Merhabalar, biz
sistem yöneticileri olarak yönettiğimiz
windows sistemler üzerinde erişim ve yetkilendirmelerin belirlediğimiz
standartlar çerçevesinde olmasını isteriz. Ve şirketimizin IT Politikaları gereğince bunu
yapmamız da bizlerden beklenir. Durum böyleyken yönetimini gerçekleştirdiğimiz
yapıda bazen kontrol edemediğimiz durumlar ortaya çıkabilir. Genelde sıklıkla
karşılaştığım bir konuyu ve çözüm yolunu yazıya dökmek istedim. Örneğin bir şirkette Windows tabanlı sistemleri yönetiyorsunuz ve IT Helpdesk
ekibiniz mevcut. Helpdesk ekibinizin sunucular üzerinde olmasa da workstation olarak tabir ettiğimiz Client
bilgisayarlar üzerinde admin yetkileri var. Çünkü son kullanıcı desteğini
gerçekleştiyorlar ve bu yetkiyi Helpdesk ekibine vermeniz gerekli. Fakat onlarında bazı durumlarda son kullanıcı
bilgisayarlarını kullanan kullanıcılara kullandığı bilgisayar üzerinde
administrator yetkisi verdiğine şahit olabilirsiniz. Bu durumun önüne Her ne
kadar Group Policyler ile geçebiliyor olsakta ( Restricted Groups yöntemi ile )
bazı yapılarda blelirli nedenlerden ötürü policy ile adminlik yetkilerinin kısıtlanması
sizden istenmeyebilir. Pekala asıl sorun
burada başlıyor. Bir gün sizden bir kullanıcı makinesi üzerinde standart bir domain user yetkisine sahip bir
kullanıcının local administrator
yetkisine sahip olduğu bilgisi geldi. Ve o kullanıcının asla böyle bir yetkisi
olmaması, olması halinde çalıştığı departman için bu yetkinin sorun
oluşturacağını hatta mevcut
administrator yetkisiyle bir takım sistemsel değişiklikler ( zararlı yazılım
yükleme, veya gerekli şirket içi bir yazılımı kaldırma vb ) yaptığı bilgisi
iletildi. Bu noktada sizden bu kullanıcıya Local Admin yetkisinin ne zaman ve kim
tarafından verildiğini öğrenmeniz ve raporlamanız istenebilir. Aşağıda yapacağım
örnek senaryoyla bu bilgiyi kısaca nasıl öğrenebiliriz görmüş olacağız. Çok
büyük ölçekli kurumsal şirketlerde bu işlemler için 3.parti loglama yazılımları kullanılmakta ve
anlık “User account added local group” şeklinde Sistem adminlere ve hatta kritik durumdaki
departmanların süreç yöneticilerine bu bilgiler mail olarak gitmekte.
Örneğimizde ozgur.senerdogan isimli domain user Helpdesk çalışanıdır. Ve tüm Client sunucular üzerinde admin yetkisine
sahiptir.
Şimdi
ozgur.senerdogan isimli userımız
finans biriminde çalışan
Selda.Kose isimli çalışana
kullanıcı bilgisyarı üzerinde admin yetkisi versin ve sonra gerekli
kontrolleri sağlayalım.
Aşağıdaki ekran görüntüsünde göreceğiniz üzere ozgur.senerdogan kullanıcı ile login durumdayken selda.kose kullanıcısına local adminlik
yetkisini verdim.
Yetkilendirmeyi yaptığımıza göre şimdi kontrol işlemine geçeli. Event viewer
aracıyla ilgili event id yi aratarak bu bilgiye ulaşacağız.
Aratacağız event id
:4732 aşağıda detaylı açıklaması ve desteklediği işletim sistemleri bilgisi
mevcut.
4732: A member was added to a
security-enabled local group
Eventvwr.msc
komutu ile event viewer aracını başlatıyorum. Event viewer aracından log incelemek içinde
Admin yetkiniz olması gerekir.
Windows Logs > Security tabı altından filtreleme yaparak 4732 idli logları buluyor
ve inceliyorum.
Gelen sonuçlardan en üsttekini inceliyorum.
Subject tabında üyelik işlemini gerçekleştiren kullanıcı hesabı bilgileri mevcut. Onun dışında
bilgisayar ismi ve en kritik bilgi olan
hangi tarih ve saatte gerçekleştirildiği bilgisi yer alıyor.
Member ksımında ise üye yapılan kullanıcıya ve üyelik bilgisine dair bilgiler
var. Biz bu örnekte domainimizde varolan bir userı yetkilendirdiğimiz için
domain isim bilgisi yer alıyor.
Details kısmında ise
üyeliği gerçekleştirilen userımız ( Selda.kose ) ve üye olduğu gruba
dair SID bilgileri mevcut. Bu bilgilerde işimize yarayabilir.
Üyelik işlemini gerçekleştirdiğimiz bilgisayarda cmd
üzerinde Whoami /all komutunu çalıştırdığımızda bu SID bilgilerinin
eşleştiğini görebiliriz.
Evet arkadaşlar, bu yazıyı işinize yarayacak veya sizden böyle bir talepte bulunulduğunda kullanmanız amacıyla hazırladım. Biliyorsunuz
yetkiler çok hassas konulardır J
ve yetki vermekle yetkili kişi sayınız
fazlaysa sık sık kimin kime hangi
zamanda yetki verdiği konuları dönem dönem başınızı ağrıtabilir. Başka bir yazımda görüşmek dileğiyle J
Sağlıcakla kalın.
Hiç yorum yok:
Yorum Gönder