Bundan önceki makalemde genel olarak Windows Admin Center hakkında tanımlayıcı bilgiler vermiştim. Makalemin bu bölümünde ise kurulum adımlarını paylaşıyor olacağım.

Makalemin ilk bölümüne aşağıdaki link üzerinden ulaşabilirsiniz

http://www.cozumpark.com/blogs/windows_server/archive/2018/04/15/windows-admin-center-project-honolulu.aspx

Öncelikle Windows Admin Center iki temel şekilde kurulabilir; Desktop Mode veya Gateway Mode. Dektop mode Windows 10 üzerine kurup çalıştırdığınız bir modeldir. Bu modelde pek çok sunucu, cluster vb. ortamları ekleyebilirsiniz. Ancak aşağıdaki gibi internet üzerinden erişim veya daha Büyük ve Güvenlik yapılarda bir kurulum ihtiyacınız var ise Server 2016 üzerine Gateway mode kurup Web portalını ayrı bir makineye kurabilirsiniz.

Kurulum için desteklen işletim sistemleri ve türleri aşağıdaki gibidir;

Yönetilen sistemler ise Windows 10, Server 2016, Windows Server, Windows 2012 R2 ve Windows 2012’ dir. Windows 2008 desteği ne yazık ki yoktur. Ek olarak yönetilecek sunucularda mutlaka Windows Management Framework 5.1 yüklü olmalıdır.

Windows Server 2012 veya 2012 R2 de WMF 5.1 yüklü gelmez, bu nedenle bunu ayrıca yüklemeniz gereklidir. Mevcut sürümü aşağıdaki PS ile kontrol edebilirsiniz

$PSVersiontable

Tam listeye aşağıdaki tablodan ulaşabilirsiniz

Yükleme senaryolarına gelecek olursak temel 4 yükleme senaryosu vardır.

İlk modelde kendi Windows 10 makinenize WAC yükleyerek sunucuları veya istemcileri yönetebilirsiniz.

İkinci modelde ise bir sunucuya WAC yükleyerek sunucu ve istemci yönetimini yapabilirsiniz.

Bir gateway server kurabilir bu sayede herkesin herhangi bir yerden gateway server’ a erişmesi ve yönetim yapmasını sağlayabilirsiniz.

Büyük bir sunucu ve istemci ortamını yönetecek ve kesinti riskini göze almak istemiyorsanız gateway modelini HA yani cluster yapıda kurabilirsiniz.

Eğer HA bir yapı kurmak istiyorsanız aşağıdaki makaleyi inceleyebilirsiniz. Muhtemel bende yazacağım ama olur ya vakit çok değerli ne zaman yazarım kestiremiyorum.

https://docs.microsoft.com/en-us/windows-server/manage/windows-admin-center/deploy/high-availability

Peki şimdi kurulum adımlarına geçebiliriz. İlk olarak Desktop Mode kurulumunu gerçekleştireceğim.

Ürünü aşağıdaki link üzerinden indirebilirsiniz

https://aka.ms/WACDownload

Daha sonra aşağıdaki adımları takip ederek kurulumunu yapabilirsiniz.

Windows Admin Center bir network servisi olarak kurulduğundan dinleyeceği portu tanımlamanız gerekmektedir.

Kurulum bittikten sonra bize bir uyarı ekranı çıkarmaktadır.  Admin Center’ I ilk açtığımız zaman bize SSL bağlantıda kullanmak üzere bir sertifika seçtirecektir. Eğer bu makinede daha önce bu amaç veya farklı amaç ile alınmış bir sertifika yok ise aşağıdaki gibi kendisinin ürettiği sertifikayı kullanacaktır.

Bu sertifika geçici bir sertifika olup en kısa sürede Windows Admin Center için doğru bir sertifika yapılandırmasını gerçekleştirmeniz gerekmektedir.

Eğer kurulumu workgroup bir ortamda yapıyorsanız Admin Center erişimlerini sınırlamak için aşağıdaki makaleyi inceleyebilirsiniz.

https://docs.microsoft.com/en-us/windows-server/manage/windows-admin-center/use/troubleshooting#configure-trustedhosts

Eğer Windows Server Core üzerine kurulum yapmak istiyorsanız aşağıdaki gibi PS kullanabilirsiniz

msiexec /i <WindowsAdminCenterInstallerName>.msi /qn /L*v log.txt SME_PORT=<port> SSL_CERTIFICATE_OPTION=generate

msiexec /i< WindowsAdminCenterInstallerName>.msi /qn /L*v log.txt SME_PORT=<port> SME_THUMBPRINT=<thumbprint> SSL_CERTIFICATE_OPTION=installed

Peki kurulumu tamamladık şimdi sırada ara yüzü inceleme var.

Kurulumdan sonra karşımıza bir karşılama ekranı gelecektir ki bunu geçerseniz aşağıdaki gibi Admin Center ekranı ile karşı karşıya kalabilirsiniz.

Aslında gördüğünüz gibi kurulum son derece kolay oldu. İsterseniz hemen bir server ekleyelim. Add düğmesine basıyorum.

Sağ tarafta yukarıdaki gibi bir menü beliriyor ve hemen ben Add Server Connection kısmına tıklıyorum.

Sunucu ismi veya ip adresini yazabilirsiniz. Ben ip adresini yazdım ve hemen sunucumu buldu.

Hemen üst bölümde yer alan Add Tags diyerek bu sunucu için bir etiket tanımlayabilirsiniz, örnek ben DC etiketini kullanıyorum.

Daha sonra Submit diyerek tanımlamayı bitiriyorum.

Bir istemci iki sunucu oldu hemen iki sunucu daha ekliyorum.

Not: Aşağıdaki gibi eğer çok fazla sunucu veya istemci ekleme durumu var ise txt ile içeriye import etme şansına sahipsiniz.

İkinci sunucum Exchange Server

Üçüncü sunucum Lepide yani Audit Yazılım sunucum

Son durum aşağıdaki gibidir;

Peki neler yapabiliyoruz? Sunucu üstüne tıklayalım.

İşte mucize burada başlıyor. Uzun yıllar hep 3 parti programlar ile elde etmeye çalıştığımız gerçek zamanlı bir izleme ekranına sahibiz

En temel göstergelerden;

O sunucu üzerindeki expire olmuş sertifikaları kadar detay görme imkanına sahibiz.

Aslında sol bölümdeki her bir ayar bizim için çok etkileyici, basit bir örnek registry Yönetimi.

