Home

Microsoft Advanced Threat Analytics 1.9 Update 2 Kurulum ve Konfigürasyonu

Advanced Threat Analytics (ATA), kurumunuzdaki çeşitli türlerdeki, gelişmiş ve hedefe yönelik siber saldırıların yanı sıra dahili tehditlerden de korumaya yardımcı olan bir platformdur. ATA On-Premise Active Directory ortamında çalışmaktadır. Active Directory üzerinde davranış analizi yaparak ortamınızı öğrenir, daha sonra anormal bir davranış olması halinde bunu tespit ederek, alarmlar oluşturur. ATA bu şüpheli etkinlikleri Kim, Ne,Continue reading “Microsoft Advanced Threat Analytics 1.9 Update 2 Kurulum ve Konfigürasyonu”

Kali Metasploit ile Windows Sızma Testi

Bu makale kullanmakta olduğunuz sistemleri (Server/Client) güncel tutmanız ve security hardening yapmanız için yayınlanmıştır. Kesinlikle yasa dışı bir faaliyet amacıyla kullanmayınız. Kali Linux “eternalblue” exploit’i kullanarak güncel olmayan (eksik update’li) Windows İşletim Sistemlerine sızma testi yapacağım. Yöntem: Wanacry MS17-010 SMB1 445/TCP Kali IP Adres: 1.1.1.3 Windows 7 IP Adres: 1.1.1.4 (Hedef PC) Kali Linux’te oturumContinue reading “Kali Metasploit ile Windows Sızma Testi”

Privileged Access Management

Active Directory domain’de ayrıcalıklı hesapların çalınma riskini minimize etmek için bu yetkili hesapların kullanımını izole etmek amacıyla kullanılır. PAM Kullanmak aşağıdaki atakların etkisini azaltmaya yardımcı olur. Privlege escalation (yetki yükseltme) Pass to Hash Pass to Ticket Kerberos Compromise Phishing Attack Kurulum Gereksinimi: Minimum Forest Functional Level Windows Server 2016 Privileged Access Management Feature’i enable edildir.Continue reading “Privileged Access Management”

Domain Controller Security Hardening

Security Hardenig çalışması ile Domain Controller hizmetleri güvenlik perspektifinden kontrol edilir. Tespit edilen eksikler ve ihtiyaçlar doğrultusunda gerekli düzeltmeler yapılarak, olası açıklar kapatılır. Bunların dışında güvenliği arttırıcı düzeltmeler yapılarak ta mevcut yapı sıkılaştırılarak daha güvenli bir hale getirilir. Mevcut yapınızda bulunan “Default Domain Controller Policy” üzerinde aşağıdaki değişiklikleri yapmayınız. Domain Controller sunucularına uygulanacak politika içinContinue reading “Domain Controller Security Hardening”

Prevent Access PowerShell PowerShell_ISE Cmd Regedit

PowerSehll, Powershell_ise, CMD ve Registery’ye erişimi kullanıcılara ( yada belirli kullanıcılara) engellemek için; Restricted Applications isimli yeni bir policy oluşturulur ve içeriği aşağıdaki gibi konfigüre edilir. Group policy management – New User Configuration – Administrative Templates – System Prevent access to the command prompt – enable yapılır. Prevent access to registry editing tools Enable –Continue reading “Prevent Access PowerShell PowerShell_ISE Cmd Regedit”

GET File Hash

Dosyaların Hash’lerini Görüntüleme Windows’da bulunan dosyaların hash’lerini görüntülemek için aşağıdaki powershell komutu kullanılır. Aşağıdaki örnekte path olarak C:\Windows\System32 klasöründe bulunan dosyaların hash’lerini listeleyeceğim. Bu işlemi yapmanın amaçlarından en önemlisi, kritik/önemli dosyalarda herhangi bir değişiklik olup olmadığının kontrolüdür. Forensic analizi yapılacağı zaman bir dosyanın ilk halinin hash’inin olması çok önemlidir. Çünkü X zamanındaki hash ile ilkContinue reading “GET File Hash”

Terminal Server License Servers Group Members

Terminal Server License Servers grubunun üyeleri AdminSDHolders üzerinde aşağıdaki yetkilere sahiptir. Yani default’da bu grup üyeleri service administrators grubu üyelerinin hesaplarını resetleyebilme haklarına sahiptir. O nedenle düzenli olarak bu grubun üyelerinin kontrol edilmesi önerilmektedir. SPECIAL ACCESS for terminalServerWRITE PROPERTYREAD PROPERTY

