Nulled plugin, bir eklenti veya uygulama için özelliklerin kısıtlandığı veya ücretli olarak satılan bir sürümün ücretsiz olarak paylaşıldığı veya "nulled" olarak adlandırıldığı bir sürümdür. Bu tür eklentiler genellikle izinsiz olarak paylaşılır ve kullanmak yasal olmayabilir. Ayrıca, nulled eklentilerin güvenliği ve güncelliliği de sorgulanabilir, bu nedenle kullanmak için dikkatli olunması önerilir.

Bunu daha çok wordpress de görüyoruz, insanlar wordpress temalarına para vermek yerine bir yerlerden kopyalıyor ve sonuçlarıda özellikle güvenlik zafiyeti olarak dönüyor.

yöneticinin Exchange sunucusunda yürütülen PowerShell komut dosyalarını ve komutlarını dijital olarak imzalamasını sağlayan bir güvenlik özelliğidir. Bu, komut dosyalarının ve komutların güvenilir bir kaynaktan geldiği doğrulandığından ve geçiş sırasında tahrif edilmediğinden emin olmanıza yardımcı olur. İmzalamak için kullanılan sertifika genellikle Exchange sunucusunda depolanır ve Exchange Yönetim Konsolu veya Exchange Management Shell aracılığıyla yönetilebilir.

Bu özelliği kullanabilmek için mutlaka tüm Exchange sunucularınız (2016 ve 2019 üstü) Ocak 2023 CU güncellemesini almış olmalıdır.

Ayrıca yine tüm exchange sunucularında "Exchange Server auth" sertifikası da valid yani geçerli durumda olmalıdır.

Bunun kontrol etmek için MonitorExchangeAuthCertificate.ps1 dosyasını kullanabilirsiniz.

Bu komutu aşağıdaki link üzerinden indirebilirsiniz.

MonitorExchangeAuthCertificate

Daha fazla bilgi için

https://support.microsoft.com/en-us/topic/certificate-signing-of-powershell-serialization-payload-in-exchange-server-90fbf219-b0dd-4b2c-8a68-9d73b3309eb1

Bu tür bir lisans, bilgisayar üreticileri tarafından yazılımın satın alındığı ve bilgisayarlarına yerleştirildiği lisansdır. OEM lisansı sahibi olan kullanıcılar, Microsoft tarafından yayınlanan güncellemeler ve yeni özellikler gibi özel avantajlardan yararlanamazlar. OEM lisansları genellikle sadece bilgisayarın garanti süresi içinde geçerlidir ve kullanıcının bilgisayarını başka bir bilgisayara taşıması halinde geçersiz olur.

Bu tür bir lisans, Windows işletim sistemi için bir kutuda fiziksel olarak satın alınan ve kullanıcının bilgisayarına yükleyebileceği bir lisansdır. Bu tür bir lisans, kullanıcıya ömür boyu geçerli bir lisans verir ve kullanıcıya Microsoft tarafından yayınlanan güncellemeler ve yeni özellikler gibi özel avantajlar sunar.

"Kutu lisans" ve "OEM lisans" arasındaki fark, lisansın nereden ve nasıl satın alındığına ve kullanım şartlarına dayanmaktadır.

Kutu lisans: Bu tür bir lisans, Windows işletim sistemi için bir kutuda fiziksel olarak satın alınan ve kullanıcının bilgisayarına yükleyebileceği bir lisansdır. Bu tür bir lisans, kullanıcıya ömür boyu geçerli bir lisans verir ve kullanıcıya Microsoft tarafından yayınlanan güncellemeler ve yeni özellikler gibi özel avantajlar sunar. Ancak yeni sürümleri içermez (istisna olarak örnek w10 alırsınız Microsoft ücretsiz windows 11 hakkı verir bunlar hariç, ama normal şartlarda örnek kutu office 2019 aldınız bunu 2022 ye yükseltemezsiniz)

OEM lisans: Bu tür bir lisans, bilgisayar üreticileri tarafından yazılımın satın alındığı ve bilgisayarlarına yerleştirildiği lisansdır. OEM lisansı sahibi olan kullanıcılar, Microsoft tarafından yayınlanan güncellemeler ve yeni özellikler gibi özel avantajlardan yararlanamazlar. OEM lisansları genellikle sadece bilgisayarın garanti süresi içinde geçerlidir ve kullanıcının bilgisayarını başka bir bilgisayara taşıması halinde geçersiz olur.

özellikle GGWA lisansı kutu lisans ile aynı işlevi görür fakat kutu lisanslar daha pahalı olabilir ve OEM lisanslar sadece bilgisayar üreticileri tarafından satılır.

