Windows Firewall with Advanced Security Port ekleme Çıkarma Takibi

 Merhaba,

Active Directory Ortamlarında uygulanan AD Hardening işlemlerinin olmazsa olması Domain Controller Sunucularınızdaki ve Member Sunucularınızdaki Local Windows Firewall ayarlamalarıdır.  Çoğunlukla Windows Firewall aktif hale getirilir sadece gerekli olan Portlara port olarak erişim izni verilir.

Peki Kritik nitelik taşıyan bir Sunucunuzda AD Hardening aktif ve Windows Firewall etkin durumda.

Fakat risk taşıyan bir Porta Inbound veya Outbound olarak izin verilmiş.

İşlemi kimin ve ne zaman yaptığını bulmak isterseniz yazımı referans alabilirsiniz.

Öncelikle sunucudaki işlemi bağlı olduğum Kullanıcı ile değil  Farklı bir kullanıcı ile Run as Different User seçimi yaparak gerçekleştirdim.

Allow SQL TCP 1433 isimli bir Inbound Rule oluşturdum.

eventvwr.msc komutu ile Event Viewer aracımızı başlatarak aşağıdaki PATH'e kadar gitmemiz gerekiyor.

Event Viewer\ Application and Services Logs\ Microsoft\ Windows\ Windows Firewall with Advanced Security\ Firewall  > Bu alandaki 2004- 2005 ve 2006 nolu event ID'ler üzerinden eklenen değiştirilen ve silinen Firewall kuralları hakkında bilgi toplayabiliriz.

event ID 2004 ile oluşturulan Rule ve kim tarafından ne zaman oluşturulduğu bilgisini görebiliyoruz.

yazımın başında da bahsettiğim üzere  işletim sistemine login olduğum kullanıcıdan farklı bir kullanıcı ile Run as Different User seçimi ile işlem yapmıştım. doğru user bilgisini sisteme işlemiş.

şimdi de aynı kullanıcı ile aynı firewall kuralında port değişikliği yapalım.

event id olarak 2005 görmemiz gerekiyor.

port numarasını 1608 olarak değiştirmiştim.  Event ID olarak bu şekilde yansımış.

şimdi de aynı kuralı sileceğim.

Event ID 2006 olarak düşmesi gerekiyor.