EventLog: Tüm Kullanıcı İşlemleri Analizi (Powershell)

Saldırı altında bulunan bir sistemde ilk olarak kontrol edilecek yerlerin başında olay denetim (EventLog) kayıtları gelmektedir. Fakat çok hızlı sonuçlar alabilmek için öncelikle bu olay  kayıtlarının analiz edilmesi gerekmektedir.

Tek tek analiz edilen tüm kullanıcı olay kayıtlarını (EventLog) yazdığımız Powershell script ile sabit genişlikli bir csv dosyaya aktarıyoruz. Bu kullanıcı işlemleri olay kayıt (Event ID) numaralarını bir tabloya dönüştürdük.

EventID 4625: Tracking User Logon Failed Activity Using Logon Events

Saldırı altındaki makinelerin ve adli analiz amacıyla kullanıcıların makinelerde oturum açma deneme işlemleri analizi çok önemlidir.

Powershell script ile yerel makineler üzerinde oturum açma deneme aktivitelerini kolay anlaşılır tablo biçiminde alan scripti paylaşacağım.

4625_User_Logon_Failed_Analysis.ps1

# =========================================================== # NAME: 4625_User_Logon_Failed_Analysis.ps1 # AUTHOR: Bekir Yalçın # DATE: 29/12/2012 # COMMENT: Oturum açma denemesi olayları analizi - EventID: 4625 # VERSION: 1 # =========================================================== # Clear #Log dosya adı $LogFileName="4625_User_Logon_Failed_Reports_" + (Get-Date –f "yyyyMMdd_HHmmss_").tostring() + (hostname).tostring() + ".csv" write-host ((0..48)|%{if (($_+1)%3 -eq 0){[char][int]

How to encrypt (Microsoft Outlook) .pst file?

Pst dosyasını (Microsoft Outlook) şifreleme:

Adım1: Denetim Masasından Posta (32 bit) simgesine çift tıklayın.



Adım2: Gelen pencereden Profilleri Göster... butonuna tıklayın.

EventID 4771: Active Directory Kerberos Authentication Failure with Powershell

Etki alanında kullanıcı hesaplarından ve makine hesaplarından hatalı giriş denemeleri EventID 4771 Kerberos pre-authentication failed. olarak kaydedilmektedir. Bu event incelenerek şifre denemesi yapan kullanıcılar ve virüsler tespit edilebilir.

Powershell script ile DC üzerinden ön kimlik doğrulaması başarısız olan aktiviteleri kolay anlaşılır tablo (Sabit genişlikli csv dosya ) biçiminde alan scripti paylaşacağım.

How to Remove “Ease of Access” (Accessibility) Button from Windows 7 Login Screens?

Ease of Access özelliği bir güvenlik zaafiyeti olarak kullanılabilmektedir. Bu yazımızda Windows açılış ekranında sol alt köşede bulunan bu butonu kaldırmayı anlatacağım.

Butonu kaldırmak için %windir%\system32\authui.dll dosyasında düzenleme yapmamız gerekmektedir. Bu işlem için öncelikle yardımcı programa ihtiyacımız olacaktır. Kullanabileceğimiz programlar ResHacker, XN Resource Hacker, XVI hex editor... programlarında bir tanesini temin etmemiz gerekmektedir. Yalnız dikkat etmemiz gereken husus bu programlar düzenleyeceği exe, dll vb. dosyalarda 32 bit ve 64 bit ayrımı yapabilmektedir. Biz anlatımımızda Resource Hacker programını kullanacağız. Dileyen ücretsiz olarak aşağıdaki linkten indirilebilir.

Resource Hacker download: 

EventID 4624: Tracking User Logon Activity Using Logon Events

Saldırı altındaki makinelerin ve adli analiz amacıyla kullanıcıların makinelerde oturum açma işlemleri analizi çok önemlidir.

Powershell script ile yerel makineler üzerinde oturum açma aktivitelerini kolay anlaşılır tablo biçiminde alan scripti paylaşacağım.

Pentest: Find Domain Admins Logon on Networks with Powershell

Pentestlerde öncelik verilen konulardan biri de Domain Admins bir kullanıcının logon olduğu makinenin tespit edilmesidir. Bu Powershell script, Powershell script dilini öğrenme  aşamasında geliştirilmiştir.

