File Server Resource Manager İle Dosya Sunucunuzu Kontrol Altında Tutun




Bir Saatte Domain Controller




Standart Kullanıcıların Windows Güncellemelerini Yüklemelerine İzin Vermek

Firmalarda kullanılan güvenlik önlemlerinden biri kullanıcılardan local admin yetkilerini almaktır. Ancak bunu yapınca da standart kullanıcı hesapları Windows güncellemelerini yükleyemez hale geliyor. Bu sorunu çözmek için group policy üzerinden aşağıdaki ayar yapılır. Bu ayardan sonra standart kullanıcılar da windows güncellemelerini yükleyebilecek.

Standart Kullanıcı İçin Güncelleme Yetkisi

Bu işlem domain yapısında olmayan bir Windows makinesinde yapılmak istendiğinde aşağıdaki yok izlenir

Standart Kullanıcıya Güncelleme Yetkisi Verme

Veya Local Policy üzerinden işlem yapılmak istenirse:

  • Çalıştır satırına gpedit.msc yazıp ENTER tuşuna basın (Çalıştır satırı için Win + R)
  • Computer Configuration -> Administrative Templates -> Windows Component -> Windows Update yolunu izleyin
  • “Allow non administrative to receive update notifications” seçeneğini ENABLE olarak değiştirin.




Varsayılan Uzak Masaüstü (RDP) Portu Değiştirme

Uzak masaüstü uygulaması Microsoft tarafından geliştirilen faydalı bir uygulama olsa da güvenliği tam sağlanamazsa ciddi bir güvenlik açığına sebep olmaktadır. Bu güvenlik açığının sebeplerinden biri RDP protokolünün varsayılan portunun herkes tarafından biliniyor olmasıdır. Bu güvenlik açığına bir nebze de olsa alınabilecek önlemlerden akla ilk geleni RDP portunun değiştirilmesidir.

RDP portunu değiştirmek için:

  • Kayıt Defteri Düzenleyicisini (regedit) açın
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber

RDP Port Numarası

  • İşaretlenen PortNumber değerini istenen ve başkası tarafından tahmin edilemeyecek bir değer ile değiştirin
  • Kayıt Defteri Düzenleyicisini kapatın
  • Bilgisayarı yeniden başlatın

Bu işlemlerden sonra bilgisayarınıza RDP ile bağlantı sağlarken artık girdiğimiz güncel port numarası üzerinden gidebilirsiniz.




SQL Server Maintance Plans ve Operatore Plan Sonucunda Mail Gönderme




Uzaktan DNS Adresi Değiştirme

Sistem yöneticileri için network yapısı ve içerisinde yer alan cihazların sürekliliği ön plandadır. Bazı durumlarda uzakta yer alan cihazların (Windows için) DNS ayarlarının değiştirilmesi gerekmektedir. Burada devreye Microsoft’un mükemmel denebilecek ürünlerinden biri olan Powershell devreye girmektedir.

Aşağıda yer alan powershell scriptini kullanarak uzak bilgisayarın dns ayarlarını değiştirebilirsiniz.

  • İlk satırda yer alan “C:\list\servers.txt” dosyası dns ayarları değiştirilecek makinelerin IP adresleri veya isimleri yer alıyor. Dosya yapısı her satıra bir makine bilgisi gelecek şekilde düzenlenmelidir.
  • $DNSServers = “10.1.0.254”,”10.1.0.253″ satırında da verilecek yeni DNS IP adresleri veriliyor. Bu örneğimizde 254 IP adresi birinci DNS, 253 IP adresi de ikinci DNS olarak ayarlanacak.

$computer = get-content C:\list\servers.txt 

$NICs = Get-WMIObject Win32_NetworkAdapterConfiguration -computername $computer |where{$_.IPEnabled -eq “TRUE”} 

  Foreach($NIC in $NICs) { 

$DNSServers = "10.1.0.254","10.1.0.253" 

 $NIC.SetDNSServerSearchOrder($DNSServers) 

 $NIC.SetDynamicDNSRegistration(“TRUE”) 

}




Uzak Bilgisayar Yerel Gruplardan Kullanıcı Silme

Sistem yönetiminde istemci bilgisayarlardaki özellikle “Yöneticiler” grubunda yer alan kullanıcıların kontrol edilmesi son derece önemlidir. Bu kontrol sonucunda da gerekli durumlarda bu kullanıcıların silinmesi gerekiyor. Bu işlem için bir yazılım geliştirilmesi gerekiyorsa gerekli olan C# metotu aşağıdaki gibidir.

public bool RemoveUserFromAdminGroup(string computerNameVeyaIp, string silinecekKullanıcı) 

        { 
            try 

            { 

                var de = new DirectoryEntry("WinNT://" + computerName); 

                var objGroup = de.Children.Find("Administrators", "Group"); 
//Administrator: Kullanıcısı silinecek grup
//Group: Statik bir değerdir. Administrator öğesinin grup olduğunu belirtiyor.

                foreach (object member in (IEnumerable)objGroup.Invoke("Members")) 

