magnify
formats

Event ID 15021, HTTPEvent “error occurred while using SSL configuration for endpoint 0.0.0.0:444″ – Exchange Server 2013

Exchange Server üzerinde loglarda aşağıdaki gibi bir hata alıyorsanız eğer

Bunun temel sebebi aktif olarak kullanmaya çalıştığınız SSL Sertifikasının artık olmayışıdır. Genel olarak yeni sertifika yüklemelerinden sonra eski sertifikaları silince bu sorun görünüyor. Bu arada 0.0.0.0:444, 0.0.0.0:443 ve farklı değerler olabilir, zaten hata içeriğine göre bizde sertifikaları güncelleyebiliriz.

İlk olarak Exchange server üzerinde aşağıdaki komut ile mevcut sertifikaları listeleyelim

netsh http show sslcert

Örneğin benim hatam 0.0.0.0:444 ise öncelikle bu hata aldığım ve ip ve port için aşağıdaki değerleri not almalıyım

Certificate Hash ve Application ID, yukarıdaki resimde işaretledim.

Daha sonra bu port için tanımlı sertifika atamasını silelim

netsh http delete sslcert ipport=0.0.0.0:444

Şimdi ise yeniden atama yapalım

netsh http add sslcert ipport=0.0.0.0:444 certhash=158d0faecdcac3b771ff7ea43852b9e64f7e01d5 appid=”{4dc3e181-e14b-4a21-b022-59fc669b0914}”

Hepsi bu. Artık bu sorunu atlamış olacaksınız. Umarım faydalı bir ipucu olmuştur.

 

Kaynak

http://www.exchangedictionary.com/solutions/event-id-15021-error-occurred-while-using-ssl-configuration

(96)

 
 Share on Facebook Share on Twitter Share on Reddit Share on LinkedIn
formats

Microsoft Advanced Threat Analytics – Bölüm4 – Configure Event Collection

Makalemin ilk bölümünde temel olarak ATA için çalışma mantığı, topoloji ve özelliklerinden bahsetmiştim. İkinci bölümünde ise artık kurulum gereksinimlerine yer vermiştim. Üçüncü bölümünde ise ATA Center ve ATA Gateway kurulumu ile kurulum sonrasındaki yapılandırma adımlarını anlatmıştım. Bu bölümde ise Event Collection ayarlarını yapacağız.

Öncelikle bir önceki makalemdeki gibi örnek bir topoloji paylaşmak istiyorum ki bu event toplama noktasında anlatacaklarım daha anlaşılır olsun.

Yukarıda gördüğünüz gibi ATA Center, GW üzerinden gelen bilgileri analiz eder, GW ise DC’ lerden bilgi toplar. Yine eğer ortamda SIEM ürünleri var ise onlardan da gelen olay günlüklerini toplayıp Center’ a incelenmesi ve analiz edilmesi için yollayabilir.

ATA’ nın tespit edebildiği ataklardan biri olan “Pass-the-Hash” ‘ in sağlıklı bir şekilde tespit edilmesi için DC üzerinde oluşan Windows Event log ID 4776 olay günlüğüne sahip olması gereklidir. Bunu ya ortamdaki SIEM ürününden ya da DC’ den alabilir.

Burada temel iki yöntem var, birincisi SIEM server’ dan bilgileri almak, ikincisi ise DC’ lerden direkt olarak almak

  • Configuring the ATA Gateway to listen for SIEM events
  • Configuring Windows Event Forwarding

 

Configuring the ATA Gateway to listen for SIEM events

Eğer elinizde bir SIEM ürünü var ise öncelikle ATA GW için bunlardan gelecek bilgileri kabul edecek şekilde ayarlamamız gereklidir. Bunun için GW ayarlarında Syslog Listener UDP ayarını açıyoruz ve kullandığımız aktif ip adresini seçiyoruz.

