1 Soru 1 Cevap: Windows 10 Pro Üzerinde GPO ile Store Yasaklama

Soru: Windows 10 Pro üzerinde GPO ile Windows Store yasaklayamıyorum;

Cevap: Microsoft bir yükseltme ile yaptığı değişiklik sonucunda bu GPO sadece Enterprise ve Education sürümlerinde çalışmaktadır.

https://support.microsoft.com/en-us/help/3135657/can-t-disable-windows-store-in-windows-10-pro-through-group-policy

ÇözümPark Bilişim Portalı 2019 İlk Yarı Yıl Nominasyon Sonuçları Açıklandı

ÇözümPark Bilişim Portalı 2019 ilk yarı yıl için yaptığımız Nominasyon sonuçlarında ekibimize katılan değerli bilişim gönüllülerine ilgilerinden dolayı teşekkür ediyorum. Ekibim adına kendilerine aramız hoş geldiniz diyorum. Umarım birlikte sektöre için çok daha faydalı işler yapacağız. Ahmet TANRIKULU, Ali Korkmaz, Can KAYA, Cumhur ALTAN, Engin KOSOVA, Erdogan TEMUR, İsmail ADAR, Kadir YAPAR, Kerem Yüksel, Kerim Cantürk, Nihat ALTINMAKAS ve Yenal Tirpanci

Azure Active Directory Domain Services Nedir?

Microsoft Active Directory Microsoft firmasının en eski ve en çok bilinen ürünlerinden birisidir. Durum böyle olunca da aslında pek çok firmada yerleşik bir dizin yapısı görmek son derece normal. Bundan dolayı da istemci makineler windows olmasa bile pek çok Microsoft uygulaması veya AD ile entegre uygulama görebiliyoruz. Zaten uygulama üreticileri de bu yaygın kullanım nedeni ile AD entegre ürünler çıkarmaktadır. Hatta uygulamaların yanında alacağınız bir firewall bile bugün AD entegre çalışıyor. Temelde kullanıcı yönetimi nerede ise aslında kullanıcı deneyimini artıracak olan en temel SSO için AD uyumu bir nevi artık endüstri Standartı olmuş durumda. Hatta ilginç bir şekilde bunun standart olmasından dolayı bugün kaleme aldığım Azure AD DS servisinin rakip bir bulut servis sağlayıcının üzerinde uzun yıllardır olması beni biraz şaşırttı doğrusu.

Peki öncelikle mevcut duruma bir bakalım. Yani yerleşik bir Active Directory yapısı olan bir müşteri bunu bulut ortamına taşımak ister ise ne yapabilir?

Öncelikle en kolay yöntem IaaS olarak Azure üzerinde bir sanal makine açıp, daha sonra yerleşik firewall ile azure veri merkezleri arasında bir VPN yapar ve bilindik Additional domain controller kurulumu yapar. Bunu hali hazırda pek çok müşteri zaten yapıyor. Temel kullanım alanları ise, öncelikle azure üzerindeki diğer servislerin yerleşik AD makinelerine gelme ve gitme sürelerinin şu an itibari ile anlık 100ms leri bulması nedeni ile olası gecikmeleri engellemektir. Ek olarak ise olası bir on prem kesintisinde azure dc makineleri felaket senaryoları için kullanıma devam edecektir.

Yukarıdaki şekil karışık mı geldi? Aslında özetle durum aşağıdaki gibidir;

Yani uzak bir şubede ADC kurmaktan hiçbir farkı yok aslında.

Peki başka bir alternatif var mı? Evet, Azure Active Directory servisini kullanabilirsiniz.

Azure Active Directory (Azure AD), Microsoft’un bulut tabanlı kimlik ve erişim yönetimi hizmetidir. Aslında yerleşik AD’ nin yaptığı temel görevleri yerine getirir. Ancak GPO gibi temel olarak yönetebileceğimiz esnek servisleri sunmaz. Burada en temel sorun aslında Windows Server Active Directory web temelli servisleri yönetmek için tasarlanmamıştır. Azure Active Directory ise, Office 365, salesforce ve benzeri REST (Representional State Transfer) API ara birimlerini kullanan web tabanlı hizmetleri desteklemek üzere tasarlanmıştır. Bu nedenle tamamen farklı protokolleri kullanır.

