Windows Ortamında Gizli Paylaşımlar ve Yönetimsel Paylaşımlar

Windows ağlarından başka bir bilgisayarın paylaşımlarını görüntülerken görünmeyen paylaşımlara gizli paylaşımlar (hidden shares) denir. Bunun yanında yönetimsel paylaşımlar olarak adlandırılan bazı paylaşımlar işletim sistemi için oldukça kriitk öneme sahiptir. Bu yazıda Windows işletim sistemindeki gizli paylaşımlar ve yönetimsel paylaşımlar incelenecektir.

Windows işletim sistemindeki bir gizli paylaşımın ismi biliniyorsa, bu gizli paylaşımlara yine de erişmek mümkündür. Aşağıda varsayılan olarak paylaştırılmış halde gelen gizli paylaşımlar listelenmiştir:

  • ADMIN$: Varsayılan sistem kökü veya Windows dizini.
  • C$ ve x$: Varsayılan sürücü paylaşımı, C sürücüsü paylaşımı varsayılan olarak etkin gelmektedir. x$ ise Windows tarafından diğer bölüm ve sürücülere atanacak harfin simgesidir. Bu sürücülerde gizli olarak paylaştırılacaktır. Örnek olarak; D$, E$, L$ vb.
  • FAX$: Fax istemcileri tarafından dosya sunucudaki dosyalara erişmek için kullanılan paylaşımdır.
  • IPC$: Açılımı InterProcess Communication olan gizli paylaşım, proseslerin birbirleri ile haberleşmesi ve veri paylaşımı için kullandıkları paylaşımın ismidir.
  • PRINT$: Yazıcılar tarafında kullanılan gizli paylaşım. Yazıcıların uzaktan yönetilmesinde de kullanılır.

Varsayılan gizli paylaşımlara ilaveten kendi oluşturduğumuz paylaşımların da gizli hale gelmesini sağlayabiliriz. Bunun için yapılması gereken yalnızca paylaştırılacak klasörün paylaşım ismi verilirken sonuna “$” işaretinin eklenmesi yeterli olacaktır. “$” işareti konulan paylaşım artık bilgisayar paylaşımları listelendiğinde görüntülenmeyecektir. gizli paylaşım üzerinden klasöre erişilmek istendiğinde, gizli paylaşımın ismi yazılmalıdır. Windows’da aynı klasör farklı paylaşım isimleri ile paylaşılabilir ve bu paylaşımlara farklı paylaşım izinleri atanabilir. Böylelikle bazı paylaşımlarda belirlenen bazı kullanıcılara daha fazla izin ataması gerçekleştirilerek bir gizli paylaşım oluşturulabilir.

Gizli paylaşımlar bir çok saldırının hedefi haline gelebilmektedirler. Bir çok zararlı uygulama varsayılan paylaşımları kullanarak sistemi ele geçirdiği bilinen bir gerçektir. Karşılaşılan saldırılardan birinde IPC$ paylaşımı gibi gözükmesi istenen ve bir virüs tarafından oluşturulup kullanılan IPS$ paylaşımı ile karşılaşılmıştır. Bu nedenle “net share” komutu ile sistemlerde unuttulbilen ya da Windows tarafından oluşturulmuş paylaşımlar düzenli olarak kontrol edilmelidir.

Her ne kadar gizli paylaşımlar olarak anılsa da bir açıklık tarama yazılımıyla ağdaki tüm gizli paylaşımlar bulunabilir. Bazı güvenlik sıkılaştırma adımlarında gizli paylaşımların tamamen kapatılması önerilmektedir. Bu şekilde bir çok zararlı yazılımdan korunmak mümkün olabilmektedir fakat bu paylaşımların bazı sistemler tarafından kullanıldığını özellikle uzaktan yönetme, yazılım kurma gibi işlemlerde sıklıkla kullanıldığı göz önünde bulundurulmalıdır. Gizli paylaşımlar kapatılmadan önce ilgili testler yapılmalı ve sistem yönetiminin biraz zorlaşacağı iyi değerlendirilmelidir.

Değerlendirme sonucu gizli paylaşımların kapatılmasının daha uygun olacağı kararına varılırsa aşağıdaki işlemleri yerine getirilebilir. Sunucularda aşağıdaki değer varsa 0 olarak değiştirilir, yoksa oluşturulup 0 değeri atanır.

Hive: HKEY_LOCAL_MACHINE
Key: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters
Name: AutoShareServer
Data Type: REG_DWORD
Value: 0

İstemcilerde aşağıdaki değer varsa 0 olarak değiştirilir, yoksa oluşturulup 0 değeri atanır.

Hive: HKEY_LOCAL_MACHINE
Key: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters
Name: AutoShareWks
Data Type: REG_DWORD
Value: 0

Bu konfigürasyon Pass The Hash saldırılarından korunmak için de kullanılmaktadır.

Kaynak:

https://www.bilgiguvenligi.gov.tr/microsoft-sistemleri-guvenligi-dokumanlari/index.php
https://www.bilgiguvenligi.gov.tr/sizma-testleri/pass-the-hash-saldirilari-ve-korunma-yontemleri.html

Yazarın Bilgileri

Ertuğrul BAŞARANOĞLU
Ertuğrul BAŞARANOĞLU

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kullanabileceğiniz HTLM etiketleri ve özellikleri: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.