Son derece kolay.

Açık olan işlemler;

Disk durumu

Network Ayarları

Ve en beğendiğim özelliklerden birisi yerel dosyaların görüntülenmesi.

Yine hemen üst bölümde isterseniz Büyük organizasyonlar için kolay geçiş linklerini bulabilirsiniz.

Sunucu yönetiminden Bilgisayar yönetimine, cluster yönetiminden hyper-converged cluster yönetimine kolay geçiş sağlayabilirsiniz.

Aslında ürünün ara yüzünü çok anlatmaya gerek yok, herkesin son derece kolay bir şekilde keşfedebileceği kolaylıkta bir ürün yapmışlar.

Makaleyi sonlandırmadan önce ise çok benzerlik göstermesine rağmen Gateway mode kurulumunu da beraber yapalım. Unutmayın ki GW mode için mutlaka Windows Server 2016 veya üstü bir server işletim sistemi kullanmanız gereklidir.

Bu bölümde network servisi olarak yüklenecek olan Windows Admin Center için bağlantı portunu ve kullanacağınız sertifikayı belirtiyoruz. Mümkün ise bu amaç ile veya yıldız gibi genel amaç ile alınmış ve hem sizin hem istemci, sunucularınızın güvendiği bir sertifika kullanmaya gayret gösterin. Bu sertifika ilgili Windows sunucuda yüklü ise Use an SSL ile başlayan bölüme mevcut sertifikanın parmak izini yazabilirsiniz.

Kurulum tamamlandı sunucu ismi veya IP adresi ile direkt erişim sağlayabilirsiniz.

Özetle artık sunucu yönetmek çocuk oyuncağı diyebiliriz. Ben ürünü şahsen çok beğendim umarım sizlerde beğenirsiniz.

Kaynak;

https://docs.microsoft.com/en-us/windows-server/manage/windows-admin-center/plan/installation-options

Windows Admin Center sunduğu hizmetler düşünülürse kısa bir sürede pek çok sistem yöneticisi tarafından kullanılacak bir üründür. Durum böyle olunca ürünün bize sunduğu en önemli özeliklerden birisi güvenlik ve izleme özelliğidir.

Temel olarak Microsoft’ un yaklaşımı herkese yeterli yetki verip gereksiz yetkilerden doğacak olan kötüye kullanım veya yanlış kullanımı engellemektedir.

Windows Admin Center’ da temel iki rol yer almaktadır.

·         Gateway users

·         Gateway administrators

User rolünün yetkisi temel olarak Windows Admin Center’ a bağlanıp yine uzak sunuculardaki yetkisi dahilinde yönetim yapmaktır.

Administrators rolü ise Admin Center yönetimi için kullanılır. Örneğin Admin Center’ ın kimlik doğrulama mekanizmasını değiştirmek veya kimlerin Admin Center a bağlanıp bağlanamayacağını ayarlar.

Varsayılan olarak gateway kurulduktan sonra browser üzerinden erişmek isterseniz size kimlik bilgisi sorar, bu kimlik bilgisi gateway makinesinin local admin kullanıcı grubu üyelerine erişim izni vermektedir.

Üretim ortamlarında tabiki bu çok geçerli bir yöntem olmadığı için local admin yetkili bir kullanıcı ile sisteme giriş yaptıktan sonra “identity provider” yani kimlik doğrulamasını yapacak sağlayıcıyı seçebiliyoruz.

Bunun için Admin Center’ a giriş yapın, Ayarlar bölümünden “Gateway Access” sekmesine tıklayın.

Şu anda varsayılan olarak Active Directory veya yerel grupları doğruluyor.  Örneğin Add diyerek AD içerisinden bir grup seçebiliriz.

Yukarıda da görebileceğiniz gibi artık Domain Users grubundaki herkes Windows Admin Center’ a user olarak bağlanabilirler. Unutmayın ki bu admin center bağlantı yetkisi olup sunucu yetkisi farklıdır.

Örneğin local yönetici yetkisi ile çalışan Windows Admin Center, domain ortamındaki bir makineyi yönetilen makinelerin arasına eklemek isterse aşağıdaki gibi ek bir kimlik doğrulama istenir.

Sonuç ise aşağıdaki resimde açıkça görüşmektedir. Birisi local bir hesap ile diğer makine ise domain yönetici hesabı ile erişilmiştir.

Veya daha kritik yönetici yetkilerine sahip gruplar için smartcard authantication’ ı zorunlu tutabilirsiniz

Buraya kadar yerel kullanıcı kimlikleri ile çalıştık. Bundan sonra ise eğer Azure hesaplar ile çalışmak isterseniz tek yapmanız gereken aşağıdaki Change butonuna basmaktır.

Ekranın sağ bölümünde yukarıdaki gibi bir seçenek çıkar ve buradan değişikliği yapabilirsiniz.

Azure Active Directory seçtikten sonra bir komut seti indirme linki belirir. Bunun indirelim ve aşağıdaki gibi çalıştıralım

Not: Öncesinde eğer ortamınız hazır değil ise bu iki komutu çalıştırın

Install-Module AzureRM.Resources

Install-Module AzureAD

.\New-AadApp.ps1 -GatewayEndpoint "https://gateway.cozumpark.com"

Artık yönetim için lokal kullanıcılar değil azure üzerindeki kullanıcıları seçebilirsiniz.

Birde daha gelişmiş yönetim için Role Base Access Control özelliğini kullanabilirsiniz ki bunu da ayrı bir makalede detaylandıracağım.

Kullanıcı işlemlerinden sonra sıra olay günlüklerine geldi. Öncelikle Windows Admin Center okuma temelli hiçbir aksiyonu loglamaz. Yani bir adminin bağlanıp sistemleri izlemesi onun için bir değişiklik değildir, ancak herhangi bir değişiklik olur ise Windows olay günlüklerinde “Microsoft-ServerManagementExperience” başlığı altında görebilirsiniz.

Log bilgileri aşağıdaki gibidir

Örnek bir log, tabiki ürün çok yeni olduğu için ilerleyen aşamalarda loglama çok daha iyileştirilecektir.

Makalemin sonuna gelmedim, umarım faydalı bir makale serisi olmuştur. Bir sonraki makalemde görüşmek üzere.

Kaynak

https://docs.microsoft.com/en-us/windows-server/manage/windows-admin-center/plan/user-access-options

Günümüzde artık donanımların, işletim sistemlerinin büyük oranda stabil çalışması sağlanmış durumda. Günümüzün popüler sorunları arasında Güvenlik önemle yukarıya doğru tırmanmakta. Bu nedenle birçok sistemde güvenlik adına yeni önlemler ortaya çıkmakta. Eskiden çok az duyduğumuz ikili kimlik doğrulama sistemi günden güne yaygınlaşmakta.

Makalemizde Fortigate Firewall ile VPN yapılan ortamlarda ikili kimlik doğrulmasını ele alıyor olacağız. Sözü uzatmadan adımlarımıza geçelim.

Firewall üzerinde bazı özelliklere göz atalım. Firewall üzerinde User Definition sekmesinde tanımlanmış olan kullanıcılarımız gözükmekte.

Örnek bir kullanıcımıza girdiğimizde, SSL VPN grubuna üye olmuş durumda.

SSL_VPN_GRUBU isimli grubumuza VPN yetkisi olan kullanıcılarımız gözükmekte.

Bir kullanıcımızla, ayarları yapılmış ve FortiClient uygulaması kurulmuş bilgisayar üzerinden VPN bağlantısı için Connect butonuna tıklıyoruz.

Bağlantı sorunsuzca gerçekleşmiş duruma.

Şimdi VPN kullanıcıları için ikili kimlik doğrulama özelliğini ele alıyor olacağız. Fortigate üzerinde bu işlem birçok farklı metotla yapılabilmekte. Token, Mobil token gibi alternatifler söz konusu. Artık günümüzde birçok işlem yazılıma döküldüğü için Donanımsal Token pek rehavet görmüyor. Biz Mobil Token ile ikili kimlik doğrulama işlemini yapacağız.

Dashboard ekranında Main sekmesinde Token sayıları ve kullanıcı bilgileri verilmekte. Detay görmek için View inFortiTokens linkine tıklayalım.

Cihaz üzerinde varsayılan olarak bizlere 2 adet ücretsiz Mobil Token kullanım hakkı sunulmakta. Ek olarak satın aldığımız lisansları eklemek için +Create New butonuna tıklamamız gerekmekte. Biz yeni lisanslar ekleyerek devam edeceğimiz için bu butona tıklayalım.

Bu ekranda iki türlü lisans eklenebilmekte. Hard Token ve Mobile Token biz Mobil Token Lisansı gireceğimiz için Mobile Token tabına tıklayalım.

Lisans kodumuzu ekledik. Mevcut 2 lisans artı lisans kodumuzla birlikte 52 atanabilir lisansımız oldu.

Şimdi VPN yapan bir kullanıcımızda ikili kimlik doğrulama özelliğimizi açalım. Bu özellik hangi kullanıcıya atanır ise o kullanıcı ikili kimlik doğrulama ile sisteme erişmek zorunda kalır. Tanımlama yapılmayan VPN kullanıcısı doğrudan sisteme erişim sağlayabilir. Kullanıcı üzerinde işlem yapabilmek için User Definition tabında bir kullanıcımızın özelliklerine girelim.

Öncelikle kullanıcı özelliklerinde Two-factor Authenticationözelliğini açalım. Token kısmından boşta olan bir token seçelim.

Bu ayardan sonra kullanıcının Mobil Token uygulamasının sisteme register olması gerekmekte. Bu register işlemi mail veya sms ile olabilir. Sms ayrı bir maliyet doğuracağı için hali hazırdaki e-mail sistemini kullanmak akılcıl olacaktır. Aksi durumda SMS hizmeti veren bir firma ile anlaşmak gerekir.

Cihaz Üzerinde System Events tabında kullanıcıya bu duruma ilgili aktivasyon mailinin, kullanıcı özelliklerinde tanımlı olan adrese gittiği bilgisi görünmekte.

SSL vpn yapma yetkisi olup, yukarıda ikili kimlik doğrulaması ile sisteme girmesi için şart koştuğumuz kullanıcı hesabı ile VPN yapmayı deneyelim. Yine FortiClient isimli programımızı açıp Connect butonu ile login olma işlemini deneyelim.

Aşağıda görüldüğü gibi kullanıcı tam olarak bağlantısını sağlayamadı. Kullanıcıdan bir Token Code girmesi beklenmekte.

Evet sıra geldi şimdi bu Code üretecek olan ortama. Bu işlemi işletim sistemine kurulacak bir yazılımla yapabiliyorken, mobil telefonlara kurulacka uygulama ile yapmamız mümkün. Bu Windows, Linux,IOS ve Android ortamları için söz konusu. Biz genel kullanım itibari ile Windows ve IOS kısımlarını ele alacağız. Öncelikle Windows Mağaza üzerinden gerekli uygulamayı edinelim. Aşağıdaki link üzerinden uygulamaya erişim sağlayabilirsiniz.

https://www.microsoft.com/tr-tr/store/p/fortitoken-windows/9p0tdh1j7wfz

AL butonu ile uygulamayı kuralım.

Uygulamamız kısa sürede kurulmakta. Bilgisayarımızın ara butonuna FortiToken yazarak kısa yoldan FortiToken Windows uygulamamıza erişip açalım.

Uygulamamız açıldığında firmamızın firewall ürününe register olmamız gerekmekte. Bu işlem için +Add butonuna tıklayalım.

Öncelikle bir bağlantı ismi verelim ve Key: kısmına kullanıcıya bu özelliği verirken gelen aktivasyon mailindeki keyi bu ekrana girelim ve Done butonuna tıklayalım.

Mail ile kod ve QR code gelmekte. Manuel olarak kodu girme veya tarama özelliği olan bir cihazınız varsa QR kodu okutarak otomatik giriş sağlamamızda mümkün. Burada kodu elle girdik. Mobil kısımdaki uygulamayı anlatırken orada QR kod okutarak erişim sağlayacağız.

Gerekli aktivasyon işleminden sonra uygulamamız, 1 dakika ömrü olan keyleri açık kaldığı süre boyunda üretmekte.

Şimdi bu işlemi mobil tarafta nasıl yaparız ona göz atalım. IOS sistemlerde APP STORE üzerinden öncelikle FortiToken Mobile uygulamamızı indirelim.

Uygulamamızı açalım.

Yukarıda bahsettiğimiz gibi manuel kod ile register yapabileceğimiz gibi aktivasyon yapmak için gelen maildeki QR kodu da kullanabilir. Telefonumuzdan gelen QR kodu okutarak bu sefer bu metodu uygulayalım.

Kodumuzu okutuyoruz.

Kodumuz okundu ve yazılımımız artık token üretmeye başladı. Şimdi bu token kodu alalım ve VPN uygulamamıza girelim.

Ok butonuna tıklayıp bağlantıyı sağlayalım.

Evet sorunsuzca bağlantımız gerçekleşti.

Bu surum SSL-VPN Monitör ekranında gözükmekte.

Aktivasyon işlemleri için Advanced tabında mail ayarlarımızın yapılmış olması gerekmekte.

Bir makalemizin daha sonuna geldik. Umarım yararlı olur. Başka bir makalede görüşmek dileğiyle.

Weblogic bilindiği üzere şuan Oracle firması aracılığı ile geliştirilmekte olan dünyaca kabul edilmiş üstün performans ve güvenliğe sahip Java uygulama sunucusudur. Özellikle veri tabanı bağlantılarında yüksek performans ve kendi içinde oluşturabileceğiniz Cluster yapısı ile kesintisiz erişim sağalabileceğiniz bu ürünün Microsoft Active Directory entegrasyonunu inceleyeceğiz.

Öncelikle belirtmeliyim ki Weblogic sunucumuz “ Production Mode  “ özelliğinde çalışmalıdır ve testlerimiz Oracle Weblogic 10.3.6 ve Windows 2012 Active Directory arasında sağlanmıştır.

İlk olarak http://localhost:7001/console aracılığı ile konsolumuza giriş yapıyoruz ve işaretli alanda olduğu gibi “ Security Realms “ ‘i açıyoruz.

Açılan Ekrandan “ myrealm “ ‘a giriyoruz.

“ Securiy Model Default “ alanını “ Advanced “ yapıyoruz ve “ Save “ butonuna basıyoruz.

Kayıt işlemini tamamladıktan sonra “ Providers “ tabını açıyoruz.

Providers ekranında “ New “ diyoruz. Active Directory için yeni bir Provider ekleyeceğiz.

Açılan ekranda “Name” kısmına bir isim yazıyoruz ve “ Type “ kısmını “ ActiveDirectoruAuthenticator “ seçip “ Ok “ diyoruz.

Eklediğimiz kayda giriş yapıyoruz. ( Ben ADEntegrasyon olarak ekledim )

Açılan ekranda “ Control Flag “ kısmını “ SUFFICIENT “ yapıyoruz ve “ Save “ diyoruz.

“ Provider Specific “ tabına giriş yapıyoruz.

Açılan ekranı kendi LDAP yapımıza göre dolduruyoruz. Örnek şablonu aşağıda iletiyorum.

Host: dc.bugraparlayan.com.tr
Port: 389
Principle: administrator
Credential: sifre
Confirm Credential: sifre

User Base DN: dc=adf,dc=bugraparlayan,dc=com,dc=tr
User From Name Filter: (&(cn=%u)(objectclass=user))
User Search Scope: subtree
User Name Attribute: sAMAccountName
User Object Class: organizationalPerson

Group Base DN: ou=my-department,dc=adf, dc=bugraparlayan,dc=com,dc=tr
Group From Name Filter: (&(cn=%g)(objectclass=group))
Group Search Scope: subtree
Group Membership Searching: unlimited
Max Group Membership Search Level: 0

Static Group Name Attribute: cn
Static Group Object Class: group
Static Member DN Attribute: member
Static Group DNs from Member DN Filter: (&(member=%M)(objectclass=group))

Yukarıdaki değerleri kendi yapınıza göre düzenledikten sonra “ Save “ butouna basarak değişiklikleri kayıt etmek üzere “ Activate Changes “ diyerek işlemleri tamamlıyoruz. Artık yaptığımız tanımlarda Active Directory kullanıcılarını görebiliriz.

Active Directory kimlik doğrulamasını ayarlamada sorun yaşıyorsanız aşağıdaki noktalar dikkate alınmalıdır.

·         Herhangi bir Security Realm değişikliğinin yürürlüğe girmesi için AdminServer'ı ve tüm yönetilen sunucuları yeniden başlatmanınız gerekir.

·         Administrator dışında bir kullanıcı kullanacaksanız yetkileri kontrol etmelisiniz.

·         Son olarak Weblogic sunucusunun DNS adreslerini kontrol edin.

Diğer makalelerimizde görüşmek üzere.

Milli ve Yerli gündemine sahip bir ülkede Azure gibi bir alt yapı ile güvenliğinizi arttırmanın yollarını yazmak son derece heyecanlı aslında. Tabiki ben dahil tüm bulut uzmanlarının asıl dikkat çekmeye çalıştığı nokta gerek alt yapı gerekse teknoloji yatırımlarımızı doğru bir şekilde yaparak henüz üretmediğimiz teknolojiler için harcadığımız bütçeleri sınırlandırmaktır. Bu sayede aslında gerçekten yerli ve milli olan projeler içinde ek yatırım bütçelerine sahip olabiliriz. Ancak bütçemizi gelişi güzel kullandığımız sürece aslında bu ürünlere pek fırsat verilecek gibi değil. Yani motivasyon olarak yerli ve milliyi destekliyor ancak iş satın almaya gelince pek istekli olmuyoruz. Bu tabiki ayrı bir konu ve gündem ama bu yazıyı kaleme alırken aslında Dünyanın farklı ülkelerinde olduğu gibi ülkemizde de günün sonunda yurt dışına çıkan veriler ile ilgili bir endişe olduğunu biliyor ve özellikle sağlık, finans gibi ülke için kritik verilerin yurt içinde saklanması noktasında hem fikir olduğumu belirtmek isterim. Bu nedenle zaten yurt dışı örneklerine de bakarsanız eğer bazı ülkelerde devlet alt yapıları için ayrı veri merkezleri olduğunu göreceksiniz.

Peki bizim odağımız neresi? Tabiki çok ciddi finans verileriniz, sağlık verileriniz veya devlet kurumuysanız devlet verilerinizi buluta koyamazsınız. Burada pek çok regülasyon gereği (BDDK, EPDK, SPK vb) bir kısıt olurken buradan gelen rüzgâr ile aslında pek çok servisi kullanma şansını kaçırıyoruz. Özel şirketler tabiki kar odaklı olduğu için aslında bulut servislerini en iyi kullanan şirketler oluyorlar. Örneğin bir yatırım gerektiğinde ilk olarak bu hizmeti buluttan hızlı bir şekilde alıp alamayacaklarına bakıyorlar çünkü aynı hizmeti yerleşik olarak almak için herhangi bir ürüne daha çok para ödeyecekleri kesin. Bu yedekleme, iş sürekliliği, güvenlik, izleme veya diğer temel ihtiyaçlar için çok açık bir şekilde görülebiliyor. Hatta son dönemde bulut alerjisi olan firmalarda bile (bulut alerjisi derken anlatmak istediğim aslında herhangi kritik bir verisini bulutta tutmayacak olsa bile bir şekilde bulut ile temas kurmak istemeyen, kimisi korktuğu için, kimisi bilmediği için uzak duran firmalar diyebiliriz) bulut yatırımlarını arttırmaya başladı. Günün sonunda çünkü örnek bir geçiş için 10TB disk alanı lazım oldu, hadi bir satın alma yapalım dediğiniz de karşınıza bir rakam çıkıyor, aynı alanı geçici olarak bulut üzerinden almak hatta kalıcı bile alsanız rakamlar çok uygun olunca ister istemez bulutu kullanmaya başlıyorlar. Veya çok ciddi boyutlardaki verileri analiz etmek için, toplu yapılan eylemleri kolaylaştırma veya otomatikleştirmek için gibi pek çok şirketin farkı ihtiyaçları için farklı çözümleri kullandığını görüyoruz. Güvenlikte son dönemde bu ürünlerin arasına girmeye başladı. Ever herkesin yerleşik sistemler için anti virüs, anti spam, IDS, IPS, DLP, Network izleme, Firewall, WAF derken şirket çapına göre çok ciddi rakamlarda güvenlik yatırımlarının olduğunu görüyoruz, ancak bir servisi veya alt yapıyı buluta çıkarınca sanki o dünyada bir güvenlik ihtiyacı yok gibi davranıyorlar. Ancak sorun yaşamaya başladıkları ancak böyle bir ihtiyacın olduğunu anlıyorlar. Bu sırada kullanmaya başladığı ürünlerin aynı zamanda yerleşik sistemler içinde çözümler sunduğunu öğrenince artık yeni yıl yatırım bütçeleri çok değişiklik gösteriyor. Bu konuda pek çok örnek ürün gösterilebilir aslında, özellikle güvenlik alanında OMS ve Azure Security Center’ ın birlikte kullanımı ile inanılmaz etkili bir güvenlik ağı kurabiliyorsunuz.

Azure Security Center hakkında merak ettiğiniz her konuda bir yazımı bulabilirsiniz;

Azure Security Center’ ı Nasıl Denerim?

Azure Security Center Free ve Standart Tier Farkları

Azure Security Center – Security Roles and Access Controls ve Security Policies and Recommendations

Azure Security Center – Data Collection and Storage

Azure Security Center – Ongoing Security Monitoring

Azure Security Center – Incident Response

Azure Security Center Alerts ve Veri Toplama Teknolojileri

Azure Security Center Custom Alert Rules

On-Prem Sistemler İçin Azure Security Center Kullanımı – Azure Security Solutions – non-Azure computers

On-Prem Sistemler İçin Azure Security Center Kullanımı – Azure Security Solutions – Advanced Threat Analytics

Peki nedir bu güvenliğinizi arttıracak 3 yöntem?

Öncelikle tabiki Azure Security Center gibi Microsoft tarafından sağlanan bulut güvenlik ürünleri ile güvenlik yatırımlarınızı azaltabileceğiniz gibi daha gelişmiş ürünleri kullanabilirsiniz.

Microsoft 50’ den fazla bölgede sahip olduğu Azure veri merkezileri için hem fiziksel hem de sanal güvenlik anlamında her yıl milyarlarca dolarlık yatırım yapmaktadır. Özellikle güvenlik alanında çalışan ve tek işi bu olan 3500 personeli vardır. Evet yatırım rakamları ve personel sayısını düşündüğünüz zaman pek çok güvenlik firmasından daha büyük bir organizasyondan bahsediyoruz. Çünkü bulut güvenliği geleneksel güvenlikten çok farklıdır. Temelde kullanılan donanımların bile özelleştirilmesinden tutunda sunulan servislere kadar milyarlarca kullanıcının eriştiği bu sistemleri sürekli olarak güvenli tutmak ciddi bir iştir.

Özetle Microsoft güvenlik konusunda son derece ciddi ve sürekli olarak yatırım yaptığı bir alan olduğu için mevcut azure güvenlik servislerini kullanmanız sizlerin de güvenlik alt yapısını daha üst seviyeye çekemeye yardımcı olacaktır.

Microsoft’ un bu alandaki bir diğer artısı ise bulut güvenlik sorumluluğunun ortak bir paydaş olduğunu müşterilerine her seferinde hatırlatmasıdır. Buna “Shared responsibility model” denmektedir.

http://sozluk.cozumpark.com/goster.aspx?id=4369&kelime=Microsoft-shared-responsibility-model

Bunun müşterilere kazanımı aslında kendi üzerlerine düşen güvenlik sorumluluklarını yerine getirmeleri durumunda aslında onlara vaat edilen SLA’ lerin geçerli olunacağının bilinmesidir. Bu sayede müşteriler hangi sorumlulukların kendilerine ait olduğunu kesin bir şekilde bilir ve ona göre yatırım yapar, personel görevlendirir.

Müşterilerin kendi sorumluluk alanlarındaki görevler içinde aslında hazır pek çok yerleşik ürün sunmaktadır. Azure Active Directory gibi tüm servisler için aslında merkezi bir kim ve erişim yönetim hizmeti sunar, bu hizmet ile beraber ister IaaS ister SaaS veya PaaS kullanın tüm bulut veya yerleşik alt yapınız için merkezi bir kimlik ve erişim yönetimine sahip olursunuz. Size düşen sadece örneğin kritik hesaplar için logon işlemlerini sıkılaştırmak, ekranlar ile izlemek ve benzeri güvenlik arttıracak çalışmaları yapmak kalıyor. Benzer şekilde Role-Base Access dediğimiz belirli yöneticileri sadece ihtiyaç duydukları yetkileri vererek gereksiz yetki nedeni ile kötüye kullanım veya hatalı eylemleri sınırlamış olursunuz.

