wotech - Blog #AdAudit Pluswotech - Blog #AdAudit Plushttps://wotech.com.tr/blogs/tag/adaudit-plusSat, 04 Apr 2026 15:41:45 -0700http://zoho.com/sites/<![CDATA[Bilinmesi Gereken LDAP Zafiyetleri]]>https://wotech.com.tr/blogs/post/manageengine-adaudit-plus-ldap
ManageEngine AdAudit

The Lightweight Directory Access Protocol (LDAP) AD üzerindeki istemcilerin sunucular üzerinden veri çekip, sorgu atarken kullandıkları bir protokoldür. İstemciler ve uygulamalar LDAP bağlantılarını kullanarak Active Directory üzerinde kimlik doğrulaması yapar ve talep ettikleri verilere erişirler.

 

Aşağıdakiler de dahil olmak üzere farklı LDAP bağlantı türleri vardır;

·  Basit LDAP Bağlantısı: Kimlik bilgileri açık metin olarak,  güvensiz şekilde iletilir.

·  Unsigned SASL: “Unsigned Simple Authentication and Security” Layer açılımına sahip olan ve imza gerektirmeyen güvenlik katmanına sahiptir.

·  Signed SASL: İmza gerektirir ve güvenlidir.

·  LDAP Over SSL: Şifrelenmiş ve güvenli bir LDAP bağlantısıdır.

 

Domain Controller cihazlar güvende değildir çünkü LDAP istemcilerinin kendileri ile basit ve imza – şifre gerektirmeyen LDAP bağları ile iletişim kurmasına izin verirler.

Basit LDAP bağları sebebiyle; Domain üzerinde ayrıcaklıklı yetkilere sahip olan yönetici hesapların bilgilerinin ağ üzerinde açık metin olarak dolaşmasına izin verilirken imzasız LDAP bağlantıları sebebiyle Domain Controller makineler ve istemciler arasındaki veri paketlerin yakalanmasına, paketlerin değiştirilmesi ve tekrar yönlendirilmesine davetiye çıkarılabiliyor.

 

Güvenli Olmayan LDAP Bağlantılarını Nasıl Yakalarız?


Bu güvenlik açığını azaltmanın ilk adımı; daha önceden etkilenip etkilenilmediğini araştırmaktır. Bu bağlamda EventViewer üzerinde 2887 olay numarası ile geçmişe yönelik filtreleme gerçekleştirilebilir. 2887 ID’li event kaydı 24 saatte 1 defa iletilir ve Domain Controller cihazlara imzasız veya açık metin olarak LDAP bağlantısı sağlanıp sağlanmadığı noktasında ipuçu sağlar. Sıfırdan büyük herhangi bir sayı DC’nizin güvenli olmayan bir LDAP bağlantısına izin verdiğini gösterir.

Akabinde 2889 ID’li event kayıtları incelenerek güvensiz LDAP bağlantısı kuran makine ve uygulamalar algılanabilir. İstemci bilgisayarlar tarafından imzasız veya açık metin LDAP bağlantısı kurulmaya çalışıldığında Doman Controller üzerinde 2889 Event ID ile log’lar tutulur. Bu log’lar üzerinden güvensiz LDAP bağlantısı yapan makinenin adı ve oturumu açık bulunan kullanıcı bilgilerine ulaşılabilir.


Bu log varsayılan olarak açık gelmeyecektir, ilgili kayıtları tutması için bu kaynaktan faydalanabilirsiniz; Enforcing LDAP signing and LDAP channel binding (makes LDAPS more secure).

 

ADAudit Plus ile Tespiti Nasıl Kolaylaştırabiliriz?


Kaydedilen 2887 ve 2889 olaylarını ayıklamak ve ayrıştırmak için PowerShell komutlarını kullanmak uzmanlık ve zaman gerektirir. ADAudit Plus ise tanımlanın tüm Domain Controller makineler üzerinde bu log’ları toplar ve sizler için anlamlı hale getiren raporlar üretir. Rapordaki sütunlar arasında IP adresi, port bilgisi, kullanıcı adı ve LDAP bağlantı türü gibi bilgiler de yer alıyor olacaktır.


Bundan ötesi; güvenli olmayan bir bağlantı türü ile kimlik doğrulama girişimi olduğunda ADAudit Plus sizleri SMS ve Mail üzerinden bilgilendirebilir.

