adminin bilgisi olmadan user açılması

Merhaba,

Admin olmayan bir kullanici user acamaz ve uyeliklerini duzenleyemez, bilgisi derken neyi kast ediyorsunuz ?

Merhaba,

Normalde açamaz tabiki sifrelerin başkalarının tarafından bilinmediğini siz söylüyorsunuz bundan emin misiniz? Birde delegasyon verilmiş olabilir mi? 

Aşağıdaki linkleri incelemenizde fayda var.

Best Practices for Delegating Active Directory Administration:

http://www.microsoft.com/downloads/details.aspx?FamilyID=631747a3-79e1-48fa-9730-dae7c0a1d6d3&DisplayLang=en

Best Practices for Delegating Active Directory Administration Appendicies:

http://www.microsoft.com/downloads/details.aspx?FamilyID=29dbae88-a216-45f9-9739-cb1fb22a0642&DisplayLang=en

merhaba; öncelikle ilk gelen yorumlar için teşekkürler.

evet bende açamaz diye biliyorum ancak 10 site barınan bir 2003 std. server üzerinde böyle bir durum oldu   IWAM_user lar açılmış ayrıca ASP adında bir user oluşturulmuş  hatta iş o kadar gitmiş ki açılan user admin group eklenmiş birde remote desktop ile bağlanılmış, eraser diye bir yazılım yüklenmiş 🙂   bir not daha ama securityleri doğru yapılandırılmış bir server ve gerçek admin user ve pass karmaşık parola vermiştir. ve sadece 1 kişi bilmektedir.

ilk gün alınan önlemler:
1.gerçek adminin şifresi  tekrar değiştirildi.
2.nod32 ent. sürümü ile test edildi.
3.3389 portu sadece 1 adet ip login olması sağlandı firewaldan
4.açılmış IWAM userlar silindi
5.ASP userı silindi.
6.folder security kontrol edildi.

üçüncü gün :
yukarıda yapılan işlemlerden 3 gün sonra ASP user gene oluşturulmuş ve admin group eklenmiş
yapılan işlem:
1. ASP user aynen bırakıldı sadece pasif moda alındı
2. admin grouptan silindi
3. şu an için normal durumda 

yorumlarınız nedir ?

teşekkürler.

Sistemin loglarını takip etmeniz bu konuda size yardımcı olacaktır.

Yapılabilecek basit işlemler; administrator hesabının ismi değiştirilebilir ya da disable edebilirsiniz. RDP bağlantı portunu 3389 yerine farklı bir port yapabilirsiniz. Muhakkak iyi bir trojan ve virüs taraması olmalı.

merhaba;

öncelike teşekkürler

admin adı değiştrildi, karmaşık parola verildi. 3389 aynı bırakıldı çünkü firewall 3389 kapsam aralığına sadece 1 ip verildi  farklı bir port da versem port taraması yapan biri zaten bulur ama kapsam aralığında sadece 1 ip tanımlı olmasından dolayı sanırım bir daha login olunmaz.

trojan ve virüs tarması için sizin önersiniz nedir ?  nod32 ent. üzerinde zaten var. 

ayrıca bu konuda böyle bir şey yaşayan bir arkadaş varmı ?

teşekkürler.

Selam

sanırım IIS yuklediniz, IIS in Userları bu yazdıklarınız

"IWAM_user "

trojan vs icin onerim ise mc afee 8.5

merhabalar

serkan hocama katılıyorum servis hesabıdır o. ilaveten birkaç  bişi daha eklemek isterim.

adminden habersiz kullanıcı eklenebilir ancak ekleme işlemini yapan user hesabı account operators veya server operators grubuna  üye olması gerekir. böyle bir üyelik durumu varsa kullanıcı hesabı açılabilir.

bu şuna benzer: xp  makinada administrator hakkına sahip kişi kullanıcı açabilir ancak power users grubuna üye olan bir kullanıcı da kullanıcı açabilir ancak adminin açmış olduğu hesaba müdahale edemez ve ancak kendi seviyesine kadar yeni kullanıcının üyeliğini yükseltebilir. daha fazlası yok.

kolay gelsin

IWAM_user benim bildiğim Asp nin bir user grubudur. buradaki userlar database`e bilgi akışı yapan userlardır.

Yanlış bilgi sunuyorsam lütfen düzeltin.

öncelikle teşekkürler

evet iss yüklü bir server IVAM_USER ları sildim ayrıca ASP.NET kullanıcısınıda devre dışı bıraktım mumin beyi dediği gibi tüm grouplar içinde kontrolleri yaptım şu an için bir sorun görünmüyor

yani mumin bey sonuç olarak grouplar içinde artık yok genede böyle bir işlemi tekrar yapmak olasımı ? yani tekrar bu tarz bir sorun olur mu ?

iyi çalışmalar.

bazı program ve servisler kullanıcı hesabı gerektirir, mesela vmware vmuser yaratır ve bununla local makineye auth eder kendisini, ama local admin, domain admin  ve account operator grubunda yetkisi olmayan kimseler kullanıcılarıda yaratamayacağı ve program da yuklemeyecegi icin kontrolu elinizde tutabilirsiniz, kimin ne hakkı oldugunun detayı icin

whoami /all

tekrar merhaba;  verdiğiniz komutu çalıştırdım ve aşağıdaki bilgileri bastı nasıl yorumlarım  bu bilgileri veya sizin gözünüze takılan bir sorun varmı ? teşekkürler.

