Domainde Oturum Açan Kullanıcı ya da Bilgisayar Hesaplarının Kaynağını Bulma

Active Directory içerisinde yer alan kullanıcı ya da bilgisayar hesaplarının hangi kaynak (bilgisayar, web uygulaması, mobile cihaz vs. ) üzerinden oturum açtıklarını kolaylıkla bulmanızı sağlayan bir program yazdım.

 

Kullanıcı hesabını ve kaç adet kayıt içerisinde arama yapılacağını girmeniz gerekmektedir.

Programı kullanmadan önce aşağıdaki yazıyı dikkatlice okumanızı öneririm.

Domain ortamında herhangi bir kaynak üzerinden oturum açma ve yetkilendirme işlemleri Kerberos tarafından yapılır. Domain controller makineler bu işlemleri varsayılan olarak detaylı olarak kayıt altına almaz. Bu yüzden programın sonuç döndürmesi için öncelikle “Default domain Controller Policy” üzerinden oturum açma işlemlerinin kayıt altına alınması ayarı yapılmalıdır.

Güvenlik ayarlarında yer alan “Advanced audit Policy configuration” bölümünden Aduit Policies > Logon/Logoff bölümüne geliyoruz.

 

“Audit Logon”   politikasını “success” olarak ayarlıyoruz.

 

Sadece DC ler üzerinde yapılan bu değişiklik ile artık tüm Kerberos işlemleri detaylı bir şekilde kayıt altına alınacaktır. Olay günlüklerinde güvenlik bölümüne 4624 id ile kayıtlar düşmektedir.

NOT: Bu ayardan sonra çok fazla kayıt olay görüntüleyicisine yazılır.  Bunun sebebi de aynı kaynak üzerinden gelen Kerberos kayıtlarının birden fazla olmasıdır.  Logon ID, Logon GUID ve Source Port çok fazla olabilir. DC ler üzerinde artan olay kayıtları sizin için sıkıntı olacak ise bu ayarı yapmayınız. Bu durumda programda çalışmaz.

Kısa süre önce oturum açan hesabı bulma ile uzun süre önce oturum açan hesabı bulma arasında arama işlemi çok uzun sürebileceğinden dolayı arama yapılacak kayıt sayısını girmeniz gerekmektedir. Bu sayı en son kayıt edilen kaç adet olay günlüğüne bakılacağıdır.

İndirmek için:

LogonSource

Çalışması için .net 4.5.1 ve en az powershell 3.0 gereklidir.

.net 4.5.1 :
https://www.microsoft.com/tr-tr/download/confirmation.aspx?id=40779
Powershell 3.0:
https://www.microsoft.com/en-us/download/confirmation.aspx?id=34595

Windows Server 2016 Ters DNS Kayıtlarında Harf Duyarlılığı

Domain ortamına dahil ettiğimiz istemciler ve sunucular bilindiği üzere bilgisayar isimlerini active directory users and computers ve dns e kayıt ettirirler.

DNS sunucularda reverse lookup zone oluşturulmuş ise eğer toplamda üç ayrı yerde kayıt gözükebilir. Users and Computers konsolu, DNS forward lookup zone ve reverse lookup zone.

Windows Server 2012/R2 ve önceki işletim sistemlerinde “WinDowsOrtac” şeklinde büyük harf ve küçük harf karışık yazılan bir bilgisayar ismi users and computers konsolunda tüm harfleri büyük olarak gözükür.

 

Siz her iki isimlendirmeyi de kullanarak bilgisayara erişebilirsiniz. Case sensitive yani harf duyarlılığı yoktur.

DNS forward lookup zone da ise isim harf duyarlığı vardır. Nasıl yazmış iseniz o şekilde gözükür.

 

Reverse lookup zone da ise kayıtlarda harf duyarlılığı yoktur.

 

Fakat bu yapı Windows Server 2016 ile değişti.

Artık hem forward lookup zone hem de reverse lookup zone da yer alan kayıtlarda harf duyarlılığı vardır.

 

 

Komut satırından sorgulayıp görebilirsiniz.

 

Ters sorgulama kullanan uygulamalarınız var ise çıkabilmektedir. Bazı uygulamalar harf duyarlı olarak çalışmaktadır.

Tüm sorgularınızı elle değiştirebilirsiniz  ya da aşağıdaki linkte yer alan powershell scripti kullanabilirsiniz.

https://social.technet.microsoft.com/Forums/lync/en-US/c3ce145e-bc18-482b-b907-18da72789cd6/change-machine-names-from-lowercase-to-uppercase?forum=winserverpowershell

 

Exchange Server OWA Erişiminde Varsayılan Şablonu Değiştirme

Exchange Server 2013 ve 2016 son kullanıcılar oldukça zengin içerikli bir web erişimi sağlamaktadır.

Elektronik postlarına webden erişen kullanıcılar bu zengin içerik ile posta kutularını rahatlıkla yönetebilmektedir.

Exchange Serverın web erişimi varsayılan olarak siyah bir şema ile gelmektedir.

 

İsterlerse kullanıcılar farklı bir görünümü seçebilirler.

 

Exchange Server 2016 ile yaklaşık 50 adet şablon gelmektedir.

