Forum
arkadaslar server in security eventlarina baktigimda anonymous logon olarak sisteme cok fazla baglanildigini goruyorum , bu normal biseymi ?
Merhabalar;
Security log'larında gördüğünüz bu anonim oturum açma eylemlerinin sebebi; herhangi birinin server'ınıza anonim olarak oturum açması sebebiyle değildir. Zaten windows da buna izin vermez. Aslında durum bundan biraz daha tehlikeli olabilir. Şöyleki;
Anonim olarak bağlantı kurduğunuzda erişilebilecek veriler oldukça kısıtlıdır. Temel olarak paylaşıma açık klasörler ve kullanıcı adlarına ulaşılabilir. Evet kullanıcı adlarına bir saldırganın erişmesi ile ilgili hesapların şifrelerini bulması için pek çok saldırı yönetimini kullanabileceği bir gerçektir ama inanın kullanıcı adlarına erişmesi için tek yöntem bu değildir.
Null session olarak da bilinen anonymous logon'ları devre dışı bırakabilirsiniz. Yalnız bu durumda trust ilişkisi içinde olduğunuz domainler ile problem yaşayabilirsiniz. Bu değişikliği tüm yapınıza uygulamadan önce mutlaka küçük bir test grubunda bir süreliğine test yapın. Windows XP ve sonraki işletim sistemlerinde anonim olarak erişebilebilecek bilgileri belirleyen 6 tane policy mevcut.
Bunlar Local Security Policy snap-in'i içinde Computer
Configuration\Windows Settings\SecuritySettings\Local Policies\SecurityOptions altında yer alır.
- Network access: Allow anonymous SID/Name translation
- Network access: Do not allow anonymous enumeration of SAM accounts
- Network access: Do not allow anonymous enumeration of SAM accounts and shares
- Network access: Let Everyone permissions apply to anonymous users
- Network access: Named Pipes that can be accessed anonymously
- Network access: Shares that can be accessed anonymously
Local'de yer alan ve dış dünyaya kapalı bir server için bu ayarların default değerlerini kullanabilirsiniz. Internet'e ve dolayısıyla saldırılara açık olabilecek server'larda ise 1 ve 4'ü disable edip 2 ve 3 enable edebilirsiniz.