CyberFlow Logo CyberFlow BLOG
Soc L2 Infra Ad Cloud

Siber Güvenlik İçin SYSVOL ve NETLOGON Paylaşımlarını İzleme Yöntemleri

✍️ Ahmet BİRKAN 📂 Soc L2 Infra Ad Cloud

SYSVOL ve NETLOGON paylaşımlarının etkin izlenmesi ile siber güvenliğinizi güçlendirin. Bu blogda kritik yöntemleri keşfedin.

Siber Güvenlik İçin SYSVOL ve NETLOGON Paylaşımlarını İzleme Yöntemleri

SYSVOL ve NETLOGON paylaşımlarının izlenmesi, siber güvenlik açısından kritik önem taşır. Bu yazıda, bu paylaşımların izlenmesine dair yöntemlere ve dikkat edilmesi gereken noktalara yer veriyoruz. Güvenliğinizi artırın!

Giriş ve Konumlandırma

Siber güvenlik alanında, sistem yönetimi ve veri bütünlüğü açısından kritik öneme sahip birçok bileşen bulunmaktadır. Bu bileşenlerden ikisi, Active Directory (AD) mimarisinin temel taşları olan SYSVOL ve NETLOGON paylaşımlarıdır. Bu paylaşım alanları, yalnızca ağ ortamında kimlik doğrulama ve yetkilendirme işlemlerinin gerçekleştirilmesine yardımcı olmakla kalmaz, aynı zamanda güvenlik politikalarının ve grupların merkezi yönetimi için de vazgeçilmezdir. Bu nedenle, SYSVOL ve NETLOGON paylaşımlarını izlemek, siber güvenlik uygulamalarının önemli bir parçasıdır.

SYSVOL ve NETLOGON Paylaşımlarının Rolü

SYSVOL, Group Policy nesneleri (GPO'lar) ve logon script'leri gibi dosyaların bulunduğu kritik bir paylaşım alanıdır. Domain Controller'lar (DC) arasında verilerin replikasyonu sağlanarak merkezi yönetim imkanı sunar. NETLOGON ise kullanıcıların oturum açma süreçlerinde kullanılan, logon scriptlerini barındıran salt okunur bir paylaşımdır. Her iki paylaşımda da, kullanıcıların ve sistemlerin güvenli bir şekilde oturum açabilmesi için gerekli olan bilgiler bulunmaktadır.

Neden İzlenmeli?

Bu paylaşımlar, kötü amaçlı yazılımlar ve siber saldırılar için hedef olabilir. Özellikle SYSVOL içindeki dosya değişiklikleri, saldırganların kötü niyetli betikler ekleyerek sistemin güvenliğini tehdit etmelerine olanak tanır. Örneğin, eski GPO yapılarında bulunan ve şifrelenmiş olan cpassword alanı, saldırganların bu bilgiyi ele geçirip şifreleri çözmelerine ve sistem üzerinde erişim sağlamalarına olanak tanıyabilir. Bu noktada, paylaşımların düzenli olarak izlenmesi, güvenlik açıklarını tespit etmek ve olası ihlalleri önlemek için kritik bir öneme sahiptir.

Siber Güvenlik Bağlamında Önemi

Siber güvenlik alanında, kötüye kullanım ve veri ihlali durumlarının tespit edilmesi, hızlı bir yanıt verme yeteneği ile doğrudan ilişkilidir. SYSVOL ve NETLOGON paylaşımındaki anormallikler, genellikle bir siber saldırının habercisi olabilir. Örneğin, DNS veya Active Directory üzerindeki değişiklikler, GPO aracılığıyla kötü amaçlı yazılımların yayılması için kullanılabilir. İzleme eksiklikleri, saldırganların kalıcılık sağlama veya geri dönüş kapısı oluşturma fırsatı bulmalarına yol açabilir.

Saldırganların bu paylaşımlara nasıl yaklaşabildiği, özellikle replikasyon sorunları ile de ilişkilidir. Eksik, hatalı veya güncel olmayan replikasyon, bazı Domain Controller üzerinde güvenlik politikalarının güncellenmemesine ve dolayısıyla açıkların oluşmasına neden olabilir. Bu, bir saldırganın gerekli olan yetkilendirmeleri atlayarak sisteme giriş yapmasına neden olabilir.

