Home

Advanced Audit Configuration for Windows Clients

Windows Client Security Hardening çalışması kapsamında Tier 2 için önerilen audit konfigürasyonu aşağıdaki gibidir. Advanced Audit Configuration Account Logon Policy Setting Audit Credential Validation Success, Failure Account Management Policy Setting Audit Security Group Management Success Audit User Account Management Success, Failure Detailed Tracking Policy Setting Audit PNP Activity Success Audit Process Creation Success Logon/Logoff Policy […]

Advanced Audit Configuration for Windows Servers

Windows Server Security Hardening çalışması kapsamında Tier 1 için önerilen audit konfigürasyonu aşağıdaki gibidir. Account Logon Policy Setting Audit Credential Validation Success, Failure Account Management Policy Setting Audit Security Group Management Success Audit User Account Management Success, Failure Detailed Tracking   Policy Setting Audit PNP Activity Success Audit Process Creation Success Logon/Logoff Policy Setting Audit […]

Netlogon Error 0xc0000064

Netlogon Servisinin running duruma geçememesi ve error 0xc0000064 hatası, Domain upgrade yöntemlerinden önerileni eski işletim sistemine sahip domain controller’ın Demote edilmesi ardından yeni domain controller’a eski DC’nin IP adresinin ( çok gerekli ise DC isminin de ) verilerek Promoto edilmesidir. Ancak bazı durumlarda örneğin Active Directory database size’ının çok büyük olması (~50 GB) yada minimum […]

VOLSYS 12

Active Directory Health Checkup <#Active Directory Health CheckupVolsys10 7.7.2022102Garden > cd\if (!(Get-ChildItem(“C:\volsys”))){md Volsys}cd Volsys $d = Get-Date -UFormat %d%m%Ymd $dcd $d New-Item -Name ADCHECK.txt -ItemType File add-content adcheck.txt “Exported Files to be in C:\Volsys\$d\”add-content adcheck.txt “======================================================” repadmin /showbackup * > C:\Volsys\$d\1-ADBackupStatus.txt$ADB = “rn 1.AD Backup is controlled”$ADB| add-content adcheck.txt cls New-Item -Name 2-ADSnapshot.txt -ItemType Fileadd-content […]

SMBv1 Auditing

SMBv1’i devre dışı bırakmak veya kaldırmak bazı bilgisayarlar da veya yazılımlarla uyumluluk sorunlarına neden olabilmektedir. SMBv1’in önemli güvenlik açıkları vardır ve o nedenle disable etmeden önce kesinlikle audit’lerinin açılması ve incelenmesini önerilmektedir. SMBv2 protokolü Windows Vista ve Windows Server 2008’de ve SMBv3 ise Windows 8 ve Windows Server 2012’de aktif olarak kullanılmaya başlandı. SMBv1 protoklü […]

Windows Time Parameters Entries

NTP: error ERROR_TIMEOUT – no response from server in 1000ms W32tm /monitor komutu kullanılarak yapılan kontroller de karşılaşılan “ERROR_TIMEOUT – no response from server in 1000ms” hatasını gidermek için registery’de “Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer” Enabled değerini 1 yapmak gerekiyor. Diğer parametre değerleri aşağıdaki gibidir. Parameters Entries NTP Server: NTP Client Kaynak: Windows Time service tools and settings | […]

Restore AD Object with Powershell

Active Directory’de silinen bir obje’yi powershell kullanarak restore etmek için aşağıdaki komut kullanılabilinir. Bilindiği gibi restore işlemlei recycle Bin aracılığı ile rostre ve restore to ile de yapılabilinmektedir. Örneğin Resote ile orjinal lokasyonuna, restore to ile de farklı bir lokasyona restore işlemi yapılabilinir. Ayrıca powershell kullanılarak restore işlemi yapılacak ise ilgili objenin parnt bilgisini bulabilmek […]

Kerberos RC4 Auditing

RC4, Rivest Cipher 4, ARC4 (ArcFour) Uygulamadaki basitliği ve hızıyla dikkat çekici olsa da çok fazla güvenlik açığı tespit edilmiştir. Windows Server 2008 ve Windows Vista işletim sistemleri’nden sonra Kerberos AES 128 ve 256 encyrption type’lar kullanılmaya başlanmıştır. Netapp (belirli versiyon’dakiler) ve benzeri bazı uygulamalar sadece Kerberos RC4’ü desteklemektedir. Kerberos’un kullanımını daha güvenli hale getirmek […]