Kimlik yönetimi yanı sıra güvenlik bir network altyapısı sunmaktadır. Virtual Network mantığı ile gerek sizin gerekse tüm müşterilerin alt yapılarını bir birinden izole etmiş ve bu alt yapıların erişim denetimini (kendi networkleriniz için) güvenli kılmak için kullanacağınız pek çok segmentasyon ve güvenlik aracını sunmuştur. İsterseniz Azure Express Route ile mevcut yerleşik network alt yapınızı direkt olarak Azure alt yapısı ile konuşturabileceğiniz gibi site-to-site vpn sayesinde de benzer deneyime sahip olabilirsiniz. Dışarıya açık web siteleriniz veya uygulamalarınız için Web Application Firewall kullanabileceğiniz gibi isterseniz RSA 2018 de duyurulan DDOS hizmetini de kullanabilirsiniz.

Tabiki en değerli varlığımız olan verilerimizin de hem saklama hem de dolaşım güvenli Microsoft için çok önemli. Burada endüstri Standartı güvenlik ve şifreleme teknolojileri kullanılarak dolaşımdaki verilerinizin başkaları tarafından izlenmesi engellenmektedir. Azure Key Vault sayesinde Azure storage üzerinde sakladığınız tüm verilerde şifreli olarak saklanmaktadır. Bu ve benzeri tüm şifreleme ve koruma özellikleri tabiki cosmos DB veya SQL içinde geçerlidir. En güzeli ise tüm bu güvenlik özelliklerini Azure Security Center üzerinden sorunsuz ve kolay bir şekilde yönetebiliyor olmanızdır.

Gelelim Azure ile size sunulan ve şirketinizin güvenlik seviyesini arttıran 3. temel özelliğe. “Intelligence” evet kullandığı ürünler gerçekten çok zeki ve özellikle milyarlarca kimlik doğrulama istekleri, ataklar, kötü içerikli mailler, sistem güncellemeleri, yetkisiz erişim denemeleri derken elinde inanılmaz bir veri bankası bulunmaktadır.

Böylesine büyük bir veri ambarına sahip olan Microsoft bu verileri aslında bizlerin güvenliği için kullanmaktadır. Dünyanın herhangi bir yerinde bir müşteriye yapılan ve tespit edilen bir saldırı belki birkaç saat sonra bize yapılacaktır, ancak anlık izleme sayesinde bu konuda hızlıca aksiyon alınmaktadır. Aslında bu mantığı güvenlik üreticilerinden iyi biliyoruz. Örneğin bir firewall üreticisi en çok Dünya üzerinde şu kadar online kutum var der, bunu sebebi ben çok satıyorum demekten öte aslında benim çok ciddi bir bilgi ağım var demektir. Yani herhangi bir yerdeki kötü içerikli kodu, atağı görür ve bunun için global bir policy yazarak diğer müşterilerimiz korurum demek istiyordur. Microsoft bu oyuncuların arasında bu konuda en büyüğü diyebiliriz. Sadece birkaç rakam ile bunu anlatmak gerekir ise bir ayda bulut hizmetleri üzerinde 300 milyar kullanıcı kimlik doğrulama işlemi, 200 milyar spam veya kötü içerikli olması nedeni ile incelenen mailden bahsediyoruz. Özetle rakamlar gerçekten ne kadar ciddi bir istihbarat ağı olduğunu daha göz önüne seriyor.

Evet makalemin sonuna geldik. Amacım sizlere bulut hizmetleri ile aslında mevcut altyapınız dahil bulut üzerindeki sistemleriniz için daha güvenli bir Dünya sunabilirsiniz. Örneğin çok büyük güvenlik yatırımları yapmak yerine bunu aslında bir nevi kiralama mantığı ile bulut üzerinden bir servis olarak alabilirsiniz, bu sayede hem hizmeti denemiş hem de bulut teknolojilerinden yararlanmaya başlamış olursunuz.

Bir sonraki makalemde görüşmek dileği ile.

Kaynak

https://azure.microsoft.com/en-us/blog/the-3-ways-azure-improves-your-security/

Azure Security center, Azure kaynaklarınızın güvenliğini artırmak ve bu kaynakları kontrol altına almak için tehditleri önlemeye, algılamaya ve bunlara yanıt vermenize yardımcı olur. Azure aboneliklerinizde entegre güvenlik izleme ve politika yönetimi sağlayarak fark edilmeyebilecek tehditleri tespit etmenize yardımcı olur.

Bu konuda daha önce yazmış olduğum aşağıdaki makalelerden bu konuda daha fazla bilgiye ulaşabilirsiniz

Azure Security Center’ ı Nasıl Denerim?

Azure Security Center Free ve Standart Tier Farkları

Azure Security Center - Security Roles and Access Controls ve Security Policies and Recommendations

Azure Security Center - Data Collection and Storage

Azure Security Center - Ongoing Security Monitoring

Azure Security Center - Incident Response

Azure Security Center Alerts ve Veri Toplama Teknolojileri

Azure Security Center Custom Alert Rules

On-Prem Sistemler İçin Azure Security Center Kullanımı – Azure Security Solutions - non-Azure computers

On-Prem Sistemler İçin Azure Security Center Kullanımı – Azure Security Solutions - Advanced Threat Analytics

Visibility and governance at the organizational level

Yeni Dashboard sayesinde güvenlik durumunuz abonelik temelli olmaktan çıkıp organizasyon temelli bilgiler sunmaktadır.

Malum bugüne kadar üyelik bazlı ilerliyorduk ancak birden çok üyeliği ve büyük yapıları olan şirket yöneticileri için bu bir zafiyet teşkil etmekteydi. Yeni ana ekran sayesinde artık organizasyon seviyesinde güvenlik durumunuzu rahatlıkla görebileceksiniz.

Improve your productivity

Sanal makine ayarlarını yaptığınız sayfa üzerine yeni eklenen bütünleşik güvenlik yapılandırma sayfası sayesinde ilgili sanal makine için tüm güvenlik ayarlarını ve durumunu görebileceksiniz.

Yine Identity & Access Management bölümü sayesinde kimlik ve erişim sorunlarını hızlı bir şekilde keşfedebilir ve iyileştirme için aksiyon alabilirsiniz.

