Forum
Merhabalar
Malum crypto virüsü hepimizin baş ağrısı. Destek verdiğimiz firmalar için önlem amaçlı yapmak istediğim şudur.
server 2012 r2 RDP sunucu AD yapısında şubeler bağlanıp muhasebe - satış programını kullanmakta SQL data aynı sunucu üzerinde
1- muhasebe -satış programını kullanıcıya admin yada domain admin vs yetkisi vermeden çalıştıramadık. yönetici çalıştır ekranı geliyor admin yetkisi olmadan (bunun için konu açmıştım fakat sonuçlanamadı) kullanıcıda domain user yada rduser yetkisi mevcut kurulu programı calıstırıp onun haricinde işlem yapmasın istiyoru regedit taskmngr shutdown vs.
2- muhasebe - satış programı SQL data aynı sunucu üzerinde bu datanın silinmesini yada uzantı değiştirilmesini vs. engellemek istiyoruz mümkünmüdür. yani kullanıcı program aracılığı ile veri okuyabilsin yazabilsin ama onun haricinde DATA dosyasını yada klasörünü silemesin taşıyamasın uzantı vs değiştirmesin
konu hakkında tecrübe ve bilgili sayın üstadların yardımlarını bekliyorum.
( Birde GPO konusunda çok detay bilgiye sahip olmadığım için neyin neye yaradığını hangı kısıtlamamnın neyi etkilediğini açıklayan gösteren bir dökümana ulaşabileceğim bir kaynak önerebilirseniz sevinirim.)
Merhaba,
Admin hakkını almadığınız sürece bahsettiğiniz hiç bir çözüm işe yaramayacaktır. Burada mantık çok basit, muhasebe programı c:program files altındadır buraya komple domain user için full erişim ver bitti. Ek olarak kayıt defterinde yazmak istediği yer var ise onu da filemon regmon programları ile tespit et tabi bu biraz uzmanlık ister bunu yapmazsan için çok zor.
Ama neden bunlar ile uğraşıyorsun ki en temizi sonuçta RDP önüne Firewall koy ve herkes vpn ile bağlansın bitti gitti en kötü ip restriction yap yani bağlanacak herkesin sabit ip adresi olsun firewall a kural yaz rdp için source ip bunlar bunlar olacak diye. Geri gpo filan hikaye adam admin olduktan sonra senin müşterin evet yapamaz ama işi bilen birisi zaten bağlanır ise adam direkt program çalıtırıyor, 3 parti program GPO ya bakmaz.
Öneriler
1 - RDP erişimini VPN ile yap sorun çözülür
2 - Yinede insan hatalarına karşın yedekleme çözümünü arttır. Yani yedekleri buluta bir kopya gönder veya off site dediğimiz dış ortama al ki sorun olur ise oradan dönebilesin.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
hakan hocam öncelikle cevabınız ve ilginiz için teşekkürler.
aslında dediğiniz gibi bulut yedekleme ve firewall ip kısıtlama çözüm bunu yaptığımız müşterilerimiz var ve çok şükür buralarda sorun yaşamadık. önerinize katılmamak mümkün değil
fakat çok şubeli orta ölçekli müşterilerimiz haricinde küçük ölçekli 2 3 şubeli müşterilerimizde var bu çözümü bunlar için kullanmak amacım.
( malum maliyet vs sebeplerle ısrarlarımıza rağmen satın almaya yanaşmıyorlar ve her defaında kurulum ayar vs bütün sıkıntıyı biz çekiyoruz.)
öncelikle bu işlemleri gerçekleştirebilirsem kullanıcıların tüünden admin hakları alınacak domainuser yada remote desktop user üyelikleri olacak sadece
bahsettiğiniz gibi program klasörüne domain user için full yetki verdim reglerede verdim fakat dediğiniz gibi filemon ile baktığımda system32 altında da bazı dosyalara şlem yapıyor şuan onlarıda tespit edip izin verip deneyeceğim.
Asıl öğrenmek istediğim bir örnek ile açıklayayım:
Resmi bir kuruma (İŞKUR) destek vermekteyiz orada domain yapısında domaindeki pc mevcut programları çalıştırıyor, yazıcı kurabiliyor, program kurup kaldıramıyor ağpaylaşım yapamıyor vs. bu işlemleri local admin hesabı ile oturum açarak yapabiliyoruz.
bu tarz bir domain yapısını oluşturmak için nasıl bir GPO oluşturmalıyım konusunu öğrenmek amacım
birde bunlara ek olarak RDP serverdaki SQL data veya klasör için okuma yazma yapabilinecek ama sql durmuş olsa dahi data silinmicek adı yada uzantısı değiştirilemicek mükünmüdür böyle bir şey.
