WebMatix, oldukça kompleks İçerik Yönetim Sistemi (CMS) , Blog siteleri ve E-commerce siteleri geliştirme işini sitenin kendisinin hazırlanamsı, veri tabanı ve web sunucusu ayarlarının kurulu ve hazırlanması dahil pek işi kolaylaştıran yapısı ile adını duyurdu. Bugün ise uzunca bir süredir beğenilerek kullanılan ve gelecek için büyük umutlar vaadeden Webmatrix’ in 2. Sürümünün Beta verisyonu ve gelen özellikler ile karşınızdayız.

Önce biraz tarihçe :

PHP tabanlı CMS geliştiricileri WebMatrix sayesinde Windows yüklü olan makinalarda uygulamalarını sancısız kurabildikleri için bu teknolojiyi çok faydalı buluyorlar. Tecrübeli PHP geliştiricileri PHP uygulamalarının Windows’a yüklenmesinin çoğu zaman zorlu bir süreç olduğunu bilirler, fakat son bir kaç yıl içinde Microsoft hayatımızı kolaylaştıran araçlar geliştirdi. WebMatrix’i yaratmaktaki en önemli sebeplerden biri ise arkaplanda çalışan araçların hepsini otomatik bir şekilde bağlayarak kurulum sihirbazına benzer bir kullanıcı deneyimi oluşturmaktı.

Günümüze baktığımızda WebMatrix 1.0 ile tanışalı henüz 1 sene olmuşken, son versiyonu olan 2.0 beta ile herşey olduğundan daha da kolay bir hale dönüştü. Microsoft markası olan IntelliSense’I geliştiriciler artık PHP için de kullanabiliyor olacaklar ve eğer PHP geliştiricileri IntelliSense’I Visual Studio kullanıcıları kadar severlerse WebMatrix 2’nin büyük bir başarı elde edeceğini rahatlıkla söyleyebiliriz.

WebMatrix 2 Beta’ya hoşgeldiniz! Yeni özellikleri ve geliştirmeleri incelemeyi unutmayın ve hiç olmadığı kadar hızlı sayfaları oluşturmayı WebMatrix ile tecrübe edin. WebMatrix 2 Beta ’yı hemen indirin

İşte WebMatrix 2 ile gelen Yeni Özellikler:

Uzaktan Erişim ve Düzeltme (Remote Site Access)

Uzaktan bağlantı ile yayınladığınız dosyalarınızı düzenlemek için hepsini geri çekip tekrar yayınlamanıza gerek yok.

Yayınlanan Web Uygulamalarını Yüklemek

Düzinelerce bulunan açık kaynak uygulamalar ile başlayıp dakikalar içinde web sitenizi yaratın. WebMatrix kurulum ve konfigurasyon adımlarında size kolaylık sağlamakla kalmıyor, veritabanı giriş bilgilerinizi kendiliğinden yaratarak web sayfanızı hazır bir şekilde yayınlanmasını sağlıyor.

WordPress, Joomla! ve Umbraco gibi popüler uygulamalar WebMatrix’inizi kişiselleştirmenizi, hemen başlamak için bağlantılar eklemeyi, değiştirilmesi tavsiye edilmeyen çekirdek dosyalara erişim limitlemesini sağlayabilir. Ayrıca Web Galeri’de bulabileceğiniz bu uygulamalar ile çok kısa sürede kişiselleştirilmiş blog sayfanızı yapabilir, hazırda bulunan web portalınıza içerik yönetimi (CMS) entegre edebilirsiniz.

.NET and PHP Intellisense ve HTML5, CSS ve Jquery kolay kodlama seçenekleri

.NET ve PHP yanında çalışan HTML, CSS ve Jscript’e IntelliSense desteği sağlayan kod editörüne gelen başlıca güncelleştirmeler.

·         HTML5 ve CSS3 elementleri ve atamaları için kod tamamlaması. Doğrulama hatalarını web tarayıcınızda sayfanızı görmeden önce test edin

·         jQuery ve JavaScript fonksiyonları hakkında öneriler edinin. JavaScript kodunu tekli dosyalarda veya script alanlarında yazarken doğrulatın

·         Aktif PHP versiyonunda siz yazarken kodunuz kendiliğinden tamamlanır. Üstelik imza ve açıklamalar beraberinde görüntülenir.

·         Kod yönetimi, sunucu ve istemci taraflı form doğrulaması, Facebook ve Twitter kimlik denetleme ve daha fazlasını barındıran yeni API’ler sayesinde web programlama Web Pages 2 ile çok basit hale geldi.

·         Artık kişisel sayfa taslağı elimizde ve başlangıç sayfası taslağı HTML5 ve CSS3, mobil belirteci ve Facebook Twitter üzerinden doğrulama’dan yararlanmak üzere güncelleştirildi

CSS renk seçicisi

Açık uygulamalardaki renk değerlerini okuyabilen bir araç barındıran renk tabanlı CSS özellikleri için renk seçicisi

PHP dökümantasyon bağlantıları

php.net dökümantasyonuna erişmek için herhangi bir PHP fonksiyonunun üzerinde imlecinizi bekletmeniz yeterli olacaktır.

Zengin Uygulama Genişletebilirliği

Bazı WebMatrix ek programlarını Ekler Galerisi’nden bulabilir veya kendinizinkini geliştirebilirsiniz.

Entegre Öğrenim İçeriği

Bu konsepte yeni misiniz veya daha mı fazla öğrenmek istiyorsunuz? Kişiye özel öğrenim ve yardım içeriği bağlantıları WebMatrix içinde artık mevcut.

Selçuk UZUN

Yazılım Geliştirme Teknolojiler Yöneticisi

selcuku@microsoft.com

Microsoft Türkiye

Active Directory, günümüz şirket organizasyonlarında en temel alt yapı ürünü olup üstüne inşa edilen ve entegre çalışan diğer iş ailesi ürünleri için vazgeçilmez bir servistir. Durum böyle olunca özellikle kurumsal şirket organizasyonlarında active directory kararlı yapısı, kesintisiz desteği, disaster anındaki kurtarma senaryolarınız büyük önem taşımaktadır. Ancak buradaki tek önemli nokta kesintisiz destek ve çalışma değildir. Rutin olarak kesintisiz çalışan Active Directory yapılarındaki değişikliklerde son derece önemlidir. Özellikle verilerin büyük önem taşıdığı şirketlerde basit bir grup üyeliği değişikliği gibi görünen işlemler bile son derece kritik sonuçlara neden olabilir.

Bu nedenle kesintiye veya veri hırsızlığına ya da şirketin zararına neden olabilecek diğer sonuçların medyana gelmesinden önce bu değişikliklerin tespit edilip aksiyon alınması son derece önemlidir.

Makalenin başlığına bakarak bu ürünü lütfen sadece bir log yazılımı olarak algılamayın. Makalenin devamında bize ek olarak sunduğu özellikleri detaylandıracağım.

İşte bende tam bu noktada bir makale yazmaya karar verdim. Malum Active Directory son derece köklü ve eski bir ürün olduğu için bu konuda hali hazırda pek çok loglama ve takip yazılımı bulunmaktadır. Ben ise bu makalemde dikkatimi çeken ve sizler ile paylaşmak istediğim LepideAuditor for Active Directory ürünü hakkında detay bilgi vereceğim.

Öncelikle ihtiyaçları belirlemek son derece önemlidir, ancak ürün sağ olsun pek çok temel hareketi izlemekte ve raporlamaktadır. Bunu ürünü kurduktan sonra detaylandıracağım. Bu bilgiyi vermemdeki temel amaç bu tür projelerdeki en temel adım olan ihtiyaçları belirleme adımı aslında yaptım, ancak siz hali hazırda ürünü deneme sürümü ile kurup test edebilirsiniz.

Temel olarak ürün bize ne sağlar?

Tek bir platform üzerinden farklı domainlerin takibini yapabiliriz.

Active Directory üzerindeki tüm kullanıcı değişikliklerini alabiliriz ( kim, ne zaman ne yaptı vb ).

Agentlı veya Agentsız kurulum desteklemektedir.

İhtiyaçlarımız doğrultusunda veya mimarinin bir önceki haline göre değişiklik raporları ( snapshot bazlı ) alabiliriz.

Anlık izleme ve filtreleme seçenekleri sunmaktadır.

Hızlı veri toplama ve raporlama özelliği sunar.

Zamanlanmış raporlar ile periyodik olarak değişiklikleri takip edebiliriz.

Raporları PDF, CSV veya MHT formatında kayıt edebiliriz.

Anlık olarak tetiklenen değişiklikler için mail ile bilgilendirme yapabilmektedir.

Yapılan değişikliği geri alma özelliği sayesinde stabil çalışan AD versiyonuna dönme şansı sunar ki çok başarılı bir özelliktir J

Yapılan tüm değişiklikler için bir önceki hali ve son halini detaylı olarak gösterdiği için, diğer log yazılımlarına göre bu değişiklikleri ekrandan takip etmek son derece kolaydır.

Tüm loğlar arşivlendiği için çok büyük veri alanlarına ihtiyaç duymadan çok uzun süre bu logları saklayabiliriz.

Ve yine en beğendiğim özelliklerden biri, malum log yazılımlarının ara yüzleri genellikle karışık olur, bu ürün bu konuda çok başarılı. Çok kolay bir kullanıma sahip kullanıcı ara yüzü sunmaktadır.

Temel olarak baktığımız zaman ürün aslında Active Directory değişikliklerinin raporlanması için üretilmiş olasa da, bu değişiklikler hakkında tamamen detay bilgiye sahip olduğu için bu bilgiyi kullanarak aslında temelde bize iki özellik sunmaktadır.

Active Directory Change Tracking – Bu konuyu zaten temel olarak detaylandırdık.

Active Directory Change Control – Bu ise yine özet geçmiş olsam da burada tekrar yazmak istediğim bir konu. Change Control özelliği sayesinde yanlışlıkla yapılan silme veya değiştirme işlemlerinde rollback özelliği sunmaktadır.

Ürünü aşağıdaki linkten indirebilirsiniz

http://www.lepide.com/active-directory-audit/download.html

Tabiki ürünü kurmadan önce hangi sürümleri desteklediğini ve sistem gereksinimlerini paylaşmak istiyorum.

Gelelim kurulum aşamasına.

Kurulum ürünün bize sunduğu özellikleri düşündüğünüz zaman son derece kolay ve pratik bir şekilde gerçekleşmektedir

Kurulum tamamlandı.

Sorunsuz bir şekilde kurulup kurulmadığını isterseniz Windows Event loglarından da kontrol edebilirsiniz.

Şimdi konsolu açıyorum

Bu aşamada Domain Controller bilgisini elle yazabilirsiniz veya “Discover ADS” diyerek sistemin Domain mimarisini kendi bulmasını sağlayabiliriz.

Örneğin ben denedim ve kendisi benim Domain ismimi buldu. Yani sağlıklı bir şekilde çalışıyor J

Bağlantı için gerekli olan Domain Admins grubu üyesi bir kullanıcı bilgisi veriyorum.

Hemen alt bölümde ise bir kutucuk bulunmaktadır

Use Agent to capture changes

Makalemin başında da söylediğim gibi bu program bilgi toplamak için agent’ a ihtiyaç duymamaktadır. Ancak bazı durumlar için, örneğin güvenlik izinleri, firewall veya başka bir neden ile uzak erişimde sorun olması halinde kesin ve net bilgi akışı için uzak makineye agent kurma şansınız da bulunmaktadır. Ben ilk DC için agentsız kurulumu yapacağım, ikinci dc için ise agentlı kurulum yapacağım.

Bu işlemden sonra yazılımın bir kapatıp açılması talebi karşınıza gelecektir ki bunu onaylayın lütfen.

Yaptığımız değişikliği hemen “Settings” menüsünden kontrol edebiliriz.

Ajansız olarak bu domain için sistem şu anda aktif.

Ortamda iki tane domain controller bulunmaktadır.

Ben programı kullanmaya başlamadan önce lisans tanımlamalarını yapıyorum. Program kullanıcı bazlı olarak lisanslanmaktadır.

Eğer lisans yüklemesi yapmazsanız programı kullanma imkanınız yoktur.

Gördüğünüz gibi Dashboard ekranında lisans uyarısı gelmektedir.

Bunun için sırası ile

License Information – Get Quote ve ardından 3 kişi için ( bende demo ortamında 3 kişi var ) “Generate License Request” düğmesine basıyoruz.

Oluşan lisans dosyasının sales@lepide.com a mail olarak gönderiyoruz.

Gelen lisans dosyasını yüklüyoruz;

Lisans yüklemesi sonrasında “Dashboard” kısmına geliyorum ve rapor pencerelerini yeniliyorum.

Yukarıda gördüğünüz gibi artık raporlar gelmeye başladı.

Hemen bu raporların altında ise bu bilgileri hangi aralıklar ile aldığının detaylarını görebilirsiniz.

Bu ilk ekranda değişikliklerin toplandığı saatleri görebiliriz. İstersek elle anında toplama işlemi yaptırabiliriz. (Active Directory Change Tracking )

Bu ekranda ise malum ürünün bir diğer özelliği olan Active Directory Change Control yani yapılan değişikliklerin geri alınması için belirli aralıklar ile var olan konfigürasyonun yedeği alınmaktadır.

Yeri gelmişken hemen bu tür bilgileri nerede saklıyor program onu görelim.

Ayarlar menüsüne geliyoruz.

Ayarlar menüsünde ikinci seçenek olan “Changes Collection Management” bölümüne tıkladığımız zaman hangi dizinde verilerin saklandığını, değişikliklerin hangi sıklıkla DC’ lerden çekileceğini, snapshotların hangi sıklıkla alınacağını değiştirebiliyoruz.

Dizin içerisi yukarıdaki gibidir. Snapshot ve diğer bilgileri ise domain ismini taşıyan klasör içerisinde tutmaktadır.

Bir sonraki bölüm “Alert” bölümü olup burada kendimiz için kritik gördüğümüz aksiyonların gerçekleşmesi durumunda bize bilgi vermesi için uyarılar oluşturabiliyoruz.

Örneğin ben bir silme işlemi için uyarı oluşturuyorum.