Daha sonra sahip olduğunuz SIEM ürünü üzerinde yapılandırma (Windows Event ID 4776 loglarını bu ip dresine yönlendirmesi gerekli) gerekmektedir. Desteklenen ürünler ve formatlar için aşağıdaki linki kullanabilirsiniz

RSA Security Analytics

HP Arcsight

Splunk

https://technet.microsoft.com/en-us/dn707705?f=255&MSPPError=-2147217396

 

Configuring Windows Event Forwarding

Eğer elinizde bir SIEM ürünü yok ise DC üzerinden logları alabilirsiniz, bunun için öncelikle ATA üzerinde yine aynı yerde “Windows Event Forwarding Collection” özelliğini aktif ediyoruz.

 

Daha sonra hem ATA WG üzerinde hem de Domain Controller makinesinde yönetici hakları ile çalıştırdığımız powershell konsolunda aşağıdaki komutları çalıştırıyoruz

winrm quickconfig

Daha sonra ATA GW üzerinde aşağıdaki komutu çalıştırıyoruz

wecutil qc

Daha sonra tüm DC makineleri için Event Log Readers Group üyeliğine ATA GW makine hesabını eklemek gerekli.


 

Şimdi ATA Gateway makinesinde Olay günlüğünü yönetici hesabımız ile açalım


Daha sonra sol bölümden “Subscriptions” bölümüne gelelim ve yeni bir üyelik oluşturalım.


Bunları tamamladıktan sonra hangi eventleri almak istiyorsak filtre oluşturacağız.



İki kriteri sadece dolduruyorum, By log bölümünde “Security” ve Event ID bölümünde 4667, sonra süreci tamamlıyorum.


Şu anda ATA GW her iki DC’ den de 4667 olay günlüklerini alacak şekilde ayarlanmıştır.

Makalemin sonuna geldim, umarım faydalı bir makale olmuştur, bir sonraki makalemde görüşmek dileği ile.

 

Kaynaklar

https://technet.microsoft.com/en-us/dn707709

https://technet.microsoft.com/en-us/dn707710 (235)

 
 Share on Facebook Share on Twitter Share on Reddit Share on LinkedIn
formats

Microsoft Advanced Threat Analytics – Bölüm3 – Deployment Guide – Lab Installation

Makalemin ilk bölümünde temel olarak ATA için çalışma mantığı, topoloji ve özelliklerinden bahsetmiştim. İkinci bölümünde ise artık kurulum gereksinimlerine yer vermiştim. Bu bölümde ise kurulum ile devam ediyoruz.

Öncelikle örnek bir topoloji paylaşmak istiyorum.

clip_image002

Yukarıda gördüğünüz gibi ATA Center, GW üzerinden gelen bilgileri analiz eder, GW ise DC’ lerden bilgi toplar. Yine eğer ortamda SIEM ürünleri var ise onlardan da gelen olay günlüklerini toplayıp Center’ a incelenmesi ve analiz edilmesi için yollayabilir.

İlk olarak ATA Center yüklemesini gerçekleştireceğim. Senaryo gereği tek makine kullanma şansınız var ancak ben büyük yapılar için bir LAB tasarladığımdan bu şekilde ilerliyorum (tavsiye edilen de ayrı rolleri ayrı sunuculara kurmanızdır).

Windows Server 2012 R2 yüklü ve yamaları yüklenmiş olan ATA Center olacak olan makinede setup dosyasını çalıştırıyorum.

clip_image004

Kurulum dili ve sözleşme sonrasında aşağıdaki gibi bir ekran karşılıyor bizi

clip_image005

 

Bu bölümde önemli olan alanlar aşağıdaki gibidir

ATA Center Service IP address: Port

Öncelikle ATA Center olarak olan makineye iki ip adresi tanımladım. Bunlardan 192.168.10.100 ATA Gateway sunucusunun ATA Center’ a ulaşmak için kullanacağı ip adresidir. Bir nevi ATA sunucuları arasındaki iletişim. İletişimin güvenli olması için sertifika temelli gerçekleşir ve eğer internal CA kullanmıyor veya bu ürünler için kullanmak istemiyorsanız self-signed sertifika ile bu iletişimi sağlayabilirsiniz.

