Hakan DOĞAN

  gpedit.msc   komutu ile  Local Group Policy Editor açın.. Aşağıdaki ayarlara kadar gidin  Windows Settings -> Security Settings -> Advanced Audit Policy Configuration -> Object Access; Audit File System  özelliklerini açarak dosya ve klasörlere istediğiniz erişim logunu açabilirsiniz. Ben örnekte sadece Success Log açtım. Configure the following audit events -> Success ; Yaptığınız ayarları kaydederek gpupdate komutunu uygulayın.. Paylaşılan Klasörde Silinen Dosya Denetim Ayarlarını Yapılandırma Artık erişimi izlemek istediğiniz paylaşım ağı klasörünün özelliklerinde denetimi yapılandırmanız gerekiyor;  Dosya Gezgini'ni çalıştırın ve klasör özelliklerini açın.  Güvenlik sekmesine gidin.  Gelişmiş düğmesini tıklayın -> Denetim sekmesine gidin. Bu nesnenin denetim özelliklerini görüntülemek için yönetici olmanız veya uygun ayrıcalıklara sahip olmanız gerekir" mesajı görüntülenirse Devam düğmesini tıklayın. Ardından, denetim etkinliklerini yakalamak istediğiniz k

Bazı durumlarda GPO lar yenilenmesine rağmen Client update edemeyebilir. Bu durumlarda genellikle kullanılan yöntem GPO ‘ yu resetlemektir.  GPO’yu CLI üzerinden aşağıdaki komutlarla sıfırlayabilirsiniz... RD /S /Q “%WinDir%\System32\GroupPolicyUsers” RD /S /Q “%WinDir%\System32\GroupPolicy” gpupdate /force

  Aşağıdaki powershell scripti ile yukarıdaki ekran görüntüsünde göründüğü gibi bilgisayar sayıları kolaylıkla elde edilebilir. # Import AD module Import-Module ActiveDirectory # Domain adını bulma $DomainName = (Get-ADDomain).NetBIOSName # Kaç gün öncesine kadar oturum açmış makineleri sorgula $days = 30 $lastLogonDate = (Get-Date).AddDays(-$days).ToFileTime() # AD sorgulama $Computers = @(Get-ADComputer -Properties Name,operatingSystem,lastLogontimeStamp -Filter {(OperatingSystem -like "*Windows*") -AND (lastLogontimeStamp -ge $lastLogonDate)}) foreach($Computer in $Computers) { $Computer.OperatingSystem = $Computer.OperatingSystem -replace '®' -replace '™' -replace '专业版','Professional (Ch)' -replace 'Professionnel','Professional (Fr)' } $Computers | Group-Object operatingSystem | Select Count,Name | Sort Name | Out-GridView

Kurumun domain yapısına dahil olan bilgisayarlara varsayılan ayarda bütün domain kullanıcıları oturum açabilir. Bilgisayarlarda sadece izin verilen kullanıcıların oturum açmasına izin verilebilir. Bunun için gpedit.msc komutu ile Local Group Policy Editor açılır. Ve aşağıdaki yol takip edilerek ilgili listeye izin verilecek kullanıcılar eklenir.

  Windows   işletim sistemin içinde var olan   Event Viewer ; tüm işlemleri (servis, uygulama vs..) log kaydı olarak tutan ücretsiz bir uygulamadır. Windows’a  RDP  ile giriş yapan kullanıcıların IP adreslerini öğrenmek için aşağıdaki yolu takip edebilirsiniz. Event Viewer  > Applications and Services Logs > Microsoft > Windows > TerminalServices- RemoteConnectionManager  > Operational

WHOAMI WHOAMI /UPN WHOAMI /FQDN WHOAMI /LOGONID WHOAMI /USER WHOAMI /USER /FO LIST WHOAMI /USER /FO CSV WHOAMI /GROUPS WHOAMI /GROUPS /FO CSV /NH WHOAMI /CLAIMS WHOAMI /CLAIMS /FO LIST WHOAMI /PRIV WHOAMI /PRIV /FO TABLE WHOAMI /USER /GROUPS WHOAMI /USER /GROUPS /CLAIMS /PRIV WHOAMI /ALL WHOAMI /ALL /FO LIST (bu komut kullanıcının üye olduğu tüm grupları da gösterir.) WHOAMI /ALL /FO CSV /NH WHOAMI /?

H erhangi bir sebepten dolayı kapanmış veya yeniden başlatılmış bilgisayarlar event ID kaydı oluşturur.  Bu EventID kaydını powershell ile almak için;  Get-EventLog System | Where-Object {$_.EventID -eq "1074" -or $_.EventID -eq "6008" -or $_.EventID -eq "1076"} | ft Machinename, TimeWritten, UserName, EventID, Message -AutoSize -Wrap | Out-File C:\systemShutdownRestart.txt Komutunu kullanabilisiniz.