Mail tanımı yapıyorum.

Mail ayarı sonrasında bu uyarının kimlere ve hangi uyarı tipinde ( hata, bilgi, kritik vb ) gideceğini belirliyoruz.

Son olarak bu oluşturduğum alert için bir isim verip işlemi tamamlıyorum. Ardından alert menüsünde sol alt köşede oluşturmuş olduğum uyarıları görebiliyorum.

Bu uyarıların gönderilip gönderilmediğini de takip edebilirsiniz.

Örneğin ben “serkan” isimli kullanıcıyı sildim, bu durumda bana bir mail gelmesi gerekli, ama gelmedi bakalım durumu neymiş?

Gerek Alert bölümünde gerekse aşağıdaki gibi dashboard bölümünde bunun gönderilmediğini görebiliyoruz.

Tabiki bu mail’ in gönderilmemesi bu tür olayların kayıt edilmediği anlamına gelmiyor, bu uyarı detaylarını görmek için alert sekmesinden ilgili uyarının üzerine tıklamak yeterlidir.

Yukarıdaki gibi detay sayfasını göreceksiniz. Bu sayede uyarıları buradan da takip edebilirsiniz.

Raporu eml formatında kayıt edebiliyoruz, bu sayede mail okuma yazılımları ile de açabiliyorum.

Yine anlatacağım bir bölüm olduğu için hemen Reports sekmesine tıklayalım.

Bu bölümü çok seviyorum, çünkü pek çok rutin ve her an ihtiyaç duyacağınız raporlar şablon halinde hazır. Örneğin en son yaptığım silme işleminin hızlıca bir raporunu alalım.

Gördüğünüz gibi hazır şablonlardan ihtiyaç duyduğum herhangi birine tıklamam yeterli, son derece hızlı bir şekilde bana rapor sunmaktadır. İsterseniz raporun tarih aralığını değiştirebilirsiniz. Yine bu raporun sonuçlarını kayıt edebilirsiniz. Grafik ekranın alt bölümünde son derece dinamik bir bölüm var, burada istediğiniz gibi filtreleme yapabilirsiniz.

Bu bölümde zaten hazır raporların kullanılması son derece kolaydır.

Yine bu bölümde önemli bir özellik daha bulunmaktadır. Aldığımız snapshot ları görüntüleme.

Burada “Explore” dedikten sonra aşağıdaki dizini gösteriyoruz ( kurulum dizini )

C:\Program Files (x86)\LepideAuditor for Active Directory

Yukarıdaki gibi bir ekran açılmaktadır. Bu ekran mevcut snapshotların içeriğini görüntülemektedir.

Örneğin ben serkan kullanıcısını silmiştim, şimdi bakalım onu görebilecek miyiz?

Burada gördüğünüz gibi Domain’ in ilk kurulduğu zaman için herhangi bir ek kullanıcı yok.

İkinci alınan snapshot ise ( hatırlarsanız 6 saate bir alınıyordu ) yukarıda gördüğünüz gibi yeni kullanıcıları içermektedir.

Son alınan snapshot ise “serkan” kullanıcısı yok iken yeni açılan “mesut” kullanıcısını içermektedir.

Bir sonraki bölümde ise “Schedule Reports Management” ile rapor yönetimini gerçekleştirebiliyoruz.

Bu bölüm son derece kullanışlı ve beğendiğim bölümlerden biridir. Malum rapor her zaman önemli ancak önemli olduğu kadar karışık olmasına karşın Lepide sayesinde şablon raporları kullanarak hızlıca rapor hazırlayabiliyoruz.

Yukarıda da gördüğünüz gibi en son kullanıcı oluşturma işlemi için isterseniz belirli kişileri raporlayabilirsiniz. Yani tüm kullanıcı oluşturma işlemleri değil de sadece “Hakan” kullanıcısı tarafından oluşturulan kullanıcıları listeleyebilirsiniz.

Ben burada örneğin “administrator” kullanıcısı tarafından oluşturulan diyerek bir filtreleme yaptım.

E-mail ayarlarını yapıyorum.

Raporu hangi sıklıkla hazırlayacağımızı seçiyoruz.

Son olarak rapor’ a bir isim veriyorum.

Şimdi ise ürünün bir diğer özelliği olan yedekleme özelliğini inceleyeceğiz.

Her zaman söylediğim gibi burada da ek olarak bu bilgiyi vermek istiyorum. System State yedeğinizi bu tarz yedeklere rağmen mutlaka kullanın. Çünkü en sağlam yedek system state ( tercihen bare metal ) olup bunlar alternatif yöntemlerdir.

Peki, şimdi ilk olarak AD yapımıza bir bakalım

DENEME isimli OU ve içerisindeki “Hasan Uzuner” isimli kullanıcıyı silelim. Ancak bu işlemden önce sağlıklı bir snapshot alındığını dashboard üzerinden kontrol edelim ( malum 6 saatte bir alacak şekilde ayarladığım için bu OU yu açmadan önce almış ise, bu alınan snapshot işime yaramaz. )

Eğer elle almak isterseniz “Collect Snapshot Now” diyebilirsiniz. Şimdi Hasan kullanıcısını silelim.

Şimdi ise geri getirelim J

Sol tarafta mevcut yedekleriniz bulunmaktadır.

Örneğin en son sildiğim Hasan kullanıcısının içinde bulunduğu snapshot için yedekten dönme işlemini yapıyorum.

Bunun için ilgili kullanıcı veya objenin bulunduğu snapshot dosyasını tespit ediyoruz. Sonra bu bölümdeki aşağıda yer alan butona tıklıyoruz.

Bu bölümde ise sunucu yani domain ismi ve hangi snapshot’ a ihtiyaç duyuyorsanız bunu seçiyoruz.

Bu snapshot ile mevcut durum arasındaki fark hemen çıkıyor. Ben de zaten silinmiş olan bu kullanıcıyı geri getirmek istiyorum.

Dönme işlemini başarı ile tamamladık, şimdi kontrol edelim.

Dikkat ederseniz hesap geldi ancak disable, çünkü şifresi yok, bunun temel sebebi ise bu yedekten geri dönme işlemi değil aslında, reanimation olarak bilinen bir işler. Bu süreçte kullanıcıya ait olan tüm öznitelikler (atrribute) değil sadece aşağıdaki öz nitelikler geri yüklenmektedir.

Yani makalemin önceki bölümlerinde de söylediğim gibi yedekleme için mutlaka System state kullanmanız gerekmektedir. Bu tür basit geri dönüşler için ise Active Directory RecycleBin özelliğini kullanabilirsiniz.

Evet, bir makalenin daha sonuna geldik. Genel anlamda sektörde loglama noktasında pek çok yazılım bulunmaktadır, ancak günün sonunda bu yazılımlar son derece karmaşık ara yüzler, karmaşık alt yapılara ve yüksek lisans ücretlerine sahiptir.

Son derece düşük bir konfigürasyonda çalışan, mütevazı, kolay kullanılan, hızlı ve pratik bir yazılım. Ben pek çok Kobi nin bu yazılımı alıp kullanabileceğini düşünüyorum. Hatta tavsiye ediyorum J

Ürün hakkında daha fazla bilgi veya sipariş için aşağıdaki linki inceleyebilirsiniz.

http://www.lepide.com/active-directory-audit/

Bir sonraki makalemizde görüşmek üzere.

Öncesinde ücretli olarak satılan ancak şimdi ücretsiz bu ürünü denemenizi öneriyorum.

http://www.netwrix.com/account_lockout_examiner.html

Not:

Kayıt olduktan sonra size sunulan ürün Identity Management Suite, bu ürün içerisinde pek çok güzel ve kullanışlı araçlar var. Ancak bu ürün paralı. Size verdiğim link üzerinden kayıt olduğunuz zaman otomatik olarak buraya yönlendiriliyorsunuz, ancak burada gayet net bir şekilde yazıyor, yani süite programını kullanmak zorunda değilsiniz, kullanayım diyorsanız 20 gün deneme sürümü var, ama siz bu dosyayı indirip içerisinden sadece Account Lockout programınıda kurabilirsiniz.

Netwrix Account Lockout Examiner will help you to:
•    Identify account lockouts in real time: Should an account lockout happen, all operators will receive an e-mail alert with an optional link to a Web-based console for quick access to account details and operations. Email alerts can be configured to be triggered only when specified accounts are locked out.
•    Troubleshoot account lockouts: The lockout investigation engine of Netwrix Account Lockout Examiner will do its best to help you find the potential cause of account lockouts, such as mapped network drives, services and scheduled tasks running under stale credentials, disconnected remote desktop sessions, processes running under a locked account, etc.
Proactively resolve account lockouts: The product allows you to unlock accounts quickly via a Web-based console or even by email from your mobile device.

ManageEngine’nin daha öncede opmanager, servisdesk, password manager gibi ürünlerini kullandım ve kullanıyorum. Özellikle domain ortamımızda olan olayların loglarının kaydedilmesi ve anlamlı hale dönüştürülmesi için geliştirdiği ADAudit Plus’ı kullanmamıştır. Bir test ortamında test etmeye karar verdim ve test ettikten sonrada beğendiğim bu ürünün makalesini yazmaya karar verdim.

ManageEngine’nin admin dostu bu loglama çözümünün eksik yani ismi çünkü ürün sadece Active Directory Audit ürünü değil. Ortamımızda bulunan file serverlardaki yani dosya sunucularımızdaki aktiviterin (klasör – dosya oluşturma, değiştirme, silme vb), diğer rollere sahip sunucularımızın üzerinde gerçekleşen olayların (sistem dosyalarındaki, dll’lerdeki, driver’lardaki veya yüklenen uygulamalardaki her türlü olayı), print server yani yazıcı sunucumuzdaki yazma işlemlerinin dahi loglarını toplayabiliyor ve bunları anlamlı raporlar olarak sunabiliyor. ADAudit Plus’ta 160’dan fazla hazır rapor bulunuyor ve normal bir kullanıcının bile çok rahatlıkla anlayabileceğimi şekilde sunuyor.

Günümüz gereksinimlerinden biri artık olayları loglama ve bunlardan detaylı sonuçlar çıkarmadır. Sistemlerimizde gerçekleşen hertürlü olayın kaydedilmesi ve gerektiğinde kontrollerle kimin neyi gerçekleştirildiğinin görülmesi günümüz dünyasında daha da önemli hale geldi. Kullanıcılardan gelen soruların bir kısmı bile dosyayı kim sildi, dosyayı kim değiştirdi şeklinde gelmekte ve bizi ister istemez gerçekleşen her olayı kaydetme ve kullanıcıların yaptıklarından sorumlu tutulabilmeleri için bunları muhafaza etmeye itiyor.

Bilgi teknolojileri çalışanları arasında bile zaman zaman kimin oluşturduğu belli olmayan kullanıcılar, verilen hatalı yetkiler, değiştirilen group policy ayarları sorun olabiliyor ve ciddi güvenlik sorunlarına neden olabiliyor.

Daha birçok sebepten dolayı loglama bir lüks değil bir ihtiyaç haline gelmiştir.

ManageEngine ADAudit Plus hakkında detaylı bilgi için aşağıdaki linkten yararlanabilirsiniz.

http://www.manageengine.com/products/active-directory-audit/

Makalemizin bu ilk bölümünde ADAudit Plus’ın kurulumunu gerçekleştireceğiz ve gereken ayarlarımızı yapacağız.

Kurulum yapılacağımız sunucunun minimum gereksinimlerinin listesini aşağıdadır.

Desteklediği İşletim Sistemleri:

ü  Windows XP

ü  Windows Vista

ü  Windows 7

ü  Windows 8

ü  Windows 8.1

ü  Windows 2003 Server

ü  Windows Server 2008

ü  Windows Server 2008 R2

ü  Windows Server 2012

ü  Windows Server 2012 R2

Windows işletim sistemlerinin hepsini desteklediğini rahatlıkla söyleyebiliriz ama işletim sistemi kurulurken dil ve bölge ayarlarının aşağıdaki gibi olmasına dikkat etmeliyiz.

Format: English (United States)

Location: United States

Administrative: English (United States)

Sistem gereksinimlerinin detaylı bilgisini aşağıdaki linkten bulabilirsiniz.

http://www.manageengine.com/products/active-directory-audit/system-requirements.html

Kurulumu başlamak için sunucumuzun versiyonuna göre 32 veya 64 bit için gereken kurulum doyasını aşağıdaki adresten indirmemiz gerekiyor. 30 gün boyunca ADAudit Plus’ın tüm özelliklerini deneyebiliriz ve kullanabiliriz.

http://www.manageengine.com/products/active-directory-audit/download.html

ManageEngine ADAudit Plus’ın 50 Mb gibi küçük bir boyuta sahip olmasına aldanmamamız gerektiğini kurulum sonrası hünerlerine bakınca daha net göreceğiz.

Benim test sunucum Windows Server 2012 64 bit olduğu için ManageEngine_ADAudit_Plus_x64 kurulum dosyası ile kurulumu gerçekleştireceğim.

Her zamanki gibi Welcome sayfası bizi karşılıyor ve NEXT ile kuruluma başlıyoruz.

ManageEngine ADAudit Plus’ın sözleşmesini YES seçeneği ile kabul ediyoruz.

Kurulum dizini ayar ekranı açılıyor. Ben varsayılan dizine kurulumu yapmak istediğim için herhangi bir değişiklik gerçekleştirmiyorum. Eğer siz başka bir dizin seçecekseniz BROWSE ile belirlediğiniz dizini ayarlayabilirsiniz. Dizini belirledikten sonra NEXT ile devam ediyoruz.

ADAudit Plus’ın arayüzü ManageEngine’nin diğer uygulamalarında (Opmager, Service Desk vb.) olduğu gibi web üzerinden hizmet vermekte ve oldukça kullanıcı dostudur. Web arayüzüne giriş için kullanılacak varsayılan port 8081’dir. Bu portu değiştirmek istersek gireceğimiz portu başka bir uygulama veya web sayfasının kullanmıyor olması gerekmektedir. Ben varsayılan portu değiştirmeden NEXT ile devam ediyorum.