Buradaki amaç temel dizin ve kimlik hizmetlerini -yönetimini, uygulama erişim yönetimi, denetleme ve raporlama, multi-factor authentication, self servis şifre resetleme ve benzeri ek hizmetler ile zenginleştirmektir. Ek hizmetler dememin sebebi bulut hakkında makale yazarken başımıza çok gelen bir olay. Bugün olmayan ancak yarın iş ihtiyaçları nedeni ile sunulacak özellikler olabilir.

Herkesin kullanım motivasyonu farklılık gösterebilir. Örneğin bir IT yöneticisi için yerleşik AD yönetim araçlarına göre Azure portal sayesinde erişim kontrollerini daha görünür (raporlama ve uyarılar gibi) veya MFA sayesinde daha güvenilir yapabilirsiniz. Tabiki yerleşik sistemler için 3 parti ürünler ile MFA özelliğini kullanabilirsiniz. Ancak bu tarz ürünlerin kurulumları son derece kompleks ve maliyetleri yüksektir. Oysaki Azure Active Directory entegrasyonu sonrasında istediğiniz kullanıcılar için MFA açarak kritik hesapların güvenliğini bir üst seviyeye çekmiş oluşunuz.

Ayrıca yine kullanıcı açma ve yönetme gibi işlemlerin provizyon işlemlerini otomatize edebilirsiniz. Yine dahili güvenlik ürünleri sayesinde kimlik avı dolandırıcılığı başta olmak üzere kimlik kaynaklı ataklara karşı çok daha güvenli bir alt yapıya sahip olursunuz.

Bir yazılımcı gözünden bakarsanız;

Bir uygulama geliştiricisi olarak Azure AD, bir kullanıcının önceden var olan kimlik bilgileriyle çalışmasına izin veren standartlara dayalı bir yaklaşım sunar (SSO). Azure AD ayrıca, mevcut kurumsal verileri kullanarak kişiselleştirilmiş uygulama deneyimleri oluşturmanıza yardımcı olabilecek API’ ler sağlar.

Peki neden Azure Active Directory Kullanıyoruz?

Değişen ve gelişen teknoloji ile artık uygulamalar daha kompleks ve yaygın bir erişim ihtiyacına sahip, durum böyle olunca yerleşik ve kapalı olan dizin hizmetlerimizi internete açmak son derece tehlikeli sonuçlar doğurabilir. Durum böyle olunca aslında bu sürekli olarak gelişen iş ihtiyaçlarını karşılamak için mevcut bilgiyi bulut üzerindeki bu servis ile paylaşıp onun sunduğu yeni nesil protokol ve hizmetleri ise bu iş ihtiyaçlarına ihtiyaç duyan sistemlere güvenli ve kararlı bir şekilde sunabilirsiniz.

Peki başka ne var? Sıra geldi aslında makalemizin konusuna.

Malum PaaS kavramı hayatımıza çok fazlaca dokundu. Örneğin IIS veya Apache kurayım, onun güvenlik ayarları, temel yapılandırma ayarları, yedekleme şu bu ile uğraşacağıma bir webapp yaparım atarım buluta bitti. Veya OS kur, yamaları yükle, SQL kur, yapılandır, yedek al şu bu yerine geçerim PaaS SQL’ e oh mis gibi. Tabi şimdi soruyorsunuzdur madem bu kadar her şey güzel neden herkes geçmiyor? Klasik olarak yazdığınız veya tasarladığınız bu uygulamaları tabiki güncellemeniz gerekli. Kurumsal pek çok müşterimdeki web uygulamalarını IaaS yani klasik OS, App Server DB Server’ dan WebApp + PaaS SQL’ e çevirerek inanılmaz hız, güvenlik, kararlılık ve tabiki karlılık sağlıyoruz. Ancak bunun için şirketin bir parça danışmanlık ücreti ödemesi gerekiyor ki mevcut yazılımı PaaS sistemlerde çalışsın. Genelde Türkiye de danışmanlığa pek değer verilmediği için de kazanımdan çok danışmana verilecek para göze battığı için hala klasik mimari ile çalışan binlerce müşteri var.

