Home

GET File Hash

Dosyaların Hash’lerini Görüntüleme Windows’da bulunan dosyaların hash’lerini görüntülemek için aşağıdaki powershell komutu kullanılır. Aşağıdaki örnekte path olarak C:\Windows\System32 klasöründe bulunan dosyaların hash’lerini listeleyeceğim. Bu işlemi yapmanın amaçlarından en önemlisi, kritik/önemli dosyalarda herhangi bir değişiklik olup olmadığının kontrolüdür. Forensic analizi yapılacağı zaman bir dosyanın ilk halinin hash’inin olması çok önemlidir. Çünkü X zamanındaki hash ile ilkContinue reading “GET File Hash”

Terminal Server License Servers Group Members

Terminal Server License Servers grubunun üyeleri AdminSDHolders üzerinde aşağıdaki yetkilere sahiptir. Yani default’da bu grup üyeleri service administrators grubu üyelerinin hesaplarını resetleyebilme haklarına sahiptir. O nedenle düzenli olarak bu grubun üyelerinin kontrol edilmesi önerilmektedir. SPECIAL ACCESS for terminalServerWRITE PROPERTYREAD PROPERTY

Group Policy Object Creation and Modification Time

Active Directory group policy’lerin oluşturulma ve değiştirilme zamanları Grup politikalarının oluşturulma ve değiştirilme zamanlarının görüntülenmesi, herhangi bir security incident olduğunda araştırılması gereken öncelikli konulardan birisidir. Bu işlem aşağıdaki powershell komutları ile yapılabilinir. $DN = (Get-ADDomain -Current LocalComputer).DNSRootget-gpo -all -domain $DN | sort-object creationTime | ft Displayname, CreationTime, ModificationTime

Active Directory Organizational Unit Structure

Active Directory’de kullanılan Organizational Unit’leri görüntülemek ve export etmek için aşağıdaki powershell komutu kullanılabilir. Görüntülemek için, Get-ADOrganizationalUnit -Properties CanonicalName -Filter *| Sort-Object CanonicalName | Format-Table CanonicalName, DistinguishedName TXT Dosyasına export etmek için, Get-ADOrganizationalUnit -Properties CanonicalName -Filter *| Sort-Object CanonicalName | Format-Table CanonicalName, DistinguishedName > C:\OUStructure.txt

Active Directory Database Integrity

Active Directory database’inin veri bütünlüğünü kontrol etmek ve herhangi bir bozulma varsa tespit etmek için aşağıdaki adımlar uygulanır. Windows Server 2008 Active Directory sonrası sürümleri için geçerlidir. Öncelikle Active Directory (AD DS – NTDS)  servisini durduruyoruz. Net stop ntds ntdsutil activate instance ntds files checksum q q yazılarak ntdsutil’den çıkılır. net start ntds ile deContinue reading “Active Directory Database Integrity”

User Credentials in Computer/Server

Bilgisayarda bulunan credentialları görüntülemek için aşağıdaki yöntemler uygulanır. rundll32 keymgr.dll,KRShowKeyMgr cmdkey /list komutu kullanılır. Yada Credential Manager’dan Web Credential ve Windows Credential kontrol edilir. Regedit HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon altında Default Password string’I var mı kontrol edillir. Schedule Tasks Kullanıcı adı ile oluşturulmuş Schedule Task var mı kontrol edilir. Services Kullanıcı adı ile çalışan (Disable, Manuel) servis varContinue reading “User Credentials in Computer/Server”

Protected Users Security Group

Bu grubun üyelerinin hesaplarına otomatik olarak uygulananan korumalar bulunmaktadır. Korunan öz nitelikler değiştirilememektedir. Bu gruba servis hesapları ve bilgisayar hesapları eklenmemelidir. Ayrıca bu gruba üye edilmiş kullanıcılar aşağıdaki özelliklere sahiptirler, NTLM authentication kullanılamamaktadır. Kerberos Auth. DES ve RC4 kullanılamamaktadır. Cache mode da oturum desteklenmemektedir. Kerberos TGT LT süresi 4 saattir. Korumalı Kullanıcılar grubu AD özellikleriContinue reading “Protected Users Security Group”

Windows 10 Permission History

SafeSearch Strict – Moderate – Off SafeSearch’ü off etmek için Active Directory’de yeni bir Group Politikası hazırlanır. Computer Configuration\Administrative Templates\Windows Components\Search Off Secilir ve ilgili OU’ya linklenir. This policy setting allows you to control the SafeSearch setting used when performing a query in Search. If you enable this policy setting, you can specify one ofContinue reading “Windows 10 Permission History”