Opsiyonel olmakla birlikte Teknik Destek için bilgilerinizi girebilirsiniz. Ben bilgilerimi girip NEXT ile devam ediyorum.

Kuruluma başlamadan önce kontrol ekranında kurulum bilgilerini kontrol edip NEXT ile kurulumu başlatıyoruz.

Kısa bir yüklemeden sonra kurulum sonlandırma ekranı geliyor ve FINISH ile kurulumu bitiriyoruz.

ManageEngine ADAudit Plus’un Windows servis’inin kurulumunu yapalım.

Bunun için iki yöntem bulunuyor.

1.       Başlat – Tüm programlar - ADAudit Plus – NT Service – Install ADAP Service’i tıklayıp kurmak

2.       Kurulum dizinindeki bin klasöründe bulunan InstallNTService.bat’I tıklayıp kurmak

Varsayılan Dizin Adresi :C:\Program Files (x86)\ManageEngine\ADAudit Plus\bin

Servisleri kontrol ettiğimizde ManageEngine ADAudit Plus’ın otomatik ama stop durumda olduğunu görüyoruz. Servisi başlatıyoruz.

Eğer servis başlamaz ve uyarı verirse sunucunuzu restart etmeniz gerekebilir.

Masaüstüne ADAudit Plus’ın ikonu kısayol olarak geliyor. Tıklayarak AdAudit Plus’ın web panelini açıyoruz.

Kurulum sonrasında henüz herhangi bir domain eklemediğimiz için lokal hesapla giriş yapmamız gerekiyor.

ADAudit Plus Lokal Admin Hesap Bilgileri

Kullanıcı: admin

Şifre: admin

Kullanıcı adı ve şifreyi girdikten sonra LOGIN ile giriş yapıyoruz.

İlk önce mevcuttaki domain bilgilerimizi girerek domain’imizi tanıyoruz. Domain ismimizi ve ortamımızda yetkili bir kullanıcı hesabını girerek SAVE’e tıklıyoruz. Burada gireceğiniz kullanıcı hesabının domainde yetkili bir hesap olması gerekiyor ve mümkünse bu işe özel bir servis hesabı oluşturun ve onu kullanın.

Bir domain controller eklememiz gerektiğini belirten bir popup geliyor ve OK ile domain controller ekleme ekranına geçiyoruz.

Benim test ortamımda bir domainim olduğu için onun yanındaki kutucuğa tik’i atıyorum. Sizin birden çok dc’niz varsa burada onları da görecek ve ekleyebileceksiniz. ADD ile ekleme işlemini sonlandırıyoruz.

Event Fetch Interval’da ne kadar sürede logları almasını istediğimizi belirtip SAVE ile eklemeyi bitiriyoruz.

Giriş sonrasında ADAudit Plus’ın web paneline bağlanıyoruz.

Active Directory, file server ve Windows serverların olay loglarını almaya başlamadan önce Admin tabından bazı ayarlarımızı güncellememiz gerekiyor.

İlk önce General Settingsteki alanlarını yapılandıralım.

Personalize kısmından local admin şifre değiştirme, tema seçimi, tarih saat formatı ayarları ve en önemlisi zaman dilimi ayarlarını yapabiliyoruz. ManageEngine ADAudit Plus’ın logon ekranında domain hesabımızı kullanarak girmek istiyorsak ilk önce logon ekranında domainimizi görünür yapmamız gerekiyor ve daha sonra kullanıcımızı yetkilendirmemiz. Domain’in görünmesi içn “Log on to” options kısmından domainimizi seçmeliyiz. Sonra SAVE CHANGES ile ayarları kaydediyoruz.

Connection kısmından web panelinin portunu, ssl kullanıp kullanmayacağımızı ve zaman aşımı süresini ayarlayıp SAVE CHANGES ile ayarları kaydediyoruz.

ADAP Server kısmında servisin Windows ile start olması ADAudit Plus’ın startup eklenmesi gibi ayalar bulunmaktadır.

Mail Server kısmında belli sürelerde yollanmasını istediğimiz raporların ve alertlerin yani uyarıların  e-posta ile gönderimi için gereken mail sunucusu bağlantısını giriyoruz. Mail gönderimini ADAudit Plus relay izni ile de kullanıcı adı – parola ile de gönderebilmektedir.

Jump To kısmından sistemimizde bir ManageEngine ADManager Plus varsa iletişim bilgilerini girebilir ve yukarıda bulunan Jump To kısmında direk ADManager Plus ile ManageEngine’nin Exchange Reporter Plus ve ADSelfService Plus ürünleri arasında rahat bir şekilde geçiş yapabiliriz.

Configuration alanındaki Alerts kısmından oluşan alarmların üzerinden ne kadar zaman geçince sileceğini belirleyebilirsiniz. Varsayılanda 90 gün olarak ayarlıdır.

Archive Events kısmında hangi kategorideki olay loglarının database kaydedildikten kaç gün sonra database’den arşive dosyalarına aktarılacağını ve bu arşiv dosyalarının nerede tutulacağını belirleyebiliriz. Bu işlem database’in çok fazla şişmesini ve sorguların yavaşlamasını önleyeceği için gereklidir.

Restore Archived Events kısmından arşivlediğimiz loglarımızı tekrar ADAudit Plus’un üzerine yükleyebiliriz ve kontrollerimizi gerçekleştirebiliriz.

Import Evt/Evtx Logs kısmında evt ve evtx log dosyalarını direk ADAudit Plus’a aktarabilir ve bu loglardan rapor çekebiliriz.

Administration alanındaki Alert Me kısmından ADAudit Plus’ın hata aldığı durumlarda bize bilgilendirme maili yollayarak durumu tarafımıza iletmesini sağlayabiliriz.

Technicians kısmında ADAudit Plus’a girmeye yetkili hem lokal hemde domain ortamımızdaki kullanıcıları tekniker olarak atayabiliriz.

İki tekniker türü bulunmaktadır. Admin raporlamanın yanında ayarlarda yapabilmekte ama operatör sadece raporlama yapabilmektedir.

ScheduleReport kısmında topladığımız loglardan derlenen raporlarımızı belli sürelerde mail olarak tarafımıza iletilmesini sağlayabiliriz. Raporlama konusunu başka bir makalede detayları ile anlatacağım için burada bu özelliğe girmiyorum.

Disk Space Alert kısmında ADAudit Plus sunucusunun sabit diskinin dolma ihtimaline karşı bize uyarı maili göndermesini ayarlayabiliyoruz.

Exclude User Accounts kısmındaysa istediğimiz kullanıcıların loglarının raporlarda görünmemesini sağlayabiliriz.

Business Hours kısmında çalışma saatlerimizi ve günlerimizi belirleyip raporlarımızdaki olayları detaylandırabiliriz. Özellikle şifre denemeleri gibi olaylarda oluşan logların çalışma saati içinde olup olmaması bilgisi bizim için önemli olabilir. Eğer çalışma saatleri dışında bir kullanıcının şifresi sürekli hatalı giriliyorsa bu bir saldırı olabilir ve bu konuda aksiyon almamız gerekebilir.

Admin tabındaki ayarlarımızı yaptıktan sonra Home tabına geçiyoruz ve sistemlerimizdeki ve sunucularımızdaki olay loglarını toplamaya balşıyoruz.

Home tabına girince bir uyarı yazısı beliriyor. Bu uyarı yazısı henüz mevcut domainimizdeki domain controllerların audit eventlerinin yani olay loglarını üretmediğini ve olay loglarının açık olmadığını söylüyor.

Mevcut Default Domain Controllers Policy’iyi kontrol ettiğimizde audit eventlerinin yani olay loglarının açık olmadığını görüyoruz.

ADADuit Plus’ta iki yöntemle Group Policylerdeki ayarları yapabilirsiniz.

Birincisi manuel yöntem. Bu biraz zahmetli bir iş ama yardımcı olması adına aşağıdaki linkten hangi logların ve SCALs’ların açılması gerektiğini kontrol edebilir ve elle ayarlayabilirsiniz.

http://www.manageengine.com/products/active-directory-audit/help/index.html

Getting Started - Configuring Audit Policy - For Domain Controllers - Manual Configuration

İkincisiyse ManageEngine ADAudit Plus’ın sizin için bu işlemleri otomatik yapmasıdır. Bunun için tek yapmanız gereken CLICK HERE’e tıklamamızdır.

Çok kısa bir süre sonra işlemin bittiğini mesajı ekrana popup olarak geliyor.

Kontrol ettiğimizde bizim için hem audit eventlerin yani olay loglarının hemde SACLs’ların ayarlandığını görebiliriz.

Manuelle göre bu da çok basit oldu… J

Group Policylerin aktif olması için mevcuttaki domain controllerlarda GPUPDATE /FORCE komutunu çalıştırıp DC’lerin group policy ayarlarını almasını sağladıktan sonra artık ADAudit Plus’ın oluşan logları almasını sağlamış olacağız.

Bir süre sonra ADAudit Plus’un web panelinde logların geldiğini göreceğiz. Domain ortamımızdaki kullanıcıların, bilgisayarların ve diğer objectlerin yani nesnelerin hakkında veya üzerinde yapılan değişikliklerin neler olduğunu detaylarıyla inceleyebileceğiz.

Graphical View ekranında olayların özetlerini grafiksel olarak görüyoruz.

Top User Logon Failures alanında hangi kullanıcıların kaç kere hatalı giriş denemesi yaptığını,

Logon Failures – Error Code alanında hangi sebeple girişte başarısız olduğunu,

Password Changed/Set Users alanında şifre değişikliği gerçekleştirme olayları görebilirsiniz.

Summary View ekranı sabah 5’de çalışır ve o zamana kadar gerçekleşen olayların özetlerini görmemizi sağlayan bir ekrandır. Elle de istediğimiz zaman Summary View ekranını tetikleyebiliriz.

RUN NOW’a tıklayalım ve özet bilgimizi görelim.

Özet kısımda domainde bulunan kullanıcıların, grupların, bilgisayar hesaplarının, Organizational units ve Group Policy nesnelerinde olan biten herşeyi sayısal özet olarak görebiliyoruz.

Örneğin benim test için yaptığım kullanıcı hesabı pasif etmenin Disabled Users’e yansıdığını görebilirsiniz. Disabled Users’ın yanındaki 1 sayısı ilgili konuda kaç değişiklik olduğunu gösteriyor.

Benim beğendiğim bir özellikte bu rakama tıklayarak gerçekleşmiş olaylarının loglarına erişebilmemizdir.

AdAuditTestUser5’in hesabının Administrator kullanıcısı tarafından dcsrv sunucusu üzerinden 25/09/2014 13:21:22 tarihinde pasif duruma getirildiğini görüyoruz.

Bu arada sol tarafta hazır olarak bekleyen 160’dan fazla raporun olduğunu görmüş olduk. Bu raporlardan bazılarına bir sonraki makalemizde değineceğiz.

Domain’imizi ve domain controllerımızı ekledikten sonra şimdi sıra geldi file serverlarımızın yani dosya sunucularımızın olay loglarını alarak kimin hangi klasörde veya dosyada ne işlem yaptığını kaydetmemize ve raporlamamıza.

Burada yine hatırlatmakta fayda var; NetApp Filer, EMC Server ve Windows FailOver Clusterlardan da bu olay logları alınıp ADAudit Plus’ta işlenebiliyoriz.

File Audit tabına tıklıyoruz ve henüz bir Windows File Server’ın eklenmediğini görüyoruz. Eklemek için ADD FILE SERVERS’a tıklıyoruz.

Domain ortamındaki sunucuların listesi geliyor. Benim test ortamımda Domain Controller aynı zamanda file server yani dosya sunucusu olduğu için onu seçiyorum ve GET SHARES ile sunucu üstündeki paylaşımları görüyorum.

Seçilen sunucu üzerindeki paylaşımların listesinden istediğimizi seçiyoruz ve OK ile ekleme işlemini bitiriyoruz.

Paylaşımın bulunduğu sunucuda ilgili audit eventlerin yani olay loglarını üretilmesi ve takibi için Group Policyde ve paylaşım üzerinde gereken izinlerin verilmesini isteyip istemediğimiz soruluyor. Daha önce söylediğimiz gibi bu işlemi buradan otomatikte yapabiliriz manuel kendimizde ayarlayabiliriz. Ben otomatik yapmak istediğim için YES ile devam ediyorum.

Eğer siz manuel yapacaksanız aşağıdaki linkten yararlanabilirsiniz.

http://www.manageengine.com/products/active-directory-audit/help/index.html

Getting Started - Configuring Audit Policy - For File Server - Manual Configuration

Ekleme işi bittikten sonra loglar yavaş yavaş gelmeye başlayacaktır. Eğer logların gelip gelmediğini hemen kontrol etmek isterseniz RUN NOW’a tıklayarak 2 saati bekletmeden elle çalıştırabilir ve bu arada üretilen log varsa onları çekmemizi sağlayabiliriz.

File Audit tabını tekrar açar ve sağ üst köşeden View File Audit Reports’a tıklarsanız gelen loglara göre bütün klasör ve dosyalardaki değişiklikleri grafiksel pasta olarak görebilirsiniz. Hemen altında da hangi dosyanıni klasörün oluşturulduğunu, değiştirildiğini ve silindiğini gibi işlemlerin kimin tarafından ne zaman yaptığın detayları ile görebiliriz.

Add/Remove Columns’dan çeşitli kolonlar ekleyerek olaylarla ilgili daha detaylı bilgiler edinebiliriz.

Logların oluşması ve gelmesi için biraz daha zaman gerekebilir.

Server Audit tabındanda sunucularımızdaki kritik sistem dosyalarımızın değişip değişmediğini, sunucularımıza kimlerin giriş yapıp neler yaptığını, çalışan veya çalıştırılan uygulamaların detaylarını ve print serverımızdan yani yazıcı sunucumuzdan kimlerin hangi dosyaları yazdırdığını görebiliriz.

Domain controllerımız ve file serverlarımız ekledik şimdi de sistemimizde bulunan diğer sunucuları da buraya ekleyerek onların üzerinde gerçekleşen olayları nasıl takip edeceğimizi görelim.