DC’lerinizin güvenli olamayan bağlantılara izin verip vermediğini belirlemek ve bu sebeple savunmasız durumda olan makinelerine ve uygulamaları belirlemek yalnızca bir tık uzağınızda.
ManageEngine AdAudit LDAP Authentication
]]>Mon, 03 Apr 2023 10:39:00 +0300<![CDATA[AdAudit Plus - Hesap Kilitleme ve Yönetim Araçları]]>https://wotech.com.tr/blogs/post/manageengine-adaudit-hesap-kilitleme-yonetim-araclari

Hesap Kilitleme ve Yönetim Araçları

Bazen, şifre sıfırlama ile ilgili bir çağrı aldığınızda, kim olduğunu tahmin edebilirsiniz. Çoğu kuruluş bir şekilde parolalarını unutmayı başarabilen ve hesaplarından herkesten daha fazla kilitlenen bir çalışana sahiptir. Bu unutkan kullanıcının şifresini sıfırlarsınız ve beş dakika sonra tekrar kilitlendiklerini söyleyerek geri çağrı açarlar. Sadece bu seferki şifre, etkin kullanıcı oturumları, eşlenmiş ağ sürücüleri, vb. gibi, kullandıkları pek çok yerde güncellenmediği içindir. Eski kimlik bilgilerini bulmak ve değiştirmek için uygulamaların ve işlemlerin uzun listesinin el ile elenmesi, kolayca birkaç saat almaktadır. Hem unutkan kullanıcının hem de yardım masası teknisyeninin verimliliğini bu nedenden dolayı etkilenir.


“Yardım masası sorunlarının %30 u şifre sıfırlama ve hesap kilitleme yönetimi ile ilgilidir.”

-Gartner-

 Hesap kilitleme politikaları, birbiri ardına birden çok farklı şifreyi tahmin ederek hesaplara girmeye çalışan kaba kuvvet saldırılarını sınırlamak için tasarlanmıştır. Ancak, hesap kilitleme eşiği (hesabın kilitlenmesinden önceki deneme sayısı) ve hesap kilitlenme süresi (bir hesabın kilitli kaldığı süre) ile dengenin sağlanması, her kuruluş benzersiz bir şekilde çalıştığı için zor olabilir. Microsoft, en uygun parola ilkesi ayarlarını belirlemek için bir dizi öneri sunar, ancak bu öneriler tek başına yeterli değildir.

Aşağıda, Microsoft'un hesap kilitlemelerinin kaynağını belirlemede BT teknisyenlerine yardımcı olan araçlarının listesi yer almaktadır.

·  AcctInfo.dll

·  ALockout.dll

·  ALoInfo.exe

·  EnableKerbLog.vbs

·  EventCombMT.exe

·  LockoutStatus.exe

·  NLParse.exe

Bu araçlar, bir hesabın neden kilitlenmeye başladığını öğrenmek için kullanılabilir. Ancak, yalnızca eski Windows 2000, Windows NT veya Windows Server 2003 işletim sistemlerini çalıştırıyorsanız.

Ayrıca, ALockout.dll — yanlış kimlik bilgileri gönderen bir işlemi veya uygulamayı belirlemeye yardımcı olan araç , Exchange mağazasının başlatılmasını engelleyebileceğinden, ağ uygulamalarını ve hizmetlerini veya Microsoft Exchange sunucularını barındıran sunucularda kullanılamaz.

İş açısından kritik bir uygulama ağdaki bilgilere erişemiyorsa, bu başarısız olur ve kullanıcılar buna erişemez. Hizmet kesintilerinin sadece birkaç dakikası finansal olarak size mal olabileceğinden ve daha da önemlisi bir hizmet sağlayıcısı olarak itibarınıza zarar verebileceğinden, kullanıcı kimlik bilgilerinin doğru ve hızlı bir şekilde güncellenmesini sağlamalısınız.

 ADAudit Plus’ın Hesap Kilitleme Çözümleyicisinin Yatırıma Geri Dönüşü

 

Örnek olarak yılda 10.000'e yakın yardım masası biletine sahip 1.000 çalışanı olan bir kuruluş düşünelim. İstatistikler, bu çağrıların yüzde 30'unun şifre sıfırlamalarıyla ilgili olduğunu söylüyor. Bilet başına 25 $ 'a tek başına şifre ile ilgili biletlerin maliyeti yılda 175.000 $' a eşit olacaktır. ADAudit Plus’ın Hesap Kilitleme Analizcisi, hesap kilitlemelerini çözme süresini harcayarak maliyetleri düşürmenize yardımcı olabilir.

Kilitli kullanıcı hesaplarını sorunsuz bir şekilde bulmak ve çözmek için ADAudit Plus deneyin.

Ücretsiz demo deneyimi için bizimle iletişime geçebilirsiniz. İletişime geçmek için lütfen tıklayınız.

]]>Tue, 25 May 2021 11:13:00 +0300