SCRIPT'IN ÇALIŞMASI:

Script temel olarak LDAP ile çalışmaktadır. Temel olarak Domain Users grubuna üye bir kullanıcı hesabı ile işlemler gerçekleştirilmektedir. Bunun için ilk iş LDAP bilgilerini kontrol etmektir. Varsayılan olarak script içerisine LDAP bilgileri girilebilmektedir. Ayrıca script çalıştıktan sonra da bu bilgiler değiştirilebilir.

Cisco Catalyst Configuration Examples

Cisco Catalyst 3550 Factory Default

SiberBlog_Cisco3550#write erase
SiberBlog_Cisco3550#delete flash:vlan.dat
SiberBlog_Cisco3550#reload



[adsenseyu2]

Hp ProCurve Configuration Examples

Hp ProCurve 2650 Factory Default

Yöntem1: Anahtarlama cihazı üzerinden,

1- Ucu sivri bir cisim kullanarak cihazın ön panelinde bulunan Reset ve Clear butonlarına birlikte basın. Power ve Fault lambaları yanacaktır.
2- Clear butonuna basmaya devam edin ve Reset butonunu bırakın.
3- Fault lambası sönecek ve bir süre sonra test LED'leri yanıp sönmeye başlayacak. Clear butonunu da bırakabilirsiniz.
4- Cihaz kendi kendini test edecek ve fabrika ayarlarına dönecektir.

Audit Settings Group Policy

İşletim sitemlerinde denetim ilkelerinin (audit policy) birçoğu varsayılan olarak kapalı gelmektedir. İyi bir loglama için yapılandırılması gerekmektedir. Bu yapılandırma işlemini yerel bilgisayarlarda uygulaya bileceğimiz gibi etki alanından (Active Directory) GPO ile de tüm makinelere uygulayabiliriz.

[adsenseyu2]

1- Etki alanında (Active Directory) Grup İlkesi Yönetim Konsolu (Group Policy Management Editor) "gpmc.msc" üzerinden ayarlama yapmak için:

Varolan veya yeni bir GPO’yu düzenleme modunda açın ve Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies/Audit Policy > Advanced Audit Configuration penceresine gelin.

Active Directory: Administrator Password Reset

Etki alanı (Active Directory ) yönetiminde istenmeyen bazı durumlarda şifrelerin resetlenmesi gerekmektedir. Bu işlem için maalesef SAM veritabanından şifre değiştiren programlar işe yaramamaktadır.



Domain veritabanına erişmek için Windows'a ait açıklıkta diyebileceğimiz bir yöntemi kullanacağız. Bu yöntemde Windows kullanıcı karşılama ekranında sol alt köşede bulunan ve ayrıca klavyeden WindowsTuşu + U gibi kısayollarla da erişilebilen Utilman.exe programıdır.

Active Directory: Restricted Groups

Etki alanında (Active Directory) Restricted Groups; User Accounts, Computer Accounts ve Grup'ların üye olacağı grupları bir politika ile yönetmek için ve tersi olarakta bir grubun üyelerini (User Accounts, Computer Accounts, Grup) bir politika ile yönetmek için kullanılır.

Örneğin etki alanınızda Domain Admins grubunu yönetmek istiyoruz. Bu durumda yapılacak işlem önce Domain Admins grubuna üye olacak kullanıcı hesaplarını belirlemek ve Group Policy Management'tan Restricted Groups ayarını girmektir.

 

Etki alanı için Domain Admins grubu ve yerel makinelerde (etki alanı üyesi) Administrators grubu üyelerini Restricted Groups ile belirleyen iki örnek yapalım.

Active Directory: Reset Multiple User Password

Bilgisayar Olaylarına Müdahalede İlk Adım:

Örneğin sisteminizin birileri tarafından ele geçirildiğinden şüpheleniyorsunuz ve hızlı bir şekilde olaya müdahale etmek istiyorsunuz. Yalnız ne büyüklükte bir saldırı olduğunu bilmiyorsunuz. Bu durumda ilk yapılması gerekenlerden biri saldırıya uğrayan bölümünüzün veya belirli bir kullanıcı grubunun veya da tüm kullanıcılarınızın şifrelerini çok hızlı bir şekilde değiştirerek işleme başlayabilirsiniz.