Group Policy Object Creation and Modification Time

Active Directory group policy’lerin oluşturulma ve değiştirilme zamanları Grup politikalarının oluşturulma ve değiştirilme zamanlarının görüntülenmesi, herhangi bir security incident olduğunda araştırılması gereken öncelikli konulardan birisidir. Bu işlem aşağıdaki powershell komutları ile yapılabilinir. $DN = (Get-ADDomain -Current LocalComputer).DNSRootget-gpo -all -domain $DN | sort-object creationTime | ft Displayname, CreationTime, ModificationTime

Active Directory Organizational Unit Structure

Active Directory’de kullanılan Organizational Unit’leri görüntülemek ve export etmek için aşağıdaki powershell komutu kullanılabilir. Görüntülemek için, Get-ADOrganizationalUnit -Properties CanonicalName -Filter *| Sort-Object CanonicalName | Format-Table CanonicalName, DistinguishedName TXT Dosyasına export etmek için, Get-ADOrganizationalUnit -Properties CanonicalName -Filter *| Sort-Object CanonicalName | Format-Table CanonicalName, DistinguishedName > C:\OUStructure.txt

Active Directory Database Integrity

Active Directory database’inin veri bütünlüğünü kontrol etmek ve herhangi bir bozulma varsa tespit etmek için aşağıdaki adımlar uygulanır. Windows Server 2008 Active Directory sonrası sürümleri için geçerlidir. Öncelikle Active Directory (AD DS – NTDS)  servisini durduruyoruz. Net stop ntds ntdsutil activate instance ntds files checksum q q yazılarak ntdsutil’den çıkılır. net start ntds ile deContinue reading “Active Directory Database Integrity”

User Credentials in Computer/Server

Bilgisayarda bulunan credentialları görüntülemek için aşağıdaki yöntemler uygulanır. rundll32 keymgr.dll,KRShowKeyMgr cmdkey /list komutu kullanılır. Yada Credential Manager’dan Web Credential ve Windows Credential kontrol edilir. Regedit HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon altında Default Password string’I var mı kontrol edillir. Schedule Tasks Kullanıcı adı ile oluşturulmuş Schedule Task var mı kontrol edilir. Services Kullanıcı adı ile çalışan (Disable, Manuel) servis varContinue reading “User Credentials in Computer/Server”

Protected Users Security Group

Bu grubun üyelerinin hesaplarına otomatik olarak uygulananan korumalar bulunmaktadır. Korunan öz nitelikler değiştirilememektedir. Bu gruba servis hesapları ve bilgisayar hesapları eklenmemelidir. Ayrıca bu gruba üye edilmiş kullanıcılar aşağıdaki özelliklere sahiptirler, NTLM authentication kullanılamamaktadır. Kerberos Auth. DES ve RC4 kullanılamamaktadır. Cache mode da oturum desteklenmemektedir. Kerberos TGT LT süresi 4 saattir. Korumalı Kullanıcılar grubu AD özellikleriContinue reading “Protected Users Security Group”

Windows 10 Permission History

SafeSearch Strict – Moderate – Off SafeSearch’ü off etmek için Active Directory’de yeni bir Group Politikası hazırlanır. Computer Configuration\Administrative Templates\Windows Components\Search Off Secilir ve ilgili OU’ya linklenir. This policy setting allows you to control the SafeSearch setting used when performing a query in Search. If you enable this policy setting, you can specify one ofContinue reading “Windows 10 Permission History”

Windows Server/Client Startup Applications

Windows Server ve Client’ların startup’ında çalışan uygulamaları powershell ile görüntülemek için aşağıdaki komutlar kullanılabilir. Bu kontrol ile bilginiz dışında herhangi bir zararlı yazılım bilgisayarınızın açılışında çalışıyor ise bunu tespit edebilirsiniz. Get-CimInstance Win32_StartupCommand | Select-Object Name, command, Location, User | Format-List

Enterprise Access Reporting

ACL-X-RAY Active Directory, Domain, Server ve Client’larda bulunan tüm ACL’lerin kontrolünü yapan Microsoft’un Lisanslı Tool’u olan ACL-X-Ray’in kurulum ve konfigürasyonu aşağıdaki gibidir. SQL Standard yada Express kurulur. SQL Feature’larını kurulur. PowerBI Kurulur. C:\ACLXRAY klasörü oluşturulur. Toolset altındaki Core ve Script klasörü C:\ACLXRAY klasörüne kopyalanır. Toolset altındali Licence.Lic dosyasını c:\aclxray\scripts altına kopyalanır. C:\aclxray\script\config.txt dosyasının içeriği aşağıdkaiContinue reading “Enterprise Access Reporting”

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s