ATA Console IP Address

Bu bölüm ise IIS tarafından kullanılacak ve ATA yönetim konsolunun erişimi için kullanılacaktır. Bu bölüm içinde SS sertifika kullanırsanız kullanıcılar browser üzerinde uyarı görebilirler, bu nedenle bu bölüm için yani IIS için isterseniz makineye sertifika yükleyebilirsiniz.

clip_image006

Yükleme bittikten sonra öncelikle sunucuyu restart ediyoruz. Daha sonra aşağıdaki adımları ile hızlıca bir kontrol sağlayabiliriz.

Öncelikle Microsoft Advanced Threat Analytics Center servisinin çalışıyor olması gereklidir.

clip_image007

İkinci olarak masa üstündeki Control Center kısa yoluna tıklayıp kimlik bilgileri ile konsol girişi yapalım

clip_image008

clip_image009

Eğer konsol hiç gelmiyor ise kullanmış olduğunuz Windows server 2012 R2 yamaları eksik olabilir, özellikle KB2934520 bu yamayı yükledikten sonra bir kez daha deneyin.

 

Eğer bu adımlarda bir sorun yaşarsanız aşağıdaki dizinde bulunan “Microsoft.Tri.Center-Errors.log” isimli log dosyasını kontrol edebilirsiniz.

%programfiles%\Microsoft Advanced Threat Analytics\Center\Logs

Kurulum tamamlandıktan sonra ilk adımımız domain erişim bilgilerini girmek olacak. Bunun için yönetim konsolunda sağ üst köşeden Configuration bölümüne geliyoruz

clip_image010

 

clip_image012

Burada yaptığımız ayar, bundan sonra kurulacak tüm ATA Gateway sunucuları için merkezi bir ayar olup bu bilgiler ile Domain erişimi sağlayacaklardır.

Şimdi bir sonraki adımımız olan ATA Gateway kurulumuna geçelim. Bunun için GW makinesine login olup yine ata yönetim konsolunu ip üzerinden açıyoruz.

Yukarıdaki bölüme gelip Gateway için gerekli yükleme dosyasını indiriyoruz

clip_image014

 

clip_image015

 

Yükleme öncesinde GW rolü yüklenecek sunucu için DC port yönlendirmesinin doğru yapılandırıldığını kontrol etmemiz gerekiyor. Eğer ortamınızda Hyper-V var ise bunun için yapmanız gereken DC makine üzerinde aşağıdaki ayarı kaynak, GW makinelerde ise Hedef yapmanız yeterli

clip_image016

clip_image017

Daha sonra http://www.microsoft.com/en-us/download/details.aspx?id=4865 link üzerinden Microsoft Network Monitor indirip yüklüyoruz. ( bu ürün dışında Microsoft Message Analyzer da dahil olmak üzere hiçbir network yakalama, dinleme aracı kesinlikle yüklemeyiniz)

Daha sonra aşağıdaki link üzerindeki yönergeleri takip ederek (resimli anlatım olduğu için bir kez daha burada yer vermeye gerek duymadım ) gerçekten port yönlendirme çalışıyor mu kontrol edebilirsiniz. Eğer eminseniz bu adımları yapmak zorunda değilsiniz

https://technet.microsoft.com/en-us/dn707710

Benim ortamımda her şey istediğim gibi J

clip_image018

 

Şimdi bir update kontrolü yapalım

Get-HotFix -Id kb2919355

clip_image019

Bu yama da yüklü ise artık GW setup dosyasını çalıştırabiliriz

clip_image021

 

clip_image023

Kullanıcı adı ve şifre ATA konsol için kullandığınız ki benim domain admin hesabım, ancak buraya ATA için açtığınız ve yine Ata Center makinesinde yerel bir grup olan “Microsoft Advanced Thereat Analytics Administratos” üyesi bir domain user olabilir. Ama tercihim ATA servis kullanıcısının bu gruba üye yapıp bu tür yüklemelerde bu servis kullanıcısının kullanmanızdır. Malum admin şifresi değişecektir.

clip_image025

 

Yükleme sonrasında makineyi bir kere restart ediyoruz. Bu yükleme sonrası da yükleme kontrollerini yapabiliriz, öncelikle yine Microsoft Advanced Threat Analytics Gateway servisini kontrol edin, çalışıyor olması gerekli. Eğer başlamıyor ise aşağıdaki yolda bulunan “Microsoft.Tri.Gateway-Errors.log” log dosyası içerisinde transfer” veya “service start” kelimelerini arayın.

