Grup üyeliklerinde değişiklik olduğunda bilgilendiriliyor musunuz? Eğer sisteminizde bunu yapan özel bir yazılım yoksa cevabınız yüksek ihtimalle “Hayır” olacaktır. Peki sizden habersiz bir şekilde sisteminize saldırı yapılıp saldırgan kendisini domain için önemli bir grup olan Domain Admins grubuna eklerse?
Basit bir PowerShell scripti ile “Domain Admins” grubuna eklenen kullanıcılardan haberdar olabilmemiz mümkün. Aşağıdaki script ile Domain Admins grubuna yeni bir kullanıcı eklendiğinde e-posta yolu ile yapılan bu değişiklikten haberdar olabiliriz. Scriptin görevi bizim belirlediğimiz bir süre zarfında belirlediğimiz bir gruba (Örnekte Domain Admins grubu) belirtilen zaman aralığında kullanıcı eklenirse otomaik olarak e-posta yoluyla bilgilendirilmemizdir.
$ref=(Get-ADGroupMember -Identity "Domain Admins").Name
Start-Sleep -Seconds 3600
$diff=(Get-ADGroupMember -Identity "Domain Admins").Name
$date=Get-Date -Format g
$result=(Compare-Object -ReferenceObject $ref -DifferenceObject $diff | Where-Object {$_.SideIndicator -eq "=>"} | Select-Object -ExpandProperty InputObject) -join ", "
If ($result)
{Send-MailMessage -From ADSecurityAlert@emres.com -To emre.satilmis@emres.com -SmtpServer relay.emres.com -Subject "Domain Güvenlik Alarmı" -Body "Domain Admin üyeliğine $result kullanıcıları eklenmiştir. Rapor oluşturma tarihi : $date" -Priority High -Encoding UTF8}Scriptteki parametrelerde değiştirilmesi gereken noktalar aşağıda verilmiştir.
- Start-Sleep -Seconds 3600 satırında zaman aralığı (saniye) belirlenir. Örnekte yaklaşık 1 saat olarak belirlenmiştir.
- {Send-MailMessage -From ADSecurityAlert@emres.com -To emre.satilmis@emres.com -SmtpServer relay.emres.com -Subject “Domain Güvenlik Alarmı” -Body “Domain Admin üyeliğine $result kullanıcıları eklenmiştir. Rapor oluşturma tarihi : $date” -Priority High -Encoding UTF8} satırında e-posta gönderilmesi için gerekli konfigürasyon bilgileri (e-postanın kimlere gönderileceği, e-posta sunucusunun relay adresi, e-postanın konusu) belirlenir.
Script 1 saat aralığındaki grup üyelik farklarını alacağından Görev Zamanlayıcıya (Task Scheduler) tanımlanacak görevin saat başı çalışacak şekilde ayarlanması gerekmektedir. Böylece her saat başı grup üyelik farkı alınacak ve eğer kullanıcı eklenmişse belirtilen e-posta adreslerine iletilecektir.
Zaman aralığı kısaltılmak istenirse birinci maddede değişiklik yapılması gerekir. Eğer her 10 dakikada bir kontrolün yapılması isteniyorsa ikinci satırdaki değer 600 olarak değiştirilir ve Görev Zamanlayıcıda bu scriptin çalışma süresi 10 dakika olarak ayarlanır.
Örnek e-posta aşağıdaki gibi olacaktır.
Faydalı olması dileğiyle…