 

Windows Audit Event ID Listesi

Audit account logon events

Event ID Description
4776 The domain controller attempted to validate the credentials for an account
4777 The domain controller failed to validate the credentials for an account
4768 A Kerberos authentication ticket (TGT) was requested
4769 A Kerberos service ticket was requested
4770 A Kerberos service ticket was renewed

PowerShell Web Access

Sunucu ve istemcilerde yer alan powershell aracı ile rahatlıkla yönetim yapabiliyoruz.

Uzaktan yönetim de sağlayan powershell aracı Windows işletim sistemi dışında da yönetim yapabilmek için Powershell Web Access rolüne ihtiyaç duyuyor.

PWA rolü web ara yüzünde powershell aracını çalıştırmamızı ve  sunuculara ya da istemcilere bağlanıp yönetim yapabilmemizi sağlıyor. Bu sayede mobile cihazlardan da yönetim sağlanabiliyor.

Desteklenen tarayıcılar:

  • Windows® Internet Explorer® for Microsoft Windows® 8.0, 9.0, 10.0, and 11.0
  • Mozilla Firefox® 10.0.2
  • Google Chrome™ 17.0.963.56m for Windows
  • Apple Safari® 5.1.2 for Windows
  • Apple Safari 5.1.2 for Mac OS®

 

Mobile tarayıcılar:

  • Windows Phone 7 and 7.5
  • Google Android WebKit 3.1 Browser Android 2.2.1 (Kernel 2.6)
  • Apple Safari for iPhone operating system 5.0.1
  • Apple Safari for iPad 2 operating system 5.0.1

 

 

PWA rolü Windows Server 2012, Windows Server 2012 R2 ve Windows Server 2016 sunucularına kurulabiliyor. Bu sunuculara rolü kurup sertifika ayarı yaptıktan sonra hangi kullanıcı ya da kullanıcıların hangi sunucu ya da sunuculara bağlanabileceğini belirliyoruz.

SQL Server Management Studio Vulnerability Assessment

MS SQL Server Management Studio 17.4 sürümü ile birlikte yeni gelen özelliklerden biri de sql server güvenlik açığı değerlendirme aracı.

Bu araç veri tabanlarınızda yer alan güvenlik açıklarını rapor ederek sizi bilgilendiriyor ve nasıl çözeceğinize dair bilgiler veriyor.

SQL server sürümünüz en az 2008 olmalıdır. Yönetim aracınınız ise mutlaka 17.4.

 

Veri tabanı bazlı kullanılan bu aracı veri tabanızın üzerine sağ tıklayarak “tasks” bölümünden erişebilirsiniz.

 

Kısa bir süre içerisinde (veri tabanının büyüklüğüne bağlı olarak) ayrıntılı bir rapor vermektedir.

 

Güvenlik açıkları yüksek, orta ve düşük olmak üzere üç risk kategorisinde incelenmektedir.

Her bir uyarıya bir kimlik numarası atanır. Bu kimlik numaraları VA ile başlar. VA1245, VA1281 gibi.

ID lere tıklayarak problem hakkınca detaylı bilgiyi alabilirsiniz. Bu bilginin sonlarında da çözüm için yapılması gereken işlemler yer alır.

Oldukça kullanışlı olan bu araç her çalıştırıldığında bilgisayarınıza json dosyaları oluşturulur. Instance ve veri tabanı bazında ayrı klasörlerde yer alır bu dosyalar. SMSS ile açıp daha sonra da inceleyebilirsiniz.

 

SQL Server 2017 Read-Scale Availability Groups

Microsoft, AlwaysOn özelliğini her yeni SQL Server sürümünde biraz daha ileriye taşıyor.

SQL 2016’da domaine dahil olmayan makineler ile de AlwaysOn yapabilirken SQL Server 2017 sürümünde Read-Scale Availability Groups özelliğini getirdi.

Read-Scale Availability Groups özelliği Windows failover cluster rolünü kullanmadan sunucuları AlwaysOn grubuna dahil etmemizi sağlıyor. Haliyle listener a da ihtyaç duymuyor bu sistem.

Fail-over rolü olmayınca high-availability ve disaster recovery amaçları içinde kullanamıyoruz veri tabanı sunucumuzu.

Peki ne için kullanılıyor bu özellik, sadece veri tabanını farklı sunucular üzerinde çoğaltmak için kullanılıyor. Bunu yaparken de yukarda belittiğim üzere failover cluster hizmetini kullanmamıza gerek kalmıyor. Quorum yok, listener yok ve haliyle otomatik failover mekanizması da devre dışı.

SQL sunucuda failover hizmeti kurulu değil iken AlwaysOn özelliğini aktif edebiliyoruz.

 

Yeni bir Availability group oluşturken “Cluster type” bölümünden NONE seçmemiz gerekmektedir.

 

Bu özellik ile grubumuzu oluşturunca failover hizmeti yüklü olmayan sunucuları gruba dahil edebiliyoruz.

Otomatik geçiş olmamasına rağmen elle geçiş imkanı sağlıyor.

Mevcut grupları daha sonradan NONE olarak değiştiremeyeceğimizden dolayı bu işlemi başta yapmamız gerekmektedir.