Tekniğe Hazırlık

Bu blog yazısında, SYSVOL ve NETLOGON paylaşımlarının izlenmesi için gerekli teknik yöntemleri inceleyeceğiz. Olay günlüklerinin analizi, erişim kontrol listelerinin (ACL) düzenli denetimi ve paylaşımdaki dosya değişikliklerinin izlenmesi gibi konulara değineceğiz. Kullanıcı ve sistem etkinliklerinin kaydedildiği Windows olay günlükleri, potansiyel tehditlerin ve güvenlik ihlallerinin tespitinde önemli bir rol oynar.

Çeşitli Windows olay ID'leri, bu paylaşımlar üzerinde gerçekleşen aktiviteleri anlamak için kritik veriler içermektedir. Örneğin, Event ID 5145, bir ağ paylaşım nesnesine erişim sağlandığını gösterirken, Event ID 4663 dosya sistemindeki yazma, silme ya da değişiklik işlemleri ile ilgili detayları kaydeder. Bu olayları izlemek ve analiz etmek, siber güvenlik profesyonellerinin olaylara zamanında müdahale edebilmesi için elzemdir.

Sonuç olarak, SYSVOL ve NETLOGON paylaşımlarının özenle izlenmesi, hem siber saldırılara karşı proaktif bir önlem almak hem de mevcut güvenlik politikalarının uygulanabilirliğini sağlamak açısından kritiktir. Bu blogda, belirtilen paylaşım alanlarının izlenmesi ile ilgili daha detaylı teknik yöntemleri ve uygulamaları inceleyeceğiz.

Teknik Analiz ve Uygulama

SYSVOL Nedir?

SYSVOL, Active Directory (AD) ortamında kritik bir rol üstlenen bir paylaşımdır. Domain Controller (DC) sunucuları arasında replike edilen ve Group Policy nesneleri (GPO), logon scriptleri ve diğer merkezi yapılandırma dosyalarını barındıran bu paylaşım, ağ üzerindeki istemciler için gerekli yapılandırma dosyalarını sunar. SYSVOL, organizasyonların politikalarını merkezi olarak yönetmelerine olanak sağlar ve yönetimsel süreçler için hayati öneme sahiptir.

SYSVOL vs NETLOGON

SYSVOL ile NETLOGON arasında önemli farklar vardır. SYSVOL, GPO'ların ve diğer yapılandırma dosyalarının bulunduğu ana depo iken, NETLOGON geri uyumluluk için kullanılan ve özellikle logon scriptlerinin barındırıldığı salt okunur bir paylaşım alanıdır. NETLOGON genellikle istemcilerin AD’ye bağlanması sırasında çalıştırılan komut dosyalarını saklar.

Bu iki paylaşımın yapısını ve işlevleri anlamak, AD ortamındaki güvenlik zafiyetlerini değerlendirmek için gereklidir. Örneğin, SYSVOL'de bulunan bir GPO'daki değişiklikler, tüm domain üyelerine etki ederken, NETLOGON'daki bir logon scriptinin kötüye kullanımı yalnızca o scriptin çalıştığı istemcileri etkiler.

İzleme Gerekliliği

SYSVOL ve NETLOGON paylaşımlarının izlenmesi, potansiyel güvenlik açıktlarının tespit edilmesi için kritik öneme sahiptir. Saldırganlar, bu paylaşımları kötüye kullanarak zararlı dosyalar ekleyebilir veya mevcut GPO'ları değiştirebilir. SYSVOL üzerindeki dosya değişiklikleri, saldırganların kalıcılık sağlamak amaçlı zararlı betikler eklediğini veya GPO sabotajı yaptığını gösterebilir. Bu nedenle, sistem yöneticilerinin bu paylaşımlarda meydana gelen değişiklikleri düzenli olarak kontrol etmeleri gerekir.

