Powershell Auditing
Powershell versiyonu 5,0 dan itibaren açılan her bir session’ın kim tarafından açıldığı, hangi işlemleri yaptığı ve çıktı olarak neleri gördüğünü tespit etmek ve TXT formatında bir dosyaya export etmek amacıyla aşağıdaki policy kullanılabilinir. Çıktılar C:\PSLogs klasöründe zamanla göre indexlenmektedir. Örnek bir dosya içeriği
Azure Conditional Access
Condational Access IF-Then ifadeleridir, yani bir kullanıcı bir kaynağa erişmek istiyorsa, bir eylemi tamamlaması gerekmektedir. Örneğin, bir kullanıcının bir uygulamaya erişmesi için multi-factor authentication ile doğrulama yapması gerekmektedir. Modern güvenlik çerçevesinde user ve device identity içerecek şekilde bir organizasyona erişilebilinmektedir. Organizayonlar erişim kontrollerini kimliğe dayalı sinyaller kullanarak da yapabilmektedirler. Create new policy seçilir Assignment altından…
Azure Management Groups
Azure Management Groups Setup Kurumunuzun çok fazla Azure subscriptions varsa bu subscription’ların erişimi, policyleri ve complice’lara uygun olarak yönetilmesi amacı ile Management Grouplar kullanılabilir. Management Groups, hertürlü subscriptionlarınız için size geniş ölçekte ve kurumsal düzeyde yönetim imkanı sunar. Aşağıdaki tablo da management grup’lar kullanılarak bir governance hiyerarşisi gösterilmektedir. Management Group oluşturmak için aşağıdaki adımlar uygulanır.…
Microsoft Defender for Cloud
Onboarding Microsoft Defender for Cloud, güvenlik durumunuzu güçlendirmeye yardımcı olmak amacıyla, modern tehditlere karşı koruma sağlayan ve multi cloud platformlarını (Amazon AWS and Google GCP) destekleyen ve hibrit ortamlarda cloud uygulamaları yaşam döngüsü boyunca riski minimize etmeye yardımcı olan unified cloud tabanlı platformdur. Microsoft Defender for Cloud, buluttaki ve on-prem kaynaklarınızın ve workload’larınızın güvenliğini yönetirken…
Group Managed Service Accounts
gMSA gMSA, servis account’larının güvenliğini sağlamak amacıyla kullanılan domain account’larıdır. gMSA account’ları 240 baytlık random olarak oluşturulmuş, complex password’ler kullanır. Böylece brute force ataklarının password’leri ele geçirilme imkanını minimize eder. gMSA’lar password’leri 30 günde bir değişir. Password yönetimi Windows işletim sistemi tarafından yapılır. gMSA’lar aynı fonksiyona( işlevselliğe ) sahip birden çok sunucuda çalışarak load-balance işlemi…
Azure Bastion
Azure Bastion, web tarayıcısı, azure portal aracı kullanarak SSH veya RDP protokollerini kullanarak Azure Iaas ortamında bulunan virtual machine’lerimize hızlı, güvenli ve sorunsuz olarak TLS üzerinden bağlanmamızı sağlayan bir Azure Saas servisidir. Azure Portal’a girilir. Create a Bastion seçilir ve aşağıdaki gibi devam edilir. var olan bir Resource group seçilir yada yeni bir tane oluşturulur.…
Disable Azure AD Connect
Belirli amaçlarla aktif hale getirmiş olduğumuz Azure AD Connect Sync konfigürasyonumuzu disable etmek isteyebiliriz. Örnek olarak sürekli hata mesajı almak istememiz gibi. Bu işlem Azure Portal’dan yapıldığı gibi powershell ile de kolaylıkla yapılabilmektedir. Önce Admin hakları ile powershell açılır. Import-module msonline Connect-MsolService gelen ekranda global admin hesabımı giryoruz. Connection sağlandıktan sonra “Set-MsolDirSyncEnabled -EnableDirSync $False -force…
Azure Licenses
Azure Active Directory Microsoft Azure kurumunuz/işletmeniz için gerektiğinde büyütmek ve gerektiğinde ölçeğinizi küçültmek amacıyla bazı cloud imkanları sunmaktadır. Bunlardan bir tanesi de Microsoft Azure Lisans’dır. İlgili lisansları hızlı ve kolayca temin edebilirsiniz. Microsoft Azure’da kullanılacak olan lisansları aktif hale getirmek için, Global Administrator hesabı ile https://portal.azure.com adresine girilir. Oradan Licenses ve All Products seçilir. Ardından…
ADFS için Sertifika Hazırlama