Sunucularımızı eklemek için Configuration tabından Configured Member Server(s)’a alanına geçiyoruz. ADD MEMBER SERSERS’a tıklıyoruz.

Açılan pencerede istediğimiz sunucuları seçip ADD’e basıyoruz.

ADAudit Plus logon events policy’nin eklenen sunucularad enable edileceğini belirtiyor. Ben yine kolay yolu seçiyorum ve YES diyorum. J

Eğer siz manuel yapacaksanız aşağıdaki linkten yararlanabilirsiniz.

http://www.manageengine.com/products/active-directory-audit/help/index.html

Getting Started - Configuring Audit Policy - For Member Servers - Manual Configuration

Sunucularımızdaki kritik dosyalardaki değişiklikleri olaylarının loglarını toparlayıp kontrol edelim.

Server Audit tabından CONFIGURE FILE INTEGRITY’e geçip Click here to configure’a tıklıyoruz.

Üstte hangi domain controllerda ve hangi serverlerda bu kontrolün yapılacağını seçiyoruz. Daha sonra hangi dosyalardaki hangi uzantıların takip edileceğini belirliyoruz ve CONFIGURE NOW ile kaydediyoruz.

Ekranda görüldüğü üzere test ortamındaki bir adet domain controllerın ve 4 adet server’ın otomatik olarak eklendiğini görüyoruz.

Benim test ortamımda print serverım olmadığı için ekleyemiyorum ama sizin ortamınızda varsa Configure Printers’a tıklayarak yine aynı basit ve kolay yöntemle gerçekleştirebilirsiniz.

Alert tabından ADAudit Plus’ın olay loglarında yakaladığı kritik olayları görebilirsiniz. Örneğin sistem audit loglarını kimin sildiğini, AD schema’da yapılan değişiklikleri, admin yetkisine sahip kullanıcıların hatalı giriş denemelerini, admin gruplarındaki değişiklikleri tek tıklama ile görebiliriz.

Makalemizin bu bölümünün sonuna geldik ManageEngine ADAudit Plus’ın kontrol paneli üzerinden domain ortamımızdaki olayları, dosya sunucumuzda gerçekleşen aktiviteleri ve sunucularımızdaki kritik değişiklikleri nasıl takip edebileceğimizi görmüş olduk.

Önümüzdeki makalede ManageEngine ADAudit Plus’ın karmakarışık domain ve sunucu loglarını, raporları aracılığıyla nasıl anlamlı ve daha anlaşılır hale getirdiğini bazı raporlar üzerinde göreceğiz.

Makalemizin bir sonraki bölümünde de görüşmek üzere.

Ürünün genel özellikleri aşağıdaki gibi olup güzel bir özet tablo olduğu için paylaşmak istedim

• İmaj ve dosya yedekleme ikisi birarada
• Patentli donanım bağımsız imaj restore özelliği (Boot cd ve PXE server desteği)
• Merkezi yönetim desteği ve uzaktan ajan yükleme
• Active Directory desteği
• Secure Zone özelliği ile virüs geçirmez yedekleme ve geri dönüş *1
• 5 farklı alana yedek alabilme özelliği
• Tekilleştirme ile yedekleme alanından tasarruf
• Tape desteği
• Otomatik felaket kurtarma planı *2
• Acronis Cloud’a yedekleme opsiyonu ile verilerin şifreli olarak kurum dışında tutulabilmesi
• Boot sırasında F11 tuşuna basarak hızlı restore*3
• Dosya filtreleme (video ve müzik vb. dosyaların yedeklenmesini engelleme)
• Dağıtık mimari ile binlerce client’a ait yedekleme operasyonunun tek bir merkezden yönetilebilmesi

1. Secure Zone Acronis’a ait bir teknolojidir. Bu özellik ile PC’nin diskinden bir bölümü yedekleme olarak rezerve edilir ve yedekler bu alana da yazılabilir. Bu alan işletim sistemi tarafından görülemediği için virüs saldırıların etkilenmez.
2. Her yedek alımında felaket kurtarma planı oluşturularak, gerektiğinde imaj restore işleminin makineye özel olarak nasıl yapılacağı ayrıntılı olarak anlatılır.Bu sayede hiç Acronis bilmeyen bir kişi bile çok kolay bir şekilde istenilen imaj yedeğini yeni bir donanıma restore edebilir.
3. Acronis, Startup Recovery Manager aktif edildiğinde PC boot edilirken F11 ‘e basıldığında sistemin Acronis Recovery agentı ile açışmasını sağlar. Bu şekilde PC’nin işletim sistemi çalışmasa bile Secure Zone ‘undaki veya başka bir lokasyon bulunan imajı restore edilebilir.

(343)

Ürün özelliklerini anlatan özet bir tablo. Umarım faydalı olur.

Acronis Backup Advanced for Windows – Linux – Exchange – SQL – SharePoint – Active Directory – Vmware – Hyper-V

• Tek bir konsoldan fiziksel, Sanal ve client yedekleme yönetimi
• Uygulama, imaj ve dosya bazında yedekleme desteği
• Patentli donanım bağımsız imaj restore özelliği (Boot cd ve PXE server desteği)
• Single-Pass yedekleme ile fiziksel ve sanal makine yedeği içinden uygulama,imaj ve dosya bazında restore
• Fiziksel server yedeklerinin otomatik olarak sanal makineye çevrilebilmesi (felaket kurtarma amaçlı)
• Çok kapsamlı Linux desteği (imaj ve dosya)
• Geniş sanallaştırma platformu desteği (Vmware, Hyper-v, Oracle VM, Citrix XenServer, RHEV/KVM, Parallels)
• 5 farklı alana yedek alabilme özelliği (disk,tape,nas,ftp,sftp, deduplication unitelerine ve cloud’a yedekleme desteklenir)
• Tekilleştirme ile yedekleme alanından tasarruf
• Tape, Autoloader desteği
• Otomatik felaket kurtarma planı oluşturma *1
• Acronis Cloud’a yedekleme opsiyonu ile verilerin şifreli olarak kurum dışında tutulabilmesi
• Dağıtık mimari ile binlerce Server ve client’ın yedeklenebilmesi
• Wake-on LAN desteği

1- Her yedek alımında felaket kurtarma planı oluşturularak, gerektiğinde imaj restore işleminin makineye özel olarak nasıl yapılacağı ayrıntılı olarak anlatılır.Bu sayede hiç Acronis bilmeyen bir kişi bile çok kolay bir şekilde istenilen imaj yedeğini yeni bir donanıma restore edebilir.

(547)

Veritas markasına ait olan Desktop Laptop Options yazılımını son sürüm 8.0’a yükselteceğiz. Bu yazılım ile kullanıcı bilgisayar(masaüstü, dizüstü)’larında dosya ve klasör yedeklemesi yapabilirsiniz.

İzlemek için lütfen TIKLAYINIZ

(572)

Malum bu sektörde eski olan pek çok sistem uzmanı CA – Arcserve olarak bildikleri ve yıllardır büyük bir güven algısı ile tanıdıkalrı ürünün aslında artık ayrı bir firma olarak hayatına devam ettiğinden haberi olmayabilir. Tabiki ürünü yakından takip eden ve bizzat kullananlar hariç. Evet artık Arcserve ayrı bir marka ve daha bağımsız olmasının verdiği çeviklik ile günümüz iş ihtiyaçlarını karşılama noktasında da çok başarılı. Aslında benim asıl heyecanım v6 ile gelecek olan bazı yeniliklerin haberini almış olmam ile birlikte bu yıl içerisinde aldığı bir ödülü de sizlere duyurumak istememdir. Evet yine VMworld’ ü takip edenlerin dikkatinden kaçmamıştır ancak Arcserver UDP ürünü, VMworld 2015 etkinliğinde sanal platformalar için en iyi felaket senaryosu ve yedekleme ürünü olarak seçildi.

Fazla söze gerek yok aslında ürün ortada. Yeni sürüm yeniliklerini paylaşmaya devam edeceğim.

(77)

Belki basit bir hata olacak ama insanın aklına gelmeyince zaman kaybına yol açabilir. Olurda Veeam yedekleme sunucusunun ismini değiştirirseniz mutlaka aşağıdaki iki kayıt anahtarında da SQL ve Path için yeni sunucu ismini girin, aksi halde servisler açılmıyor.

HKLM\SOFTWARE\Veeam\Veeam Backup and Replication\SqlServerName

HKLM\SOFTWARE\Veeam\Veeam Backup Catalog\CatalogSharedFolderPath

(252)

Verilerinizin büyüklüğü önemlidir. Yedeklediğiniz verilerin boyutunun küçülmesi daha da önemlidir. Size bu konuda söz veren backup yazılımları, sizi yeni disk alımları ve deduplication yapan cihazlar aldırmak zorunda bırakıyorsa, backup yazılımınızı ve yatırımlarınızı gözden geçirmenizde fayda var.

Arcserve, başı yedekleme alanı ile belada olan herkese UDP Versiyon 5.0 ile yeni bir çözüm önerisinde bulunuyor.

Arcserve, Source Side Deduplication ve Global Deduplication (4K veri boyutunu destekler) özellikleri ve aldığı ödüller ile pazar lideri olduğunu kanıtlamıştır. Arcserve UDP yedeklediğiniz datanın boyutunu dramatik bir şekilde azaltmaktadır.

Aşağıda kullanıcılarımızdan gelen oranların sizleri şaşırtacağına eminiz. Yedeklediğimiz datanın gerçek boyutu ile yedekleme sonucu ortaya çıkan boyuta ve global deduplication oranlarına dikkat etmenizi tavsiye ederiz.

Örnek _1

Örnek_2

Örnek_3

Daha detaylı bilgi için : http://arcserve.com/data-protection-solutions/data-deduplication-software/

(113)

ARCSERVE Türkiye Satış sonrası destek hattı faaliyete geçmiştir. Bundan sonra Pazartesi-Cuma günleri ; 09-18.00 saatleri arasında 0212 900 89 39 numaralı hattan Türkçe olarak destek alabileceksiniz.

Numarayı çevirdikten sonra ; TÜRKÇE DESTEK için 4’ü tuşladığınızda karşınıza ARCSERVE Support Engineer çıkacaktır.

(127)

İşletmeler için Bilgi Teknolojileri eşsiz bir kaynaktır, Fakat aynı zamanda bir o kadar da bağımlılığı temsil eder. İş uygulamaları kullanılabilirliği herhangi bir kesinti kaldırmaz böyle bir durum aniden meydana gelebilir ve verimlilik kaybına yol açar. Aşırı, zaman kaybına yol açan kesinti işinizin varlığını bile tehdit edebilir.

Bu bağlamdan bakacak olursak kontrol sizin elinizdemi? Yoksa şartlar sizi esir almış durumda mı?

Arcserve® Unified Data Protection (UDP) ile işletmelerin tüm veri koruma ve yüksek erişilebilirlik ihtiyaçlarını tek çözümle karşılayabilmelerine olanak sağlıyor. Büyük ölçekli kurumların yıllardır kullandığı kesintisiz iş sürekliliği çözümleri artık arcserve teknolojisi ile tüm kurumlar için mümkün.

ARCserve High Availability size nasıl yardımcı olur:

• İş sürekliliği ve felaket kurtarma stratejileri sunar.
• Sistemleriniz arızalansa dahi kaldığınız yerden devam etmenizi sağlayarak veri kaybını minimuma inidirir.
• Fiziksel ve sanal sunucular, Windows, Linux ve UNIX sunucu işletim sistemlerine desteği bulunmaktadır.
• Arcserve® UDP Assured Recovery™ gerçek zamanlı felakete hazırlık testleri ile iş sürekliliği planlarının (iş akışıları aksamadan) doğrulanmasına imkan vermektedir.
• Tek bir tık ile otomatik yük devretme (failover) ve geri dönme (failback) desteği bulunmaktadır.
• LAN ve WAN üzerinde onsite, offsite, ve cloud desteği ile gerçek zamanlı veri koruma sağlar.
• Geriye dönük restore pointler tutarak güncel datanızın hasarlanması durumunda en yakın sağlıklı noktaya dönmenizi sağlar.
• Mevcut sistemlerinizin üzerinde yapamayacağınız upgrade leri replica sunucuları üzerinde gerçekleştirmenize olanak sağlar.

Arcserve UDP Premium Plus Edition sürümü ile birlikte Arcserve UDP nin tüm özelliklerin yanı sıra Arcserve Replication ve High Availability ürünlerinin içerdiği bütün işlevleri ücretsiz sunulmaktadır.

(94)

Faster, More Flexible Recovery Options

• Hardware Snapshot Support
  • Enables high performance, low-impact snapshots of physical &  virtual servers
• Instant VM
  • Recover & power on VM’s within minutes, from a UDP recovery point
  • Supports recovery from agent-based & agentless backups
  • Supports VMware, Hyper-V & virtual to physical restores
  • Centralized status monitoring of VM recovery
• Instant BMR (Linux only)
  • Enables local and remote bare metal recovery of physical machines from within the UDP Console
  • Ideal for MSP’s & remote sites, as there’s no need for physical access to the protected system, or need to boot into a local BMR environment
• Improved Recovery Performance
  • Enhanced performance & stability for replication over the WAN
  • Enhanced throughput for copy recovery point, recover VM & BMR jobs from RPS store

Linux Platform Enhancements

• Linux Agent & RPS Features
  • Source-side, global dedupe backups & replication to RPS
  • Support for merging of recovery points (Infinite incremental backups)
  • Support for Instant VM recovery & Instant BMR
  • Support for RPS to RPS replication
  • Support for BMR of uEFI systems
  • Support for archive to tape from RPS
  • Support for “Sudo” authentication for backup source, for Improved security
  • Support for XFS file system
  • Include or exclude specific volumes in a backup plan
• Additional Linux OS Support
  • Support for RHEL, CentOS v7.x & Oracle Linux 7.x, SLES 12 with BtrFS & KVM
• Granular Recovery for Linux VM’s
  • Enables file/folder level recovery of Linux VMs backed up via agentless, host-based backups, on vSphere & Hyper-V hosts
  • Supports most popular file systems such as, ext2, ext3, ext4, ReiserfS, XFS & BtrfS

     

Microsoft Platform Enhancements

• Windows 10 Support
  • Supports agentless or agent-based backups of Windows 10 systems
• Exchange granular recovery for non-Email items
  • Enables recovery of Exchange journal, calendar, task & public folder items
• SharePoint Granular Recovery
  • Enables recovery of SharePoint, with the following granularity: Farm, Farm with configuration only, SharePoint services, web Applications, content databases, site collections, sites & lists
• Reboot-less Windows Agent Deployment
  • Eliminates the need to reboot production systems, when deploying the UDP for Windows agent

Management Enhancements

• Role-based Administration
  • Enables administrators & MSPs to control reconfiguration & access to backup plans, nodes, data stores, restores, licensing, reporting etc.
• Improved WAN Support for UDP Console
  • Enables administrators & MSPs to centrally manage & deploy nodes seamlessly over the WAN & removes the need to deploy a VPN, due to issues with NAT (Network Address Translation)
• File Copy & File Archive from RPS
  • Copy & archive files/folders from a local RPS, or a replicated RPS, to a secondary storage or public/private cloud location

(64)

Selamlar arkadaşlar,

Brightmail kullanan ortamlarda sahada gördüğüm kadarıyla yapılması atlanan önemli bir konfigürasyon var; DISARM. Default aktif olarak gelmiyor; bu nedenle sizleri bilgilendirmek istedim.

