Yüksek Yetkili Kullanıcı Haklarının İncelenmesi
Amaç
- Sızılan sistemdeki prosesler incelenecektir.
- Domainde bulunan yüksek yetkili kullanıcıların, bu makinede herhangi bir proses çalıştırıp çalıştırmadığı belirlenecektir.
Yöntem
Önceki yazıda belirtildiği gibi elimizdeki kimlik bilgileri ile farklı bilgisayarlarda oturum açılabilmektedir. Böylece. sızılan makinede çalışan prosesler incelenir:
ps
Hedef makinede proseslerin izlenmesi
Daha önceden elde ettiğimiz bilgilere göre “sisyon” kullanıcısı Domain Admins grubunun üyesi olduğu görülmüştü. Bu sebeple bu prosese sıçranabilir. Eğer, bu makinede, domainde yüksek yetkili olan bir kullanıcı prosesi ve/veya bileti bulunamasaydı, başka makinelerde benzer adımlar gerçekleşecektir.
Not: SYSTEM kullanıcının sisteme girmesi de bir proses (svchost.exe) oluşturmuştur.
Önlem
- Makinelerde yüksek yetkili kullanıcı hakları ile çalıştırılan gereksiz prosesler sonlandırılmalıdır.
- Makinelere giren kullanıcılar, işlemleri bittikten sonra oturumlarını kapatmaya (log-off) zorlanmalıdır.
- Domain yöneticileri gibi, önemli gruplardaki kullanıcıların iki tane hesabı olmalıdır. Bu hesaplardan birisi domain üzerinde işlem yapma haklarına sahip oldukları yetkili hesaptır. İkinci hesap ise, domaindeki normal kullanıcılar gibi, yetkisiz hesaptır. Domain yöneticileri yetkili hesaplarını sadece domain işlemlerini yaparken kullanmalıdır, bu hesapla domain controller haricinde gerekmedikçe herhangi bir yere giriş yapılmamalıdır. Farklı sistemlere giriş için yetkisiz hesap kullanılmalıdır.
- Önemli gruplarda olan yetkili kullanıcılar bu hesaplarını sadece domaine kullanıcı ekleme, domainden kullanıcı çıkarma, grup politikasını güncelleme gibi işlemler için kullanmalıdır. Domain controller gibi, belli ve sınırlı sayıdaki makinelere bu kullanıcı ile giriş yapılmalıdır.
Hiç yorum yok:
Yorum Gönder