Zor şeyler istiyorsun yani her ikiside olur ama bunlar için uzun tecrübe ve emek lazım yani forumda bunları paylaşmak pek mümkün değil.
Öncelikle domain user kullanıcısı program çalıştırabilir, çalıştıramadığı programlar için GPO dan izin verirsiniz. Printer ekleyemez onun içinde gpo dan izin verirsiniz. Yani bunlar her şirket için oturulup çalışılması gereken ayarlardır standart bir liste yoktur.
İkinci istek için zaten read yetkisi yeterli, rename için zaten delete yetkisi gerekir ki delete yetkisi vermediğiniz için bir kullanıcı zaten sql verilerini silemez, ancak yine söylüyorum sizin yapı zaten yanlış yani RDP yaptığınız makinede SQL olmamalı SQL ayrı bir makinede olmalı, buradaki en büyük tehlike sonuçta read etkisi var ise kullanıcının tüm veri tabanını alabilir.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
hakan hocam söylediklerinizden anladığım işin GPO tarafı biraz karmaşık üzerinde fazlaca vakit harcamak gerekecek ok.
peki dosya silme için kullanıcıları user yetkisi ile program çalıştırcak hale getirdikten sonra SQL data klasöründeki tüm yetkileri silip sadece yönetici hesabına tam yetki verip userlara yanlızca read yetkisi verirsem ve izin devralmayıda devre dışı bırakırsam anladığım kadarı ile kullanıcılar program aracılığı ile SQL e veri yazıp okuyabilecek fakat rename ve delete yapamayacaklar. Bunu deneyeceğim.
verinin okunup çekilmesi bu aşamada sorun teşkil etmiyor bu aşamada mühim olan verilerin silinmemesi
DİP NOT: yapının yanlışlığı konusunda çok haklısınız bunun farkındayız fakat keşke sizler gibi IT yatırımına önem veren büyük firmalarla çalışsak keşke ozaman firewall, rdp ve data için ayrı sunucu vs. yaptırabilirdik fakat malesef hala toplama pc ye server kurdurtup çalıştıran ve verim bekleyen kişiler var bunlarda küçük ve birçok orta ölçekli firmaların gerçeği. bu yüzden elde imkanları kullanarak en iyisini yapmaya çalışmak amacım
yardımlarınız iin teşekkür ederim. açıklamalarınız ışığında denemelerimi yapacağım
Kullanıcılara read bile vermeyeceksin çünkü sql verisine ulaşan sql servis hesabıdır kullanıcılar programı açar örnek eta, logo, nebim, sap vs o program sql e bağlantıyı programa verdiğin kullanıcı yetkisi ile yapar yani özetle db nerede ise sadece adminin ve sql kullanıcı hesabının yetkisi olması yeterli.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
anladım hocam dediginiz sekilde deneyecegim
yardimlariniz icin tesekkurler
Rica ederim.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
"1- muhasebe -satış programını kullanıcıya admin yada domain admin vs yetkisi vermeden çalıştıramadık. "
Admin yetkisi isteyen programın adı nedir? Bence bunu programcı firma ile konuşmalısınız. Böyle bir şey kabul edilemez olmalı.
Bir ISG programı vardı. Aynı şekilde admin istiyordu. Run As ile felan çözmeye çalıştık. Sonra programcı firma ile görüştük. Programın Admin hakkı istemeyen sürümü varmış. Onu gönderdiler. Baştan yayınlasalar şunu uğraşmayacağız.
evet keşke var olan birşey madem baştan yayınlasalar bizlerde bu kadar boğuşmasak 🙂
resul bey şöyle söylim aynı programı daha önce SERVER 2008 de programın klasörüne ve regeditte ki anahtarlarına Poweruser yetkisi ekleyip çalıştırdık firmanın yönlendirmesi ile ( bu arada muhasebe yazılımı VEGA Yazılım) şuanki durum Server 2012 aynı işlemleri yapmamıza rağmen olmamıştı ama hakan beyin önerisi ile filemon dan baktığımda windows klasöründe eriştiği doyaları gördüm ve hakan beyin önerileri ile birlikte bunları deneyeceğim.
ilginiz ve yardımınız için teşekkürler.