Disarm temel olarak, ofis dokumanları, PDF dosyaları gibi dosya formatları içerisinden exploit edilebilen zararlı kodların engellenmesi olarak tarif edebilirim. Örneğin bir word dokumanının içerisindeki gömülü bir flash içerik makro zararlı kod, bir zafiyeti kullanarak networkunuze zarar verebilmekte. Özellikle spear phishing dediğimiz hedefli saldırılara karşı koruma sağlayan bu özelliği aktif hale getirmenizi öneriyorum. Malum, saldırganlar mail gatewaylerden executable dosyaların engellenmesi nedeniyle, bu tip gelişmiş metotlar kullanıyorlar.

Ekte, ekran görüntülerini fikir vermesi açısından paylaştım.

Her zamanki gibi, önce bir test grubu oluşturup, devreye alıp gözlemleyip, sonrasında genele uygulamanızı tavsiye ederiz. Test esnasında olası bir false positive oluşturma durumuna karşı “Archive the message” opsiyonu da kullanabilirsiniz. (Slide 25) Bir diğer önerimde status ekranında kaynak utilizasyonlarını kontrol ettikten sonra devreye almanız. Sözgelimi 4 GB RAM li eski tip bir donanımda bu tip gelişmiş korumaları aktif etmeniz, performans sıkıntılarına yol açabilir.    </LI>

Disarm nedir: Makale: http://www.symantec.com/docs/HOWTO93093 Video: http://bcove.me/383lkdhs

Disarm ayarı: Makale: http://www.symantec.com/docs/HOWTO93096

Bilgilerinize, iyi çalışmalar.

Kaynak: Eren Sonmez – Symantec

(98)

Artık hepimizin yakından bildiği fidye yazılımları, her geçen gün çok daha fazla insanı etkilemekte ve daha fazla iş/maddi kayba yol açmaktadır.
Dünya üzerinde insanları etkileyen 30'dan fazla Locker bulunmaktadır. Bunlar genel olarak aynı işlemi yapsa da çalışma prensipleri ve yöntemleri farklıdır.
Bu yazılımlardan korunmaya yönelik çeşitli araçlar/yazılımlar bulunsa da, kesin bir koruma iddiası şu aşamada çok mümkün görünmüyor. Bahse konu koruma yazılımlarının dışında, bilgisayarlarınızda veya ağınızda aşağıdaki işlemleri uygularsanız ciddi sayılabilecek bir korunma sağlamış olursunuz. 

Nedir bu araçlar?
1-Belli klasörler veya yollardan belirli dosyaların çalışmasının yerel grup ilkeleri ile engellenmesi
2- Önemli bir yedek rutini olan gölge kopyaların ( shadow copy ) korunması ve etkinleştirilmesi

1- Yerel Grup İlkesi (Group Policy ) ile zararlı yazılımların engellenmesi :
 Yazılım Kısıtlama ilkesinin kullanılması ( Software Restriction Policy )
Software Restriction Policy kullanımıyla ilgili genel makaleye şu adresten ulaşabilirsiniz. Biz bu makalede yalnızca kripto yazılımlarını engellemeye yönelik çalışmalar yapacağız.
İlgili makale :
http://www.cozumpark.com/blogs/windows_server/archive/2008/04/28/software-restriction-policy.aspx

Yerel Grup Ilkesini (Group Policy) kullanmak için Pro seviyesinde bir işletim sistemi kullanıyor olmanız gerekir. 64 ya da 32bit seçeneği bu anlamda bir sorun teşkil etmez.

Yazılım Kısıtlama İlkesine başlatàgpedit.msc yazarak kolayca erişebilirsiniz.

Software Restriction Policy; yukarıda da değindiğimiz gibi çeşitli yazılımların çalışmasını engellemeye yönelik kurallar oluşturmamıza yarayan bir politika şablonudur.

Kripto yazılımları genel olarak; mail ile ya da web'ten indirdiğinizde kendisini %appdata% ya da %temp% altına kopyalayarak buradan çalışmaya başlar. TorrentLocker v3'te bu durum değişmiş ve Windows kök klasöründen çalışmaktadır. Ama diğer kripto yazılımlarının geneli bu ana klasörlerden çalışmaktadır. Öncelikle bu klasörlerden *.exe çalışmasını engellemeye çalışacağız.

New Path Rule : New Path Rule diyerek *.exe çalışmasını istemediğimiz yolları belirliyoruz.

Aşağıdaki ekranda da göreceğiniz üzere; 
Path : *.exe çalışmasını istemediğimiz klasörün yolu
Security Level : Disallowed
Desciption : Kuralı tanımlayan açıklayıcı bir metin

Aşağıda kripto yazılımını engellemeye yönelik dizinlerin yolları verilmiştir. Yukarıdaki örneğe göre aşağıdaki yolların yasaklanmasını sağlayabilirsiniz.
				

Kural listesini indirmek için aşağıdaki linki ziyaret edebilirsiniz :
http://mehmetyayla.com/download/rule_list.txt


2. Gölge Kopyaların ( Shadow Copy ) Etkinleştirilmesi ve korunması:
					
Shadow Copy; Windows 2003 ile gelen yeni bir veri kurtarma aracıdır. Shadow copy sayesinde zaman içerisinde değişime uğramış ya da silinmiş mevcut dosya ve klasörlerin eski versiyonlarına geri dönüş yapmak mümkündür. Klasörlerin gölge kopyalarının görülebilmesi için bilgisayarınızda shadow copy aktif olmalıdır. Shadow copy XP'de ön tanımlı olarak gelmez, diğer işletim sistemleri için sadece sistem sürücüsü ön tanımlı olarak gelir.  

Shadow Copy ( gölge kopya ) özelliğini yine group policy ile açmak için aşağıdaki resmi inceleyiniz. Bu politikayı ağ ortamından dağıtabileceğiniz gibi, yerel politika olarakta uygulayabilirsiniz.
İlgili ilkeyi uygulamak için öncelikle aşağıdaki resimde görünen düğümden aktif hale getiriniz.
				

Daha sonra aşağıdaki düğümü kullanarak özellik tanımı yapınız. Eğer durum (state);  not configured (ayarlanmamış ) olarak tanımlanmışsa disable ( etkin değil ) anlamını taşır, yine de aşağıdaki ayarları disable ( etkin değil ) olarak işaretleyebilirsiniz.
				

3. Vssadmin aracının ismini değiştirmek :
					
Vssadmin; gölge kopyaları yönetmeye yarayan aracın adıdır. Kripto yazılımlarının rutinlerinden biri de vssadmin aracını kullanarak tüm gölge kopyaları silmesidir.
Kripto yazılımı rutin işlevi : 
vssadmin.exe Delete Shadows /All /Quie

vssadmin.exe aracı %WinDir%\system32\vssadmin.exe dizini altından çalışır. 
Not: Vssadmin.exe ismi değiştirilirse vssadmin yonetim konsolu veya shadow explorer çalışmaz. Bu iki uygulamaya tekrar erişmek için system32 dizininin altından uygulamanın adı tekrar değiştirilmeli.     	

Bu aracın ismini değiştirmek kripto yazılımının gölge yedekleri silmesini engelleyecek zira rutini doğru çalışmayacaktır. 
vssadmin aracının ismini değiştirmeyi aşağıdaki kodları bat dosyalarına çevirerek yapabileceğiniz gibi, yine aşağıda linkini verdiğim dosyayı indirip açarak ve çift tıklayarak uygulayabilirsiniz.
Örnek kod:
Not : vssadmin aracının sonuna zaman kodunu atıyor.
					

@echo off

REM We are redirecting the output of the commands and any errors to NUL. 

REM If you would like to see the output, then remove the  2>NUL from the end of the commands.

REM Check if vssadmin.exe exists. If not, abort the script

if NOT exist %WinDir%\system32\vssadmin.exe (

 echo.

 echo.%WinDir%\system32\vssadmin.exe does not exist!

 echo.

 echo Script Aborting!

 echo.

 PAUSE

 goto:eof

)

REM Check if the script was started with Administrator privileges.

REM Method from http://stackoverflow.com/questions/4051883/batch-script-how-to-check-for-admin-rights

net session >nul 2>&1

if %errorLevel% NEQ 0 (

 echo.

 echo You do not have the required Administrator privileges.

 echo.

 echo Please run the script again as an Administrator.

 echo.

 echo Script Aborting!

 echo.

 PAUSE

 goto:eof

)

REM We need to give the Administrators ownership before we can change permissions on the file

takeown /F %WinDir%\system32\vssadmin.exe /A >nul 2>&1

REM Give Administrators the Change permissions for the file

CACLS %WinDir%\system32\vssadmin.exe /E /G "Administrators":C >nul 2>&1

REM Generate the name we are going to use when rename vssadmin.exe

REM This filename will be based off of the date and time.

REM http://blogs.msdn.com/b/myocom/archive/2005/06/03/so-what-the-heck-just-happened-there.aspx

for /f "delims=/ tokens=1-3" %%a in ("%DATE:~4%") do (

    for /f "delims=:. tokens=1-4" %%m in ("%TIME: =0%") do (

        set RenFile=vssadmin.exe-%%c-%%b-%%a-%%m%%n%%o%%p

    )

)

REM Rename vssadmin.exe to the filename in the RenFile variable

ren %WinDir%\system32\vssadmin.exe %RenFile% >nul 2>&1

REM Check if the task was completed successfully 

if exist %WinDir%\system32\%RenFile% (

 echo.

 echo vssadmin.exe has been successfully renamed 

 echo to %WinDir%\system32\%RenFile%.

 pause

) else (

 echo.

 echo There was a problem renaming vssadmin.exe

 echo to %WinDir%\system32\%RenFile%.

 echo.

 pause

)

:END

İlgili bat dosyasını indirme linki :  

http://mehmetyayla.com/download/renvss.rar
				

Bu tarz tatsız durumlarla hiç karşı karşıya kalmamanız dileğiyle.

Not : Yukarıda anlatılan yol ve yöntemler  %100 koruma garantisi vermemektedir. İlgili korunma yöntemlerini uyguladıktan sonra dahi, kripto yazılımlarından göreceğiniz zarardan ötürü sorumluluk tamamen size aittir. %100 koruma garantisi ancak sağlıklı ve düzenli yedekle sağlanabilir.

Kaynak: 
community.spiceworks.com
bleepingcomputer.com




					

(3815)

Malum biz sistem yöneticileri, eğitimenler veya danışmanlar için ekran kaydı önemli bir konudur. Bu konuda daha ucuz ve daha az yer kapalayan alternative programlar vardır, ancak ben Lisanslı kullandığım ve özellikle de güvenli olduğuna inandığım ( ücretsiz daha basit ekran kayıt programları var ama günün sonunda reklam vs çıkarınca insan ister istemez şüpheleniyor, reklam çıkaran başka bir bilgide kaçırabilir J ) camtasia programını tercih ediyorum. Kayıt için genelde arkadaşlarım bana çok soru sorduğu için basit olan bu bir kaç ayarı sizler ile paylaşmak istiyorum.

Öncelikle recorder ekranını açalım.

Programda tüm ekranı kayıt etmek için “select area” bölümünden “Full Screen” seçelim, görünmesini istemediğiniz rdp bağlantı ip adresi veya tarih saat bilgisi gibi durumlar için isterseniz kayıt alanını elle seçebilirsiniz.

Ses kaydı önemli olduğu için hemen sağ bölümdeki ses kaydını mutlaka açık olduğuna emin olun. Ses kaydı yapacağınız mikrofonun ise tanımlı olması gerekmektedir.

Yukarıdaki durumda webcam pro 900 mikrofonu seçili, ek olarak sistem seslerini de kayıt edecektir.

Not: Laptop mikrofonları yetersiz olacaktır, iyi bir kayıt için mutlaka harici mikrofon kullanın, örneğin ben Plantronics Audio 478USB kullanıyorum. Çok başarılı, tavsiye ederim.

Daha sonra ise tools – options bölümüne geçiyoruz.

Yukarıdaki ayarlar seçili olmalıdır. Bura da önemli olan konu, eğer siz bu kayıdı daha son düzenleyecekseniz lütfen Record to bölümü .avi değil .trec seçili kalsın.

Yine bu bölümdeki File Options sekmesi için ise ayarlar aşağıdaki gibi olmalıdır.

Kayıt edilecek yer önemli değil ama isim otomatik alınmalı, çünkü birazdan kayıt sonrasında otomatik kayıt et diyeceğiz J Kayıt edilecek yer için ise tavsiyem disk dolma riski olmayan bir yer olsun.

Bu bölümde ise önemli olan alan otomatik kayıt ayarıdır. Bunun nedeni ise kaydı durdurduktan sonra iptal veya takılma veya bir şekilde sunum sonrası aklınıza gelemeyecek bir sorun oluyor ve kayıt edilmiyor, böylece kaydınız çöpe gidiyor, bu nedenle otomatik kayıt çok önemlidir.