Windows Olay Günlüklerinin Kullanımı

SYSVOL ve NETLOGON izleme işlemlerinde Windows Olay Günlükleri kritik bir kaynak sağlar. Aşağıdaki sorguları kullanarak paylaşımlar üzerindeki olayları takip edebilirsiniz:

# SYSVOL erişim detaylarını incelemek için Olay Günlüğü sorgusu
Get-WinEvent -FilterHashtable @{
    LogName='Security';
    Id=5145
} | Select-Object TimeCreated, Message | Format-Table –AutoSize

Bu sorgu, ağ paylaşım nesnelerine erişimi gösteren Olay ID 5145 ile logları filtreleyerek SYSVOL üzerindeki erişim hareketlerini incelemenizi sağlar.

# SYSVOL üzerindeki dosya değişikliklerini takip etmek için Olay Günlüğü sorgusu
Get-WinEvent -FilterHashtable @{
    LogName='Security';
    Id=4663
} | Select-Object TimeCreated, Message | Format-Table –AutoSize

Yukarıdaki kod ise, dosya sistemi üzerindeki yazma, silme veya değişiklik işlemlerinin kaydını sunarak SYSVOL klasöründeki potansiyel tehditleri ortaya çıkarır.

GPP cpassword Zafiyeti

Group Policy Preferences (GPP) içinde bulunan cpassword, şifrelenmiş bir formda parolaları tutar. Ancak bu şifreli verilerin çözülmesi, saldırganların yetkisiz erişim sağlamak için yararlanabilecekleri bir açık oluşturur. Administratörlerin, yönetim araçlarını kullanarak GPP içindeki cpassword değerlerini kontrol etmeleri ve gerektiğinde revize etmeleri önemlidir.

Replika Teknolojileri

SYSVOL verilerinin DC'ler arasında kopyalanmasını sağlamak için kullanılan iki ana teknoloji mevcuttur: File Replication Service (FRS) ve Distributed File System Replication (DFSR). FRS, eski Windows sürümlerinde kullanılırken, DFSR daha modern ve güvenli bir replikasyon mekanizmasıdır.

Senkronizasyon hataları, güvenlik politikalarının güncellenmemesine ve potansiyel açığa yol açabilir. Bu nedenle, replikasyon sağlığını takip edecek araçlar ve günlükleme sistemleri üzerinde çalışmak, güvenliğin artırılması adına kritik önem taşır.

Fiziksel Konum

SYSVOL klasörünün DC üzerindeki varsayılan fiziksel yolu genellikle C:\Windows\SYSVOL olarak belirlenmiştir. Bu dizin, saldırganlar tarafından hedef alınabilecek önemli bir alandır.

Kritik Olay Takibi ve ACL

Kritik olayların takibi, sistem güvenliği açısından gereklidir. Erişim Kontrol Listeleri (ACL), SYSVOL klasöründe yazma izinlerinin kimler tarafından kontrol edilmesi gerektiğini belirleyen mekanizmalardır. SYSVOL klasöründe sıradan kullanıcıların yazma yetkisinin olması ciddi bir risktir; bu yüzden ACL’lerin düzenli olarak denetlenmesi ve güncellenmesi önerilir.

Bu unsurların bütünleşik olarak izlenmesi ve kontrol edilmesi, AD ortamlarındaki güvenliği artırarak saldırıya uğrama olasılığını düşürmektedir. Sistem yöneticileri, bu teknikleri uygulayarak kendi altyapılarının siber güvenliğini önemli ölçüde güçlendirebilirler.

Risk, Yorumlama ve Savunma

Siber güvenlik bağlamında, SYSVOL ve NETLOGON paylaşımlarının korunması her domain ortamında kritik bir görevdir. Bu paylaşımlar, saldırılara maruz kalabilir ve yanlış yapılandırmalardan kaynaklanan zafiyetler ciddi güvenlik tehlikeleri oluşturabilir. Özellikle, bu tür paylaşımların izlenmesi ve yönetilmesi, potansiyel riskleri anlamak ve saldırılara karşı etkin savunmalar geliştirmek için gereklidir.

Elde Edilen Bulguların Güvenlik Anlamı

SYSVOL, Grup Politika nesnelerini (GPO) ve logon scriptlerini içeren bir paylaşımdır. Bu sebeple, SYSVOL içinde yapılan her tür değişiklik, güvenlik açığı olarak değerlendirilebilir. Örneğin, bir saldırgan SYSVOL üzerinde zararlı betikler ekleyebilir ya da mevcut GPO'ları değiştirebilir. Herhangi bir değişikliğin tespiti, sistem yöneticilerine anında müdahale fırsatı sunar. 