Windows Server/Client Startup Applications

Windows Server ve Client’ların startup’ında çalışan uygulamaları powershell ile görüntülemek için aşağıdaki komutlar kullanılabilir. Bu kontrol ile bilginiz dışında herhangi bir zararlı yazılım bilgisayarınızın açılışında çalışıyor ise bunu tespit edebilirsiniz. Get-CimInstance Win32_StartupCommand | Select-Object Name, command, Location, User | Format-List

Enterprise Access Reporting

ACL-X-RAY Active Directory, Domain, Server ve Client’larda bulunan tüm ACL’lerin kontrolünü yapan Microsoft’un Lisanslı Tool’u olan ACL-X-Ray’in kurulum ve konfigürasyonu aşağıdaki gibidir. SQL Standard yada Express kurulur. SQL Feature’larını kurulur. PowerBI Kurulur. C:\ACLXRAY klasörü oluşturulur. Toolset altındaki Core ve Script klasörü C:\ACLXRAY klasörüne kopyalanır. Toolset altındali Licence.Lic dosyasını c:\aclxray\scripts altına kopyalanır. C:\aclxray\script\config.txt dosyasının içeriği aşağıdkaiContinue reading “Enterprise Access Reporting”

E01 Viewer Forensics Analysis Tool

E01 Dosya Türü Nedir? Encase Forensic, Guidance Software inc. Tarafından üretilmiş, yaygın olarak adli analiz’ler de kullanılan araçlardandır. Encase Forensic, disk görüntüleme ve koruma, veri kurtarma gibi özellikleri bulunmaktadır. E01 imaj dosya formatı, EnCase Forensic yazılımı tarafından Expert Witness Format (EWF) uygulamasında kullanılmaktadır. Yani, EWF dosyaların uzantısı .E01türündedir. E01 dosyası, disklerin görüntülenmesi, logical dosyaların depolanmas,Continue reading “E01 Viewer Forensics Analysis Tool”

Xplico Network Forensics Tools

Xplico, network  analiz yapabilen açık kaynak kodlu adli bilişim aracıdır. Gerçek zamanlı ve daha önceden oluşturulmuş olan dosyaları (pcap files) analiz edebilmektedir. Böylece, network üzerinden gerçekleşmiş yada gerçekleşebilecek olayların izlenmesi ve analizi konusunda çözümler üretmektedir. Xplico Netmon ve Wireshark gibi araçların açık kaynak kodlu bir alternatifi olarak da düşünebiliriz. Xplico Özellikleri Ağ trafiğini anlık olarakContinue reading “Xplico Network Forensics Tools”

Admin Forest Kurulumu ve Yapılandırılması 1

ACTIVE DIRECTORY RED FOREST INSTALLATION AND CONFIGURATION PART 1 Admin Forest modelinin amacı, mevcut ortamın kontrolünü domain ve security hardening çalışmaları yapılmış güvenli farklı bir forest üzerinden gerçekleştirmek ve kötü niyetli kişilerin hedef aldığı kritik sistemlere erişimleri esnasında bir tampon bölge kullanarak kimlik sistemlerini korumaktır. Admin Forest, Active Directory altyapısını yönetmek için tasarlanmış güvenli veContinue reading “Admin Forest Kurulumu ve Yapılandırılması 1”

Admin Forest Kurulumu ve Yapılandırılması 2

ACTIVE DIRECTORY RED FOREST INSTALLATION AND CONFIGURATION PART 2 AŞAMA 2 – Admin Forest Yapılandırılması ve Bağlantı Testlerinin Yapılması İlk olarak Admin Forest’a dahil edeceğimiz domainde (volsys.com) DNS’i açıp, “Conditional Forwarders” kısmına management domainimiz olan (volsysmgmt.com) ve 10.0.1.5 IP adresini ekliyoruz. Sonrasında management domainine (volsysmgmt.com) gelerek DNS’i açıp “Conditional Forwarders” kısmına admin foresta ekleyeceğimiz domaininContinue reading “Admin Forest Kurulumu ve Yapılandırılması 2”

Privileged Access Workstations Kurulumu ve Yapılandırılması 1

PAW’lar, internet saldırıları ve tehdit faktörlerinden korunan hassas görevler için özel bir işletim sistemi kullanmamıza olanak sağlar. En basit ifadeyle, bir PAW, hassas hesaplar ve görevler için yüksek güvenliği sağlamak üzere tasarlanmış, sıkılaştırılmış kilitli bir iş istasyonudur. Bu hassas görevlerin ve hesapların günlük kullanılan iş istasyonlarından ve cihazlardan ayrılması hedeflenmektedir. PAW Pass-the-Hash, Pass-The-Ticket başta olmakContinue reading “Privileged Access Workstations Kurulumu ve Yapılandırılması 1”

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s