Windows GGWA (Windows Genuine Advantage) lisansı, Microsoft tarafından piyasaya sürülen Windows işletim sistemi için geçerli bir lisans belgesidir. Bu lisans, Windows işletim sistemi kullanıcılarının yalnızca gerçek ve orijinal Windows sürümlerini kullandıklarını doğrulamak için kullanılır. GGWA lisansının sahibi olan kullanıcılar, Microsoft tarafından yayınlanan güncellemeler ve yeni özellikler gibi özel avantajlardan yararlanabilir.

Yeni bir kavram olup temel olarak verilerin üretildiği yerde tutulması talebidir. Bunun temel sebebi özellikle bulut, onprem vb farklı platformlarda çalışan şirketler için bazen uygulamalar bulut üzerinde veriler onprem üzerinde tutulabiliyor ve bu çok yaygın bir iş modeli olan hibrit bulutu ortaya koyuyor.

Ancak büyük veri veya bu veri ile yoğun bir işlem yapılıyor ise bazı senaryolarda bu verilerin üretildiği yerde tutularak compute gücününde aynı yerde bu veriyi işlemesi gerekli olabiliyor. İşte bu modele veri yerçekimi diyoruz.

Anahtar dağıtım merkezi (KDC), birbirleriyle güvenli iletişim kurması gereken kullanıcılara ve sunuculara oturum anahtarları sağlayan bir ağ hizmetidir. Bir ağın güvenlik altyapısının ayrılmaz bir parçasıdır ve kullanıcıların ve cihazların kimliğini doğrulamak ve bunlar arasında güvenli iletişim kanalları kurmak için kullanılır.

KDC genellikle kimlik doğrulama ve güvenli iletişim için Kerberos protokolünü kullanan ortamlarda kullanılır. Bir Kerberos sisteminde KDC, sistemi kullanmak üzere kayıtlı tüm kullanıcılar ve sunucular için gizli anahtarlardan oluşan bir veritabanı tutar. Bir kullanıcının veya sunucunun başka bir tarafla güvenli bir şekilde iletişim kurması gerektiğinde, KDC'den bir oturum anahtarı ister, bu daha sonra iki taraf arasındaki mesajları şifrelemek ve şifresini çözmek için kullanılır.

Genel olarak KDC, bir ağ içindeki iletişimin güvenliğini ve bütünlüğünü sağlamada kritik bir rol oynar.

Bu grubun amacı kritik yetkiye sahip hesaplar için varsayılan güvenlik önlemlerine ek olarak daha sıkı bir güvenlik politikası uygulanarak hesapların özellikle şifrelerinin çalınmasını engellemeyi amaçlar. Daha basit anlatım ile zayıf kimlik doğrulama protokollerini kullanamazlar. Bu sayede NTLM vb çok kolay bir şekilde hash çalabileceğiniz yöntemler ile bu grubun üyelerinin şifrelerini çalamazsınız.

Öncelikle bu senaryoyu kullanmak için sunucu işletim sisteminde minimum 2012 R2, client tarafında ise minimum windows 8.1 ve sonrası işletim sistemine ihtiyacınız vardır. Eğer Windows 7, Windows Server 2008 R2 ve Windows Server 2012 ile çalışmak istiyorsanız aşağıdaki linki inceleyin lütfen;

https://learn.microsoft.com/en-us/security-updates/SecurityAdvisories/2016/2871997

Peki daha önemli olan kısma gelelim. Biz kritik hesaplarımızı bu gruba eklersek daha güvenli oluyorlar, cümle bu peki bunu bir etki ve riski yok mu? İnternette her okuduğunuz bilgi ile tabiki gerçek ortamlarınızda değişiklik yapmamazsınız, hele konu güvenlik ise mutlaka geriye dönük uyum nedeni ile bunun dikkatlice incelemeniz gerekli.

Kaynak;

Makale

DDL, veri tanımlama dilini (Data Definition Language) temsil eder. Bu, veritabanında veri tabanı nesnelerinin oluşturulması, değiştirilmesi veya silinmesi gibi işlemleri yapmak için kullanılan SQL (Structured Query Language) sorgularının bir alt kümesidir. Örneğin, bir tablo oluşturmak için CREATE TABLE sorgusu DDL içinde yer alır, ancak bu tablonun veri ekleme işlemleri için kullanılan INSERT sorgusu DDL değildir.