Aktif dizinde kullanabileceğimiz bu scriptler aynı zamanda Remote Server Administration Tools (RSAT) kurulu makinelerde de kullanılabilir.

Active Directory: Machine Account Password Changes Policy

Etki alanında makine hesapları şifre değişimi varsayılan olarak 30 gündür. Son şifre değişiminden sonra bu süreyi dolduran makine Netlogon servisi tarafından etki alanına şifre değişim isteği gönderir ve şifre güncellenir.



Bazı durumlarda bu şifre değişim işleminin süresinin uzatılması veya tamamen devre dışı bırakılması faydalı olabilir. Örneğin; etki alanı üyesi

Solid State Disk(SSD)'li makineye windows kurulumu

Solid State Disk(SSD) 'ler erişim süresi avantajı, veri güvenliği bakımından gelişmiş bir yapıya sahiptir. Yeni nesil olan bu disklerin hayatımıza girmesi ile birlikte ufakta olsa kullanım farklılıkları göstermektedir.

Bu bağlamda bizde SSD'li laptopumuza Windows 7 işletim sistemi kurulumunda dikkat edilmesi gerekenleri anlatalım dedik.

NOT : Yeni versiyon Windows kurulum DVD'lerinde SSD disk sürücü desteği

Analysis "The trust relationship between this domain and the primary domain failed"

"The trust relationship between this domain and the primary domain failed"

"Bu iş istasyonu ile birinci etki alanı arasındaki güven ilişkisi başarısız"



Bu problemle ilgili 3 adet yazımız bulunmaktadır.

1- Problemin kaynağı ve çözüm yöntemleri: http://siberblog.org/index.php/the-trust-relationship-between-this-domain-and-the-primary-domain-failed/ yazımızı

VMware: Disabling Time Synchronization

Sanal makineler kapatılıp açıldığında, askıya alınıp yeniden başlatıldığında... zaman güncellemesi sanal sistemin yüklü olduğu fiziksel sunucunun (host) bios saati ile eşitlenir.

Bu durum farklı sebeplerle iptal edilmek istenebilir. İptal işlemi için iki yöntem vardır.

 

Yöntem1 :

- VMware Infrastructure Client ekranında sanal makine seçilir.

NOT : Makinenin konfigurasyonunda değişiklik yapılacağından

VMware ESXi Time Configuration: Add NTP Server

VMware ESXi sanallaştırma sisteminde sanal makineler, sistem saatini varsayılan olarak yüklü olan fiziksel sunucudan alırlar. Fiziksel sunucu (host) bios saati farklı sebeplerle geri&ileri kayabilir. Bu problemin önüne geçmek için fiziksel sunucunun bios saatinin belirli aralıklarla güncellenmesi gerekmektedir. Daha da iyisi bu sunucunun bir NTP serverdan kendini otomatik güncellemesini sağlamaktır.

Fiziksel sunucu bios saatini elle güncellemek için:

1. VMware Infrastructure Client'ı başlatın.

Active Directory Time Synchronization: Aktif Dizin & İstemci saat senkronizasyonu

dc'de 5156 olay kaydı içinde 123 portundan gelen istekleri sorgula

 

http://theessentialexchange.com/blogs/michael/archive/2010/01/29/a-brief-history-of-time-ok-ok-let-s-go-with-quot-an-introduction-to-the-windows-time-service-quot.aspx

 

Etki alanında saat, grup policy objeleri ve şifre güncellemelerini yapan servis PDC emülatörüdür. Her istemci etki alanında oturum açarken PDC'den saat senkronunu kontrol eder ve "Maximum tolerance for computer clock synchronization" 'da

belirtilen süreden fazla bir fark yok ise oturum başarılı bir şekilde açılır. Tek DC kullanılan etki alanlarında PDC emülatörü DC'nin kendisidir. Ortamda birden fazla DC var ise PDC emülatörünü görmek için komut satırında "dsquery server -hasfsmo pdc" komutunu çalıştırabilirsiniz.

