Forum

sistemde ki mevcut ...
 
Bildirimler
Hepsini Temizle

sistemde ki mevcut administrator kullanıcısını disable etmek?

5 Yazılar
2 Üyeler
0 Reactions
1,217 Görüntüleme
(@sametileli)
Gönderiler: 79
Estimable Member
Konu başlatıcı
 

 herkese merhabalar

günümüzdeki sisteme sızma girişimleri rdp moddan yapılan erişimler ve siber saldırılar gündemde ki benimde başıma gelmiş olan bir rdp saldırısı varken güvenlik önlemlerini düşünmek adına aklıma gelen bir soruyu sormak istiyorum. mevcut sistemimizde active directory de administrator isimli kopyalayarak farklı bir isimle kaydedip administrator hesabını disable konumuna getirsek rdp saldırıları için bir etkisi olur mu? bildiğim kadari ile rdp portu dinleyip administrator hesabı ile brute force yaparak sızıyorlar diye biliyorum. engin bilgilerinizle bilgi verirseniz sevinirim. (exchange tarafında sorun teşkil eder mi ? )

 
Gönderildi : 21/06/2018 17:17

(@rafets-ayata)
Gönderiler: 3820
Üye
 

Merhaba,

Tabiki Administrator ismini disable duruma getirip yerine farklı isimde admin hesabı oluşturabilirsiniz. Burada dikkat etmeniz gereken administrator un dahil oldugu grup yetkilerini aynen vermekle birlikte baglı oldugu herhangi bir servisi de degisikligini yapmaktır.

Exchange tarafında da sorun yaşamazsınız netice de baglı oldugu servisler var ise yukarıda bahsettigim gibi degisiklik yapmanız yeterlidir.

 
Gönderildi : 21/06/2018 18:20

(@sametileli)
Gönderiler: 79
Estimable Member
Konu başlatıcı
 

tesekkur ederim hocam çok sağolun bi kaç gündür aklımda ama yinede daha tecrübeli ağızlardan duymak istedim açıkcası. ad den direk administrator hesabını kopyala dediğimizde bütün servisleri ve üye olduğu grupları aynen aktarıyor diye biliyorum ama inşallah yanlış değildir. bu arada hocam lrpc ile bu dönem başım dertte microsoft makalelerine baktım windows server 2012 ler bu acıktan etkilenmiyor diyor ama geçen hafta sistemime lrpc den sızma gerçekleşti ve sistemdeki verilerim şifrelendi. bu açığı kapatabilmek adına bilginiz varsa paylaşmanızı rica edebilir miyim.

 
Gönderildi : 21/06/2018 18:58

(@rafets-ayata)
Gönderiler: 3820
Üye
 

Merhaba,

LRPC için aşağıdaki bilgi saldırganın elinde olmalı.

"Saldırganın bu güvenlik açığından yararlanabilmesi için geçerli oturum açma kimlik bilgilerine sahip olması ve yerel olarak oturum açabilmesi gerekir."

 

Geniş Açıklama : https://technet.microsoft.com/tr-tr/library/security/ms10-084.aspx

Yani bu açıktan yararlanıyor ise oturum açma kimlik bilgilerini network üzerinden sniff etmiş olabilir. Bu durumu göz önüne alarak değerlendirin derim.

 
Gönderildi : 25/06/2018 15:09

(@sametileli)
Gönderiler: 79
Estimable Member
Konu başlatıcı
 

hocam ilgili makaleyi okudum. o doğrultuda da tedbirleri aldım aslında tam olarakta o şekilde local veya administrator hesabını brute force yöntemi ile denediklerini düşünüyorum ayrıca eventlar arasında da lrpc yi görünce aklıma standart kullanıcı hesabına lrpc ile admin yetkisi vermiş olabileceklerini düşündüm. şuan tüm rdp portları kapatıldı tüm kullanıcıların şifreleri değiştirildi sadece bir bilgisayar da şuan rdp açık oda benim kullandığım bilgisayar onda da kaspersky yüklü çok sevdiğim özelliği ağ saldırısını 9999 dk engelliyor 😀 bu beni kaspersky almak konusunda her zaman yönlendiriyor açıkcası

 
Gönderildi : 27/06/2018 19:53

Paylaş: