Microsoft 365 security center ve Microsoft 365 compliance center

Microsoft uzun yıllar güvenlik anlamında çok ciddi yatırımlar yaptı ve bunun meyvelerini toplamaya başladı. Özellikle bulut teknolojilerine olan büyük yatırımı, pazar payının büyüklüğü ve bunun getirdiği yüksek sorumluluklar yüzünden aslında bu tarz yatırımları yapmak zorundaydı. Ancak uzun yıllar sektörde olanlar ve fore front ürün ailesini hatırlayanlar aslında Microsoft’ un güvenlik ürünleri konusunda çok da iyi olmadığını hatırlayacaktır. Tabiki değişen şartlar ve odak ile birlikte şu anda özellikle bulut tarafından inanılmaz güzel ürünleri hazır ve olgun olarak görebiliyoruz.

Şimdi ise çıtayı biraz daha yukarı çekerek hali hazırda milyonlarca müşterisinde kullanılan Office 365, Windows 10, Enterprise Mobility + Security (EMS) ve pek çok Azure güvenlik özelliğini temel iki portalda bizlere sunuyor.

Microsoft 365 security center (security.microsoft.com) ve Microsoft 365 compliance center (compliance.microsoft.com) sayesinde artık güvenlik ve regülasyon ekipleri kendilerine ait özel olarak tasarlanmış bu ekranlar sayesinde işlerine daha odak bir şekilde çalışma imkanına kavuşuyor.

Not: Yukarıdaki ekranlar Mart 2019 sonuna kadar tüm müşterilerde erişilebilir olacak, özetle bu haberin yazıldığı tarih itibari ile erişemiyor olmanız normaldir.

Kaynak

https://techcommunity.microsoft.com/t5/Security-Privacy-and-Compliance/Introducing-the-new-Microsoft-365-security-center-and-Microsoft/ba-p/326959

Zafiyet Bilgisi – Privilege escalation vulnerability in Microsoft Exchange

Güvenlik uzmanlarından Dirk-jan Mollema tarafından tespit edilen bir açık kullanılarak standart bir posta kutusu kullanıcısı yani bir şirket çalışanı kendisini domain admin yapabilmektedir.

Malum hepimiz pentest yaptırıyoruz ve standart olarak her pentest sırasında domain admin hakkını kaptırmamak için elimizden gelen çabayı gösteriyoruz. Ancak pek çok pentest sırasında nasıl standart bir user açıyor isek beraberindeki porta kutusu aslında o arkadaşların çok kolay bir şekilde domain admin olmasını sağlıyor. Bu nedenle exchange server kullanan ve güvenliğe önem veren herkes için çok kritik bir mail okuyorsunuz şu anda.

Atak iki tane Python temelli araç ile başarılı bir şekilde gerçekleştiriliyor. Hatta o kadar iddialı ki bu kodları paylaşmış durumda.

https://github.com/dirkjanm/privexchange/

Özetle size pentest’ e gelen birisi rahatlıkla domain admin olabilir.

Atak hakkında daha fazla bilgi için;

https://dirkjanm.io/abusing-exchange-one-api-call-away-from-domain-admin/

Peki neler öneriliyor?

  • Remove the unnecessary high privileges that Exchange has on the Domain object (see below for some links on this).
  • Enable LDAP signing and enable LDAP channel binding to prevent relaying to LDAP and LDAPS respectively
  • Block Exchange servers from making connections to workstations on arbitrary ports.
  • Enable Extended Protection for Authentication on the Exchange endpoints in IIS (but not the Exchange Back End ones, this will break Exchange). This will verify the channel binding parameters in the NTLM authentication, which ties NTLM authentication to a TLS connection and prevent relaying to Exchange web services.
  • Remove the registry key which makes relaying back to the Exchange server possible, as discussed in Microsofts mitigation for CVE-2018-8518.
  • Enforce SMB signing on Exchange servers (and preferable all other servers and workstations in the domain) to prevent cross-protocol relay attacks to SMB.
  • If EWS push/pull subscriptions aren’t used, they can be disabled by setting the EWSMaxSubscriptions to 0 with a throttling policy, as discovered by @gentilkiwi here. I haven’t tested how much these are used by legitimate applications, so testing it with a small user scope is recommended.

Yada aşağıdaki güncel yamaları yükleyebilirsiniz;

https://support.microsoft.com/en-us/help/4490060/exchange-web-services-push-notifications-can-provide-unauthorized-acce

Görüşmek üzere.

ÇözümPark Haftalık Bülten – 11 Şubat 2019

ÇözümPark Akademi Eğitimleri

VMware vSphere: Kurulum, Yapılandırma ve Yönetim V6.7 – 16/17 Şubat

SQL Server Yönetim ve Bakım Eğitimi – 21/22 Şubat

SQL Server Yönetim ve Bakım Eğitimi – 23/24 Şubat

FortiGate Firewall Eğitimi – 23/24 Şubat

Haftanın Etkinlikleri

Web Semineri – Ağınızı Zyxel Nebula ile Hızlıca Kurun ve Buluttan Kolayca Yönetin – 12 Şubat Salı 10:00

Seminer – Amazon Web Services Çalıştayı – 13 Şubat Çarşamba – 09:00

Web Semineri – Nutanix Copy Data Management ile Veri Tabanı operasyonları 14 Şubat Perşembe – 10:00

Güncel Teknoloji Haberleri

Web Semineri – DellEMC Network Ürün Ailesi ile Üst Sınıfa Terfi Edin – 7 Şubat Perşembe Saat 10:00

Microsoft SQL Server 2008 / 2008 R2 ve Windows Server 2008 / 2008 R2 desteği sona eriyor

ÇözümPark Akademi Şubat Ayı Eğitim Takvimi

FACETIME üzerinden arayan herhangi birinin, siz daha telefonu açmadan mikrofonuzundan sizi duyabildiği ortaya çıktı

International Supply Chain Camp – 4/8 Şubat 2019

Makaleler

Windows Admin Center Üzerinden Azure Backup Yapılandırılması

FullEventLogView ile Windows Olay Analizi

Exchange Server 2019 ile Office 365 Hybrid Deployment – Bölüm 4

Azure DDoS Protection

Exchange Server 2019 ile Office 365 Hybrid Deployment – Bölüm 3

Videolar

Hiper Bütünleşik Sistemler Nereye Gidiyor?

Cloud Based SQL Always-On – FixCloud

Kurumlar Bulut Çağına Fusion Cloud ile Hazırlanıyor

Microsoft Sistemleri için Güvenlik ve Performans İpuçları

Bulut Tabanlı Felaket Kurtarma Çözümü ( DRaaS )

Windows Admin Center Üzerinden Azure Backup Yapılandırılması

Windows Admin Center Üzerinden Azure Backup Yapılandırılması

Windows Admin Center uzun süredir beklediğimiz ve biz sistem yöneticilerinin işini kolaylaştıracak yeni nesil bir yönetim aracıdır.

Bu konuda daha önce sizler ile paylaştığım aşağıdaki kaynakları inceleyebilirsiniz;

http://www.cozumpark.com/blogs/windows_server/archive/2018/04/15/windows-admin-center-project-honolulu.aspx

http://www.cozumpark.com/blogs/windows_server/archive/2018/04/22/windows-admin-center-deployment.aspx

http://www.cozumpark.com/blogs/windows_server/archive/2018/04/22/windows-admin-center-yetkilendirme-ve-zleme.aspx

Peki bu makale serisinin devamı niteliğinde olan yeni makalemde sizlere ne anlatmak istiyorum;

Yine bir müşterimdeki hikayemizi hızlıca kaleme aldım.

İstek çok basit aslında, var olan yedekleme senaryosuna bulut yedeklemeyi de eklemek istiyor. Ancak aklında pek çok soru işareti var.

Disk olarak map mi yapalım? Azure site recovery mi deneyelim? 3 parti replikasyon yazılımı mı olsun yoksa Azure Backup Agent’ mı kullanalım?

Senaryoları tabiki arttırmak mümkün, malum her şirketin iş ihtiyaçları, kaynakları ve bütçeleri farklı.

Biz bunların arasından bizim için en uygun olan çözümün Azure Backup çözümü olduğuna karar verdik ancak yönetimini Windows Admin Center üzerinden gerçekleştirmek istiyorduk. Son derece kolay bir şekilde yönetime sahip olan WAC sayesinde müşterim bu süreçleri otomatize edebildi, bizede bunun makalesini yazmak düştü

Öncelikle yukarıdaki makalelere göz gezdirip yapınıza uygun bir kurulum yaptığınızı düşünüyorum. Daha sonra ise azure üzerinde backup almanızı sağlayacak bir aboneliğinizin olduğunu. Bu şartların sağlandığın durumda bu süreci nasıl tamamlıyoruz hep beraber görelim;

İlk olarak Windows Admin Center’ ı azure hesabınıza bağlamamız gereklidir.

Bunun için ayarlar üzerinden azure bölümüne geliyoruz;

Register butonuna basıyoruz.

Okumaya devam et

Bize Katılın!

Kurulduğumuz günden bu yana elimizden geldiğince okumaya, öğrenmeye, bilgiye karşı saygılı olmaya, üretmeye çalışıyoruz. En önemli motivasyonumuz sektöre kazandırdığımız sayısız bilişim personeli ve sizlerden aldığımız anlamlı geri bildirimler.

Bu yola çıkarken çok iyi biliyorduk ki bizler her ne kadar bireysel anlamda kendimizi geliştirirsek dahi, bu gelişimden sektör çalışanları menfaat sağlamadıkça kişisel başarılar ancak kişilerle beraber yok olup gitmeye mahkûm olacaklardı. İşte bu nedenle ÇözümPark’ ı kurduk ve sizlerin desteği ile bugünlere getirdik.

Her geçen yıl büyüyen hedefler ve artan sorumluluklar nedeni ile daha çok insan kaynağına ihtiyaç duyuyoruz. Bu noktada ise sizlerin desteğini bekliyoruz.

ÇözümPark Bilişim Portalı 2019 yılık forum yöneticiliği ve ekip üyelikleri için başvuru formunu doldurarak sizlerde 50.000’ den fazla üyesi olan bu büyük ailenin bir parçası olun

KAYIT

1 Soru 1 Cevap: Exchange Server CU Kurulumu Yetki Hatası

Soru: Mevcut Exchange server üzerine veya ortamına yeni sürüm bir Exchange server yüklenirken yetkili bir kullanıcı olmasına rağmen yetki hatası neden alınır?

Cevap: Genel bir hata olmasına karşın muhtemel schema upgrade işlemi gerektiği için bu false positive hatayı alıyorsunuz. Bunun sebebi ise eğer schema güncelleme gibi bir işlem yapılması gerekiyor ise öncelikle schema master rolü ile aynı site içerisinde hatta ilgili role üzerinde bu yükseltme işlemini gerçekleltirmeniz önerilmektedir. Bunu yaptıktan sonra kuruluma devam edebilirsiniz.

Setup.exe /IAcceptExchangeServerLicenseTerms /PrepareSchema

Setup.exe /IAcceptExchangeServerLicenseTerms /PrepareAD  /OrganizationName:”<Organization name>”

Setup.exe /IAcceptExchangeServerLicenseTerms /PrepareAllDomains

ÇözümPark Haftalık Bülten – 3 Şubat 2019

ÇözümPark Akademi Eğitimi

9-10 Şubat Hafta Sonu – Active Directory Etki Alanı ve DNS

Haftanın Web Seminerleri

5 Şubat Salı Saat 10:00 – KoruMail ile Bulut Tabanlı Anti-Spam – FixCloud

7 Şubat Perşembe Saat 10:00 – DellEMC Network Ürün Ailesi ile Üst Sınıfa Terfi Edin

7 Şubat Perşembe Saat 14:00 – VirtualMetric ile Gerçek Zamanlı İzleme ve Log Analizi

Güncel Teknoloji Haberleri

ÇözümPark Akademi Şubat Ayı Eğitim Takvimi

FACETIME üzerinden arayan herhangi birinin, siz daha telefonu açmadan mikrofonuzundan sizi duyabildiği ortaya çıktı

International Supply Chain Camp – 4/8 Şubat 2019

IDC ve CISO Expert Club Türkiye’nin En Kapsamlı BT Güvenlik Zirvesinde

SQL Server Yönetim ve Bakım Eğitimi

Makaleler

Azure DDoS Protection

Exchange Server 2019 ile Office 365 Hybrid Deployment – Bölüm 3

Exchange Server 2019 ile Office 365 Hybrid Deployment – Bölüm 2

Exchange Server 2019 ile Office 365 Hybrid Deployment – Bölüm 1

Dell EMC VxRail Hyper-Converged Infrastructure

Office 365 MFA Mimarisinde Ofis Uygulamaları ve PowerShell Kullanabilmek İçin Modern Kimlik Doğrulama Etkinleştirme

Videolar

Hiper Bütünleşik Sistemler Nereye Gidiyor?

Cloud Based SQL Always-On – FixCloud

Kurumlar Bulut Çağına Fusion Cloud ile Hazırlanıyor

Microsoft Sistemleri için Güvenlik ve Performans İpuçları

Bulut Tabanlı Felaket Kurtarma Çözümü ( DRaaS )

Microsoft Azure Security Center- Incident Response

Yerleşik sistemlerimizde gösterdiğimiz güvenlik hassasiyetini ne yazık ki bulut sistemlerinde gösteremiyoruz, bunu en temel örneğini on-prem sistemlerine milyon dolarlık yatırım yapan büyük firmaların bulut geçişlerinden sonra bulut güvenlik ürün kullanım oranlarından anlayabiliyoruz. Bizimde içinde bulunduğumuz pek çok bulut geçiş projesinde de bunu görüyoruz. Tabiki bu alanda bir uzmanlığımızın olması nedeni ile bu tür alt yapılarda biz mutlaka güvenlik ürünlerinin konumlandırılması, aktif edilmesi, sistemin çalışır ve müşterilere bilgi akışını sağlıyor olmasını hedefliyoruz.

Peki, makalemin bu bölümünün konusu nedir? Incident Response, aslında güvenlik uzmanları için son derece bilinen bir başlık, yani bundan önce Azure security center özelinde anlattığım pek çok konu vardı, oysaki bu konu aslında pek çok güvenlik ürünü ve üreticisinde olan bir başlıktır.

Incident, yani bir olay- vaka olması durumunda Azure Security Center’ ın buna nasıl cevap verdiğini – tepki gösterdiğini detaylandıracağız.

Öncelikle Azure tarafında Incident, yani olayın ne demek olduğunu ve hangi durumların bir olay anlamına geldiğini iyi bilmeniz gerekiyor. Bu konuda Microsoft çok güzel bir tablo paylaşmış durumda.

Okumaya devam et