Pre Windows 2000 Computer yazımızda sizlere Active Directory yapısında yanlış oluşturulan bilgisayar hesapları ile ilgili bir açıklıktan bahsedeceğiz. Active Directory yapısında bazı durumlarda bilgisayar hesapları önce oluşturulmaktadır ve daha sonra makineyi domaine alırken bu isim kullanılarak domaine dahil edilmektedir. Bu durumlarda AD yapısında computer hesaplarında önemli bir user account control değeri görmekteyiz.
Aşağıda bu örneği canlandırıp, asıl konumuz olan pre-windows 2000 durumuna bakacağız.
Bilgisayar hesabının User Account değerine baktığımızda Password Not Required olarak görmekteyiz. Peki bu bilgisayar hesabının şifresi nedir? Random mı oluştu yoksa belirli durumda mı ? Normal domain’e alma süreçlerinde makine adı direk olarak makine üzerinde verilir ve domain’e alınmaktadır(bazı durumlar hariç). Bu durumda computer account 4096 olarak user account control değeri alır ve şifresi random olarak belirlenir.
Test için bir tane paylaşıma bu bilgisayar hesabı ile gitmeye çalışalım ve şifresini bilgisayar hesabının adı ile deneyelim. Password yanlış olduğunu gördük.
Şimdi gelelim asıl konumuza yine aynı şekilde bilgisayar hesabı oluşturalım fakat bir farklılıkla , oluştururken Assign this computer account as a pre-windows 2000 computer işaretleyelim
Daha önce yaptığımız net use komutları ile bu hesapla deneyelim. Bu sefer şifre doğru.
Pre Windows 2000 işaretli olarak oluşturulan makinelerin computer account şifreleri küçükharfler ile bilgisayar adıdır. Bu durum ciddi zafiyetlere yol açmaktadır. Peki makineyi domaine dahil etsek durum değişecek mi ? Evet dc ile iletişime geçip password’ü resetleyecektir.
Domain sonrası kontrol sağlıyoruz.
Burada pre windows seçili ve seçili olmayan iki makine gördük ikisininde user account control değerleri aynı burada kritik olan kısım
- Logon Count:0
- User Account Control:4128 (Password Not Required + Workstation Trust Account)
bu hesaplar herhangi bir makineye verilip domaine alınma işlemleri yapılmamış makinelerdir. Bu hesaplar bu tehlikeli durumda olabilmektedi. Bunu net belirlemenin yolu Şifreleri denemek veya kali’de ya da 3 party yazılımlarla test edilip gözden geçirilmesi gerekir. Kullanılmayan makineleri disable veya silmek ortam devamlılığı ve güvenlik açısından önemlidir. Bu tür durumlarda makineleri domaine dahil etme süreçi gözden geçirilmesi gerekir.
Sonuç olarak Pre Windows 2000 Computer yazımızda AD de yanlış yapılandırmalarda neler olabileceğini göstermiş olduk. Diğer yazılarımı aşağıdaki kategorilerden takip edebilirsiniz.