Ayrıca PDC emülatörünü "Active Directory Users and Computers" ekranında iken etki alanı adı üzerinde fare ile sağ tıklanıp "Operations Masters..." seçeneği seçilerek te görülebilir.

NET TIME /SETSNTP:time.windows.com
NET STOP W32TIME
NET START W32TIME
W32TM /config /reliable:YES
W32TM /resync /rediscover

Fark var ise zaman saat güncellemeleri için

 

 

Name IP Address Location

time-a.nist.gov 129.6.15.28 NIST, Gaithersburg, Maryland
time-b.nist.gov 129.6.15.29 NIST, Gaithersburg, Maryland
time-a.timefreq.bldrdoc.gov 132.163.4.101 NIST, Boulder, Colorado
time-b.timefreq.bldrdoc.gov 132.163.4.102 NIST, Boulder, Colorado
time-c.timefreq.bldrdoc.gov 132.163.4.103 NIST, Boulder, Colorado
utcnist.colorado.edu 128.138.140.44 University of Colorado, Boulder
time.nist.gov 192.43.244.18 NCAR, Boulder, Colorado
time-nw.nist.gov 131.107.1.10 Microsoft, Redmond, Washington
nist1.datum.com 209.0.72.7 Datum, San Jose, California
nist1.dc.certifiedtime.com 216.200.93.8 Abovnet, Virginia
nist1.nyc.certifiedtime.com 208.184.49.9 Abovnet, New York City
nist1.sjc.certifiedtime.com 208.185.146.41 Abovnet, San Jose, California

 

NET TIME /SETSNTP:time.windows.com
NET STOP W32TIME
NET START W32TIME
W32TM /config /reliable:YES
W32TM /resync /rediscover

 

w32tm /config /manualpeerlist:"ntp1.sp.se ntp2.sp.se",0x8 /syncfromflags:MANUAL

FORCE A RESYNC

If you want to force the client to resync, run:

C:Windowssystem32>w32tm /resync
Sending resync command to local computer
The command completed successfully.

If you get the following error, the computer can't reach the NTP-server(s).

The computer did not resync because no time data was available.

 

0x8 say what?

You might have noticed the 0x8 flag above. What does it mean? KB875424 mention:

0x01 - use special poll interval SpecialInterval
0x02 - UseAsFallbackOnly
0x04 - send request as SymmetricActive mode
0x08 - send request as Client mode

NOT:

Name IP Address Location

time-a.nist.gov 129.6.15.28 NIST, Gaithersburg, Maryland
time-b.nist.gov 129.6.15.29 NIST, Gaithersburg, Maryland
time-a.timefreq.bldrdoc.gov 132.163.4.101 NIST, Boulder, Colorado
time-b.timefreq.bldrdoc.gov 132.163.4.102 NIST, Boulder, Colorado
time-c.timefreq.bldrdoc.gov 132.163.4.103 NIST, Boulder, Colorado
utcnist.colorado.edu 128.138.140.44 University of Colorado, Boulder
time.nist.gov 192.43.244.18 NCAR, Boulder, Colorado
time-nw.nist.gov 131.107.1.10 Microsoft, Redmond, Washington
nist1.datum.com 209.0.72.7 Datum, San Jose, California
nist1.dc.certifiedtime.com 216.200.93.8 Abovnet, Virginia
nist1.nyc.certifiedtime.com 208.184.49.9 Abovnet, New York City
nist1.sjc.certifiedtime.com 208.185.146.41 Abovnet, San Jose, California

 

NET TIME /SETSNTP:time.windows.com
NET STOP W32TIME
NET START W32TIME
W32TM /config /reliable:YES
W32TM /resync /rediscover

 

w32tm /config /manualpeerlist:"ntp1.sp.se ntp2.sp.se",0x8 /syncfromflags:MANUAL

FORCE A RESYNC

If you want to force the client to resync, run:

C:Windowssystem32>w32tm /resync
Sending resync command to local computer
The command completed successfully.

If you get the following error, the computer can't reach the NTP-server(s).

The computer did not resync because no time data was available.

 

0x8 say what?