Madem PaaS’ a giriş yaptık aslında herkesin sorduğu bir şey, pek çok klasik servisin PaaS modeli var, yani yönetimi, bakımı, güvenliği vs bulut sağlayıcısına ait olan bu sistemler üzerinde Active Directory Servisi yok mu? VAR

Azure Active Directory (AD) Domain Services

Peki nedir Azure Active Directory (AD) Domain Services?

Şirket içerisindeki pek çok geleneksel uygulama- Line-of-business (LOB) Active Directory dizin yapısına duyarlı uygulamalardır. Çünkü bunların sağlıklı bir şekilde çalışabilmesi için Windows ile Tümleşik bir şekilde çalışan kimlik doğrulama sevislerine (Kerberos, NTLM) ihtiyaç duymaktadır. Doğal olarak yerleşik sistemlerdeki uygulamaları buluta çıkarmak veya bulut entegrasyonu sayesinde mevcut alt yapınızın daha güvenlik, esnek, çevik olması için bu bağımlılıkları ortadan kaldırmanız gereklidir.

Hali hazırda Dünya üzerinde pek çok hybrid çalışan it alt yapısı görürsünüz. Peki bunlar nasıl başardı?

Mevcut uygulamalar genellikle müşteri veri merkezleri ile azure veri merkezleri arasında site-to-site vpn yaparak azure üzerindeki iş yüklerinin merkezi dizin hizmetlerine erişmesini sağlamaktadır. Bazen bu süreci hızlandırmak için azure üzerinde sanal makine açılır ve bu sayede bir site yapısı ile dizin hizmetleri yönetilir.

Bilinen en iyi yöntem bu olmasına karşın sanal makine, vpn, bakım, yönetim, yedekleme gibi ek maliyetler yüzünden bir alternatif arayışı içerisine girilmiştir.

Tam bu noktada Microsoft daha esnek bir alternatif sunmak için AD Domain servisini tasarlamıştır.

AD Domain servisi temel olarak yerleşik AD sistemlerinin sunduğu domain join, group policy, LDAP, Kerberos/NTLM authentication gibi özellikleri bulut üzerinde sunan bir servistir. Yani Azure Active Directory’ den farklı olarak karakteri on-prem AD servisine benzemektedir. Tek farlı bunun için aşağıdaki hiçbir sorumluluğun size ait olmayışıdır;

Sanal makine yine var ama sizin yönetiminizde değil. Yani aslında IaaS olarak bir sanal kurup, VPN yapıp onu ADC yaptığınız zaman alacağınız tecrübeyle karşı karşıyasınız (tabiki %100 o kadar esnek değil, örnek RDP yapıp DC ye bağlanamıyorsunuz).

Yama yönetimi otomatik, her zaman en güncel güvenlik ayarları ile korunur, her zaman erişilebilir, otomatik hata denetimi ve düzeltme, otomatik yedekleme ve felaket kurtarma, izlemeye ihtiyaç duymayan ve HA yapısı sunan bir servis. Bayağı alında IaaS gibi çalışan ama PaaS sorumluluklarında bir servis diyebiliriz.

Peki nasıl kullanıyoruz?

Aslında iki temel senaryomuz var

Azure AD Domain Services for cloud-only organizations

Kullanıcı, grup ve benzeri tüm kimlik yönetimi cloud üzerinde olan şirket senaryosudur. Yani bu şirketin yerleşik sistemleri yoktur. Hali hazırda Azure Active Directory kullanmaktadır.