“%programfiles%\Microsoft Advanced Threat Analytics\Gateway\Logs

Buna ek olarak performans monitör ile aşağıdaki sayaçların hareketli olduğunu kontrol edebilirsiniz

NetworkListener Captured Frames / sec

EntityTransfer Activity Transfers/Sec

Bu temel kontrolden sonra ATA yönetim ara yüzünü açıyoruz. Sağ bölümde yine Configuration – ATA Gateways bölümüne geliyoruz.

 

clip_image026

Yukarıdaki gibi ilk kurduğumuz GW için ilgili alanları dolduruyoruz. Açıklama şart değil, ama büyük yapılarda hangi Gw leri hangi amaç için kullandığınızı anlamak için yararlı olacaktır.

İkinci bölüm ise son derece önemli olup, port yönlendirilmesi ile bilgileri toplanan domain controller makinelerinin mutlaka isimleri burada yer alıyor olmalıdır. Örneğin benim ortamımdaki iki domain controller dinlenecek şekilde ayarlanmış durumda şu anda ( her ikisi de port yönlendirme ile bu makineye bilgi gönderiyor).

Ayarları kayıt etmeyi unutmayın.

clip_image028

Hemen bu ayarlardan sonra sağ bölümde aşağıdaki gibi ortamınızın bir özetini görebilirsiniz

clip_image029

Benim lab ortamım küçük olduğu için çok etkileyici rakamlar yok. Ancak makalemin devamında sizler ile paylaşacağım tehditler, 3 haftadan daha uzun süre gerçek bir domain ortamında çalışan üründen yararlanılarak yazılacaktır.

Kuruluma dair son bir ek ayar bulunmaktadır. Eğer ATA’ nın çalıştığı network ortamında VPN veya Wifi gibi sınırlı sürede ip alan ve kullanan bilgisayarlar var ise bunu ATA ya tanımlamak gerekli.

Bunun için yine konfigürasyon sayfasında “detection” sekmesine geliyoruz.

clip_image030

Belirttiğim gibi network ID leri ve ATA Servis kullanıcı SID bilgisini giriyoruz

SID için aşağıdaki komutu kullanabilirsiniz

Get-ADUser UserName –Properties

Veya direkt olarak aşağıdaki gibi domain ve kullanıcı adı bölümünü kendinize uyarlarsanız SID’ i direkt alabilirsiniz

$objUser = New-Object System.Security.Principal.NTAccount(“cozumpark”, “ata”)

$strSID = $objUser.Translate([System.Security.Principal.SecurityIdentifier])

$strSID.Value

Yukarıdaki powershell ile benim servis kullanıcımın SID numarasını alıp buraya yazıyorum

S-1-5-21-442951508-1167708105-1809926268-1110

Bu son ayar ile kurulumu tamamlamış olduk. Bundan sonra bölümlerde Event Collection ve aktif ortamlardaki raporları sizler ile paylaşıyor olacağım.

Kaynaklar

https://technet.microsoft.com/en-us/dn707709

https://technet.microsoft.com/en-us/dn707710

(147)

 
 Share on Facebook Share on Twitter Share on Reddit Share on LinkedIn
formats

Çözümpark TV Google Chrome Uyum Sorunu Çözüldü!