AD Replication Attribute

Get-ADReplicationAttributeMetadata Get-ADReplicationAttributeMetadata komutu ibelirli bir active directory obje’sindeki bir yada daha fazla attribute’lerin replikasyon meta datalarını verir/görüntüler. Bu meta datalar aşağıdaki iki directory objesi üzerinde tutulur. Single-value attribute: msDS-ReplAttributeMetaData Multi-value attribute: msDS-ReplValueMetaData Get-ADReplicationAttributeMetadata -object “CN=mari,OU=Admin,DC=VOLSYS,DC=COM” -server voldc01 -ShowAllLinkedValues Bu komut Volsys domain’indeki Mari user’ı ile ilgili tüm attribute’leri görüntüleyecektir. Çıktısı aşağıdaki gibidir. AttributeName : tCKNAttributeValue : 2FirstOriginatingCreateTime […]

SID Export

Security identifiers Active Directory domain’iniz de belirli sürelerde SID değerlerini export edebilirseniz, policy içerisinde silinen ad objelerin sid’lierinden hangi ad objesine ait olduğunu kolayca tespit edebilirsiniz. get-aduser -filter * -Properties sid | ft name, sid > c:\SIDInfo.csv get-aduser -filter * -Properties sid | ft name, sid

Privileged Access Workstations Kurulumu ve Yapılandırılması 1

PAW’lar, internet saldırıları ve tehdit faktörlerinden korunan hassas görevler için özel bir işletim sistemi kullanmamıza olanak sağlar. En basit ifadeyle, bir PAW, hassas hesaplar ve görevler için yüksek güvenliği sağlamak üzere tasarlanmış, sıkılaştırılmış kilitli bir iş istasyonudur. Bu hassas görevlerin ve hesapların günlük kullanılan iş istasyonlarından ve cihazlardan ayrılması hedeflenmektedir. PAW Pass-the-Hash, Pass-The-Ticket başta olmak […]

Privileged Access Workstations Kurulumu ve Yapılandırılması 2

Aşama 1 için gerekli olan tüm işlemleri tamamlayarak, Aşama 2’ye geçmiş bulunmaktayız. Bu aşamada PAW kurulumu ve yapılandırılmasına değineceğiz. AŞAMA 2: PAW MAKİNESİNİN KURULUMU VE YAPILANDIRILMASI 1.Daha önce edindiğiniz temiz kaynak olan yazılımını (lisanslı) kullanarak PAW olarak yapılandıracağınız makinaya Windows 10 Enterprise yükleyin. (Enterprise lisansınız yok ise Pro’da kullanabilirsiniz.) ***Yazılım İnternet’ten alınır ve iki bağımsız […]

Kerberos Pre-Authentication

Kerberos pre-authentication olmadan, kötü niyetli bir saldırgan, kimlik doğrulama için doğrudan sahte bir istek gönderebilir. KDC, şifreli bir TGT döndürür ve saldırgan onu çevrimdışı olarak kaba kuvvet uygulayabilir. KDC günlükleri kontrol edildiğinde, TGT için tek bir istek dışında hiçbir şey görünmeyecektir. Kerberos zaman damgası Kerberos pre-authentication uygulandığında, saldırgan KDC’lerden şifrelenmiş materyali çevrimdışı olarak Brute-Force’a doğrudan […]

Admin Forest Kurulumu ve Yapılandırılması 1

Admin Forest modelinin amacı, mevcut ortamın kontrolünü domain ve security hardening çalışmaları yapılmış güvenli farklı bir forest üzerinden gerçekleştirmek ve kötü niyetli kişilerin hedef aldığı kritik sistemlere erişimleri esnasında bir tampon bölge kullanarak kimlik sistemlerini korumaktır. Admin Forest, Active Directory altyapısını yönetmek için tasarlanmış güvenli ve iyi korunan forest referans mimarisidir. Bu metodoloji, mevcut AD […]

Admin Forest Kurulumu ve Yapılandırılması 2

AŞAMA 2 – Admin Forest Yapılandırılması ve Bağlantı Testlerinin Yapılması İlk olarak Admin Forest’a dahil edeceğimiz domainde (volsys.com) DNS’i açıp, “Conditional Forwarders” kısmına management domainimiz olan (volsysmgmt.com) ve 10.0.1.5 IP adresini ekliyoruz. Sonrasında management domainine (volsysmgmt.com) gelerek DNS’i açıp “Conditional Forwarders” kısmına admin foresta ekleyeceğimiz domainin bilgilerini giriyoruz. Daha sonrasında forestlar arası trust kurulum aşamasına […]