Bilgisayara ilk merhaba demem ilkokul yıllarına dayanır Bilgisayarın bana kalıcı izler bırakacağı o dönemlerde belli olmuştu zaten.Sistem ve Network'un benim hayatımda ayrı biryeri olmuştur.Son 6 senedir Sistem ve Network konusu ile profesyonel olarak ilgilenmekteyim. Devamını Oku...
KB
You experience performance issues in applications and services when the system file cache consumes most of the physical RAM
The Remote Desktop Web Connection client does not work after you upgrade to Windows Vista Service Pack 1
Active Directory,
Microsoft ağlarında kullanılan dizin hizmetidir. Bu veritabanı, kullanıcılar, bigisayarlar, mekanlar, yazıcılar gibi organizasyonun tüm bilgilerini saklar.
Active Directory Schema,
Kullanıcı, grup, bilgisayar ve yazıcılar gibi bütün objelere (nesne) ait bilgileri içerir. Windows 2000 ve sonrasında tüm Network yapınız (forest) içerisinde, sadece bir Schema bulunur ve bütün obje (nesne) bilgileri Schema üzerine yazılır. Schema yapısında, bir obje nin sınıfı (class) ve niteliği (attribute) tanımlanabilir.
Sınıf (class) ve Nitelik (attribute)
Obje (Object) : Bilgisayar, kullanıcı veya yazıcı olabilir (Örneğin “Ahmet” bir kullanıcı objesidir)
Sınıf (Class) : Obje nin görev tanımını veya özelliklerini belirtir (Örneğin “Ahmet” kullanıcı objesi “User” sınıfı olarak tanımlanır)
Nitelik (Attribute) : Schema içinde bir kez tanımlandıktan sonra, arama(search) işlemlerinde kullanılabilir. Her sınıfın ayrı nitelikleri olabilir. (Örneğin Kullanıcının telefon numarası)
Merhaba,
Bugunku yazimda anonymous LDAP konfigurasyonu soz konusu oldugunda ne tur guvenlik problemleri yasanabilecegine dair biraz fikir vermeye calisacagim. Gunumuzde bir cok 3rd party software, LDAP protokolunu kullanarak Active Directory ile entegre calismaktadir. Bu urunlerden bazilarinin Active Directory’e LDAP erisiminin anonymous olmasi gerekiyor (3rd party urunden kaynaklanan bir konfigurasyon zorunlulugu). Yakin zamanda bir musterimiz icin bu konuda bir calisma yaptim ve konuya iliskin olarak asagidaki bilgileri derledim. Burada verilen bilgiler bizim genel olarak anonymous LDAP konfigurasyonuna bakisimiza da yansitmaktadir:
1) Anonymous LDAP baglantilar Windows 2003 ve sonrasi OS’ler ile calisan DC’lerde default olarak kapalidir. Hic bir OS component’i ya da Microsoft software’i (ornegin OCS, Exchange, SCCM vs) de anonymous LDAP connection’larin enable edilmesini gerektirmemektedir. Bahsi gecen software ya da component’ler LDAP request’leri authenticated connection’lar uzerinden gondermektedir.
2) Microsoft’un 3rd party uygulama gelistiriciler icin zaten uzun zamandir kullanilabilir durumda olan ve authentication’i da destekleyen zengin bir LDAP kutuphanesi bulunmaktadir (LDAP APIs). Dolayisiyla bizim tercihimiz her zaman LDAP sorgularin authenticated connection’lar uzerinden gonderilmesidir.
LDAP API’lari ile ilgili daha genis bilgi asagidaki link’ten edinilebilir:
http://msdn.microsoft.com/en-us/library/aa367008(VS.85).aspx Lightweight Directory Access Protocol
3) Ayrica anonymous LDAP baglantilarin neden olabilecegi bazi muhtemel guvenlik problemleri de bulunmaktadir:
Tekrar merhaba,
Bugunku yazimda kisaca Windows client ve server’larda kullanilan syn attack protection algoritmasi ile ilgili degisikliklerden bahsedecegim. Bilindigi gibi syn attack, bir host’un servis disi kalmasi icin kullanilan bir saldiri teknigi (DoS- Denial of Service) ve bu atagi onlemeye yonelik olarak Windows 2000′den bu yana isletim sistemine dahil edilmis bir syn attack protection mekanizmasi var. Bu mekanizma, Windows 2003/SP1 itibariyle de default olarak enable edildi. Syn attack protection mekanizmasinin bu versiyonunda (Windows 2000/Windows 2003), sistemin syn attack karsisinda ne sekilde tepki verecegine dair bazi ayarlamalar yapilabiliyordu. Bu konuyla ilgili olarak daha ayrintili bilgiyi asagidaki makalelerden de bulabilirsiniz:
http://support.microsoft.com/kb/324270 How to harden the TCP/IP stack against denial of service attacks in Windows Server 2003
http://technet.microsoft.com/en-us/library/cc758746(WS.10).aspx Microsoft Windows Server 2003 TCP/IP Implementation Details
Benim bu yazida ozellikle uzerinde durmak istedigim konu yeni nesil syn attack protection algoritmasindaki degisiklikler. Bu degisiklikleri asagidaki maddelerde ozetlemeye calistim: (Asagidaki bilgiler Windows Vista, 2008, Windows 7 ve Windows 2008 R2 sistemler icin gecerlidir)
1) Syn attack protection default olarak enabled durumdadir ve disable edilemez
2) Yeni syn attack protection algoritmasinda threshold degerleri, kullanilabilir bellek miktari, CPU core sayisi gibi kriterler dikkate alinarak dinamik olarak hesaplanmaktadir dolayisiyla herhangi bir sekilde konfigurasyon gerektirmemektedir ve bu yuzden ayarlanabilir herhangi bir registry key, netsh komutu vs yoktur.
