27 Eylül 2013 Cuma

Windows Server 2012 WorkGroup ve Domain Member Server DCOM,WMI Yetkilendirmesi

Domain Üyesi Olmayan bir Windows Server 2012 sunucudan WMI ile Log okuma yetkilerinin yapılandırılması
WMI – Windows Management Intrumentation : İşletim sistemi üzerindeki tüm işlemlerin yönetilmesini, tüm objelere erişilmesini sağlar. Büyük ağlarda sistemin tek merkezden yönetilmesinde standart olarak kullanılan teknolojidir.
http://technet.microsoft.com/en-us/library/ee692772.aspx adresinden ön bilgiler edinilebilir. Zaten burada tekrar yazmaya gerek yok.
Buradaki amaç sunucu üzerinde yönetimsel yetki vermeden bir log yazılımı için, Security Log lara okuma yetkisi ile erişim sağlanması.
Domain üyesi olmayan Windows Server 2012 sunucuda yerel bir kullanıcı hesabı açılır.
1.       Adım DCOM yapılandırması
Distributed COM sunucu, yerel sistem üzerindeki yazılım bileşenleri ile ağ üzerindeki diğer sistemlerle olan iletişim için Microsoft tarafından geliştirilmiş teknolojidir.
Windows + R --> Run --> dcomcnfg yazılır ve Ok butonuna tıklanır. Ekrana gelen Component Services penceresinde Component Services à Computers à My Computer üzerinde sağ tıklanır ve açılan menüden Properties seçilir.
Ekrana gelen My Computer Properties penceresinde COM Security tabında Launch and activation bölümünde Edit limits tıklanır ve açılmış kullanıcı hesabı aşağıdaki gibi yetkilendirilir.

Aynı şekilde Access Permissions bölümünde de aşağıdaki resimde görüleceği şekilde açılmış olan kullanıcıya verilir.
Ayrıntılı bilgi için.

DCOM Config başlığı tıklanır ve Windows Management and Instrumentation üzerinde sağ tıklanır ve açılan menüden Properties seçilir. Security tabunda Launch and Activation Permissions bölümünde Edit butonuna tıklanır. İlgili kullanıcıya Local,Remote Launch ve Local, Remote Activation izinleri verilir.

2.       WMI ayarları
Windows + R --> Run --> wmimgmt.msc yazılır ve Ok butonuna tıklanır. Ekrana gelen pencerede WMI Control (Local) başlığı üzerinde sağ tıklanır ve açılan menüden Properties seçilir. WMI Control (Local) Properties penceresinde Security tabında Root altında CIMV2 seçilir ve Security butonuna tıklanır. Kullanıcı için execute Methods, Enable Account ve Remote Enable izinleri verilir.3.       Service Control Manager yapılandırması
Windows Servislerini çalıştıran ve durduran işleme denir. Sistem açılışında wininit tarafından çalıştırılır. WMI ile DCOM vasıtasıyla sisteme erişim yapıldığında Event Log lara erişmede gerekli servisin  kullanılabilmesi için yetki verilmesi gerekebilir.
sc sdshow SCMANAGER
D:(A;;CC;;;AU)(A;;CCLCRPWPRC;;;SY)(A;;KA;;;BA)(A;;CCLCRPRC;;;IU)(A;;CCLCRPRC;;;SU) S:(AU;FA;KA;;;WD)(AU;OIIOFA;GA;;;WD)
komutu ile olan yetkiler yada yapılandırma görülebilir.
Aşağıdaki komutla da yetki verilecek kullanıcının SID i yazılarak komut uygulanır.

sc sdset  SCMANAGER  D:(A;;CC;;;AU)(A;;CCLCRPWPRC;;;SY)(A;;KA;;;BA)(A;;CCLCRPRC;;;IU)(A;;CCLCRPRC;;;SU)(A;;CCLCRPRC;;;S-1-5-21-2571268136-16045641-3409490944-1002)S:(AU;FA;KA;;;WD)(AU;OIIOFA;GA;;;WD)

4.       Event Log İzinlerinin yapılandırılması
Wevtutil aracı ile gerekli yetkiler verilebilir. Öncelikle Event Log okuma yetkisi için wmic komutu ile açılmış olan kullanıcının SID bilgisi öğrenilir.
wmic useraccount get name,sid
C:\Windows\system32>wmic useraccount get name,sid
Name                   SID
Administrator  S-1-5-21-2571268136-16045641-3409490944-500
Guest                   S-1-5-21-2571268136-16045641-3409490944-501
lculocal                S-1-5-21-2571268136-16045641-3409490944-1002

wevtutil komutu ile önce olan izinler bir metin dosyasına çıkarılır.
C:\Users\Administrator> wevtutil gl "Security" > Desktop\security.txt
Oluşan dosyanın içindeki channel Access kısmındaki yetki tanımlamaları görülebilir.

Kullanıcının SID ve yetkileri wevtutil aracı ile komut satırından yazılarak verilir.
wevtutil sl "Security" /ca:O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-21-2571268136-16045641-3409490944-1002)İlgili kullanıcının SID i eklenmiş hali.


5.       Yerel Bilgisayardaki ve Ağ üzerindeki Güvenlik Duvarı ayarları
49152-65535 arası portlar Windows Server 2008 ve sonrası işletim sistemlerinde geçerli olarak, tüm ağ içindeki wmi trafiği geçecek firewall lar üzerinde izin verilir.  İşletim sistemi üzerindeki Güvenlik Duvarlarında da aynı şekilde port izinlerinin verilmesi gerekir.
Yerel bilgisayarda WMI bağlantısı için statik port belirlenebilir. Bu yol geniş ağlarda daha tercih edilebilir ve güvenli bir yol olacaktır.
Aşağıdaki resimde görüleceği üzere Run à dcomcnfg çalıştırılır. Component services  à Computers à My Computer à DCOM Config seçilir. Sağdaki bölümde Windows Management and Instrumentation özelliklerinde Endponts sekmesine gidilir. Connection-oriented TCP/IP özelliklerinde Use static endpoint kısmına port numarası verilir. OK butonlarına tıklanarak işlem bitirilir.

Yetkili kulanıcı ile açılan komut isteminde aşağıdaki komutlar verilir.
winmgmt -standalonehost
net stop "Windows Management Instrumentation"
net start "Windows Management Instrumentation"
netsh firewall add portopening TCP 51000 WMIFixedPort

6. Adım Kulanıcı için grup ve Security Policy ayarlarının yapılandırılması
Kullanıcı hesabı yerel makinedeki Event Log Reader grubuna üye yapılır.
Local Security Policy içinde Local Policies --> User Right Assignments --> Manage auditing and security logs izni ilgili kullanıcıya verilir.

Ayrıntılı bilgi için
Sorun giderme adımları aşağıdaki linkte ilk elden görülebilir.
http://msdn.microsoft.com/en-us/library/aa394603%28v=vs.85%29.aspx

WMI Portlarının yapılanrılması ile ilgili aşağıdaki linke bakabilirsiniz.
http://support.microsoft.com/kb/154596/en-us