GET File Hash

Dosyaların Hash’lerini Görüntüleme Windows’da bulunan dosyaların hash’lerini görüntülemek için aşağıdaki powershell komutu kullanılır. Aşağıdaki örnekte path olarak C:\Windows\System32 klasöründe bulunan dosyaların hash’lerini listeleyeceğim. Bu işlemi yapmanın amaçlarından en önemlisi, kritik/önemli dosyalarda herhangi bir değişiklik olup olmadığının kontrolüdür. Forensic analizi yapılacağı zaman bir dosyanın ilk halinin hash’inin olması çok önemlidir. Çünkü X zamanındaki hash ile ilkContinue reading “GET File Hash”

Terminal Server License Servers Group Members

Terminal Server License Servers grubunun üyeleri AdminSDHolders üzerinde aşağıdaki yetkilere sahiptir. Yani default’da bu grup üyeleri service administrators grubu üyelerinin hesaplarını resetleyebilme haklarına sahiptir. O nedenle düzenli olarak bu grubun üyelerinin kontrol edilmesi önerilmektedir. SPECIAL ACCESS for terminalServerWRITE PROPERTYREAD PROPERTY

Group Policy Object Creation and Modification Time

Active Directory group policy’lerin oluşturulma ve değiştirilme zamanları Grup politikalarının oluşturulma ve değiştirilme zamanlarının görüntülenmesi, herhangi bir security incident olduğunda araştırılması gereken öncelikli konulardan birisidir. Bu işlem aşağıdaki powershell komutları ile yapılabilinir. $DN = (Get-ADDomain -Current LocalComputer).DNSRootget-gpo -all -domain $DN | sort-object creationTime | ft Displayname, CreationTime, ModificationTime

Active Directory Organizational Unit Structure

Active Directory’de kullanılan Organizational Unit’leri görüntülemek ve export etmek için aşağıdaki powershell komutu kullanılabilir. Görüntülemek için, Get-ADOrganizationalUnit -Properties CanonicalName -Filter *| Sort-Object CanonicalName | Format-Table CanonicalName, DistinguishedName TXT Dosyasına export etmek için, Get-ADOrganizationalUnit -Properties CanonicalName -Filter *| Sort-Object CanonicalName | Format-Table CanonicalName, DistinguishedName > C:\OUStructure.txt

Active Directory Database Integrity

Active Directory database’inin veri bütünlüğünü kontrol etmek ve herhangi bir bozulma varsa tespit etmek için aşağıdaki adımlar uygulanır. Windows Server 2008 Active Directory sonrası sürümleri için geçerlidir. Öncelikle Active Directory (AD DS – NTDS)  servisini durduruyoruz. Net stop ntds ntdsutil activate instance ntds files checksum q q yazılarak ntdsutil’den çıkılır. net start ntds ile deContinue reading “Active Directory Database Integrity”

User Credentials in Computer/Server

Bilgisayarda bulunan credentialları görüntülemek için aşağıdaki yöntemler uygulanır. rundll32 keymgr.dll,KRShowKeyMgr cmdkey /list komutu kullanılır. Yada Credential Manager’dan Web Credential ve Windows Credential kontrol edilir. Regedit HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon altında Default Password string’I var mı kontrol edillir. Schedule Tasks Kullanıcı adı ile oluşturulmuş Schedule Task var mı kontrol edilir. Services Kullanıcı adı ile çalışan (Disable, Manuel) servis varContinue reading “User Credentials in Computer/Server”

Protected Users Security Group

Bu grubun üyelerinin hesaplarına otomatik olarak uygulananan korumalar bulunmaktadır. Korunan öz nitelikler değiştirilememektedir. Bu gruba servis hesapları ve bilgisayar hesapları eklenmemelidir. Ayrıca bu gruba üye edilmiş kullanıcılar aşağıdaki özelliklere sahiptirler, NTLM authentication kullanılamamaktadır. Kerberos Auth. DES ve RC4 kullanılamamaktadır. Cache mode da oturum desteklenmemektedir. Kerberos TGT LT süresi 4 saattir. Korumalı Kullanıcılar grubu AD özellikleriContinue reading “Protected Users Security Group”

Windows 10 Permission History

SafeSearch Strict – Moderate – Off SafeSearch’ü off etmek için Active Directory’de yeni bir Group Politikası hazırlanır. Computer Configuration\Administrative Templates\Windows Components\Search Off Secilir ve ilgili OU’ya linklenir. This policy setting allows you to control the SafeSearch setting used when performing a query in Search. If you enable this policy setting, you can specify one ofContinue reading “Windows 10 Permission History”

Windows Server/Client Startup Applications

Windows Server ve Client’ların startup’ında çalışan uygulamaları powershell ile görüntülemek için aşağıdaki komutlar kullanılabilir. Bu kontrol ile bilginiz dışında herhangi bir zararlı yazılım bilgisayarınızın açılışında çalışıyor ise bunu tespit edebilirsiniz. Get-CimInstance Win32_StartupCommand | Select-Object Name, command, Location, User | Format-List

Enterprise Access Reporting

ACL-X-RAY Active Directory, Domain, Server ve Client’larda bulunan tüm ACL’lerin kontrolünü yapan Microsoft’un Lisanslı Tool’u olan ACL-X-Ray’in kurulum ve konfigürasyonu aşağıdaki gibidir. SQL Standard yada Express kurulur. SQL Feature’larını kurulur. PowerBI Kurulur. C:\ACLXRAY klasörü oluşturulur. Toolset altındaki Core ve Script klasörü C:\ACLXRAY klasörüne kopyalanır. Toolset altındali Licence.Lic dosyasını c:\aclxray\scripts altına kopyalanır. C:\aclxray\script\config.txt dosyasının içeriği aşağıdkaiContinue reading “Enterprise Access Reporting”