Domain yapısında kullanıcıya hangi parola politikası uygulanmış görmek için client’ın oturum açtığı bilgisayar üzerinde bu komut uygulanmalıdır; net accounts /domain  

Sorun yaşadığınız bilgisayarda Regedit (Kayıt Defteri Düzenleyicisini Açın) HKLM > SOFTWARE > Microsoft > Windows > CurrentVersion içerisindeki Grup İlkesi klasörünü silin Bilgisayarı yeniden Başlatın..

Active Directory ortamında Aging ayarları ile beraber açılan scavenging yapılandırılmaları olmaması durumunda eski kayıtların silinmediğini görebiliriz.  Powershell yardımı ile listeleme ve silme işlemi için; Double kayıtları görmek için Get-DnsServerResourceRecord -ZoneName "hakan.local" -RRType A | Where-Object {($_.Timestamp -le (get-date).adddays(-60)) -AND ($_.Timestamp -like "*/*")} Silmek için ise ; Remove-DnsServerResourceRecord -ZoneName "hakan.local" -RRType A | Where-Object {($_.Timestamp -le (get-date).adddays(-60)) -AND ($_.Timestamp -like "*/*")}

Bir windows bilgisayar ağa bağlandığında arkaplanda 2 teknoloji çalışır. Bunlardan ilki NLA (Ağ Konum Farkındalığı) ve NCSI (Ağ Bağlantısı Durum Göstergesi). Ağ Konum Farkındalığı (NLA)  Nedir? Bilgisayar bir ağa bağlandığında NLA (Network Location Awareness) mevcut ağ bilgilerini toplar ve her bir ağı tanımlamak için benzersiz bir tanımlayıcı (GUID) oluşturur. Yani bağlandığı her bir ağ için bir profil oluşturur. Ağ Bağlantısı Durum Göstergesi (NCSI)  Nedir? Ağ bağlantısı durum göstergesi (NCSI) NLA’ in bir parçasıdır ve internet bağlantı durumunun saptanmasından sorumludur. Ayrıca eğer Direct Access servisini kullanıyor iseniz şirket ağına bağlantı durumunun kontrolünden de sorumludur. Özetle bir windows bilgisayar bir ağa bağlandığında ağ değişimini algılar ve internet bağlantısını kontrol eder. Eğer internet bağlantısı yok ise aşağıdaki görünümler görülür. Windows bir ağ yapılandırma olayı oluştuğunda yani ağ yapılandırmasında bir şeylerin değiştiğini algıladığında ilk adım olarak

SCCM ile bilgisayarda kurulu olan programı uzaktan kaldırmak istediğinizde o programın uninstall parametresine gereklidir.  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall Bu başlığın altında bilgisayarınızın program ekle kaldır menüsünde bulunan tüm yazılımları görürsünüz.  Yapmanız gereken kaldırmak istediğiniz programı bulup “UninstallString” key’inde değeri almak. CMD’de bu komutu çalıştırdığınızda program bilgisayardan uninstall olmuş olur. Komutu SCCM ile uzaktan gönderdiğinizde de tüm bilgisayarlardan kaldırabilirsiniz..

Cleanwipe Symantec Endpoint Protection’i bilgisayardan kaldirmak icin kullanilan temizleme aracidir. Cleanwipe Windows XP/Vista/7/8/10 Windows Server 2008r2/2012/2016/2019 isletim sistemlerini desteklemektedir. 1- Cleanwipe Karsilama Ekranini Next diyerek geciyoruz. 2-) Lisans sozlesmesini kabul ediyoruz. Next diyerek devam ediyoruz. 3-  Client Software’i seciyoruz. Next diyerek devam ediyoruz. 4-) Next diyerek kaldirma islemini baslatiyoruz. Bilgisayar restart olduktan sonra kaldirma islemi tamamlanacaktir. Do Not prompt for reboot seçmezseniz PC siz ok vermeden restart etmez.

  Symantec Endpoint Protection’u kaldirmak icin asagidaki komutu kullanabilirsiniz.  Bütün versiyonlarda çalışmaktadır.  wmic product where “name like ‘Symantec Endpoint Protection%'” call uninstall /nointeractive Not: Uninstall password kaldırılmalıdır.

  Symantec Endpoint Protection kurulumlarında “Symantec Endpoint Protection (SEP) client installation fails with a 1603 error.” hatası alıp kurulum tamamlanmıyorsa; SIS_INST.log dosyasında “ C:\Program Files\Symantec\Symantec Endpoint Protection\14.3.8268.5000.105\bin64\ELAMInst.exe is not trusted. Verification result: 20 ” hatası varsa Symantec’e ait kök sertifikaların eksikliğinden kaynaklanmaktadır. Bu sorunu çözmek için Windows güncellemesini çalıştırarak kök sertifikalarını güncellenmesi gerekmektedir. Kök sertifikalarını aşağıdaki gibi güncelleyebilirsiniz. 1. Komut satırını admin yetkileriyle açıktan sonra: 2. CertUtil –generateSSTFromWU Rootstore.sst