                { 

                    using (var memberEntry = new DirectoryEntry(member)) 

                        if (memberEntry.Name == user) 

                            objGroup.Invoke("Remove", new[] { memberEntry.Path }); 

                } 

 

                objGroup.CommitChanges(); 

                objGroup.Dispose(); 

 

                return true; 

            } 

            catch (Exception ex) 

            { 

                MessageBox.Show(ex.ToString()); 

                return false; 

            } 

        }




Yönetici İznine (UAC) Takılan Program Sorunu

Çalışırken bazı programlar görünürde yönetici iznini gerektirecek her hangi bir işlem yapmamalarına rağmen yönetici izni istemektedirler. Özellikle bilgi güvenliği noktasında prosedürler yürüten firmalarda da kullanıcı bilgisayarı üzerinde yönetici olmadığından uygulamayı çalıştırmakta başarısız olmaktadır.

Programın yönetici izni istemesinin temelinde yatan neden, çalışırken ya sistem ayarlarına müdahale ediyor olması yada sistem dosyalarında işlem yapmaya çalışmasıdır. Burada sistem dosyaları sözü aklı karıştırmasın. Program “Program Files” varsayılan klasörüne yüklendiğinde kendi dosyaları da “Program Files” klasörünün özelliği gereği Windows tarafından sistem dosyası olarak işaretlenmektedir ve bu dosyalar üzerinde işlem yapabilmek için yönetici izni gerekmektedir.

Çözüm olarak karşımıza iki seçenek çıkmaktadır;

  • Kullanıcıya yerel yönetici haklarını vermek ki bu özellikle bilgisayar noktasında tecrübesi olmayan kullanıcılar tarafında ayrı bir güvenlik açığına sebep olmaktadır.
  • Diğer bir seçeneğimiz de programın kurulum yolunu değiştirmektir. Örneğin C:\ diski altında oluşturacağımız bir klasörü kurulum yolu olarak verirsek, oluşturduğumuz bu klasör sistem klasörü olmadığından uygulamamız da sıkıntısız çalışacaktır.




Domain Yapısındaki Grupları Client Local Gruplara Ekleme

Domain yapılarında yapılan işlemlerden biri de kullanıcılardan local adminlik dediğimiz yönetici haklarının alınmasıdır. Bu işlemi yapmada ki amaç, kullanıcının bilgisayarı amacı dışında kullanmasına engel olmaktır. Bu işlemi yaparken de, özellikle bilgi işlem departmanının local admine atanması gerekmektedir. Bu atamayı yapmanın çeşitli yolları olmaktadır;

  • Bilgi teknolojileri departmanının hepsini, Domain Admins grubuna dahil etmek: Bu seçenek güvenlik tehlikesini client bazından çıkarıp direk bütün yapı seviyesine çıkarır. Departmanda yer alan özellikle stajyer ve yeteri bilgiye sahip olmayan yeni çalışanların oluşturacağı güvenlik tehdidi göz ardı edilemez. Bu seçenek kabulümüz değil dolayısıyla
  • Her kurulan yeni client bilgisayara, kurulumdan sonra BT departmanındaki bütün kişileri elle yöneticiler grubuna eklemek. Bu yönteminde dezavantajları: Kişileri tek tek eklerken kişiler unutulabilir, departman değiştiren kişiler bilgisayarlarda yönetici olarak kalmaya devam edecek…
  • BT departmanı için domain yapısında bir grup oluşturup departman kişileri bu gruba üye edilir. Bu işlemden sonra Group Policy üzerinden oluşturulan bu grup clientlara otomatik olarak yönetici grubuna eklenir. Bu işlem için gereken group policy kuralı aşağıdaki gbidir.

Kuralın sol tarafında yer alan “Group” başlığı clientlara eklenecek olan domain üzerinde tanımlı olan gruptur. SORHAN burada domain adını temsil etmektedir. HelpDesk de BT departmanı grubudur. Sağ tarafta yer alan “Member of” başlığı da grubun client tarafında nereye ekleneceğini ifade eder. BUILTIN ifadesi client makineyi ifade eder ve sabittir. Administrators ifadesi de clent makine üzerinde tanımlı Administrators grubunu ifade eder.




GP Üzerinden Herkese Güncelleme Yetkisi Verme

Bilişim sistemlerinin en önemli konularının başında sistemin güvenliğidir. Konu güvenlik olunca da makinelerde yetkilendirme devreye giriyor. Her şirkette olması gereken yetki kısıtlarından biri de bilgisayarlarda local adminliklerin olmaması kuralıdır. Kullanıcılardan local admin yetkileri alındıktan sonra ortaya bir sıkıntı daha çıkmaktadır: o da güncellemeleri yüklemek için kullanıcılardan yönetici izni istemek…

Güncelleme yüklenmeyince sistem açıklarını kapatan güncellemeler sisteme yüklenmemektedir.

Çözümümüz şu olacak: Group policy üzerinden bütün kullanıcılara güncelleme yükleme izni vermemiz gerekmektedir. İlgili GP ve gerekli değeri aşağıdaki resimdeki gibidir.