Bu senaryoda mevcut Azure AD bilgilerini Azure AD Domain Servis ile entegre edip tüm özelliklerini yukarıdaki şekle göre Virtual network içerisindeki sanal makineler ve üzerinde çalışan servisler için kullanabilir. Yani yeni bir Azure AD Domain Servisi açıyorsunuz ancak mevcut kullanıcı ve grup bilgileri bu domain’ a mevcut Azure Active Directory içerisinden düzenli olarak replike ediliyor. Bu sayede örneğin yeni bir sanal makine açıp Azure AD Domain servisi sayesinde onu domain’ e aldıktan sonra. Mevcut kullanıcı veya gruplarınız ile remote login yapabilirsiniz.

Azure AD Domain Services for hybrid organizations

Hybrid IT alt yapılarına sahip olan kurumlar, bulut kaynakları ve şirket içi kaynaklarının karışımını kullanırlar. Bu tür kuruluşlar şirket içi dizin hizmetlerindeki bilgileri Azure AD Tenant ile eşitlerler. Bu tarz kurumlar genelde uygulamalarını orta veya uzun vadede buluta taşıyarak bulutun avantajlarından yararlanmak ister. Veya mevcut iş ihtiyaçları için gerekli olan yeni yazılım, çözüm veya bilgisayar gücü ihtiyacını bulut üzerinden karşılarken tek bir kimlik doğrulama mekanizmasını tüm bu çözümler için kesintisiz sunabilir.

Azure AD Connect şu anda bu tarz kuruluşlar için kimlik bilgilerini eşitlemek için kullanılmaktadır.

Yukarıdaki senaryoda “Litware” şirketinin azure üzerindeki sanal makineleri ve uygulamaları aynı on-prem deki gibi kimlik doğrulama ve domain hizmetine ihtiyaç duyuyor ise eğer öncelikle on-prem üzerindeki bilgiler Azure AD, daha sonra ise Azure AD Domain Services üzerinden bu isteklere cevap verecek şekilde kullanılabilir. Bir nevi yerleşik AD hizmetleri azure üzerine genişletilmiş olacaktır.

Ancak burada bazı kavram karmaşalarının da önüne geçmek gereklidir. Bu “Managed Domain” aslında stand-alone ayrı bir domaindir. Yani sizin domain için ek bir domain controller kurulması gibi değildir. Çünkü bu domain controller ve domain’ i siz değil Microsoft yönetir. Size sadece bu ara domain sayesinde on-premdeki domain ihtiyaçlarını azure ortamına yönetilen bir hizmet olarak sunar.

Yukarıdaki tanım çok önemli, yani hali hazırda zaten siz azure üzerine bir sanal makine kurup onu ADC olarak tanımlayabilirsiniz. Buradaki yapı biraz farklı. Domain’ i yeniden panel üzerinden kuruyorsunuz ancak bu managed domain oluyor ve sizin yerleşik domain üzerindeki bilgilere sahip olabiliyor ( düzenli eşitleme sayesinde).

Peki neden böyle bir yapıya ihtiyaç duyarız?

Aslında makalemin başında bu konuda çok güzel bir görsel paylaştım. Tamamen Microsoft’ un yönetiminde olan bir domain ama sizin iş ihtiyaçlarınızı karşılıyor.

Tabiki bu yapının birtakım Limitasyonları var, bunlar için mutlaka aşağıdaki linki incelemenizi tavsiye ederim;

https://docs.microsoft.com/en-us/azure/active-directory-domain-services/active-directory-ds-faqs

Peki gelelim asıl kritik noktaya.

Şirket olarak azure üzerinde bir kimlik doğrulama hizmetine ihtiyacınız var ve Azure Active Directory sizin için yeterli değil. Yani on-prem de olduğu gibi temel protokol ve iş ihtiyaçlarınız var ise iki seçeneğiniz var;

Azure Active Directory Domain Services

AD in Azure VMs – DC vm in Azure

Burada karar vermek için her iki hizmetin size neler sunduğunu karşılaştırmak gerekli;

https://docs.microsoft.com/en-us/azure/active-directory-domain-services/active-directory-ds-comparison

Artık karar sizin. Şirketiniz için en doğru çözüme karar verebilirsiniz.

Makalemin sonuna geldik, umarım faydalı bir makale olmuştur.