Artık bu saatten sonra çektiğiniz videoları herhalde http://tv.cozumpark.com a yollarsınız J

(159)

Bünyesinde hala hem sanal hem de fiziksel sunucuları barındıran hibrit yapıdaki veri merkezileri için imaj bazlı gelişmiş bir yedekleme ve replikasyon çözümüdür.

Arcserve bünyesinde bulundurduğu 3 farklı ürünü (Arcserve BACKUP, Arcserve D2D, Arcserve RHA) tek bir konsolda birleştirdi.

Aldığınız lisansla isterseniz önceden kullandığınız şekilde devam edebileceğiniz gibi, isterseniz CA Arcserve UDP’nin konsolu ile de devam edip uygulamanın yeni özelliklerini de kullanmış olursunuz.

Başarılı Mimarisi

Arcserve UDP yeni nesil mimarisi ile tek bir konsol aracılığı ile sadece bir Workstation yedeklemesinden, birden fazla bölgede hizmet veren karmaşık altyapıya sahip son kullanıcılarında imdadına yetişmektedir.

Arcserve UDP’yi rakiplerinden ayıran 4 temel özellik nedir?

1-Fiziksel, Sanal, Workstation altyapılarınızın imaj backup ve replikasyon çözümünde tek konsoldan yönetim desteği

2-Backup ve replikasyon işlemlerinizde cross platform desteği (P2V / V2P / VMware to Hyper-v / Hyper-v to VMware )

3-Ücretsiz Source Side Deduplication ve Global Deduplication desteği ile hem daha hızlı yedekleme ve replikasyonlarını yapabilir hem de yedek aldığınız disk alanını daha verimli kullanabilirsiniz.

4-Snapshot bağımsız fiziksel, sanal sunucularınızın file, uygulama ve imaj bazında Real-Time replikasyon ve HA özelliği.

(206)

Günümüz IT iş ihtiyaçlarının en önemli başlıklarından birisi güvenliktir. Güvenliğin ayrılmaz bir parçası olan “Audit – izleme – takip etme” ise yine önemli alt başlıklardandır. Bu makale serisinde bende özellikle Türkiye de ciddi bir eksiklik olan IT alt yapılarının izlenmesi konusunda son derece başarılı bir ürün olan Lepide Auditor Suite yazılımını tanıtacağım. İlk makalem diğer makaleler için referans olması açısından sadece kurulum adımlarını içerecektir. Diğer makalelerim ise sırası ile Active Directory, GPO, Exchange Server ve File Server gibi temel IT alt yapı ürünlerinin nasıl izleneceği ile ilgili olacaktır.

Öncelikle ürünü aşağıdaki link üzerinden indirebilirsiniz

http://www.lepide.com/audittrial/

Kurulum son derece kolaydır. Kurulum öncesinde sistem gereksinimi olarak 4GB ram ve 2Core CPU yeterli olacaktır. Ancak bu değerler şirket ortamınızda kullandığınız AD, Exchange, SQL, Sharepoint ve benzeri izlediğiniz ürünlerin yoğunluğu ile doğru orantılı olarak kaynak tüketecektir. Bu nedenle ortalama değerler ile kurulum yapabilirsiniz.

Not: Minimum DualCore ve 4GB kaynak gereklidir kurulum için. Desteklenen işletim sistemleri ise aşağıdaki gibidir;

Windows 7
Windows 8
Windows 8.1
Windows 10
Windows Server 2003
Windows Server 2003 R2
Windows Server 2008
Windows Server 2008 R2
Windows Server 2012
Windows Server 2012 R2

Ek olarak .NET Framework 4.0 veya üstü

İzlemek için desteklediği platformalar ise aşağıdaki gibidir;

Windows Server izleme için 2003 – 2012 R2 arasındaki tüm sürümler

Exchange Server izleme için 2003 -2013 arasındaki tüm sürümler

File Server için Windows 7 – Server 2012 R2 arasındaki tüm client ve server işletim sistemleri (2003 dahil) File ServerAuditing için ek olarak Netapp desteğide bulunmaktadır.

Sharepoint izleme için 2010 ve 2013 sürümleri

SQL izleme için ise 2005 ile 2014 sürümleri arasını desteklemektedir.

Not: 2003 sistemlerin izlenmesi için ek gereksinimler olup bunun için kurulum dosyasını incelemenizi öneririm.

Örneğin 500 kullanıcıya kadar AD ve Exchange için 4Core CPU 8GB ila 16GB ram yeterli olacaktır.

Kurulum dosyası içerisinde (lepideauditorsuite\lepideauditorsuite\Auditor Suite) setup dosyasını çalıştırıyoruz.

Karşılama ekranını next diyerek geçebilirsiniz.

Sözleşmeyi kabul ediyor ve ilerliyoruz

Varsayılan kurulum dizini ile devam ediyoruz (isterseniz kurulum dizinini değiştirebilirsiniz).

Start Menü için varsayılan ismi kullanıyoruz

Kısa yol seçenekleri.

Ve son olarak kurulum öncesi özet.

Evet, kurulum son derece kolay gördüğünüz gibi. Bundan sonra ise asıl amacımız olan Lepide ile AD ve GPO izlemek.

İsterseniz yukarıdaki gibi kurulum sonrasında ürünü açabilir yada daha sonra masa üstündeki veya start menüsündeki kısa yoldan erişebilirsiniz.

Ürün bizlere Active Directory, GPO, Exchange Server, SQL Server, Sharepoint ve File Server gibi temel alt yapı ürünleri üzerinde gerçekleştirilen değişiklikleri izlemek için bir platform sunar. Ancak bu değişiklikleri kayıt etmek için ise bir SQL veri tabanı gereksinimi vardır. Yine bu konuda 500 kullanıcıya göre (şirketin AD, Exchange değişiklikleri farklılık gösterebilir) aylık 100MB ile 500MB arasında değişebilir, yıllık maksimum 6GB yeterli olacaktır. Bu da SQL Express ile dahi ( 2014 sürümü 10GB a kadar destek veren ücretsiz sürümdür ) işinizi görecektir. Ek olarak üründe zaten bu verilerin yaşlandırma yani arşiv desteği de sunulmaktadır. Ancak şirket ortamınızda hali hazırda SQL server var ise ek bir lisans maliyeti olmadan bir veri tabanı da Lepide için açabilirsiniz.

Peki, kuruluma kaldığımız yerden devam edelim, öncelikle Lepide için bir servis hesabı gereklidir, bu hesabın Lepide sunucusunda yerel admin olması yeterlidir, ek bir yetkiye gerek yoktur.

Not: Lepide başka sunucu rolleri ile kullanılabilir, eğer imkanınız yok ise tek bir sunucu ayırmanız gerekli değildir, ancak böyle bir durumda mevcut sunucu üzerine ek yük bindireceği için kaynakları iyi ayarlamanız gereklidir.

Ben AD üzerinde bir domain user tanımladım ve ismini “lepide” yaptım, daha sonra bunu lepide makinesinde local admin grubuna ekledim

Bu işlemden sonra aşağıdaki ekranda bu kullanıcı bilgilerini giriyorum

Sorulan soruya “Evet” cevabını veriyorum

Bu sayede bu kullanıcıya servis logon hakkı vermiş oluyorum

Bu işlemin ardından karşıma aşağıdaki gibi hangi ürün için izleme yapacağımı seçtiğim bir ekran geliyor

İlk seçenek olan Active Directory ile başlayan kutucuk işaretli iken OK diyerek ilerliyorum

Gelişmiş ayarları seçiyorum

Daha sonra yukarıda gördüğünüz gibi izlemek istediğim domain bilgilerini ve kullanıcı bilgilerini seçiyorum. Alt bölümde ise ajanlı mı yoksa ajansız mı izleme yapmak istediğimi belirliyorum. Ajanlı izleme bana daha sağlıklı bir izleme imkânı sunduğu için onu seçiyorum, eğer ajan yüklemek istemiyorsanız bu durumda siz ajansız yükleme yapabilirsiniz. Örneğin POC yapıyorsunuz ama mevcut ortamı etkilemek istemiyorsunuz bu durumda öncelikle ajansız bir yükleme ile deneme yapabilirsiniz.

Eğer ortamınız izlemeye müsait değil ise bunu uygun bir hale getirmek için bir takım GPO değişiklikleri gerekmektedir. Bu konuda yukarıda olduğu size bir uyarı çıkacaktır. Bu uyarı sağlıklı bir izleme için gerekli olan Audit ayarlarının yapılması gerektiğini ve eğer isterseniz bunu ajan yüklemesi ile beraber otomatik olarak yapabileceğimizi söyler. İsterseniz Lepide ajanının bunu DC üzerinde değiştirmesini sağlayabileceğiniz gibi isterseniz de sizin ile paylaşılan bu ekrandaki değişiklikleri elle yapabilirsiniz

Ben otomatik yapılması için “Yes…” seçeneği ile devam ediyorum

Bu durumda hangi GPO içerisinde bu değişikliklerin yapılmasını istediğimizi bize soruyor, ben varsayılan policy kullandığım için bunu seçerek ilerliyorum. Ancak siz DC yönetimi için birden çok veya farklı bir GPO kullanıyorsanız onu da seçebilirsiniz.

Daha sonra bekliyoruz

Ardından karşımıza ortamımıza göre gerekli olan sunucuların listesi geliyor. Benim ortamımda bir DC ve bir Exchange Server var. Eğer sizin ortamınızda da benzer şekilde ürünler var ancak sadece Active Directory lisansını satın almışsanız veya alacaksanız lütfen yukarıdaki menüde “Change Audit Exchange Server” kutucuğunu kaldırın. Çünkü bu şekilde bir kurulum yaptıktan sonra lisans dosyası istemeniz halinde ona göre bir fiyatlandırma yapılacaktır. Ben şu anda lisanslama modelini anlatmadığım için mevcut Active Directory, GPO ve Exchange Server için gerekli olan izleme özellikleri ile devam ediyorum.

Not: Active Directory ve Exchange Server için ayrı makaleler yazacağımdan dolayı örneğin “Non-Owner Mailbox Audit” veya Group Policy Backup gibi ek izleme veya özelliklere şu anda değinmiyorum. Şu anda standart kurulum adımlarını tamamlayacağım. İlerleyen makalelerde her bir özellik için gerekir ise tekrar bu ekrana dönüp ilgili kutucukları işaretleyeceğiz. Eğer siz hali hazırda bu ürünlerin lisanslarını almış ve biliyorsanız gerekli olan kutucukları işaretleyerek devam edebilirsiniz.

Not: Ürün her ne kadar bir Audit ürünü olsa da beraberinde ücretsiz bir “Monitoring” hizmetide sunmaktadır. Bundan yararlanmak için “Health Monitoring” kutucuğunu işaretleyebilirsiniz.

Not: GPO izlemek için Lepide makinesinde Group Policy Management Console yüklü olmalıdır.

Bendeki son durum aşağıdaki gibidir;

Next diyerek ilerliyorum

Sunucuların ip adreslerini kontrol ediyorum, doğru olması gerekli. Alt bölümde ise tercih edeceğim bir DC seçiyorum. Bende tek DC olduğu için önemli değil ama sizde birden çok site ve DC var ise lepide sunucusu ile aynı site içerisindeki bir DC yi seçiniz.

Bu bölümde ise SQL bilgilerini vermeniz gerekli. Burada eğer SQL servisi aynı sunucu üzerinde ise (lepide ile) “Windows Authentication” kullanabilirsiniz, ancak Lepide sunucusu dışında network üzerinden erişilecek ise mutlaka “SQL Authentication” kullanmanız gereklidir. Ben mevcut sunucu üzerine SQL Server 2014 Express kurmuştum onu kullanıyorum. Ek olarak birde lepide için veri tabanı ismi veriyorsunuz.

Kullanabileceğiniz SQL Sürümleri aşağıdaki gibidir;

SQL Server 2005 – SQL Server 2008 – SQL Server 2008 R2 – SQL Server 2012 – SQL Server 2014 -SQL Server 2016 – SQL Server 2005 Express Edition – SQL Server 2008 Express – SQL Server 2008 R2 Express – SQL Server 2012 Express – SQL Server 2014 Express

Burada eğer siz Lepide kurulumunu SQL üzerinde yetkili bir kullanıcıda yapıyorsanız sorun yok, ancak açtığınız “Cozumpark\lepide” kullanıcısı ile yapıyorsanız SQL kurarken bu kullanıcıya yetki vermiş olmanız gerekli. Veya SQL kurulumunu yapan yani yetkili kullanıcı ile logon olup, SQL Management Studio kurup bu kullanıcıya yetki vermeniz gereklidir.

Bir sonraki bölümde ise izlemek için OU bazlı seçim yapabilirsiniz, ben tüm yapıyı izlemek istiyorum.

Bir sonraki bölümde benzer şekilde tüm objeleri izlemek istediğimi belirtiyorum

Ancak siz isterseniz sadece belirli objeleri aşağıdaki gibi seçebilirsiniz

Hemen alt bölümde bulunan iki kutucuk yine boş bırakılıyor. Bunlar ürünler ile ilgili detaylı konularda değineceğim alanlardır.

Son alan ise mevcut logların arşivlenmesini sağlayabileceğiniz bir ekran sunmaktadır. Ben daha sonrada bu ayarları yapabileceğimden dolayı burayı da varsayılan olarak bırakıp kurulumu tamamlıyorum.

Programı kapatıp açıyorum.

Kurulum tamamlandı. Peki bundan sonra ilk olarak ne yapmalıyız. Aslında ilk yapmamız gereken programın kaynaktan verileri doğru çekip veri tabanına yazmasını doğrulamaktır. Yani Active Directory ve Exchange Server üzerindeki değişiklikleri alabiliyor muyuz? Aldığımız bu değişiklikleri veri tabanına yazabiliyor muyuz? Bunun için öncelikle ana ekrandaki sol menüde yer alan “Settings” linkine tıklıyoruz. Burada bağladığımız Domain üstüne tıkladığınız zaman sağ bölümde aşağıdaki gibi detayları görebileceksiniz

Örneğin DC ve Exchange üzerinde değişiklik ve sağlık bilgisi alınmış ancak henüz “Data Insertion” yani bu değişiklik SQL veri tabanına işlenmemiş. Biraz beklemeniz veya bir kere sunucuyu yeniden başlatmanız bu süreci hızlandıracaktır.