Reduce your exposure to threats

Daha önce duyurulan Just-in-time VM access artık herkese açık bir özellik olarak duyurulmuştur. Yani Preview olan özellik artık GA olmuştur. Bu sayede özellikle dışarıya açık sistemlerin güvenlik anlamında yönetimi son derece kolaylaşmıştır. Örneğin bir Windows veya Linux sisteminiz var ve bu sisteme bağlantılar Azure üzerindeki Network Security Group sayesinde sınırlandırılmış durumda. Yani RDP ya da SSH yapmak istiyorsanız mutlaka source ip belirtmeniz lazım. Bu tabiki ev ya da iş yeriniz için kolay bir yöntem olsa da mobil haldeki bir sistem admin için çok kolay yönetilen bir model değildir. Just-in-time VM access sayesinde artık temel uzak yönetim portlarını veya istediğiniz portları sadece belirli süreliğine açabiliyorsunuz. Bunun size yararı eğer IP bazlı kurallar yazıyorsanız artık sürekli olarak yeni ip eklemenize gerek yoktur, çünkü ip eklemek, sonra silmek ve bunu takip etmek ciddi bir efordur. Veya bundan dolayı ip bazlı kural yazmadığınız durumlar ise daha tehlikeli olacaktır.

Adaptive application controls

Makine öğrenme teknolojisi sayesinde uygulamalar için azure security center whitelist oluşturabilir. Birden çok makineyi gruplayarak onlar için yönetim kolaylığı sağlayabilirsiniz. Yani benzer uygulamaları çalıştıran SAP gibi sistemleri düşünürseniz hepsi için ayrı ayrı whitelist yerine ortak bir havuz kullanabilirsiniz.

Interactive network security monitoring

Yeni interaktif topoloji özelliği sayesinde sizin azure sanal ağınız aşağıdaki gibi çok daha detaylı bir şekilde raporlanır.

Bu sayede sanal ağlarınız, subnetleriniz ve node larınız arasındaki tüm bağlantıyı daha iyi takip edebilirsiniz. Bu takip sonucunda eksik network security Group veya web uygulamaları için firewall konumlandırmamışsanız bunu hızlıca fark edebilirsiniz.

File integrity monitoring (FIM)

Sisteminizin ve uygulama yazılımının bütünlüğünü korumaya yardımcı olmak için Azure Security Center sizlerin registry ve configuration dosyalarınızın davranışlarını sürekli olarak izler. Dosyalarda anormal bir değişiklik veya kötü niyetli bir davranış algılanırsa, Azure Security Center uyarır.

Extending threat protection to Containers

Artık konteynır ortamının güvenlik durumuna görünürlük sağlayabilir ve konteyner motorunda güvenli olmayan konfigürasyonu izleyebilirsiniz.

New secure configuration assessments for servers

Belki de benim en çok hoşuma giden yeniliklerden birisi bu. Yeni bir web güvenlik yapılandırma değerlendirmesi (web security configuration assessment) aracı sayesinde IaaS olarak çalışan IIS sunucuları içinde pek çok güvenlik önerisini alabilirsiniz.

Örnek aktif olarak kullandığım için bir müşterimin panelinden ekran görüntüsü paylaşıyorum. Durum fena tabi çünkü IaaS IIS sistemlerine ne yazık ki güvenlik perspektifinden bakan firma çok yok

Quickly detect and respond to threats

Integration with Windows Defender Advanced Threat Protection for servers (WDATP)

WDATP yine çok başarılı bulduğum bir güvenlik ürünü olup hızlıca aşağıdaki video üzerinden bilgi alabilirsiniz.

http://tv.cozumpark.com/video/849/Windows-Defender-Advanced-Threat-Protection-WDATP

Evet yeni gelen özelliklerden birisi artık Azure Security Center WDATP ile bütünleşik çalıştığı için çok daha hızlı bir şekilde tehditlere karşı sizlere bilgi verecektir.

Yukarıda da gördüğünüz gibi herhangi bir uyarı için anında Defender ATP portalı üzerinden detaylı inceleme imkanına sahip oluyoruz.

Fileless Attack Detection

Security Center, özellikle bellek üzerinden yapılan ve geleneksel yöntemlerle algılanmayan kötü amaçlı yazılımları tanımlamak için çeşitli gelişmiş “memory forensic techniques” (bellek adli teknikleri) kullanır.

Threat analytics for admin activity

Security Center, Azure Resource Management kayıtlarını takip ederek admin hesaplarına karşı düzenlenecek atakları ayrıca takip etmektedir. Bu ayrıca Azure App Services (PaaS) içinde geçerli bir izleme teknolojisidir.

New partner integrations

Tabiki partner şirketler olmadan olmaz. Bildiğiniz gibi Azure üzerinde sektörün en önde gelen hemen hemen tüm güvenlik üreticilerinin güvenlik ürünlerini bulmak mümkün. Bu güncelleme ile Palo Alto ve McAfee tarafında iş birliktelikleri görüyoruz.

Palo alto tarafında artık sanal makinelerde NSG için Palo Alto kullanabiliyoruz.

Mcafee tarafında ise artık sunucu veya istemcilerimizde kullandığımız McAfee ürünlerinden rapor ve bilgi alabiliyoruz.

Evet özetle RSA 2018 de aslında çok fazla yeni özelliğin tanıtıldığını görüyoruz, güvenlik tehditlerinin her geçen gün arttığı dünyamızda Microsoft’ un işini ne kadar ciddiye aldığını bu geliştirilen teknolojilerden anlamak son derece kolaydır. Unutmayın ki on-prem sistemler için güvenlik ne kadar önemli ise bulut sistemleri içinde güvenlik o kadar önemlidir.

Umarım faydalı bir makale olmuştur, bir sonraki makalemde görüşmek üzere.

Kaynak

https://azure.microsoft.com/en-us/blog/announcing-new-azure-security-center-capabilities-at-rsa-2018/

Merhaba Arkadaşlar, Bu makalemizde Citrix Provisioning Services 7.15 ürünüyle ilgili kurulum ve konfigürasyon işlemlerini görmüş olacağız.

Citrix Provisioning Services (Citrix PVS), paylaşılan bir masaüstü görüntüsü aracılığıyla yamaları, güncellemeleri ve diğer yapılandırma bilgilerini birden çok sanal masaüstü uç noktasına ileten bir yazılım akış teknolojisidir.

Citrix Provisioning Services'in hedefi, sanal makine yönetimini merkezileştirmek ve bir masaüstü sanallaştırma ortamının operasyonel ve depolama maliyetlerini azaltmaktır. PVS, güncelleştirilmiş disk görüntüsünün bir kopyasını sunucunun RAM'sine önbelleğe alır ve sanal diski orijinal RAM yerine sunucu RAM'den önbelleğe alır.