You might have noticed the 0x8 flag above. What does it mean? KB875424 mention:

0x01 - use special poll interval SpecialInterval
0x02 - UseAsFallbackOnly
0x04 - send request as SymmetricActive mode
0x08 - send request as Client mode

 

NOT: Bilgisayarınız bir etki alanı üyesiyse "Internet Saati" kullanılamaz. Gerekli güncellemeler etki alanında bulunan PDC emülatörü üzerinden yapılır.

Referans: http://bchavez.bitarmory.com/archive/2009/12/21/how-to-setup-a-windows-2008-r2-sntp-ntp-server.aspx

VMWare : http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1189

Mastering the Windows Time Service

By Steven Warren

September 26, 2006, 6:47 PM PDT

If you manage Windows 2000 and Active
Directory, you should know that the Win2K Time Service is key to
ensuring that the Kerberos security protocol and other Windows 2000
services work correctly. All machines in a Windows 2000 forest need to
have the correct time. This article will explain the details and show
you how to configure and troubleshoot the Time Service.How does time synchronization work?The
Windows 2000 Time Service (w32time.dll) is installed by default on all
Windows 2000 computers. The Time Service starts automatically on
computers that are part of a domain and can be started manually on
other machines.When a computer joined to a domain is booted,
the Time Service is enabled. As the Net Logon service looks for a
domain controller (DC) and is authenticated, the computer sends a
request to get the time and waits until the DC responds. Once it
receives the time from the DC, the Time Service will perform the
following:

• If the local clock is behind the current DC time, the Time Service changes the local time immediately.


• If the local clock is faster than three minutes, the Time Service changes the local time immediately.


• If the local clock is less than three minutes fast, the Time Service slows the clock down to bring it into synchronization.

The
Time Service then attempts synchronization every 45 minutes until all
clocks are synchronized three times. Once properly synchronized, the
Time Service will resynchronize time every eight hours. If you have
Active Directory (AD) configured, all other machines in your forest
will synchronize to your time server, as shown in Figure A.

Before configuring the Time Service, you need
to become familiar with some of the command-line tools you’ll use to
work with it. We’ll start with the Net Time command.Configuring Net TimeIn order to properly configure Net Time, you need to know the syntax. If you open a command prompt and type net time /?, you’ll see the syntax shown in Figure B.

Table A breaks down the list of
options available for the Net Time command. You’ll use this command to
have one of your domain controllers synchronize to an external
authority and then provide time information to the rest of the domain.

Table A

Net Time options Description Net Time Displays the time of your time server Net Time \\computername Displays the computer name time Net Time /DOMAIN:domainname Displays the time on a DC domain name Net Time /domain/set Sets computer time to match time on Domain Controller Net Time /RTSDOMAIN:domainname Displays the time on a time server in the domain name Net Time /querysntp Displays the SNTP source for the time server Net Time /setsntp:ntpserver Sets the SNTP source for the time server Net Time /setsntp Clears the SNTP source for the time server

Net Time options

To display the time of a Windows 2000 machine, follow these steps:

1. From the Start menu, select Programs | Accessories | Command Prompt.


2. Type a command such as net time \\kiev, as we’ve done in Figure C.

To set the external Simple Network Time Protocol (SNTP) time server:

1. From the Start menu, select Programs | Accessories | Command Prompt.


2. Type a command such as net time /setsntp:ntp2.usno.navy.mil, as shown in Figure D.

Here are the steps for querying the SNTP name:

1. From the Start menu, select Programs | Accessories | Command Prompt.


2. Type a command such as net time /querysntp, as shown in Figure E.

Troubleshooting the Windows 2000 Time Service

The
w32tm tool is used to troubleshoot any problems that might occur during
or after the configuration of the Time Service. When troubleshooting,
make sure to stop the Time Service before using this tool. Not doing so
will cause a port error in the Event Viewer.

Furthermore, in
order for the Time Service to work properly, you will need to have port
123 opened on your firewall. Otherwise, you can’t synchronize to an
external time source. To access the syntax of the troubleshooting tool,
type w32tm /? from a command prompt.

Table B shows a detailed list of command options available for the W32tm command.