ÇözümPark Bilişim Portalı olarak sunduğumuz ve son derece büyük ilgi gören Video Portalımız ÇözümPark TV ne yazık ki Google Chrome web browser ile ilgili bir takım sorunlar yaşıyordu. Bu sorun videoların ileri ve geri alınması ile ilgiliydi. Malum Chrome çok kullanılan bir browser olunca da bu sorun pek çok kez üyelerimiz tarafından bizlere bildirildi. Değerli yazılım ekibimiz ile bu konu üzerinde çok ciddi geliştirmeler yaptık, hatta ücretli olarak kullandığımız player’ ı değiştirmeyi bile düşündük. Ancak test ortamlarında herşeyin sorunsuz çalışması bizleri sorunun ÇözümPark Bilişim Portalı sunucu alt yapısı ile ilgili olabileceğini düşündürdü. Çözümpark TV sahip olduğumuz diğer web platformları gibi sanal ve ayrı bir sunucu olup merkezi bir firewall arkasındaydı, ilginç bir şekilde tüm web sitelerimizin sorunsuz çalışmasına rağmen, hatta ÇözümPark TV’ nin IE ve Firefox gibi diğer browserlarda yine sorunsuz çalışırken Chrome da sorun çıkarmaına sebep “Firewall” muş… Günün sonunda ayrı bir kural yazarak sorunu an itibari ile çözmük. Tüm Çözümpark TV takipçilerine duyurulur.

Not: Bu süreçte çok ciddi bir şekilde yazılım geliştirme desteği sunan Kadir Avcı kardeşime teşekkür ediyorum

(200)

 
 Share on Facebook Share on Twitter Share on Reddit Share on LinkedIn
formats

ÇözümPark Ne Zaman Kuruldu?

Merhaba, bu gün sözlük istek kelimelere bakarken böyle bir sorgu gördüm, demek ki bunu merak edip ÇözümPark Sözlük’ e bile soranlar var, bende bundan sonra google a soranlar için bile referans bir bilgi olması için paylaşıyorum. Bu sayede zamanında ne kadar çabuk geçtiğini anlamış oluyoruz.

ÇözümPark Bilişim Portalı 21 Şubat 2008 yılında kurulmuştur. Kurucu üyeleri Eser Solmaz, Fatih Karaalioğlu, Hakan Uzuner ve Mesut Sarıyar’ dır.

(361)

 
 Share on Facebook Share on Twitter Share on Reddit Share on LinkedIn
formats

ENITSE Kurumsal BT Güvenlik Konferansı ve Sergisi 04-05 Kasım 2015

Tarih 28 Ağustos 2015 yazar içinde Haberler

ENITSE Kurumsal BT Güvenlik Konferansı ve Sergisi 04-05 Kasım 2015 tarihinde İstanbul’da düzenlenecektir. ENITSE kendi kategorisinde EMEA bölgesinin en önemli konferanslarından birisidir.

 

ENITSE Konferansı, konuşmacıların geçmiş tecrübelerini, bilgi birikimlerini, vizyonlarını ve gelecek öngörülerini ziyaretçilerle paylaştığı bir platform sunmaktadır. Türkçe ya da İngilizce olarak yapılacak olan konferans konuşmaları simültane olarak Türkçe ya da İngilizce’ye çevrilecektir. Konferans sergi alanında sponsor firmaların tanıtım alanları bulunacaktır. ENITSE 2015 Konferans Programı etkinlik web sitesinde yayınlanmıştır.

 

Türkiye’den ve dünyanın birçok ülkesinden konferansa yoğun katılım beklenmektedir. Konferans için sponsorluk ve ziyaretçi kaydı halen devam etmektedir.