Kaynak;

https://docs.microsoft.com/en-us/azure/active-directory-domain-services/active-directory-ds-overview

Azure Active Directory AAD Nedir?

Azure Active Directory (Azure AD), Microsoft’un bulut tabanlı kimlik ve erişim yönetimi hizmetidir. Aslında yerleşik AD’ nin yaptığı temel görevleri yerine getirir. Ancak GPO gibi temel olarak yönetebileceğimiz esnek servisleri sunmaz. Burada en temel sorun aslında Windows Server Active Directory web temelli servisleri yönetmek için tasarlanmamıştır. Azure Active Directory ise, Office 365, salesforce ve benzeri REST (Representional State Transfer) API ara birimlerini kullanan web tabanlı hizmetleri desteklemek üzere tasarlanmıştır. Bu nedenle tamamen farklı protokolleri kullanır.

Buradaki amaç temel dizin ve kimlik hizmetlerini -yönetimini, uygulama erişim yönetimi, denetleme ve raporlama, multi-factor authentication, self servis şifre resetleme ve benzeri ek hizmetler ile zenginleştirmektir. Ek hizmetler dememin sebebi bulut hakkında makale yazarken başımıza çok gelen bir olay. Bugün olmayan ancak yarın iş ihtiyaçları nedeni ile sunulacak özellikler olabilir.

Herkesin kullanım motivasyonu farklılık gösterebilir. Örneğin bir IT yöneticisi için yerleşik AD yönetim araçlarına göre Azure portal sayesinde erişim kontrollerini daha görünür ( raporlama ve uyarılar gibi) veya MFA sayesinde daha güvenilir yapabilirsiniz. Tabiki yerleşik sistemler için 3 parti ürünler ile MFA özelliğini kullanabilirsiniz. Ancak bu tarz ürünlerin kurulumları son derece kompleks ve maliyetleri yüksektir. Oysaki Azure Active Directory entegrasyonu sonrasında istediğiniz kullanıcılar için MFA açarak kritik hesapların güvenliğini bir üst seviyeye çekmiş oluşunuz.

Ayrıca yine kullanıcı açma ve yönetme gibi işlemlerin provizyon işlemlerini otomatize edebilirsiniz. Yine dahili güvenlik ürünleri sayesinde kimlik avı dolandırıcılığı başta olmak üzere kimlik kaynaklı ataklara karşı çok daha güvenli bir alt yapıya sahip olursunuz.

Bir yazılımcı gözünden bakarsanız;

Bir uygulama geliştiricisi olarak Azure AD, bir kullanıcının önceden var olan kimlik bilgileriyle çalışmasına izin veren standartlara dayalı bir yaklaşım sunar (SSO). Azure AD ayrıca, mevcut kurumsal verileri kullanarak kişiselleştirilmiş uygulama deneyimleri oluşturmanıza yardımcı olabilecek API’ ler sağlar.

Peki neden Azure Active Directory Kullanıyoruz?

Değişen ve gelişen teknoloji ile artık uygulamalar daha kompleks ve yaygın bir erişim ihtiyacına sahip, durum böyle olunca yerleşik ve kapalı olan dizin hizmetlerimizi internete açmak son derece tehlikeli sonuçlar doğurabilir. Durum böyle olunca aslında bu sürekli olarak gelişen iş ihtiyaçlarını karşılamak için mevcut bilgiyi bulut üzerindeki bu servis ile paylaşıp onun sunduğu yeni nesil protokol ve hizmetleri ise bu iş ihtiyaçlarına ihtiyaç duyan sistemlere güvenli ve kararlı bir şekilde sunabilirsiniz.