Not: özellikle SQL i kurdunuz ve sonra hemen lepide kurduysanız bu yenide başlatma yararlı olacaktır.

Yeniden başlatma sonrasında sorunun çözüldüğünü görüyorum

Not: Tavsiyem SQL Authentication kullanmanızdır

Sunucu tarafını çözdüysek eğer şimdi istemci tarafına bakalım. Örneğin DC de aşağıdaki servisleri ve klasörü görebiliyor olmanız gerekli

Bunları kontrol ettikten kısa bir süre sonra ana ekranda değişikliklerin geldiğini görebiliriz

Eğer bu bölüme kadar sorunsuz geldiyseniz kurulumu başarı ile tamamladınız demektir. Eğer ekranda herhangi bir güncelleme yok ise ilk olarak istemci makinede aşağıdaki dizini kontrol edin

C:\Windows\Lepide\BKP_TEMP_EVENT_SEC_VER2016

Buradaki klasörün içerisinde loglar sürekli artıyor ancak hiç azalmıyor ise bu durumda istemci makine ile Lepide sunucusu arasında bir network sorunu var demektir.

Eğer burada loğlarda ciddi bir artış ve bekleme yok ancak yine ana ekrana değişiklikler düşmüyor ise bu durumda lepide sunucusu üzerinde aşağıdaki dizini kontrol etmeniz gerekli

C:\Program Files (x86)\LepideAuditor Suite\cozumpark.local\BKP_TEMP_EVENT_2016\10.0.1.124

Burada cozumpark.local sizin domain adınız, sondaki IP ise agent yüklü olan ve sorunlu olduğunu düşündüğünüz DC, Exchange vb makine ip adresiniz.

Benzer şekilde buradaki klasörün içerisindeki loğlarda erimiyor ise eğer hızlı bir şekilde support açmanızı öneririm.

Son olarak eğer her şey yolunda ise Active Directory ve Exchange sunucuları için sağlık monitörleri de çalışıyor olmalıdır

Ana ekranda sol menüde “Health Monitoring” linkine tıkladığınız zaman sağ tarafta yukarıdaki gibi ekranların canlı olması gerekmektedir.

Makalemin bu bölümünün sonuna geldim. Kurulum sonrasında sırası ile Active Directory – GPO, Exchange Server ve File Server konularında detaylı makaleler yazacağım.

Bir sonraki makalemde görüşmek üzere.

(166)

Makalemin ilk bölümünde sizlere ürünün temel kurulumunu ve mevcut Active Directory, Exchange Server ortamınız ile entegrasyonundan bahsettim. Makalemin bu bölümünde ise ürünün AD özelinde sunduğu raporları yakından inceleyeceğiz.

Öncelikle ürün temel olarak bir değişiklik izleme ürünü olduğu için en çok ihtiyaç duyduğunuz kim, ne zaman, nerede, neyi, ne şekilde değiştirdi gibi temel bilgilere çok hızlı bir şekilde erişebiliyorsunuz.

Öncelikle dashboard olarak isimlendirdiğimiz ana ekran üzerinden sistemlerinizdeki değişiklikleri özet olarak görebilirsiniz. Bu noktada tavsiyem bu ekranı tüm bilgi işlem personelinin görebileceği bir ekrana ( TV, projeksiyon ve ya benzeri ) yansıtmanız olacaktır.

Burada AD, Exchange ve benzeri bağladığınız sistem için rakamsal olarak gerçekleştirilen değişiklikleri görebiliyoruz. Hemen alt bölümde ise aşağıdaki gibi görsel bir rapor sunulmaktadır

Yapılan bu değişikliklerin hangi oranda kritik, hangi oranda düşük veya orta seviye bir değişiklik olduğunu görebiliyoruz. Eğer burada 0.8 olarak gösterilen “High” yani kritik olan bu değişiklik nedir diye merak ederseniz bu oranın üzerine tıklamanız yeterlidir.

Öncelikle otomatik olarak yukarıdaki gibi bir arama kriteri ve hemen bunun altında aşağıdaki gibi sonucu görebilirsiniz

Yine ana ekrana dönecek olursak

Burada da en çok değişiklik yapan yöneticilerin kullanıcı veya makine bazlı listelenmesini görebilirsiniz.

Ana ekranı incelemeye devam ediyoruz

En çok sevdiğim ekranlardan birisi, en çok değişiklik yapılan objeler, tabi ki her zaman olduğu gibi kullanıcılar. İyi bir sistem yönetici ara ara burayı kontrol etmeli, çünkü SCP veya GPO ya da DNS gibi objelerden beklenmedik toplu değişiklikler bir atak veya yanlış çalıştırılmış komut setlerine işaret edebilir.

Bir diğer hazır rapor ise değişiklik trendini bizim ile paylaşan bu ekrandır. Örneğin Mayıs ayının 18,19 tarihlerinde ciddi bir yatış söz konusudur. Malum 19 Mayıs tatili öncesi kimse sistemlerde değişiklik yapmamış gibi J

Not: Her ekranın sağ üst köşesinde zaman planı vardır. Varsayılan olarak son 1 günlük aktiviteleri gösteren bu ekranları son 7 gün veya son 30 gün olarak değiştirilebilir.

Ana ekrandaki en kullanışlı bölüm ise bana göre “LiveFeed” bölümüdür. Buraya anlık olarak izlemek, sonucunun görmek veya haberdar olmak istediğiniz bir olayı veya durumu tanımlayabiliyorsunuz.

LiveFeeld bölümüne gelip sağ üst köşeden artı butonuna basarsanız yukarıdaki gibi bir ekran karşınıza çıkacaktır. Bir değişiklik sonucunun mu takip etmek istiyorsunuz yoksa bir sağlık durumunu mu kontrol edin.

Örneğin ben Auditing Alert seçtikten sonra yukarıdaki gibi şu anda sisteme bağlı temel 3 izleme ürünü için ( Active Directory, GPO ve Exchange Server) seçim menüsü çıkıyor. Benim bu makaledeki amacım AD özelinde izleme olduğu için Active Directory Modificitaion Reports menüsünü seçiyorum. Bu menü altında ise iki seçenek var, birincisi değişiklik rapoları, diğeri ise güvenlik raporları. Ben örneğin kullanıcı silme işlemlerini canlı olarak görmek istiyorum ve aşağıdaki gibi ilgili raporu seçiyorum;

İsterseniz bu seçim için filtreleme yapabilirsiniz

Yani örneğin bir dakika içerisinde 10 kullanıcı silinir ise veya şu kullanıcı silinirse veya bu kullanıcı bir kullanıcı silerse gibi seçebilirsiniz. Aslında şu anda bir alert tanımlıyoruz.

Bu bölümde ise bu olay gerçekleştiğinde LiveFeed üzerinde görüntülenmesini seçebileceğimiz gibi hem görüntüleme hem de mail atılmasını sağlayabiliriz.

Daha sonra bir kullanıcı silinir ise bunu anlık olarak LiveFeed üzerinden ( bu ekran varsayılan olarak 5dk da bir yenilenir veya siz elle tazeleyebilirsiniz) görebilirsiniz.

Not: Yukarıdaki işlem ile aslında örnek bir Alert tanımlamış olduk. Bunu yine programın sol tarafında bulunan menülerinden Alert bölümüne tıklayarak görebilirsiniz;

Ana ekrandaki genel özellikleri tamamladıktan sonra gelelim değişikliklerin izlenmesine. Bunu için yine programın sol bölümdeki menülerinden “Audit Reports” bölümüne tıklıyoruz;

Bu bölümde temel olarak ortamınızdaki tüm değişiklikleri görebileceğiniz gibi ürün bazlı raporlarda alabilirsiniz. Ben Active Directory bölümü için aşağıdaki gibi temel raporları alabiliyorum;

Tabi ki her rapor bölümü için aşağıdaki gibi detay raporlar almak mümkün;

En temel rapor örneği silinen kullanıcıları listelemek aşağıdaki gibidir;

Yukarıdaki raporda temel olarak hangi kullanıcıların, kimin tarafından hangi makine üzerinden ve ne zaman silindiğini görebiliyoruz.

Burada çok fazla rapor olduğu için hepsini tek tek anlatmak zor olacaktır. Ancak ben en çok işinize yarayacağınızı düşündüğüm raporlar ile devam edeceğim. Öncelikle tüm modifikasyonlar, yani değişiklik raporlarını atlıyorum, malum burası son derece temel anlamda kullanıcı, makine, OU, DNS objesi veya AD schema veri tabanı gibi AD içerisindeki tüm değişikliklerin izlendiği ve raporlandığı alanlardır. Hemen bir altında ise güvenlik ayarları ile ilgili güzel bir bölüm (Active Directory Security Reports) yer almaktadır.

Lepide sayesinde AD düzenli olarak yedeklenir (yapılandırma yedeği) ve bu yedekler ile örneğin şu andaki canlı sistemin izinlerinin karşılaştırılması rahatlıkla yapılabilir.

Yukarıda gördüğünüz gibi iki tarih arasında izin değişikliklerini görebiliyorsunuz. Herhangi bir değişiklik üstüne tıkladığınız da ise alt bölümde detaylı olarak neyin değiştiğini görebiliyorsunuz. Veya incelemek istediğiniz bir değişikliğin üstüne çift tıklayarak açılan yeni bir pencerede detaylı inceleme şansına sahipsiniz.

Bu bölümde buna benzer gerek izin değişiklikleri gerekse sahiplik (owner) değişikliklerini veya güncel izin, sahiplik raporlarını alabilirsiniz.

Diğer rapor örnekleri aşağıdaki gibidir;

Bir diğer kullanışlı rapor bölümü ise “Active Directory State Report” bölümüdür;

OU, kullanıcı, grup, makine ve benzeri ortamınızdaki objeler hakkında detaylı raporlar alabilirsiniz. İçeriği boş olan OU’ lar, yönetici yetkisine sahip olan kullanıcı ve gruplar, şifresi expire olmayan kullanıcılar, üyesi olmayan gruplar ve benzeri pek çok işlevsel rapor vardır. Bunlardan özellikle şifresi expire olmayan ve yönetici hakları raporları kurumsal firmalarda güvenlik standartları gereği belirli aralıklar ile alınması ve sonuncunun değerlendirilmesi gereken raporlardır.

Bu bölümün yine kurumsal firmalar için en önemli özelliği, ISO 27001 veya benzeri güvenlik standartlarına tabi olan veya bunları kullanmak isteyen şirketlerde özellikle yönetici gruplarına eklenen ve çıkarılan kullanıcıların raporlanması gerekmektedir. Yine bu bölümde kritik güvenlik grupları için tarih bazında karşılaştırma şansına sahipsiniz

Bir diğer rapor bölümünde ise şifre işlemlerini görebilirsiniz

Bu bölümde şifresi dolmak üzere olan kullanıcıların listelenmesi (gün değişkenini siz belirleyebiliyorsunuz), şifre kullanım süresi dolan kullanıcıların listelenmesi, şifresini en son kullanıcıların ne zaman değiştirdiği, bir sonraki logon işleminde şifre değiştirmesi gerekli olan kullanıcılar ve en son logon işleminde hata alan kullanıcıların raporlarını görebiliyoruz.

Bir sonraki bölüm ise yine güvenlik içi son derece önemli olan ve stale account olarak geçen yani artık geçerli olmayan eski bilgisayar ve kullanıcı hesaplarının hızlı bir şekilde tespit edilmesini sağlayan “Active Directory Cleaner” bölümüdür

Örneğin hızlı bir şekilde son 10 gündür logo olmayan kullanıcıları bulabilirsiniz

Benzer şekilde bilgisayar hesapları içinde aynı raporu çekebilirsiniz. Burada hem kullanıcı hem de bilgisayar için her şirket ihtiyacı farklı olmak ile beraber ( dönemlik personel, doğum izni ve benzeri ) 90 gün genel kabul edilmiş bir rakamdır. Özellikle makineler için bu son derece geçerli olmasına karşın disaster site olan şirketlerin kapalı olan makine hesapları için bu kontrolü dikkatli yapması gerekmektedir. Kullanıcılarda ise yine çıkan listeyi IK ile paylaşım doğum izni veya askerlik izninde olan var mı kontrol etmek gerekli.

Benzer şekilde hiç logon olmamış kullanıcı ve bilgisayar raporu da güvenlik amaçlı çok kullanışlı bir rapordur

Yine bu bölümde kullanıcıların en son güncel logon işlemini ve o hesabın yaşını alabiliyoruz.

Özetle bu bölümde sistem yöneticileri için çok değerli raporların olduğunu görebiliyoruz. Eğer bu raporlar sizin için yeterli değil ise yine özel rapor oluşturma imkanına sahibiz.

Özel rapor için bir isim veriyoruz, isterseniz bu özel raporu tüm objeler için değil sizin için kritik öneme sahip objeler için oluşturabilirsiniz.

Yine seçeceğiniz objelerin tüm öz nitelikleri için oluşturabileceğiniz gibi örneğin sadece “account” ile ilgili değişiklikleri raporlayabilirsiniz.

Son olarak ise hangi işlemlerin raporlanmasını istediğinizi seçebilirsiniz. Ancak bu rapor yukarıdaki gibi hep varsayılan şekilde tamamlarsanız aslında bu pekte özel bir rapor olmaz, bildiğiniz ortamdaki tüm değişiklikleri veren bir rapor olur J. Bu nedenle siz gerçekten takip etmek istediğiniz kullanıcı, grup, makine, ou veya benzeri kaynağı yine takip etmek istediğiniz eylem için hazırlarsanız daha doğru olur.

Özetle, Lepide ile Active Directory üzerinde olan biten her şeyi rahatlıkla takip edebileceğiniz gibi ek olarak sağlık izleme özelliği (health monitör), lock olan kullanıcıların nerende lock olduğu, stale account, grup üyelikleri değişikliklerinin takibi başta olmak üzere pek çok güvenlik temelli ek özellik sunmaktadır. Bu nedenle bu alanda çok başarılı bir ürün olduğunu ifade etmek isterim.