Azure Arc resource bridge, Microsoft Azure platformunun bir parçasıdır ve kullanıcıların bulut harici kaynaklarını, özellikle on-premises veya başka bir bulut platformunda bulunan kaynakları, Azure gibi bir bulut platformuna bağlamalarına yardımcı olur. Bu, kullanıcıların Azure'da kullandıkları araçlar ve hizmetler gibi Azure özelliklerini, Azure'da olmayan kaynakları yönetmek için kullanabilmelerine olanak tanır. Örneğin, Azure Arc resource bridge sayesinde on-premises veya başka bir bulut platformunda bulunan bir veritabanı veya bir sunucu gibi kaynakları Azure'da yönetebilir, Azure Resource Manager gibi Azure yönetim araçlarını kullanarak bu kaynakları yönetebilir ve Azure monitor gibi Azure izleme araçlarını kullanarak bu kaynakları izleyebilirsiniz.

Azure Arc resource bridge, Azure Arc adlı genişletilmiş bulut yönetim platformu için bir parçadır ve Azure Arc, kullanıcıların Azure'da olmayan kaynakları yönetebilmelerine yardımcı olan bir bulut yönetim çözümüdür. Azure Arc, Azure'da olmayan kaynakların yönetiminde aynı Azure özelliklerini ve araçlarını kullanmayı mümkün kılar ve bu sayede kullanıcıların bulut harici kaynaklarını Azure gibi bir bulut platformunda yönetebilmelerine olanak tanır.

Özetle onprem sistemlerin bulut ortamlarından sorunsuz bir şekilde yönetilmesi ve bunu yaparken iki ortam arasında herhangi bir VPN bağlantısı olmasına ihtiyaç duymaz.

görsel

Universal security grupları genellikle birden çok etki alanındaki ilgili kaynaklara izin atamak için kullanılır. Herhangi bir etki alanından üyeler bu gruba eklenebilir.Ayrıca herhangi bir etki alanındaki kaynaklara erişim izinleri atamak için universal grup kullanabilirsiniz. Universal gruplar, herhangi bir etki alanı içerisindeki kullanıcıları, diğer universal grupları ve global grupları üye olarak kabul edebilir.

Global security grupları, genellikle benzer ağ erişim gereksinimlerini paylaşan kullanıcıları düzenlemek için kullanılır. Üyeler yalnızca global grubun oluşturulduğu etki alanından eklenebilir.

Herhangi bir etki alanındaki kaynaklara erişim izinleri atamak için global bir grup kullanılabilir. Genel kapsam, aynı etki alanındaki kullanıcı hesaplarını ve global grupları içerebilir ve herhangi bir etki alanındaki evrensel ve domain local gruplarına üye olabilir.

Domain local grupları, çoğunlukla kaynaklara erişim izinleri atamak için kullanılır. Bu izinleri yalnızca domain local grubunu oluşturduğunuz aynı etki alanında atayabilirsiniz. Herhangi bir etki alanındaki üyeler, domain local grubuna eklenebilir. Temel amacı ilgili domain içerisindeki kaynaklara yetki atamalarını kullanıcı bazlı değil grup bazlı yapmaktır.

Bu tip erişim kontrol yöntemi, ABAC ve RBAC'ın bir kombinasyonu olarak düşünülür. Politikalar, hangi rollerin, hangi niteliklerle hangi sistemlere ve verilere erişebileceğini belirlemek için kurulur.

Bu üç erişim denetimi yönteminden nitelik tabanlı erişim denetimi (ABAC), muhtemelen amaca dayalı erişim denetimine en yakın yöntemdir. Amaca dayalı erişim denetimi de RBAC ile benzerlikler paylaşır, ancak yukarıda belirtildiği gibi, RBAC artık verilerimizi yeterince korumak ve ilgili veri gizliliği yasalarına uymak için yeterince ayrıntılı olarak kabul edilmemektedir.

Sadece bu da değil, RBAC çok fazla manuel girdi gerektirir, bu da yalnızca izin verme/iptal etme sürecini yavaşlatmakla kalmaz, aynı zamanda sürekli bakım gerektirir ve hataya açıktır. Ayrıca, amaca dayalı erişim kontrolünün, gerekirse yukarıdaki yöntemlerin bazıları veya tümü ile birleştirilebileceğini belirtmekte fayda var.

ABAC, belirli bir kullanıcının belirli özelliklerine göre erişimin verildiği/iptal edildiği yerdir. Örneğin, kullanıcı bir çalışansa ve departmanı İK ise, İK/Bordro sistemine yalnızca şirketin saat dilimiyle ilgili saatlerde erişim izni verilecektir. ABAC'a bazen politika tabanlı erişim kontrolü de denir ve bu pek yardımcı olmaz.