Table B

W32TM parameter Description -tz Print the local time zone information and exit -s computer Force the given computer (or local computer if none is given) to resynchronize, then exit -adj Set the computer’s system clock frequency to the last frequency determined during synchronization, then exit -adjoff Set the computer’s system clock frequency to the system default, then exit -source Choose a synchronization source, then exit. Note that a source is chosen before each synchronization, so this is useful only in showing that a source could be found. Remember to use -v to see the output. -once Do only one synchronization, then exit. Otherwise, run continuously as a client, synchronizing the local clock until ctrl-c is pressed. The following options can be used in conjunction with the above: -test Prevent the time on the local system from actually being modified -v Print out a verbose description of what the program is doing. This is usually needed since otherwise the program produces no output. The exceptions are -s and -tz. -p -P set the server port -period set the sync period just as in the registry. That is: 0=once a day 65535=once every 2 days 65534=once every 3 days 65533=once every week (7 days) 65532=once every 45 min (3/day) 65531=once every 45 min until we get one good sync, then once every day

W32tm command options

 

Active Directory Delegate Control: Password reset permission

Aktif dizinde "Delegate Control" ile şifre resetleme izni verilmesi

Örnek senaryo:

Etki alanımızda bulunan "SisDes" (sistem destek) kullanıcı grubuna, kullanıcıların ve kullanıcı pc'lerinin şifre resetleme yetkisinin verilmesi.

NOT: Pc'lerin şifresi ne gibi durumlarda resetlenir diyorsanız http://siberblog.org/index.php/the-trust-relationship-between-this-domain-and-the-primary-domain-failed/ 

The trust relationship between this domain and the primary domain failed

"The trust relationship between this domain and the primary domain failed"

"Bu iş istasyonu ile birinci etki alanı arasındaki güven ilişkisi başarısız"



 

---

HIZLI ÇÖZÜM:

Downloads Script link: http://siberblog.org/wp-content/uploads/2012/12/netdom_trust_script.rar

Scriptin kullanımı (Youtube Video):

Tinba Zararlı Yazılım: Adım Adım Temizleme (Video Anlatım)

Referans: http://www.bilgiguvenligi.gov.tr/zararli-yazilimlar/tinba-zararli-yazilim-analizi.html

Adım Adım Tinba Zararlı Yazılım Temizleme (Video Anlatım)
1- Browserinizden www.bilgiguvenligi.gov.tr sayfasını açın.

2- İlk sayfada "Tinba Zararlı Yazılım Analizi" göremiyorsanız arama yapabilirsiniz.

3- Linke tıklayın. Virus hakkında bilgi almak için

Bilgisayarın USB Bellekten veya CD\DVD'den Başlatılması

BIOS AYARLARI

Bios'tan ayar yapmak için öncelikle bios setup'a girmek gerekmektedir. Bios setup'a girmek için kullanılan tuş veya tuş kombinasyonu bios'un markasın veya anakart üreticisine göre farlılık gösterebilmektedir. Genellikle bios setup'a giriş için ilk açılış ekranlarında bilgi mesajı olur. Bios setup'a giriş için en çok kullanılan tuş "Delete" tuşudur.

 

Bios girişi için kullanılan tuşlar:

"Delete", "F1", "F2", "F10", "Insert", "Escape", "Alt+F1", "Ctrl + Alt + Delete", "Ctrl + Alt + Escape", "Ctrl + Alt + S", "Ctrl + S", "Ctrl + Alt + Insert", "Ctrl + Alt + Enter"

Wordpress blogdan adım adım zararlı kod tespiti ve temizlenmesi (Video anlatım)

1- Zararlı kod tespiti

2- Temizleme yapılacak PC’nin temizlenmesi

NOT: Bu aşamada virüsün ftp yoluyla bulaşmış olma ihtimali çok yüksek olduğundan ftp şifrenizin değiştirilmesi çok önemlidir. Aksi takdirde yapacağınız temizleme sonrasında otomatik araçlar sayesinde virüs sitenize tekrar bulaştırılacaktır.

