Yönetimsel Paylaşımları ve Uzak Masaüstü Bağlantısı Devre Dışı Bırakılan Windows Bilgisayarın Disk Sistemine Grup İlkeleri Kullanılarak Erişim Sağlanması

Etki alanı sızma testleri sırasında Domain Admins grubu üyesi olduktan sonra, etki alanındaki nesneler de ele geçirilmiş olur. Ancak özellikle sistem yöneticileri disk paylaşımlarını (C$, D$ gibi) ve uzak masaüstü erişimini kapatmakta ve bu sebeple Domain Admins haklarına sahip olunsa bile bu bilgisayarların diskinde bulunan kayıtlı verilere erişim sağlanamamaktadır. Bu yazıda etki alanındaki bir bilgisayarın yönetimsel paylaşımları ve uzak masaüstü bağlantısı Grup ilkeri kullanılarak açılacak ve disk üzerindeki verilere erişim sağlanacaktır.

“sirket.local” adlı etki alanındaki PC1 adlı bir bilgisayarın disk sistemine erişimin ve uzak masaüstü bağlantısı ile erişimin engellendiğini varsayalım.

PC1 bilgisayarının Kayıt Defteri incelendiğinde AutoShareWks ve AutoShareServer adlı değerlerininin 0 olarak yapılanmış olduğu görülmektedir. Bu ayarlar ile yönetimsel paylaşımlar devre dışı bırakılmıştır. Ayrıca, fDenyTSConnections değerinin de 1 olduğu görülmektedir. Bu ayar ile uzak masaüstü bağlantısı ile erişim devre dışı bırakılmıştır.

net share
reg query HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters /v AutoShareWks
reg query HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters /v AutoShareServer
reg query “HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server” /v fDenyTSConnections

PC1 bilgisayarına port taraması yapıldığında 3389. portun kapalı, 445. portun ise açık olduğu görülmektedir.

Sızma testleri sırasında gerçekleştirilen sıkılaştırma işlemlerinin atlatılması gerekmektedir. Bu yazıda, PC1 makinesinde Kayıt Defteri üzerindeki ayarların devre dışı bırakılması ve erişimlerin aktifleştirilmesi için Grup İlke Nesneleri (GPO) kullanılacaktır. Yeni oluşturulacak olan GPO, PC bilgisayarının bulunduğu OU içerisine (sirket.local/Bilgisayarlar/Ankara/Bilgi Islem/Sistem ve Guvenlik) uygulanacaktır. Bu OU içerisinde birden fazla bilgisayar varsa bu bilgisayarlar da gerçekleştirilecek olan değişiklikten etkilenecektir. Bu sebeple, eğer birden fazla bilgisayar varsa, bu OU içerisinde bir alt OU oluşturulması ve bu OU içerisinde bir GPO oluşturulması tavsiye edilmektedir. Ancak mevcut durumda başka bir bilgasayar olmadığı için yeni bir OU oluşturulmamaıştır. “Sistem ve Guvenlik” adlı OU içerisine “Uzak Masaustu ve Yonetimsel Paylasimlarin Acilmasi” adlı bir grup ilke nesnesi oluşturulduktan sonra, “Computer Configuration > Preferences > Windows Settings > Registry” adımları izlenerek yeni bir kayıt değerinin girilmesi sağlanabilir.

AutoShareWks ve AutoShareServer kayıt değerleri 1, fDenyTSConnections adlı kayıt değeri ise 0 girilerek grup ilke nesnesi hazırlanmış olur.

PC1 bilgisayarı grup politikasını aldıktan sonra, PC1 bilgisayarına masaüstü bağlantısı gerçekleştirilebilir. Ayrıca, bilgisayar yeniden başladıktan sonra da disk sistemine erişim sağlanabilir.

 

İpucu: Grup ilke nesneleri ile Kayıt Defteri üzerinde gerçekleşecek ayarlar için Shutdown betikleri de kullanılabilir.