Kaynaklara erişimin daha güvenli bir hale gelmesi için geliştirilen yeni nesil bir güvenlik anlayışıdır. Malum yetkili hesapların ele geçirilmesi sonrasında kötü niyetli kişiler ne yazık ki tüm sistemlere erişeibliyor. Bundan dolayı RBAC dediğimiz role tabanlı, yani sorumluluk tabanlı erişim kontrol sistemleri geliştirildi. Örneğin sadece kullanıcı işlemleri yapacak bir kişiye ona ait sınırlı yetkiler veren bir model gibi düşünebilirsiniz.

Peki şu anda kabul görmüş erişim kontrol mekanizmaları nelerdir?

Attribute-Based Access Control (ABAC)
Role-Based Access Control (RBAC)
Policy-Based Access Control (also known as PBAC)

Peki PBAC tam olarak ne sağlar?

Amaca dayalı erişim kontrolü, basitliği ve esnekliği nedeniyle giderek daha popüler hale geliyor. PBAC, GDPR ve HIPAA gibi veri gizliliği düzenlemelerine uyulmasına da yardımcı olabilir. Örneğin, GDPR'nin Amaç Sınırlaması İlkesi, "Kişisel veriler yalnızca meşru ve belirli bir amaç için toplanmalı ve işlenmelidir" der.

Bu nedenle, kullanıcıların ve uygulamaların belirli bir amaç için erişim talepleri gönderebilmesi, herhangi bir zamanda yalnızca ihtiyaç duydukları sistemlere ve verilere erişmelerini sağlayacaktır. PBAC, her erişim talebi ve onayı güvenlik ekibi tarafından kaydedilip gözden geçirilebildiği için denetime de yardımcı olur.

Bildiğiniz gibi Microsoft Active Directory bir Identity and Access Management ürünüdür. Yani temel olarak kimlik ve erişim altyapısı sunar. Bir kişi Microsoft sistemlerinde bir kaynağa erişmek ister ise önce kimliğini doğrular sonra ise isteğine göre eğer yetkisi var ise yetkilendirilir.

Burada bir Microsoft işletim sistemi ve üzerindeki herhangi bir kaynağa erişmek istediğiniz zaman size bu servisi sunan sunucuya veya makineye "Service Provider" denir. SP üzerinde çalışan lsass.exe karşılar ve ilgili kaynağa ulaşmak isteyen kişiye kimsin sen sorusunu sorar. Aldığı cevabı ise bir kimlik sağlayıcı olan (Identity Provider IdP) Active Directory veri tabanın sorar.

Buraya kadar her şey güzel ama malum Dünya da sadece Microsoft ekosistemi yoktur. Peki şöyle bir senaryo düşünelim? Servis sağlayıcı sunucu, uygulama veya servis ile Identity Provider olan sistem faklı platformlarda ise ne olacak? Böyle bir senaryoda bu iki platform arasındaki kimlik doğrulama ve yetkilendirme verilerinin iletilmesi için kullanılan bir standarta ihtiyaç vardır. İşte tam bu noktada OASIS Organization for the Advancement of Structured Information bu konuda SAML standartını geliştirmiştir.

Özetle kimlik sağlayıcılar ile servis sağlayıcıların ortak bir dil ile konuşması ve bu sayede günümüzde SSO olarak bilinen tekli oturum açma özelliklerinin farklı platformlarda da sorunsuz çalışmasını sağlar.

Otonom Sistem (AS), ağ veya internete açık her bir local yönetimi olan alana denir.
Tek bir idari varlık veya etki alanı adına kaydedilen, bir veya daha fazla ağ operatörünün kontrolü altındaki yönlendirilebilir İnternet Protokolü (IP) ön ekleri kümesidir ve
her AS arasinda route bilgilerini paylasabilmek icin Border Gateway Protocol (BGP) yönlendirmesinde kullanılmak üzere 16 bitlik bir numara, Ootonom Sistem Numarası (ASN) atanır.

ASN, İnternet Tahsisli Numaralar Kurumu (IANA) tarafından Yerel İnternet Kayıtlarına (LIR'ler) ve Bölgesel İnternet Kayıtlarına (RIR'ler) bloklar halinde atanır.
ASN, bilgisi kullanılarak bir IP’nin bulunduğu ISS ve ISP’lerin IP blokları tespit edilebilir. Özetle İnternete bağlanan cihaz bir ASN altındadır.