3- Wordpress’e Antivirüs aracının yüklenmesi

Active Directory Security (WinSrv2008): redircmp, redirusr

Aktif dizine yeni eklenecek objeler varsayılan olarak "Computer" ve "Users" CN'leri altına gelirler. Örneğin domaine yeni katılan bir pc ve sunucular herhangi bir OU altına taşınana kadar herhangi bir GPO almaz. Bu da ilgili OU altına taşınana kadar belirli süreli olarak güvenlik açığı oluşturabilir. Bunun için pc ve sunucuların domaine alınmasının ilk aşamasında istediğimiz OU'ya aktarma imkanımız vardır.

Yeni PC ve sunucular için varsayılan ayarı değiştirelim (redircmp):

Yeni OU'larımızı oluşturalım. Örneğin: "YeniPC" ve "YeniKullanici" adında olsun.

Taşınabilir Harddisk ve Usb Belleklere Erişim Kontrolü (PC)

Taşınabilir harddisk ve usb bellekler registerda aynı kategoride değerlendirilirler. Anlatacağım bilgiler her ikisini de kapsamaktadır. Taşınabilir harddisk ve usb belleklere erişim kontrolünü üç ana başlık altında inceleyelim.

 

1- Belleğe Erişimi Tam Engelleme:

Taşınabilir belleğin windows tarafından mount edilmesini engellemek için register ayarlarında ufak değişiklik yapmamız gerekmektedir. Windows klasörü (%SystemRoot%\regedit.exe) altından çift tıklayarak veya "Çalıştır" penceresine "regedit.exe" yazarak "Kayıt Defteri Düzenleyicisi" 'ni açalım. Sol pencereden "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\USBSTOR" klasörüne

Windows DHCP loglarının EPILOG aracı ile Syslog Server'a gönderimi

Her uygulama ve aktif cihazlar loglarını doğrudan Syslog sunucuya gönderemez. Bu gibi durumlarda logların Syslog sunucuya uygun formatta gönderilmesi için aracı program kullanılır. Bu yazımızda DHCP sunucuya ait logları Epilog adlı aracı kullanarak Syslog sunucuya gönderilmesini uygulamalı olarak anlatacağım.

 

DHCP Ayarları:

- Öncelikle DHCP sunucumuzun denetim (audit) log ayarlarını kontrol yapalım. Daha sonra logların bulunduğu klasör ve dosyaları inceleyelim. DHCP penceresini açalım sunucu adı altında bulunan (Resim-1 -1- numaralı) IPv4 üzerinde fare ile sağ tıklayalım. Gelen

Syslog Server - Ipswitch Syslog Server

Syslog Server Nedir:

Birçok uygulama ve cihaz günlük dosyaları tutarak yaptığı işlemleri kayıt altına almaktadır. Her bir cihaz ve uygulama loglarını farklı formatlarda farklı yerlere alırlar. Logların tutulma amacı ise geçmişe dönük olarak yapılacak bir incelemeye yardımcı olmaktır. Her bir uygulama ve cihaza ait logu bir merkezde toplama hem veriye erişimi hızlandırır hemde verilerin kolay arşivlenebilmesini sağlar. Syslog sunucu işte bu logları toplayan merkezdir. Günümüzde birçok firmaya ait paralı, parasız ve kısıtlı kullanımı olan Syslog programları çıkmış.

DHCP Backup-Restore

Bu yazımda Windows Server 2008 R2 Sp1 üzerinden DHCP veritabanını dosyalarına genel olarak bir göz attıktan sonra yedekleme ve yedekten dönme işlemlerini yapacağım.

 

1- DHCP Veri Tabanı Dosyaları:

Veri dosyaları varsayılan %SystemRoot%\System32\DHCP klasörü altındadır. Elle farklı yapılandırılmış ise DHCP penceresinde sunucu adı üzerine sağ tıklanır ve "Properties"

DHCP Split-Scope

Yedekliliğin gerekli olduğu ortamlarda veya Failover kullanım durumlarında birden fazla DHCP bulunur. Öncelerde her bir DHCP server ayrı ayrı yapılandırılırken Windows Server 2008 R2 ile gelen DHCP Split-Scope özelliği ile artık kolayca yapılandırılmaktadır. Konuyu örnek bir senaryo üzerinde anlatalım.

 

1- İki adet DHCP sunucumuz olsun. İlk olarak birinci sunucumuzu yapılandıralım.