 

ENITSE Konferansı hakkında daha fazla bilgi sahibi olmak için konferans web sitesini ziyaret edebilirsiniz: www.enitse.com

(256)

 
 Share on Facebook Share on Twitter Share on Reddit Share on LinkedIn
formats

Microsoft Advanced Threat Analytics Artık Herkese Açık

Bundan önce iki bölüm makalesini yazdığım ATA ürünü artık herkesin kullanımına sunulmuş durumdadır.

https://www.microsoft.com/en-us/evalcenter/evaluate-microsoft-advanced-threat-analytics

Makalelerim için

Microsoft Advanced Threat Analytics ATA – Bölüm2

Microsoft Advanced Threat Analytics ATA – Bölüm1

(596)

 
 Share on Facebook Share on Twitter Share on Reddit Share on LinkedIn
formats

Webcast – Active Directory Group Policy Yönetimi – 2

Bu webcast etkinliğinde Active Directory Domain Servislerinde Group Policy Object bileşenini detaylı olarak inceliyoruz. Bu ikinci bölümde detaylı olarak group policy ayarlarını gerçek hayattan senaryolarla uygulamalı olarak anlatıyoruz.

Kayıt olmak için

https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032629185&Culture=TR-TR&community=0

(361)

 
 Share on Facebook Share on Twitter Share on Reddit Share on LinkedIn
formats

Active Directory Kullanıcılarımın Şifreleri Ne Zaman Doluyor?

Malum şifre resetleme pek çok kurumsal ortam için kullanılan bir kullanıcı güvenlik politikası olup bazı durumlarda kullanıcıların bir sonraki şifre resetleme süresini öğrenmek isteyebilirsiniz. Aslında bunun en önemli nedeni ilgili kullanıcı veya kullanıcılar kritik pozisyonda çalışıyor ve yurt dışı gibi bir lokasyona gidecek ise, yine cep telefonu dışında başka bir iletişim aracı olmayacak ise bu durumda sizi yorabilir. Bunlar yaşanmış sorunlar olup böyle bir durumdaki bir yönetici için en kısa sorun çözme yöntemi password never expire kutucuğunu işaretlemektir, ancak bu da regülasyona tabi bir kurum için bulgu sebebi olabilir. Bu gibi durumlar için aşağıdaki script bize kullanıcılarımızın bir sonraki şifre değşitirme zamanını göstermektedir.

PS komutunu çalıştırmadan önce aşağıdaki komutu çalıştırın lütfen

Import-Module Activedirectory

Get-ADUser -filter {Enabled -eq $True -and PasswordNeverExpires -eq $False} –Properties “DisplayName”, “msDS-UserPasswordExpiryTimeComputed” |Select-Object -Property “Displayname”,@{Name=”ExpiryDate”;Expression={[datetime]::FromFileTime($_.”msDS-UserPasswordExpiryTimeComputed”)}}

Kaynak

http://blogs.technet.com/b/poshchap/archive/2014/02/21/get-a-list-of-ad-users-39-password-expiry-dates.aspx

(785)

 
 Share on Facebook Share on Twitter Share on Reddit Share on LinkedIn
formats

ÇözümPark – Office 365 Day – 9 Eylül 2015 Çarşamba 09:00

ÇözümPark Bilişim Portalı ve Microsoft Türkiye iş birliği ile düzenleyeceğimiz etkinlikte sizleri de görmekten memnuniyet duyacağız.

Etkinlik Tarihi: 9 Eylül Çarşamba
Etkinlik Saati: 09:00
Etkinlik Yeri: Microsoft Türkiye Ofisi – Bellevue Residences, Levent Mahallesi Aydın Sokak No:7, Levent 34340 İstanbul, Türkiye
Kroki:


Etkinlik Programı


09:00 – 10:15 Office 365 Advanced Threat Protection ATP ve Smart Host – ETRN Senaryoları  – Hakan Uzuner
10:30 – 11:15 Office 365 Skype for Business Senaryolari – Oğuzhan İlkan Boran
11:30 – 12:30 Office 365 Migration Senaryoları – Buğra Keskin
13:30 – 14:30 Office 365 SharePoint’i Keşfedin1 – Erdem Avni Selçuk
14:45 – 15:45 Office 365 SharePoint’i Keşfedin2 – Erdem Avni Selçuk

KAYIT İÇİN LÜTFEN TIKLAYINIZ

(652)

 
 Share on Facebook Share on Twitter Share on Reddit Share on LinkedIn
© Hakan UZUNER - MCT- MVP - RD
credit