ROM / BIOS yolu ile boot işlemi iptal edilmelidir. Makinenin öncelikle harddisken başlaması için gerekli ayarlar yapılmalıdır. 
  • BIOS ayarı yapılmaya çalışılırken şifre sorgulaması yapılmalıdır. 
  • Makinelerde diskler tamamen şifrelenmelidir (Full Disk Encryption). Bu şekilde makine boot edilse bile SAM/SYSTEM dosyaları elde edilemeyecektir. 
  • Makinelerde LM özetlerinin saklanmamalıdır.
Gönderen zaman: Hiç yorum yok:
Etiketler: , , , , , , , , , , , , , , , , , , ,

8 Ekim 2012 Pazartesi

Sızma Testlerinden Korunma Yolları: Domain


Domain için Önlemler

Bilgisayarların CD/USB'den boot edilmesi önlenmelidir.
  • BIOS ayarlarından CD-ROM / BIOS yolu ile boot işlemi iptal edilmelidir. Makinenin öncelikle harddisken başlaması için gerekli ayarlar yapılmalıdır.
  • BIOS ayarı yapılmaya çalışılırken şifre sorgulaması yapılmalıdır.
  • Makinelerde diskler tamamen şifrelenmelidir(Full Disk Encryption). Bu şekilde makine boot edilse bile SAM/SYSTEM dosyaları elde edilemeyecektir.
  • Makinelerde LM özetlerinin saklanmamalıdır. En az NTLM şifreleme metodu kullanılmalıdır.

Ağ yapılandırması gözden geçirilmelidir.
  • Gerekli olmayan portlar ve servisler kapatılmalıdır.
  • Ağ üzerinde kurallar tanımlayarak; belirlenen IP’lere, belirlenen portlardan kontrollü bir şekilde izin verilmelidir.
  • Gereksiz paylaşımlar kullanıma kapatılmalıdır. 
  • Açılan paylaşımlardaki izinler sadece erişmesi gerekenlerin ulaşabilmesine olanak verecek şekilde ayarlanmalıdır. Yönetimsel paylaşımlar eğer kullanımları gerekmiyor ise domain politikaları ile kaldırılmalıdır.

Zafiyetler giderilmeli ve sistemler güncellenmelidir.
  • Belli periyotlarla zafiyet taraması gerçekleştirilmelidir.
  • Acil olan zafiyetler gerekiyorsa hemen giderilmelidir.
  • Sistemlere son yamalar geçilmelidir.
  • Zafiyetler için kurum politikası belirlenmelidir.
  • AV, IDS/IPS, ADS gibi sistemlerin imzaları güncel tutulmalıdır.
  • Uzaktan kod çalıştırmaya olanak sağlayan bazı kritik açıklıklar şunlardır:
    • MS09-001 / Critical: Vulnerabilities in SMB Could Allow Remote Code Execution (958687)
    • MS08-067 / Critical: Vulnerability in Server Service Could Allow Remote Code Execution (958644)
    • MS05-051 / Critical: Vulnerabilities in MSDTC and COM+ Could Allow Remote Code Execution (902400)
    • MS06-040 / Critical: Vulnerability in Server Service Could Allow Remote Code Execution (921883)
    • MS05-027 / Critical: Vulnerability in Server Message Block Could Allow Remote Code Execution (896422)
    • MS05-035 / Critical: Vulnerability in Microsoft Word Could Allow Remote Code Execution (903672)
    • MS09-050 / Critical: Vulnerabilities in SMBv2 Could Allow Remote Code Execution (975517)
    • MS08-059 / Critical: Vulnerability in Host Integration Server RPC Service Could Allow Remote Code Execution (956695)
    • MS09-004 / Important: Vulnerability in Microsoft SQL Server Could Allow Remote Code Execution (959420)

İmajların yapılandırılmasına özen gösterilmelidir.
  • Zafiyet taramaları sonucunda elde edilen sonuçlara göre gerekiyorsa imajlar güncellenmelidir.
  • Mevcut sistemlerde gerekli olmayan yerel yönetici kullanıcıları (administrator) devre dışı bırakılmalı ve isimleri her makine için farklı olacak şekilde değiştirilmelidir. Böylece yapılacak saldırıda yerel yönetici hesabının isminin kolayca ve otomatik olarak bulunmasını zorlaştıracaktır. Ayrıca SID değerini kontrol etmeyen saldrgan yanlış yönlendirilecektir. Devre dışı bırakılan Administrator kullanıcısı yerine hakları, izinleri ve grup üyelikleri sınırlandırılmış bir standart kullanıcı oluşturulmalıdır. Oluşturulan bu tuzak yönetici hesabının adı Administrator, tanımı klasik yerel yönetici kullanıcısına ait tanım ("Built-in account for administering the computer/domain") olarak ayarlanmalıdır.Bu kullanıcı kullanılarak saldırgan yanlış yönlendirilebilir. 
    • Parolası olabildiğince uzun (127 karakter olabilir) veriler ve bu hesap devre dışı bırakılabilir.  Saldırganın zaman kaybetmesi sağlanır.
    • Parolası kolayca elde edilebilecek şekilde kısa ayarlanabilir. Daha sonra bu hesap ile bir kez oturum açılarak hesap etkin olarak bırakılabilir. Bu hesap ile yapılan işlemlerin denetim kayıtları tutularak bu hesaplar ile yapılan işlemlerden anlık olarak haberdar olunması sağlanabilir.Böylece muhtemel saldırının önüne de geçilebilir.
  • Kurulan makinelerdeki yerel kullanıcılara ait şifre özetleri, diğer makinelere erişim için kullanılabileceğinden, kurumdaki makinelerde bulunan yerel yönetici şifrelerinin farklı olmasına özen gösterilmelidir.
  • Kurumdaki makinelerin yerel yönetici kullanıcılarına ait şifreler belli periyotlarla manuel olarak değiştirilmelidir. Bu işi saatlik olarak gerçekleştiren araçlar kullanılmalıdır.
  • Yerel yönetici hesaplarının şifreleri, şifre kırma saldırılarına karşı korumak amacıyla karmaşık seçilmelidir.

