Yönetimsel Paylaşımları ve Uzak Masaüstü Bağlantısı Devre Dışı Bırakılan Windows Bilgisayarın Disk Sistemine Reg Aracı ve Kayıt Defteri Kullanılarak Erişim Sağlanması

Windows sızma testleri sırasında bir bilgisayarda yerel yönetici haklarına sahip olduktan sonra, o bilgisayar ele geçirilmiş olur. Ancak özellikle sistem yöneticileri disk paylaşımlarını (C$, D$ gibi) ve uzak masaüstü erişimini kapatmakta ve bu sebeple yerel yönetici haklarına sahip olunsa bile bu bilgisayarların diskinde bulunan kayıtlı verilere erişim sağlanamamaktadır. Bu yazıda bir bilgisayarın yönetimsel paylaşımları ve uzak masaüstü bağlantısı komut satırında “reg” aracı kullanılarak ve Kayıt Defteri kullanılarak açılacak ve disk üzerindeki verilere erişim sağlanacaktır.

Yerel yönetici haklarına sahip olunan PC1 adlı bir bilgisayarın disk sistemine erişimin ve uzak masaüstü bağlantısı ile erişimin engellendiğini varsayalım.

PC1 bilgisayarının Kayıt Defteri incelendiğinde AutoShareWks ve AutoShareServer adlı değerlerininin 0 olarak yapılanmış olduğu görülmektedir. Bu ayarlar ile yönetimsel paylaşımlar devre dışı bırakılmıştır. Ayrıca, fDenyTSConnections değerinin de 1 olduğu görülmektedir. Bu ayar ile uzak masaüstü bağlantısı ile erişim devre dışı bırakılmıştır.

net share
reg query HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters /v AutoShareWks
reg query HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters /v AutoShareServer
reg query “HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server” /v fDenyTSConnections

PC1 bilgisayarına port taraması yapıldığında 3389. portun kapalı, 445. portun ise açık olduğu görülmektedir.

Sızma testleri sırasında gerçekleştirilen sıkılaştırma işlemlerinin atlatılması gerekmektedir. Bu yazıda, PC1 makinesinde Kayıt Defteri üzerindeki ayarların devre dışı bırakılması ve erişimlerin aktifleştirilmesi için komut satırında “reg” aracı ve arayüz olarak da Kayıt Defteri kullanılacaktır. 192.168.8.143 IP adresli PC1 makinesinin kayıt defteri değerleri komut satırı aracı olan “reg” ile aşağıdaki gibi değiştirilebilir:

reg add \\192.168.8.143\HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters /v AutoShareWks /t REG_DWORD /d 1 /f
reg add \\192.168.8.143\HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters /v AutoShareServer /t REG_DWORD /d 1 /f
reg add “\\192.168.8.143\HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server” /v fDenyTSConnections /t REG_DWORD /d 0 /f

Komut satırı yerine arayüzden Kayıt Defteri kullanılarak da benzer değişikliler gerçekleştirilebilir. PC1 bilgisayarın Kayt Defteri’ne bağlantı kurmak için “File > Connect Network Registry” adımları izlenebilir.

AutoShareWks ve AutoShareServer kayıt değerleri 1, fDenyTSConnections adlı kayıt değeri ise 0 olarak değiştirilir.

Değişiklik sonrasında (1-2 dakika sürebilir), PC1 bilgisayarına masaüstü bağlantısı gerçekleştirilebilir. Ayrıca, bilgisayar yeniden başladıktan sonra da disk sistemine erişim sağlanabilir.

 

Uyarı: Uzak bilgisayarın kayıt defteri üzerinde “reg” komut satırı aracı veya Kayıt Defteri konsolu ile erişim sağlamak için “Remote Registry” servisinin etkin olması da gerekebilir.