Makalemin bundan sonraki bölümlerinde yine Lepide ile ücretsiz olarak sunulan “Compliance Reports” bölümü ile “Permission Analysis” bölümlerini inceleyeceğim.

(107)

Exchange Server şirket organizasyonları içerisinde en çok değişiklik gerçekleştirdiğimiz alt yapı ürünlerinin başında yer almaktadır. Organizasyon konfigürasyonu olarak geçen ve genellikle kurulum sonrasında yapılan ayarları nadir olarak yapılan güncellemelerin izlediği değişikliklerin dışında gündelik hayatta özellikle kullanıcı posta kutusu ile ilgili pek çok değişiklik yapılmaktadır. Gerek organizasyon, gerek sunucu veya kullanıcı değişiklikleri gündelik iş akışımızı etkilediği için son derece dikkatli ve kontrollü bir şekilde gerçekleştirilmelidir. Kimi zaman ise bu değişiklikler organizasyon seviyesinde kesintilere veya bilgi çalınmasına neden olabilmektedir. Bu nedenle şirketin en üst düzey yöneticisinden en temel personeline kadar herkesin mail bilgisinin saklandığı bu platform üzerindeki değişikliklerin düzenli olarak izlenmesi gerekmektedir. Microsoft bu konuda hali hazırda bir takım özellikler sunmaktadır. Bu konuda daha fazla bilgi için aşağıdaki makaleleri inceleyebilirsiniz.

Exchange Server Admin Audit Log – Deep Dive

Exchange Server 2013 Mailbox Audit Logging

Benim amacım ise, bu izleme işini son derece kolay bir hale getiren ve hatta özel raporlar, kritik değişikliklerin olması durumunda size mail veya benzeri bilgilendirme yapılmasının sağlanması başta olmak üzere pek çok yönetimsel kolaylık sağlayan ( Exchange Server üzerinden alamadığınız pek çok ek rapor içermektedir) Lepide Auditor Suite programı ile bunu işi nasıl kolay bir şekilde gerçekleştireceğinizi görmektir.

Lepide Auditor Suite ürünü kurulumu hakkında aşağıdaki makalemi inceleyebilirsiniz

https://www.cozumpark.com/blogs/3party/archive/2016/06/12/lepide-auditor-suite-active-directory-gpo-exchange-server-auditing-kurulum.aspx

Eğer kurulumu başarılı bir şekilde gerçekleştirdiyseniz Exchange Server tarafındaki değişiklikleri incelemeye başlayabilirsiniz.

Lepide Auditor Suite programını ana konsolunu açıp kısa bir süre bekledikten sonra aşağıdaki gibi ortamınız hakkında özet bilgiler alabilirsiniz

Detayları görmek için bu ekranların üzerindeki linklere tıklayabilirsiniz veya yine rapor bölümüne geçebilirsiniz.

Audit raporları temel olarak iki bölümden oluşmaktadır.

Exchange Modification Reports – Exchange server üzerindeki tüm değişikliklerin takip edildiği bölümdür.

Auditing – Posta kutuları seviyesinde kullanıcı, delege edilen yetkili kullanıcı ( özel kalem, asistan vb) ve yönetici hareketlerini raporlayabiliriz.

İlk bölüm adında da anlaşılacağı gibi kim Exchange Server üzerinde neler yapmış onu hızlı bir şekilde görebileceğimiz bir bölüm. Eğer nokta atışı bir değişiklik görmek istiyorsanız örneğin Adres defterinde kim değişiklik yapmış gibi bu durumda “Address Book Modifications” bölümüne gelip bir rapor çekebilirsiniz.

Bu değişikliklerin kimin tarafından ne zaman ve ne şekilde bir değişiklik yapıldığını detaylı bir şekilde görebilirsiniz. Kullanılan komutları, eski ve yeni değerleri görmek için her bir değişikliğin üzerine çit tıklayabilir veya ekranın sağ bölümündeki ön izleme penceresini kullanabilirsiniz. Bu pencereyi isterseniz ekranın alt bölümüne de alabilirsiniz. Ben alışkanlık olarak çift tıklayarak açılan yeni pencerede tüm detayları görmeyi tercih ediyorum.

Eğer Exchange Server üzerindeki tüm değişiklikleri görmek istiyorsanız “All Modifications in Exchange Server” bölümüne tıklayabilirsiniz. Daha sonra sağ bölümde yer alan filtreleri kullanıp istediğiniz bir zaman, kişi, değişiklik vb seçim yapıp sağ bölümden raporu oluştur (Generate Report) demeniz yeterli;

Böyle bir rapordaki en kullanışlı alan tüm sütunların istediği gibi yer değiştirmesi ve kolay bir şekilde süzülmesi. Örneğin bana gelen bu 1500 değişiklik içerisinde ben sadece silme operasyonlarını getir demek için “Operation” bölümüne delete yazmam yeterli olacaktır

Yani son derece hızlı ve dinamik bir filtreleme özelliğine sahiptir.

Tek tek tüm raporların üzerinden geçmek ciddi bir zaman ama bu birkaç örnek ile aslında Exchange Server üzerinde yapılan tüm hareketleri merkezi bir noktadan son derece kolay bir şekilde raporlayabileceğinizi görmüş olduk. Rapor bölümünde aşağıdaki gibi pek çok farklı raporu yine yukarıdaki gibi istediğiniz zaman dilimi ve filtrelere göre alabilirsiniz;

Yine ürün ile gelen ve en çok aslında merak edilen konulardan biriside kim benim posta kutuma erişmiş veya neler yapmış, yada kim benim posta kutuma erişim için yetki vermiş. Önce hızlı bir şekilde bu yetkilendirmeyi görelim.

Bildiğiniz gibi Exchange Server üzerinde yönetici haklarına sahip olan bir kullanıcı herhangi bir posta kutusuna full erişim hakkını kendine veya istediği bir kullanıcıya verebilir, böyle bir durum ise lepide raporlarına aşağıdaki gibi yansıyacaktır;

Bunun isterseniz hızlı bir şekilde Alert olarak tanımlayabilirsiniz, bu sayede böyle bir değişiklik olduğu zaman aşağıdaki gibi size bir bilgilendirme mali gelecektir;

Sistemin mail attığını yine Alert ekranından görebiliyoruz

Gelen mail ise aşağıdaki gibidir;

Not: Alert oluşturmayı aşağıdaki makalemde detaylı anlatmıştım, eğer ilgilenirseniz buradan takip edebilirsiniz.

https://www.cozumpark.com/blogs/3party/archive/2016/06/12/lepide-auditor-suite-ile-active-directory-auditing-active-directory-degisiklik-izleme.aspx

Peki bu yetki bir şekilde verilmiş yada verilmesi gerekiyor ( örneğin özel kalem veya sekreteri için üst düzey yöneticiler genellikle ajanda başta olmak üzere bazı klasörleri paylaşırlar) ise bundan sonraki hareketlerinde izlenmesi gerekebilir. Yaşanmış gerçek bir hikâye;

Üst düzey bir yöneticinin özel kalemi kritik toplantılardan birini yanlışlıkla ajandasından siliyor, daha sonra buraya yine önemli bir toplantı isteği alıyor, aynı gün aynı saatte iki önemli misafiri gelen üst düzey yönetici ise çok zor durumda kalıyor ve anında IT yi arayıp bunun nasıl olabileceğini soruyor. IT takımında bu konularda tecrübeli bir uzman olduğu için bu tür paylaşımda bulunan posta kutuları için Audit özelliğini açmıştı, yani varsayılan olarak Admin Audit açık gelir ancak Mailbox Audit yani posta kutusu seviyesindeki değişiklikler izlenmez. Çünkü bunlar mevcut pota kutularına ek disk boyutu olarak yük getirir. Genel olarak buradaki politika yukarıdaki örnekte olduğu için hali hazırda paylaşımlı posta kutusu kullanan kullanıcılar, üst düzey kullanıcılar, kritik öneme sahip ve yine ortak kullanılan posta kutularında açılması gereklidir. Uzun lafın kısası Mailbox Audit bu üst düzey yöneticide açık olduğu için anında özel kalemi tarafından yapılan bu silme işlemini raporluyorlar.

Tabiki Exchange üzerinden bunu raporlamak bir hayli zor olabiliyor, ancak Lepide üzerinden bunun için aşağıda gördüğünüz gibi 3 ayrı hazır rapor bulunmaktadır;

Owner bölümünde, eğer ilgili posta kutusu için Audit açılırken kullanıcının kendi hareketleri de izlensin diye ayar yapılmış ise kendi hareketlerinin dökümünü aldığımız bölümdür.

Delegated Users ise yine yukarıdaki örnekte olduğu için yetki verilmiş kullanıcı tarafından ilgili posta kutusu üzerindeki değişikliklerin raporunu aldığımız bölümdür.

Administrators ise yönetici olarak full erişim hakkı aldığımı ilgili posta kutusu üzerinde yaptığımız değişiklerin raporunu verir.

Non Owner bir kavram olup, Owner dışındaki tüm erişimleri tek bir raporda görmek için kullanılır.

Ancak hali hazırda bu raporları alamayabilirsiniz, çünkü yine makalemde de bahsettiğim gibi bu özellik varsayılan olarak açık değildir. İsterseniz bunu aşağıdaki makalede olduğu gibi Exchange Server üzerinden kendiniz kullanıcı bazlı açabilirsiniz

Exchange Server 2013 Mailbox Audit Logging

Yada Lepide bunun sizin yerinize yapacaktır. Lepide ile yapmak için öncelikle konsol üzerinde sol tarafta yer alan menüden settings bölümüne geliyoruz.

Burada eklediğiniz domain üzerine sağ tıklayarak özellikler penceresini açınız

Daha sonra Advanced Domain Configuration linkine tıklayınız

Burada sağ üst köşedeki “Non-owner Mailbox Auditing” kutucuğunu işaretlemeniz gereklidir. Daha sonra hemen yanındaki anahtar sembolüne tıklayınız.

Not: bu raporu alabilmek için Lepide Auditor Suite ürününün ajanlı kurulması gereklidir.

Açılan menüden istediğiniz posta kutularını seçiyorsunuz, bir sonraki ekranda ise bu kullanıcılar için hangi izleme özelliklerini aktif edeceğinizi seçiyorsunuz.

Bu bölümün detayları için ÇözümPark üzerindeki makaleyi incelemenizi öneririm.

Son olarak yapacağı değişikliği sizler ile paylaşıyor ve onaylıyoruz.

Artık mailbox erişim loglarını görebiliriz. Hemen hızlıca birkaç tanesini inceleyelim

Not: bu özellik açıldıktan sonra birkaç saat beklemeniz gerekmekte olup bu Exchange server mimarisi ile ilgili bir gereksinimdir.

Yukarıda gördüğünüz gibi sistemde bir arşivleme yazılımı olan Enterprise Vault tarafından posta kutusunda yapılan tüm değişiklikleri görebiliyoruz.

Dikkatinizi çekmek istediğim önemli bir bölüm var, malum makalenin bu bölümüne kadar hep değişiklik izleme konusuna odaklandık ancak ISO 270001 gibi regülasyonlara tabi olan kurumlar için genel AD ve Exchange Server organizasyonlarının bir takım güvenlik standartlarına göre ne kadar uygun olduğunu da raporlayabiliyoruz. ( Satın aldığınız lisansa göre AD, Exchange, File Server vb )

Yani hemen rapor aldığımız menüde alt bölümde Audit yerine örneğin “Compliance Reports” bölümüne tıklayarak bu konuda Dünya standartlarını belirleyen kurumların raporlarına erişebilirsiniz;

İsterseniz bu standartlara göre rapor alabilir isterseniz hepsi için ortak raporları çekebilirsiniz

Aslında ürünün en değerli bölümlerinden biriside bu alandır, tabi ki bunu kullanan ve ihtiyaç duyan firmalar için.

Bir diğer bölüm ise izinler üzerindeki değişikliklerin karşılaştırıldığı “Permission Analysis” bölümüdür.

Bu bölümde File Server, Exchange Server veya Active Directory üzerindeki objeler üzerinde yapılan izin değişikliklerini görüntüleyebilir ve yine onları karşılaştırabilirsiniz.

Son 24 saat içerisinde “Herkes” isimli bir grup üzerinde izin değişikliği yapılmış, bu izinleri ise alt menüden görüntüleyebiliyoruz

Mavi olan izinler hali hazırda yukarıdan gelen yani varsayılan izinler olmasına karşın Admin bu grup için siyah ile işaretli olan kullanıcılara yetki vermiştir. Aslında bu yetkiyi en üstteki Hakan Uzuner kullanıcısına vermiş, diğerleri varsayılan ACL listesidir.

Eğer ürün ile beraber gelen AD backup özelliğini de ayarlarsanız istediğiniz aralıklar ile AD’ nin yapılandırma bilgisini yedeklediği için aşağıdaki gibi izinleri bu yedeklere göre karşılaştırma da yapabilirsiniz

Not: bende hiç yedek olmadığı için şu anda karşılaştırma yapamıyorum.

Eğer yedeğiniz var ise aşağıdaki gibi silinen objeleri de geri getirebilirsiniz

Audit özelliğinin yanında yine AD için sunduğu sağlık izleme hizmetini de ücretsiz olarak sunmaktadır. Yani temel anlamda Exchange sunucularınız için CPU, RAM kullanımı, erişilebilirlik raporu, servislerin durumu, alınan gönderilen mailler, erişim gecikmeleri, kritik loglar gibi bilgileri aşağıdaki gibi görüntüleyebiliyorsunuz.

Ürün hakkında aslında yazılacak çok fazla özellik var ancak diğer özellikleri de sizlere bırakıyorum, hızlı bir şekilde aşağıdaki adres üzerinden trial olarak ürünü indirebilir ve 15 gün boyunca kullanmaya başlayabilirsiniz.

http://www.lepide.com/audittrial/

Umarım faydalı bir makale olmuştur, bir sonraki makalemde görüşmek üzere.

(78)