# SYSVOL üzerinde gerçekleştirilen değişikliklerin izlenmesi için
Get-WinEvent -LogName 'Security' | Where-Object { $_.Id -eq 5145 }

Yukarıdaki komut, ağ paylaşımına erişimi gösteren olayları inceleyerek SYSVOL paylaşımlarındaki potansiyel ihlalleri tespit etmeye yardımcı olur.

Yanlış Yapılandırma ve Zafiyetler

SYSVOL ve NETLOGON paylaşımları üzerindeki yanlış yapılandırmalar, ciddi güvenlik zafiyetlerine yol açabilir. Örneğin, SYSVOL klasörüne sıradan kullanıcıların yazma yetkisinin verilmesi, bir saldırgan tarafından yetkisiz değişikliklerin yapılabilmesine olanak tanır.

Ayrıca, GPP (Group Policy Preferences) içindeki cpassword alanının şifrelenmiş olsa da, anahtarın bilinmesi durumunda kolayca çözülebilir olması önemli bir risk faktörüdür. Bu durum, saldırganların bu parolaları kullanarak ağda yetkisiz erişim elde etmesine yol açabilir. Aşağıdaki komut, SYSVOL'daki GPP'leri kontrol etmek için kullanılabilir:

# SYSVOL klasöründeki GPP dosyalarını incelemek için
Get-ChildItem -Path "C:\Windows\SYSVOL\domain\Policies" -Recurse | Select-String -Pattern "cpassword"

Sızan Veri, Topoloji ve Servis Tespiti

Sıfırlama veya güncelleme sırasında yaşanan replikasyon hataları, bazı Domain Controller'ların (DC) güvenlik politikalarını güncelleyememesi nedeniyle açıklar oluşturabilir. Bu tür açıktan yararlanan saldırganlar, kötü niyetli yazılımlar yerleştirebilir veya kritik bilgileri çalabilir. Replika sağlığı ve güvenliğini izlemek için düzenli olarak DFSR (Distributed File System Replication) olaylarına göz atılması gerekmektedir. Örneğin:

# DFSR replikasyon durumunu kontrol etmek için
Get-WinEvent -LogName 'DFS Replication' | Where-Object { $_.Id -eq 4004 }

Profesyonel Önlemler ve Hardening Önerileri

  • Ağ Paylaşımlarını Sıkı Kontrol Edin: SYSVOL ve NETLOGON paylaşımlarının ACL (Erişim Kontrol Listeleri) kurallarını mümkün olduğunca sıkı tutun. Yetkili kullanıcıların dışında herhangi bir yazma izni vermeyin.

  • Günlükleri İzleyin: Olay günlüklerini sıkça kontrol edin; özellikle Event ID 5145 ve 4663 gibi olayları dikkate alın. Bu olaylar, paylaşılan nesnelere erişimi ve dosya sistemi üzerindeki değişiklikleri izlemek için kritik öneme sahiptir.

  • Replikasyon Sağlığını İzleyin: SYSVOL ve NETLOGON replikasyonlarının sağlıklı olduğundan emin olun. Herhangi bir hata veya sorun tespit edildiğinde hemen müdahale edin.

  • GPP Zafiyetlerini Önleyin: GPP içindeki cpassword alanını kullanmamaya özen gösterin veya buna alternatif çözümler geliştirerek bu güvenlik açığını minimize edin.

Sonuç

SYSVOL ve NETLOGON paylaşımlarının izlenmesi, bir domain ortamının güvenliğini sağlamak için kritik bir adımdır. Doğru yapılandırmalar, izleme yöntemleri ve önleyici tedbirler alındığında, bu paylaşımlar üzerinden gelebilecek saldırılar büyük ölçüde engellenebilir. Her türlü yapılandırma ve değişiklik, detaylı bir şekilde gözlemlenmeli ve gerektiğinde müdahale edilmelidir. Bu sistematik yaklaşım, siber güvenlik tehditlerine karşı etkili bir savunma sağlar.