Forum
Bildirimler
Hepsini Temizle
Windows Server
11
Yazılar
6
Üyeler
0
Reactions
1,019
Görüntüleme
Konu başlatıcı
Merhaba,
Domainde bulunan patron bilgisayarını domainden çıkarmadan Domain Admin dahil tüm erişimlere kapatma şansım var mıdır ? Garip bir soru farkındayım.
Gönderildi : 10/05/2017 16:59
Daha önce hiç uygulamadım ama firewall'u devreye alıp deneyin. Domain içinde aktifleştirin. Gerekirse kural yazın. Dışardan içeriye erişimleri kapatın. Çalışacaktır diye düşünüyorum.
admin$, c$ gibi Yönetimsel paylaşımlara mı erişilmesin istiyorsunuz?
Gönderildi : 10/05/2017 17:38
Şimdi denedim. İşe yarıyor.
Gönderildi : 10/05/2017 17:42
Konu başlatıcı
Cevap için çok teşekkür ederim. Her türlü erişim rdp, network file, dameware gibi domain admin user/pass ile servis kurup rdp yapabilmek. Aslında tüm bunlar tcp, udp tüm portları kapatarak olabilir diye düşünüyorum ne dersiniz ?
Gönderildi : 10/05/2017 20:08
bu durumda domainden çıkarmak daha makul değil mi ??
sonucta domain admin erişemese de , erişimi gpo ile vb açma hakına her zaman sahip olacak
Gönderildi : 10/05/2017 20:12
Konu başlatıcı
İlk aklıma gelen buydu fakat kullanıcıya ait belgeler,mail vs bir sürü sımıntı çıkacak diye düşünüyorum. Domain kullanıcısını lokal kullanıcıya çekme özelliği var mıdır ?
Gönderildi : 10/05/2017 20:22
Tabi ki yok. Domain account'un local admin tanımlanması sizin özel isteğiniz için geçerli bir durum değil.
O patrona izah edin ki sistemi kendisine uyarlamaya çalışacağına kendisini sisteme uyarlaması gerektiğini anlamalı. 🙂
Yine de çok önemliyse o makine tüm yapıdan bağımsız hale getirilmek zorunda. Böyle makinelerde network erişimi hiç olmaz yada kendi omurgası olur. Mantık basittir bir member bir admin'i denetleyemez, sonsuz kısıtlayamaz. Mecburi açık bırakacağız 80 gibi portlar dahi izleme için yeterlidir. Domain Admin ise delegasyon, 3rd loging vs ve fiziki yöntemlerle denetlenir. Bu da yatırım demektir.
'balık vermez, nasıl tutulabildiğine yönlendirir'
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 10/05/2017 22:20
Konu başlatıcı
Teşekkür ederim
Gönderildi : 11/05/2017 12:41
Hocam selam,
forensit diye bir program vardı local makineyi değişkilik yapmadan domaine alabiliyordunuz local dosyaları değişmeden belki tam tersi bir işlem yapılabilir denemekte fayda var..
Gönderildi : 11/05/2017 14:45
IT ilgilisi yöneticinin şifresini biliyor mu ? Biliyorsa Domain'de olması veya olmaması hiç bir şeyi değiştirmeyecek.
Domain üzerinde Windows Firewall'a izin veriyor musunuz ?
- Şifreli paylaşımı etkinleştirebilirsiniz.
- Paylaşımlardan drive$ bağlantılantılarını kapatırsınız.
- Firewall üzerinden gelen taleplere kaynağına göre izin verebilirsiniz edebilirsiniz.
NAS Cihazınız bulunuyorsa şifreli bir Lun bağlantısı oluşturmak -ki şifreyi yöneticinin girmesi gerekir. Windows üzerinden iscsi ile bağlanılır. Iscsi bağlantısı için şifreyi yine yönetici girer. Bu bağlanan disk paylaştırılmaz ve yönetici tarafından bütün dosyalar burada tutulur.
Gönderildi : 11/05/2017 15:14
İlk aklıma gelen buydu fakat kullanıcıya ait belgeler,mail vs bir sürü sımıntı çıkacak diye düşünüyorum. Domain kullanıcısını lokal kullanıcıya çekme özelliği var mıdır ?
forensit domain join programı ile domainden çıkarırken lokal kullanıcının hangi profili kullanacağını seçebiliyorsunuz
yani kullanıcı tarafında farkedebileceği birşey olmuyor bu durumda (domainden çıkarma ile ilgili )
Gönderildi : 11/05/2017 19:29