Şuan TR için 15217 adet ayrı ASN listelenmiştir. Örnek;
9095 Istanbul Teknik Universitesi
9121 Turk Telekomunikasyon Anonim Sirketi
16135 Turkcell Iletisim Hizmetleri A.S

RDMA temel olarak Kernel katmanını atlayarak doğrudan network kartlarının uygulamalar ile konuşmasını sağlayan bir protokoldür. Bu sayede bir bilgisayarın belleğinden diğer bir bilgisayarın belleğine, her iki bilgisayarın da işletim sistemlerini etkilemeden veri aktarımını sağlar. Genellikle cluster yapılarında kullanılır. Bu sayede aynı anda çalışması gereken veya birisi down olduğunda diğerinin mevcut veriler ile hizmet vermeye devam etmesi gereken iki veya daha fazla sunucunun uygun RDMA kartları ile eş zamanlı olarak bellek üzerindeki verileri kullanmasını sağlar.

görsel

S2D mimarisinde eğer cache disklerinin kapasitesi farklı ise bunu otomatik dengeleyen sistemdir. Storage Spaces Direct, IO'yu node'ların arasında eşit olarak dağıtır ve önbellek-kapasite oranına göre ayrım yapmaz.
görsel

Kurulu, mevcut veya bazen fazla, kullanılamayan kapasite anlamına gelir. Örnek 3 sunuculu bir Azure Stack HCI kümesi kuruyorsunuz, iki sunucu 10TB kapasiteye sahip iken bir tanesi 15TB kapasiteye sahip. Raid ya da bir başka adı ile koruma teknolojisi olarak 3-way mirror seçtiğiniz zaman, bir verinin toplama 3 kopyasının olması gerektiği için aşağıdaki gibi aslında bu ek 5TB kapasite cluster için bir şey ifade etmez. Yani atıl ve kullanılamayan kapasitedir.

görsel

Bir diskin kullanım ömrü boyunca kümülatif olarak ne kadar veri yazılacağının ölçü birimidir.

Örneğin, sürücünüz 365 TBW olarak derecelendirildiyse, bu, değiştirmeniz gerekmeden önce sürücünüze 365 TB yazabileceğiniz anlamına gelir.

Garanti süresi 5 yıl ise, bu 365 TB ÷ (5 yıl × 365 gün/yıl) = günde 200 GB yazma anlamına gelir. Sürücünüz 200 GB boyutundaysa, bu 1 DWPD 'ye eşdeğerdir. Buna bağlı olarak, sürücünüz 3,65 PBW = 3,650 TBW olarak derecelendirildiyse, bu, günde 2 TB yazma veya 10 DWPD'ye karşılık gelir.

Günlük Sürücü Yazma Sayısı (DWPD), kullanım ömrü boyunca her gün sürücünün tüm boyutunun üzerine kaç kez yazabileceğinizi ölçer. Örneğin, sürücünüzün 200 GB olduğunu ve garanti süresinin 5 yıl olduğunu varsayalım. DWPD'si 1 ise, bu, önümüzdeki beş yıl boyunca her gün 200 GB (boyutu, bir kez) yazabileceğiniz anlamına gelir.

Bu değer neden önemlidir? Genelde kapasite disklerinde bu değer 1 de olsa müşterilerin işini görebilir ancak bu sürücüyü cache disk olarak alacaksanız o zaman bu değerin 3 olması idealdir.

Merkezi olarak kimlik doğrulama sonrasında bir den çok platform için şifre sormadan geçiş yapma özelliği olarak özetlenebilir. Örneğin active directory için windows işletim sistemine login oldunuz, bu sırada şifrenizi sisteme verdiniz ve kimliğinizi doğruladınız. Sonra şirket portalı için www.portal gibi adrese girdiniz. Portalda bir daha kimlik doğrulama istenebilir veya SSO yani tek bir login sonrasında bu platforma da bir kez daha şifre vermeden girmek isterseniz bu platform ile AD arasında bir entegrasyon yapmanız gerekli. Veya oradan başka bir sunucuya, printer dan çıktı almak, ERP sistemine bağlanmak gibi kimlik doğrulama isteyen başka platformlar ile AD veya kullandınız Azure AD, ya da başka bir merkezi kimlik doğrulama sistemi ile bu sistemler arasında entegrasyon yaparsanız tek bir kez login işleminden sonra diğer tüm platformlara login istemeden giriş yapabilirsiniz. Bu tabi kritik sistemler için zafiyet doğurabilir ondan bu tür sistemlerde genelde SSO önerilmez.

Sunucu veya network sistemlerine bağlanmayı sağlayan yönetim araçlarına verilen isimlerdir. Örneğin Dell iDRAC, HPE ILO gibi ilgili sunucuların fiziksel portları aracılığı ile kurulan bağlantılar veya network cihazlarına serial kablo ile bağlantı gibi, ilgili cihaza fiziksel bir port aracılığı ile yazılımsal olarak bağlanarak yapılan yönetim şeklidir.