 C:\Documents and Settings\Administrator>whoami /all

KULLANICI BİLGİLERİ
-------------------

Kullanıcı adı      SID
================== =============================================
egemen1\egemen1 S-1-5-21-2647535911-1483463467-1224868042-300

GRUP BİLGİLERİ
--------------

Grup Adı                              Tür              SID          Öznitelikler

===================================== ================ ============ ============
=============================================================
Everyone                              İyi bilinen grup S-1-1-0      Zorunlu grup
, Varsayılan olarak etkin, Etkinleştirilmiş grup
BUILTIN\Administrators                Diğer Ad         S-1-5-32-544 Zorunlu grup
, Varsayılan olarak etkin, Etkinleştirilmiş grup, Grup sahibi
BUILTIN\Users                         Diğer Ad         S-1-5-32-545 Zorunlu grup
, Varsayılan olarak etkin, Etkinleştirilmiş grup
NT AUTHORITY\REMOTE INTERACTIVE LOGON İyi bilinen grup S-1-5-14     Zorunlu grup
, Varsayılan olarak etkin, Etkinleştirilmiş grup
NT AUTHORITY\INTERACTIVE              İyi bilinen grup S-1-5-4      Zorunlu grup
, Varsayılan olarak etkin, Etkinleştirilmiş grup
NT AUTHORITY\Authenticated Users      İyi bilinen grup S-1-5-11     Zorunlu grup
, Varsayılan olarak etkin, Etkinleştirilmiş grup
NT AUTHORITY\This Organization        İyi bilinen grup S-1-5-15     Zorunlu grup
, Varsayılan olarak etkin, Etkinleştirilmiş grup
LOCAL                                 İyi bilinen grup S-1-2-0      Zorunlu grup
, Varsayılan olarak etkin, Etkinleştirilmiş grup
NT AUTHORITY\NTLM Authentication      İyi bilinen grup S-1-5-64-10  Zorunlu grup
, Varsayılan olarak etkin, Etkinleştirilmiş grup

AYRICALIK BİLGİLERİ
----------------------

Ayrıcalık Adı                   Açıklama
     Bölge
=============================== ================================================
==== ==========
SeLockMemoryPrivilege           Bellekteki sayfaları kilitle
     Devre Dışı
SeChangeNotifyPrivilege         Çapraz denetlemeyi geç
     Etkin
SeSecurityPrivilege             Denetim ve güvenlik günlüklerini yönet
     Devre Dışı
SeBackupPrivilege               Dosya ve dizinleri yedekle
     Devre Dışı
SeRestorePrivilege              Dosya ve dizinleri geri yükle
     Devre Dışı
SeSystemtimePrivilege           Sistem saatini değiştir
     Devre Dışı
SeShutdownPrivilege             Sistemi kapat
     Devre Dışı
SeRemoteShutdownPrivilege       Uzaktaki bir sistemden oturum kapatmayı zorla
     Devre Dışı
SeTakeOwnershipPrivilege        Diğer nesnelerin ve dosyaların sahipliğini al
     Devre Dışı
SeDebugPrivilege                Programların hatalarını ayıkla
     Devre Dışı
SeSystemEnvironmentPrivilege    Üretim ortam bilgisini değiştir
     Devre Dışı
SeSystemProfilePrivilege        Sistem performans profilini çıkar
     Devre Dışı
SeProfileSingleProcessPrivilege Tek işlem profilini çıkar
     Devre Dışı
SeIncreaseBasePriorityPrivilege Zamanlama önceliğini artır
     Devre Dışı
SeLoadDriverPrivilege           Aygıt sürücülerini yükle ve kaldır
     Devre Dışı
SeCreatePagefilePrivilege       Bir disk belleği dosyası oluştur
     Devre Dışı
SeIncreaseQuotaPrivilege        İşlem için bellek kotası ayarla
     Devre Dışı
SeUndockPrivilege               Bilgisayarı yerleştirme istasyonundan çıkar
     Devre Dışı
SeManageVolumePrivilege         Birim bakım görevlerini gerçekleştir
     Devre Dışı
SeImpersonatePrivilege          Kimlik doğrulamanın ardından bir istemciyi temsi
l et Etkin
SeCreateGlobalPrivilege         Genel nesne oluştur
     Etkin

C:\Documents and Settings\Administrator>

Merhaba, cıktıda bir sorun yok, administrators grubuna uye olan bir kullanıcının varsayılan uyelikleri ve izinleri mevcut

teşekkürler.