Domain hakkında bilgi edinilmesi zorlaştırılmalıdır.
  • Kullanıcıların komut satnetırı kullanabilmeleri önlenmelidir.
  • Komut satırından "net", "gpresult" komutu gibi domain hakkında bilgi alınmasını sağlayabilecek komutların kullanılması önlenmelidir. Domain hakkında elde edilebilecek komutların bir kısmı için bakınız: 
  • Domain yöneticileri gibi yetkili kullanıcıların bulundukları grupların adları, dikkat çekmeyecek şekilde değiştirilmelidir.

Son kullanıcılar ve bilgisayarları belli periyotlarla kontrol edilmelidir.
  • Makinelerde yüksek yetkili kullanıcı hakları ile çalıştırılan gereksiz prosesler sonlandırılmalıdır.
  • Makinelere giren kullanıcılar, işlemleri bittikten sonra bilgisayarlarını yeniden başlatmaya (restart) zorlanmalıdır.
  • Domain yöneticileri gibi, önemli gruplardaki kullanıcıların iki tane hesabı olmalıdır. Bu hesaplardan birisi domain üzerinde işlem yapma haklarına sahip oldukları yetkili hesaptır. İkinci hesap ise, domaindeki normal kullanıcılar gibi, yetkisiz hesaptır. Domain yöneticileri yetkili hesaplarını sadece domain işlemlerini yaparken kullanmalıdır, bu hesapla domain controller haricinde gerekmedikçe herhangi bir yere giriş yapılmamalıdır. Farklı sistemlere giriş için yetkisiz / az yetkili hesap kullanılmalıdır. 
  • Önemli gruplarda olan yetkili kullanıcılar bu hesaplarını sadece domaine kullanıcı ekleme, domainden kullanıcı çıkarma, grup politikasını güncelleme gibi işlemler için kullanmalıdır. Domain controller gibi, belli ve sınırlı sayıdaki makinelere bu kullanıcı ile giriş yapılmalıdır.
  • Gereksiz paylaşımlar kullanıma kapatılmalıdır. Dosya sunucularına, domain üzerinde yüksek haklara sahip kullanıcıların hesabı ile girilmemelidir.
  • Domainde etkin olacak servis hesaplarına, sadece gerçekleştirecekleri işlemler için gerekli olan haklar verilmelidir. Bu tür hesapların kullanıcı oluşturma, silme, şifre değiştirme gibi işlemleri veya interaktif oturum açma gibi işlemleri yapmaya hakları olmamalıdır.
  • Dosya sunucularına, domain üzerinde yüksek haklara sahip kullanıcıların hesabı ile girilmemelidir.
  • Yerel yönetici hesapları gibi domaindeki kullanıcıların şifreleri de , şifre kırma saldırılarına karşı korumak amacıyla karmaşık seçilmelidir. Bu amaçla grup politikaları güncellenmelidir.
  • Güvenli şifre politikaları belirlenmelidir. Aşağıdaki ayarlar uygulanabilir:
    • Enforce password history: 5 Şifre
    • Maximum Password Age: 30 Gün
    • Minimum Password Age: 1 Gün
    • Minimum Password Length: 8 Karakter (en az)
    • Passwords must meet complexity requirements: Etkin
    • Store password using reversible encryption: Devre dışı
  • Domaindeki kullanıcılara ilgili makinelerde yönetici hakkı verilmemelidir. Gerekli olan haklar geçici olacak şekilde verilmelidir.
  • Kullanıcılar makinelerinde yönetici hesapları ile oturum açmamalıdır. Yönetimsel operasyon yapılacak ise, “Run as” ile yönetici hesabına geçiş yapılmalıdır.
  • Son kullanıcıların makinelerinde parolaları içeren dosyalar açık halde tutulmamalıdır, şifrelenmelidir.
  • Domaindeki yetkili kullanıcıların biletleri, çıkış yapıldıktan itibaren otomatik olarak silinecek şekilde yapılandırma yapılmalıdır.
  • RDP yapılmamalıdır. Yapılması gerekiyorsa da her erişim sonrası oturumlar kapatılmalıdır (logoff), mümkünse makine yeniden başlatılmalıdır (restart). RDP yapılan hesapların domain üzerinde yetkili olmamasına dikkat edilmelidir.

Audit işlemleri aktif olmalıdır.
  • Yerel makinelerdeki ve domaindeki işlemlerin logları alınmalıdır.
  • Ağdaki anormallik durumları için alarmlar oluşturulmalıdır. Port taramalar engellenmelidir.
  • Domainde kullanıcı oluşturma/silme işlemleri, hak yükseltme/düşürme işlemleri, kullanıcıları gruba ekleme/çıkarma işlemleri,... gözlenmelidir.
Gönderen zaman: Hiç yorum yok:
Etiketler: , , , , , , , , , , , , , , , , , ,
Kaydol: Kayıtlar (Atom)