Exchange 2003 Üzerinde Banner Değişimi İle Güvenliğinizi Arttırın
Exchange 2003 üzerindeki Virtual Server’ların otomatik bağlantı yanıtı olan banner’lar sunucuya Telnet üzerinden bağlanıldığında veya başka bir saldırı şekliyle atak yapıldığında sunucunuz ile ilgili bazı bilgileri karşı tarafa verir. Bu bilgiler, Exchange üzerindeki işletim sisteminin versiyonu ve üzerine yüklü servis paketi bilgisidir. Kötü amaçlı kişiler bu bilgileri öğrenerek sistem açıklarını bulabilir. Verilen bu yanıtları değiştirmek bir seviye de olsa güvenliğinizi arttıracaktır. Bu makalemde Exchange 2003 üzerinde çalışan SMTP, IMAP4 ve POP3 virtual server’larının varsayılan bağlantı yanıtlarının (banner) nasıl değiştirileceğini inceleyeceğiz.
Banner bilgisini değiştirmek için bir çok yol bulunuyor. Bu makalede Metabase Explorer araçları ile doğrudan metabase üzerinde değişiklik yaparak banner değişikliğine gideceğiz. Ayrıca sonuca scripting kullanarakta ulaşmak mümkün.
İşlemler sırasında metabase’in bozulup, geri dönüşü olmayan bir noktaya gelebileceğinizi düşünürsek, başlamadan önce IIS Metabase yedeği almanızı öneririm.
Default SMTP Virtual Server banner’ını görelim. SMTP banner için aşağıdaki komutu command prompt’da çalıştırın.
Telnet Sunucu_Adı 25
Yanıt aşağıdaki gibi olacaktır.
http://www.mshowto.org adresinde yayımlanan makalemin devamını okumak için tıklayınız.
Site'lar arası Urgent Replication (İvedi Replikasyon)Bildiğiniz gibi AD'deki bazı değişikliklerin ivedi olarak replikasyonu yapılır. Buna urgent replication deniliyor. Bu değişiklikler, account lockout, password değişikliği, account lockout policy'sinde yapılan değişiklikler, domain password policy'sinde yapılan değişiklikler gibi değişikliklerdir.
Fakat bu urgent replication tanımı karıştırılabiliyor. Yani tüm bu değişikliklerin hangi dc'de yapılırsa yapılsın tüm forest'a hemen replike olacağı zannediliyor. Yukarıdaki her işleme göre olay farklı olabiliyor. Bu değişiklikler sadece site içine hemen replike olur, site'lar arasında durum olaya göre değişiyor.
Urgent replikasyon aynı site icindeki dc'ler arasında replikasyonu ivedi olarak yapılır. Fakat sitelar arası replikasyon için, eğer site link üzerinde bunları geçirmesi için konfigurasyon yapmamışsanız normal replikasyon zamanınında yapılacaktır.
Fakat account lockout durumu için olay biraz daha farklıdır. Account lockout durumunda olayın olduğu dc bu durumu ivedi olarak PDC rolüne sahip DC'ye bildirir. Diğer site'lardaki DC'ler ise bu değişikliği normal replikasyon zamanında alırlar. Yani PDC ile aralarında bir urgent replikasyon olayı olmaz. Zaten account'un PDC üzerinde lockout'unun kaldırılması kullanıcının logon olması için yeterlidir.
Bu durumlarda şu şekilde problemler oluşabiliyor. Operator kendi site'inda kullanıcının lock'ını açıyor. Bir süre sonra kullanıcı tekrar lock oluyor. Fakat kullanıcı operator'un bağlandığı (Active Directory Users and Computers) DC'den farklı bir dc de lock olduğu için, operator bu lock'ı göremiyor. Kullanıcının lock olmadığı halde logon olamadığını düşünüyor ve System Admin'i arıyor.