Daha fazla bilgi için

https://docs.microsoft.com/en-us/azure/active-directory/fundamentals/active-directory-whatis

http://www.cozumpark.com/blogs/cloud_computing/archive/2017/07/23/azure-active-directory-domain-services-bolum-1.aspx

Resim Kaynağı;

https://www.varonis.com/blog/wp-content/uploads/2017/10/difference-venn.png

ÇözümPark Haftalık Bülten – 17 Şubat 2019

Haftanın Etkinliği

VDI on Azure – 20 Şubat Çarşamba Saat 09:00 – 12:30

Haftanın Eğitimleri

SQL Server Yönetim ve Bakım Eğitimi – 23/24 Şubat Hafta Sonu

FortiGate Firewall Eğitimi – 23/24 Şubat Hafta Sonu

Haftanın Web Seminerleri

Geleceğin Yedekleme/Kurtarma Çözümü : Rubrik – 21 Şubat Perşembe Saat 10:00

VirtualMetric Query Builder ile Hızlı Dashboard Yaratma ve Playlist Özellikleri – 21 Şubat Perşembe Saat 14:00

Makaleler

Veeam Backup Replication 9.5 Repository Ekleme İşlemi – Bölüm2

Veeam Backup Replication 9.5 Update 4 Kurulumu – Bölüm 1

Forticlient ile Zafiyet Tarama

Windows Admin Center Üzerinden Azure Backup Yapılandırılması

FullEventLogView ile Windows Olay Analizi

Videolar

Acropolis Sanallaştırma Katmanı ve Prism Yönetim Çözümü

Hiper Bütünleşik Sistemler Nereye Gidiyor?

Cloud Based SQL Always-On – FixCloud

Kurumlar Bulut Çağına Fusion Cloud ile Hazırlanıyor

Microsoft Sistemleri için Güvenlik ve Performans İpuçları

Azure Security Center Ortamınızı Yeni Güvenlik Açıklarından Korumanıza Yardımcı Olur

Her geçen gün yeni duyurulan pek çok güvenlik açığı ile yaşamayı öğrendiğimiz gibi bir de zero day olarak isimlendirdiğimiz aslında kimsenin henüz tespit edemediği ve bilinmeyen zararlılara karşıda her an tetikte olmamız gerekiyor.

Azure, pek çok güvenlik üreticisinin yaptığı gibi kendi sunduğu platformun güvenliğini daha üst seviyeye çıkarmak ve bu platform ile aslında entegre çalışan oprem sistemleri de kapsayacak şekilde güvenlik çözümleri sunmaktadır. Bu sunduğu ürünlerinin tamamını ise Azure Security Center isminde bir portal üzerinden izleyebiliyor veya aksiyon alabiliyoruz.

Peki bunu nasıl sağlıyoruz?

Temel 3 özellik sayesinde mevcut güvenlik seviyenizi daha üst düzey çıkaran ve gerçek zamanlı izleme sayesinde ortamınızdaki anormallikleri anında tespit eden bir platform olarak azure security center size bunları sunar;

Strengthen security posture

Azure Güvenlik Merkezi, kaynaklarınızın güvenlik durumunu düzenli aralıklarla analiz eder. Potansiyel güvenlik açıklarını tespit ettiğinde önerilerde bulunur. Öneriler, gerekli kontrolleri yapılandırma sürecinde size rehberlik eder. Aslında sizin yerinize sürekli olarak ortamınızı kontrol eden bir ikinci göz olarak düşünebilirsiniz.

File Integrity Monitoring (FIM)

Yeni nesil pek çok güvenlik ürününde görebileceğimiz bir özellik olan FIM sayesinde ortamınızdaki dosya veya yapılandırma değişikliklerini gerçek zamanlı olarak takip edebilirsiniz. Bu sayede olası bir zararlının ana faaliyetinden önce gerçekleştirmek istediği veya ihtiyaç duyduğu dosya, kayıt defteri, yapılandırma ayarları gibi başlıklardaki değişiklikleri anlık olarak takip edebilirsiniz. Sizin için kritik olan başlıklardaki değişiklerin olması halinde ise anında bir uyarı mekanizmasını tetikleyebilirsiniz.

Security Alert

Azure şüpheli aktiviteleri izler, bunları gerekli görmesi halinde bir tehtid algılama mekanizmasına gönderir. Eğer zararlı bir faaliyet tespit edilir ise uyarı oluşturulur. Malum güvenliğin temelinde aslında bilgilendirme, uyarı, tetikleme mekanizmaları yatmaktadır.