Eski bir PC'den yeni bir PC'ye geçiş yapıyorsanız, eski PC'nizi formatlamadan bu yöntemle  Retail  ürün anahtarınızı( lisansınızı)  yeni PC'nize aktarabilirsiniz. Lisans anahtarını kaldırmak istediğiniz sistem üzerinde  CMD 'yi  Administrator  haklarıyla çalıştırıp  slmgr /upk  komutunu verin. Bu komut, lisans anahtarının makineden kaldırılmasını sağlar.  Lisans anahtarıyla ilgili  Registry 'da tutulan kayıtları sistemden kaldırmak için  slmgr /cpky  komutunu verin. Şimdi yeni PC'mize geçelim. Yeni bilgisayar üzerinde  CMD 'yi yine  Administrator  haklarıyla çalıştırın. Lisans anahtarınızı PC'ye tanımlamak için  slmgr /ipk XXXXX-XXXXX-XXXXX-XXXXX-XXXXX  komutunu girin.  Lisans durumunu sorgulamak için  slmgr /dlv  ve  slmgr /xpr   komutlarını uygulayın.  Lisansınızı girmenize rağmen sisteminiz otomatik olarak etkinleştirilmediyse ya da İnternet erişiminiz yoksa, etkinleştirme işlemini telefon üzerinden gerçekleştirebilirsiniz. Bunun için  CMD 'd

  Herhangi paylaşıma açacağımız bir klasöre Share Name/KlasörPaylaşımAdı alanında bulunan isminin sonuna $ eklememiz yeterlidir. Bu şekilde paylaşıma verdiğimizde klasör ismini bilmeyen herhangi bir kişi bu klasörü göremez ya da erişemez. Tam olarak ismini belirtmesi gerekmektedir. Yani bu klasöre girmek için bir kişi \\BilgisayarAdı\Gizlipaylasim olarak direkt klasöre gitmesi gerekmektedir.

- Regeditten aşağıdaki yolu takip ederek  Group Policy klasörünü silip PC yeniden başların. -HKLM > SOFTWARE > Microsoft > Windows > CurrentVersion -“Group Policy” Klasörünü silin... -Bilgisayarı Yeniden Başlat

Juniper Switchinizde download trafiğini limitleme işlemi yapmak istiyorsanız  Class of Service(CoS)in shaping özelliğini kullanarak kullanıcının bağlı olduğu porta tanımlama yapmanız gerekmektedir. Örnek olarak kullanıcınızın switchin ge-0/0/24 numaralı portuna bağlı olduğunu varsayalım. Bu porttan ise kullanıcının hızını 2 Mbit/s sabitleyeceğiz.  Aşağıda belirtmiş olduğumuz komutları yazarak bu işlemi gerçekleştirebiliriz. root@ KAT_SW_1 # set class-of-service interfaces ge-0/0/24 shaping-rate 2m root@KAT_SW_1# commit

Windows 11 işletim sistemi ile bazı alışkanlıklarımız değişti.  Bunlardan bir tanesi de  Mouse sağ tuş özellikleri.   Aşağıdaki ekran alıntısında görüldüğü üzere standart gelen özellik menüsünü alıştığımız eski düzen gibi degil..Eski haline getirmek için; CMD konsolu yönetici olarak çalıştırıyoruz Açılan CMD ekranına aşağıdaki kodu yazıp Enter ile onaylıyoruz.  reg add "HKCU\Software\Classes\CLSID\{86ca1aa0-34aa-4e8b-a509- 50c905bae2a2}\InprocServer32" /f /ve İşlem başarıyla tamamlandı uyarısını gördükten sonra bilgisayarımızı yeniden başlatıyoruz. Kontrollerimizi gerçekleştirdiğimizde, eski alışık özellikler menüsünün geldiğini görüyoruz.

 

Kurumsal ağlarda özellikle kablolu ağı hotspot olarak paylaşmak güvenlik açısından riskler getirebilir. Bunun önüne geçmek için kurumunuzdaki bilgisayarlara aşağıdaki resimdeki gibi bir GPO uygulayabilirsiniz.

  Telnet ve SSH uzak bir sunucuya bağlanmamızı sağlayan ağ protokolleridir. İkisini birbirinden ayıran en önemli fark ise güvenliktir. SSH uzaktan bir sunucuya bağlandığınızda yaptığınız bütün her şeyi şifreler. Kullanıcı adı ve parolanızı, kullandığınız komutları yani her şeyi. Telnette ise veriler şifrelenmez mesela uzaktan sunucunuza bağlanırken kullandığınız parolanızı şifrelemez ve bir hacker tarafından istekleriniz takip ediliyorsa parolanızı öğrenebilir.. SSH SSH protokolü ilk kez 1995 yılında Tatı Ylonen tarafından tasarlanmıştır. Bu protokolün amacı uzak bir sunucuya bağlanıldığında gizliliğin ve güvenliğin oluşturulmasıydı.  S ecure  SH ell yani güvenli kabuk anlamına gelmektedir. Uzak bir sunucuya mesela bir web siteniz varsa ve bu web sitesi üzerinde değişiklik yapmak istiyorsanız SSH bağlantısını kullanarak evinizden bilgisayarınızla SSH protokolünü kullanarak bağlanabilirsiniz, komut çalıştırabilir, erişim izni değiştirebilir ve dosya içeriğini okuyup değiştirebilirsiniz.