Certificate Authority açılır Certificate Template Seçilir, Sağ tuş ile Manage Seçilir, Dublicate template edilecek sertifika seçilir, General tabından Sertifika için isim verilir, Security’den ADFS olacak makinanın computer objesi seçilir ve read, enroll yetkisi verilir, Subject name bölümünden common name seçilir ve DNS seçilir Request Handling bölümünden Allow private key to be exported seçilir, Certificate Template…
Advanced Audit Configuration for Windows Clients
Windows Client Security Hardening çalışması kapsamında Tier 2 için önerilen audit konfigürasyonu aşağıdaki gibidir. Advanced Audit ConfigurationAccount LogonPolicySettingAudit Credential ValidationSuccess, FailureAccount ManagementPolicySettingAudit Security Group ManagementSuccessAudit User Account ManagementSuccess, FailureDetailed TrackingPolicySettingAudit PNP ActivitySuccessAudit Process CreationSuccessLogon/LogoffPolicySettingAudit Account LockoutFailureAudit Group MembershipSuccessAudit LogonSuccess, FailureAudit Other Logon/Logoff EventsSuccess, FailureAudit Special LogonSuccessObject AccessPolicySettingAudit Detailed File ShareFailureAudit File ShareSuccess, FailureAudit Other Object…
Advanced Audit Configuration for Windows Servers
Windows Server Security Hardening çalışması kapsamında Tier 1 için önerilen audit konfigürasyonu aşağıdaki gibidir. Account LogonPolicySettingAudit Credential ValidationSuccess, FailureAccount ManagementPolicySettingAudit Security Group ManagementSuccessAudit User Account ManagementSuccess, FailureDetailed Tracking PolicySettingAudit PNP ActivitySuccessAudit Process CreationSuccessLogon/LogoffPolicySettingAudit Account LockoutFailureAudit Group MembershipSuccessAudit LogonSuccess, FailureAudit Other Logon/Logoff EventsSuccess, FailureAudit Special LogonSuccessObject AccessPolicySettingAudit Detailed File ShareFailureAudit File ShareSuccess, FailureAudit Other Object Access EventsSuccess,…
Netlogon Error 0xc0000064
Netlogon Servisinin running duruma geçememesi ve error 0xc0000064 hatası, Domain upgrade yöntemlerinden önerileni eski işletim sistemine sahip domain controller’ın Demote edilmesi ardından yeni domain controller’a eski DC’nin IP adresinin ( çok gerekli ise DC isminin de ) verilerek Promoto edilmesidir. Ancak bazı durumlarda örneğin Active Directory database size’ının çok büyük olması (~50 GB) yada minimum…
VOLSYS 12
Active Directory Health Checkup <#Active Directory Health CheckupVolsys10 7.7.2022102Garden > cd\if (!(Get-ChildItem(“C:\volsys”))){md Volsys}cd Volsys $d = Get-Date -UFormat %d%m%Ymd $dcd $d New-Item -Name ADCHECK.txt -ItemType File add-content adcheck.txt “Exported Files to be in C:\Volsys\$d\”add-content adcheck.txt “======================================================” repadmin /showbackup * > C:\Volsys\$d\1-ADBackupStatus.txt$ADB = “rn 1.AD Backup is controlled”$ADB| add-content adcheck.txt cls New-Item -Name 2-ADSnapshot.txt -ItemType Fileadd-content…
SMBv1 Auditing
SMBv1’i devre dışı bırakmak veya kaldırmak bazı bilgisayarlar da veya yazılımlarla uyumluluk sorunlarına neden olabilmektedir. SMBv1’in önemli güvenlik açıkları vardır ve o nedenle disable etmeden önce kesinlikle audit’lerinin açılması ve incelenmesini önerilmektedir. SMBv2 protokolü Windows Vista ve Windows Server 2008’de ve SMBv3 ise Windows 8 ve Windows Server 2012’de aktif olarak kullanılmaya başlandı. SMBv1 protoklü…
Windows Time Parameters Entries
NTP: error ERROR_TIMEOUT – no response from server in 1000ms W32tm /monitor komutu kullanılarak yapılan kontroller de karşılaşılan “ERROR_TIMEOUT – no response from server in 1000ms” hatasını gidermek için registery’de “Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer” Enabled değerini 1 yapmak gerekiyor. Diğer parametre değerleri aşağıdaki gibidir. Parameters Entries NTP Server: NTP Client Kaynak: Windows Time service tools and settings |…
Azure Security - Cyber Security 