Azure Security Center hakkında daha fazla bilgi için aşağıdaki makalelerimi inceleyebilirsiniz;

http://www.cozumpark.com/blogs/cloud_computing/archive/2019/01/20/azure-security-center-nedir.aspx

http://www.cozumpark.com/blogs/cloud_computing/archive/2017/07/23/microsoft-azure-security-center-nedir-planlama-bolum-2.aspx

http://www.cozumpark.com/blogs/cloud_computing/archive/2018/02/25/on-prem-sistemler-icin-azure-security-center-kullanimi-azure-security-solutions-non-azure-computers.aspx

http://www.cozumpark.com/blogs/cloud_computing/archive/2018/05/06/azure-security-center-icin-duyurulan-yeni-ozellikler.aspx

http://www.cozumpark.com/blogs/cloud_computing/archive/2017/07/16/azure-security-center-free-ve-standart-tier-farklari.aspx

http://www.cozumpark.com/blogs/cloud_computing/archive/2017/07/16/azure-security-center-nas-l-denerim.aspx

https://www.cozumpark.com/blogs/cloud_computing/archive/2018/02/18/azure-security-center-ongoing-security-monitoring.aspx

http://www.cozumpark.com/blogs/cloud_computing/archive/2018/02/18/azure-security-center-_3101_ncident-response.aspx

Bir sonraki blog yazımda görüşmek üzere.

Microsoft 365 security center ve Microsoft 365 compliance center

Microsoft uzun yıllar güvenlik anlamında çok ciddi yatırımlar yaptı ve bunun meyvelerini toplamaya başladı. Özellikle bulut teknolojilerine olan büyük yatırımı, pazar payının büyüklüğü ve bunun getirdiği yüksek sorumluluklar yüzünden aslında bu tarz yatırımları yapmak zorundaydı. Ancak uzun yıllar sektörde olanlar ve fore front ürün ailesini hatırlayanlar aslında Microsoft’ un güvenlik ürünleri konusunda çok da iyi olmadığını hatırlayacaktır. Tabiki değişen şartlar ve odak ile birlikte şu anda özellikle bulut tarafından inanılmaz güzel ürünleri hazır ve olgun olarak görebiliyoruz.

Şimdi ise çıtayı biraz daha yukarı çekerek hali hazırda milyonlarca müşterisinde kullanılan Office 365, Windows 10, Enterprise Mobility + Security (EMS) ve pek çok Azure güvenlik özelliğini temel iki portalda bizlere sunuyor.

Microsoft 365 security center (security.microsoft.com) ve Microsoft 365 compliance center (compliance.microsoft.com) sayesinde artık güvenlik ve regülasyon ekipleri kendilerine ait özel olarak tasarlanmış bu ekranlar sayesinde işlerine daha odak bir şekilde çalışma imkanına kavuşuyor.

Not: Yukarıdaki ekranlar Mart 2019 sonuna kadar tüm müşterilerde erişilebilir olacak, özetle bu haberin yazıldığı tarih itibari ile erişemiyor olmanız normaldir.

Kaynak

https://techcommunity.microsoft.com/t5/Security-Privacy-and-Compliance/Introducing-the-new-Microsoft-365-security-center-and-Microsoft/ba-p/326959

Zafiyet Bilgisi – Privilege escalation vulnerability in Microsoft Exchange

Güvenlik uzmanlarından Dirk-jan Mollema tarafından tespit edilen bir açık kullanılarak standart bir posta kutusu kullanıcısı yani bir şirket çalışanı kendisini domain admin yapabilmektedir.

Malum hepimiz pentest yaptırıyoruz ve standart olarak her pentest sırasında domain admin hakkını kaptırmamak için elimizden gelen çabayı gösteriyoruz. Ancak pek çok pentest sırasında nasıl standart bir user açıyor isek beraberindeki porta kutusu aslında o arkadaşların çok kolay bir şekilde domain admin olmasını sağlıyor. Bu nedenle exchange server kullanan ve güvenliğe önem veren herkes için çok kritik bir mail okuyorsunuz şu anda.

