Domain Üyesi Olmayan bir
Windows Server 2012 sunucudan WMI ile Log okuma yetkilerinin yapılandırılması
WMI – Windows Management Intrumentation : İşletim sistemi
üzerindeki tüm işlemlerin yönetilmesini, tüm objelere erişilmesini sağlar.
Büyük ağlarda sistemin tek merkezden yönetilmesinde standart olarak kullanılan
teknolojidir.
http://technet.microsoft.com/en-us/library/ee692772.aspx
adresinden ön bilgiler edinilebilir. Zaten burada tekrar yazmaya gerek yok.
Buradaki amaç sunucu üzerinde yönetimsel yetki vermeden bir
log yazılımı için, Security Log lara okuma yetkisi ile erişim sağlanması.
Domain üyesi olmayan Windows Server 2012 sunucuda yerel bir
kullanıcı hesabı açılır.
1. Adım DCOM yapılandırması
Distributed COM sunucu, yerel
sistem üzerindeki yazılım bileşenleri ile ağ üzerindeki diğer sistemlerle olan
iletişim için Microsoft tarafından geliştirilmiş teknolojidir.
Windows + R --> Run -->
dcomcnfg yazılır ve Ok butonuna tıklanır. Ekrana gelen Component Services
penceresinde Component Services à
Computers à
My Computer üzerinde sağ tıklanır ve açılan menüden Properties seçilir.
Ekrana gelen My Computer
Properties penceresinde COM Security tabında Launch and activation bölümünde
Edit limits tıklanır ve açılmış kullanıcı hesabı aşağıdaki gibi
yetkilendirilir.
Aynı şekilde Access Permissions
bölümünde de aşağıdaki resimde görüleceği şekilde açılmış olan kullanıcıya verilir.
Ayrıntılı bilgi için.
DCOM Config başlığı tıklanır ve
Windows Management and Instrumentation üzerinde sağ tıklanır ve açılan menüden
Properties seçilir. Security tabunda Launch and Activation Permissions
bölümünde Edit butonuna tıklanır. İlgili kullanıcıya Local,Remote Launch ve
Local, Remote Activation izinleri verilir.
2. WMI ayarları
Windows + R --> Run --> wmimgmt.msc yazılır ve Ok
butonuna tıklanır. Ekrana gelen pencerede WMI Control (Local) başlığı üzerinde
sağ tıklanır ve açılan menüden Properties seçilir. WMI Control (Local)
Properties penceresinde Security tabında Root altında CIMV2 seçilir ve Security
butonuna tıklanır. Kullanıcı için execute Methods, Enable Account ve Remote
Enable izinleri verilir.
3. Service Control Manager yapılandırması
Windows
Servislerini çalıştıran ve durduran işleme denir. Sistem açılışında wininit
tarafından çalıştırılır. WMI ile DCOM vasıtasıyla sisteme erişim yapıldığında
Event Log lara erişmede gerekli servisin
kullanılabilmesi için yetki verilmesi gerekebilir.
sc sdshow
SCMANAGER
D:(A;;CC;;;AU)(A;;CCLCRPWPRC;;;SY)(A;;KA;;;BA)(A;;CCLCRPRC;;;IU)(A;;CCLCRPRC;;;SU)
S:(AU;FA;KA;;;WD)(AU;OIIOFA;GA;;;WD)
komutu ile
olan yetkiler yada yapılandırma görülebilir.
Aşağıdaki
komutla da yetki verilecek kullanıcının SID i yazılarak komut uygulanır.
sc sdset SCMANAGER
D:(A;;CC;;;AU)(A;;CCLCRPWPRC;;;SY)(A;;KA;;;BA)(A;;CCLCRPRC;;;IU)(A;;CCLCRPRC;;;SU)(A;;CCLCRPRC;;;S-1-5-21-2571268136-16045641-3409490944-1002)S:(AU;FA;KA;;;WD)(AU;OIIOFA;GA;;;WD)
4. Event Log İzinlerinin yapılandırılması
Wevtutil aracı ile gerekli yetkiler verilebilir. Öncelikle Event
Log okuma yetkisi için wmic komutu ile açılmış olan kullanıcının SID bilgisi
öğrenilir.
wmic useraccount get
name,sid
C:\Windows\system32>wmic
useraccount get name,sid
Name SID
Administrator S-1-5-21-2571268136-16045641-3409490944-500
Guest S-1-5-21-2571268136-16045641-3409490944-501
lculocal S-1-5-21-2571268136-16045641-3409490944-1002
wevtutil komutu ile önce olan izinler bir metin dosyasına
çıkarılır.
C:\Users\Administrator>
wevtutil gl "Security" > Desktop\security.txt
Oluşan dosyanın içindeki channel Access kısmındaki yetki
tanımlamaları görülebilir.
Kullanıcının SID ve yetkileri wevtutil aracı ile komut
satırından yazılarak verilir.
wevtutil sl "Security"
/ca:O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-21-2571268136-16045641-3409490944-1002)
İlgili kullanıcının SID i eklenmiş hali.
5. Yerel Bilgisayardaki ve Ağ üzerindeki Güvenlik
Duvarı ayarları
49152-65535 arası portlar Windows Server 2008 ve sonrası
işletim sistemlerinde geçerli olarak, tüm ağ içindeki wmi trafiği geçecek
firewall lar üzerinde izin verilir.
İşletim sistemi üzerindeki Güvenlik Duvarlarında da aynı şekilde port
izinlerinin verilmesi gerekir.
Yerel bilgisayarda WMI bağlantısı için statik port
belirlenebilir. Bu yol geniş ağlarda daha tercih edilebilir ve güvenli bir yol
olacaktır.
Aşağıdaki resimde görüleceği üzere Run à dcomcnfg çalıştırılır.
Component services à Computers à My Computer à DCOM Config seçilir.
Sağdaki bölümde Windows Management and Instrumentation özelliklerinde Endponts
sekmesine gidilir. Connection-oriented TCP/IP özelliklerinde Use static
endpoint kısmına port numarası verilir. OK butonlarına tıklanarak işlem
bitirilir.
Yetkili kulanıcı ile açılan komut isteminde aşağıdaki
komutlar verilir.
winmgmt -standalonehost
net stop "Windows
Management Instrumentation"
net start "Windows
Management Instrumentation"
netsh firewall add portopening
TCP 51000 WMIFixedPort
6. Adım Kulanıcı için grup ve Security Policy ayarlarının yapılandırılması
Kullanıcı hesabı yerel makinedeki Event Log Reader grubuna üye yapılır.
Local Security Policy içinde Local Policies --> User Right Assignments --> Manage auditing and security logs izni ilgili kullanıcıya verilir.
Ayrıntılı bilgi için
Sorun giderme adımları aşağıdaki linkte ilk elden
görülebilir.
http://msdn.microsoft.com/en-us/library/aa394603%28v=vs.85%29.aspx
WMI Portlarının yapılanrılması ile ilgili aşağıdaki linke bakabilirsiniz.
http://support.microsoft.com/kb/154596/en-us
WMI Portlarının yapılanrılması ile ilgili aşağıdaki linke bakabilirsiniz.
http://support.microsoft.com/kb/154596/en-us
Hiç yorum yok:
Yorum Gönder