Atak iki tane Python temelli araç ile başarılı bir şekilde gerçekleştiriliyor. Hatta o kadar iddialı ki bu kodları paylaşmış durumda.

https://github.com/dirkjanm/privexchange/

Özetle size pentest’ e gelen birisi rahatlıkla domain admin olabilir.

Atak hakkında daha fazla bilgi için;

https://dirkjanm.io/abusing-exchange-one-api-call-away-from-domain-admin/

Peki neler öneriliyor?

  • Remove the unnecessary high privileges that Exchange has on the Domain object (see below for some links on this).
  • Enable LDAP signing and enable LDAP channel binding to prevent relaying to LDAP and LDAPS respectively
  • Block Exchange servers from making connections to workstations on arbitrary ports.
  • Enable Extended Protection for Authentication on the Exchange endpoints in IIS (but not the Exchange Back End ones, this will break Exchange). This will verify the channel binding parameters in the NTLM authentication, which ties NTLM authentication to a TLS connection and prevent relaying to Exchange web services.
  • Remove the registry key which makes relaying back to the Exchange server possible, as discussed in Microsofts mitigation for CVE-2018-8518.
  • Enforce SMB signing on Exchange servers (and preferable all other servers and workstations in the domain) to prevent cross-protocol relay attacks to SMB.
  • If EWS push/pull subscriptions aren’t used, they can be disabled by setting the EWSMaxSubscriptions to 0 with a throttling policy, as discovered by @gentilkiwi here. I haven’t tested how much these are used by legitimate applications, so testing it with a small user scope is recommended.

Yada aşağıdaki güncel yamaları yükleyebilirsiniz;

https://support.microsoft.com/en-us/help/4490060/exchange-web-services-push-notifications-can-provide-unauthorized-acce

Görüşmek üzere.

ÇözümPark Haftalık Bülten – 11 Şubat 2019

ÇözümPark Akademi Eğitimleri

VMware vSphere: Kurulum, Yapılandırma ve Yönetim V6.7 – 16/17 Şubat

SQL Server Yönetim ve Bakım Eğitimi – 21/22 Şubat

SQL Server Yönetim ve Bakım Eğitimi – 23/24 Şubat

FortiGate Firewall Eğitimi – 23/24 Şubat

Haftanın Etkinlikleri

Web Semineri – Ağınızı Zyxel Nebula ile Hızlıca Kurun ve Buluttan Kolayca Yönetin – 12 Şubat Salı 10:00

Seminer – Amazon Web Services Çalıştayı – 13 Şubat Çarşamba – 09:00

Web Semineri – Nutanix Copy Data Management ile Veri Tabanı operasyonları 14 Şubat Perşembe – 10:00

Güncel Teknoloji Haberleri

Web Semineri – DellEMC Network Ürün Ailesi ile Üst Sınıfa Terfi Edin – 7 Şubat Perşembe Saat 10:00

Microsoft SQL Server 2008 / 2008 R2 ve Windows Server 2008 / 2008 R2 desteği sona eriyor

ÇözümPark Akademi Şubat Ayı Eğitim Takvimi

FACETIME üzerinden arayan herhangi birinin, siz daha telefonu açmadan mikrofonuzundan sizi duyabildiği ortaya çıktı

International Supply Chain Camp – 4/8 Şubat 2019

Makaleler

Windows Admin Center Üzerinden Azure Backup Yapılandırılması

FullEventLogView ile Windows Olay Analizi

Exchange Server 2019 ile Office 365 Hybrid Deployment – Bölüm 4

Azure DDoS Protection

Exchange Server 2019 ile Office 365 Hybrid Deployment – Bölüm 3

Videolar

Hiper Bütünleşik Sistemler Nereye Gidiyor?

Cloud Based SQL Always-On – FixCloud

Kurumlar Bulut Çağına Fusion Cloud ile Hazırlanıyor

Microsoft Sistemleri için Güvenlik ve Performans İpuçları

Bulut Tabanlı Felaket Kurtarma Çözümü ( DRaaS )