Citrix Provisioning Services’in kullandığı port’lar aşağıdaki gibidir.

Sistem gereksinimlerine aşağıdaki link üzerinden ulaşabilirsiniz.

http://www.cozumpark.com/blogs/citrix/archive/2018/01/07/citrix-xendesktop-7-15-ltsr-kurulum-bolum-1.aspx

Kurulum iso dosyasını aşağıdaki link üzerinden indirebilirsiniz.

https://www.citrix.com/downloads/provisioning-services/

Kurulum işlemlerimize başlamadan önce DHCP Scope Options ayarlarımızı girmemiz gerekmektedir.

066 : Boot Server Host Name

067 : Bootfile Name : ARDBP32.BIN

Kurulumlarımı Windows Server 2012 R2 üzerinde gerçekleştiricem. İlk olarak iso dosyamızı mount ederek başlıyoruz.

ISO dosyamızı mount ettikten sonra karşımıza gelen ekranda Server Installation seçeneğini tıklayıp kurulum işlemimize başlıyoruz.

Yukarıdaki ekranda Provisioning Services ile ilgili olan eklentiler ve servisler yüklenmektedir.

Yukarıdaki ekranlarda Next ile ilerleyerek kurulum işlemini tamamlıyoruz.

Şimdi sırada PVS Console yükleme işlemini gerçekleştireceğiz.

ISO dosyamıza tekrar açıyoruz ve karşımıza gelen ekranda Console Installation seçeneğini tıklayıp kurulum işlemimize başlıyoruz.

Yukarıdaki ekranlarda Next ile ilerleyerek kurulum işlemini tamamlıyoruz.

Şimdi ise sıradaki işlemlerimimiz Citrix Provisioning Services yapılandırma ayarlarıdır.

İlk olarak Provisioning Services Configuration Wizard seçeneğinden gerekli yapılandırma ayarlarıyla devam edebilirim.

DHCP Services ayarlarım başka sunucumda yüklü olduğundan dolayı The service that runs on another computerseçeneğinden devam ediyoruz.

PXE Services hizmetimiz bu sunucu üzeride kurulu olduğundan dolayı Next ile devam ediyoruz.

Yukarıdaki ekranda bizden Farm ayarlarımızı istemektedir.Ben ilk defa oluşturacağım için Create Farm seçeneği ile devam ediyorum.

Database ayarlarımızı ve sunucumuzu belirtip devam ediyorum.

Karşımıza gelen ekranda Database,Farm,Site,Collection adlarını belirleyerek yapılandırma işlemlerimize devam ediyorum.

Yukarıdaki ekranda oluşturacağımız Vdisk’lerin depolanacağı yolu belirtiyoruz. Benim test ortamım olduğunda dolayı C diskim üzerinde oluşturuyorum. Fakat önerilen ayrı bir disk üzerinde yolu belirmeniz gerekmektedir.Çünkü birkaç versiyon vDisk’leriniz olacağı için depolama anlamında problem yaşamamız gerekmektedir.

Yukarıdaki ekranda License sunucumuzu belirtiyoruz.

Yukarıdaki ekranda bizden Stream ve Soap servisleri için bir hesap istemektedir.

Bu ekranda Default bırakıp devam edebiliriz.

Network Communications sekmesinde PVS sunucumuzun IP ayarlarını göstermektedir. Eğer bir tane daha network kartı ekli olmuş olsaydı ve bu ip adresimizde sabitlemiş olsaydık aynı şekilde bu ekranda karşımıza çıkıcaktı.

Yukarıdaki ekranda makalemizin başında belirttiğimiz DHCP Scope Options ayarlarımız olan 067-Bootfile Name(ARDBP32.BIN) config dosyamızın PVS sunucusu üzerinde yolu default olarak karşımıza gelmektedir. Herhangi bir değişiklik yapmadan Next tuşundan devam ediyoruz.

Yukarıdaki ekranda Stream Servers olarak yapılandırılan sunucumuz gelmektedir.

Soap SSL Configuration ayarlarımızda Next ile devam ediyoruz.

Bu ekran opsiyonel bir seçenektir. Next ile devam edebiliriz.

Yukarıdaki ekranda karşımıza konfigürasyon ayarlarımızı son olarak göstermektedir. Finish tuşundan işlemleri başlatabiliriz.

Konfigürasyon ayarlarımız tamamlanmıştır.

Citrix Provisioning Services 7.15 kurulum işlemlerimizi tamamlamış oluyoruz.

Bir sonraki makalemizde PVS Master Image hazırlama ve Vdisk işlemlerini göreceğiz.

Faydalı olması dileğiyle.

Merhaba Arkadaşlar, bu makalemizde oldukça kullanışlı bir güvenlik aracı olan OPENVAS ürününü ele alacağız. Openvas (Open Vulnerability Assessment System), Linux işletim sistemleri üzerinde çalışan açık kaynak kodlu, ücretsiz bir zafiyet tarama ve denetim aracıdır. ( www.openvas.org ) Ek olarak greenbone firmasının ücretli olarak optimize ettiği virtual appliance versiyonları da mevcuttur.

www.greenbone.net

Kali Linux üzerinde kuracağımız free versiyon, oldukça kullanışlı ve kapsamlı bir araç olarak karşımıza çıkmaktadır. Openvas ile güvenlik açıklarımızın farkına varabilir, raporlar oluşturabilir ve buna göre takibini gerçekleştirebiliriz. Openvas üzerindeki güvenlik açığı bildirimleri ve advisorlar 500.000 civarına yaklaşmış durumda ve güncellenmeye devam etmektedir. Openvas ile hedef cihazlarımızı, ağımızı, portlarımızı, hostlarımızı belirleyebiliriz. Daha sonra belirlediğimiz hedeflerimize(target) planlanmış zamanlar(schedule) için bir tarama görevi(scantask) oluşturabiliriz. Biz Openvas’ı sanal ortamdaki bir Kali Linux üzerinde kurup, konfigure edeceğiz. (Kali Linux kurulumunu internette ayrıca bulabilirsiniz. Ubuntu, Debian, Centos üzerine de kurulabilir.)

Haydi başlayalım...

Kali’ de komut satırına geçiyoruz ve apt-get install openvas komutunu çalıştırıyoruz.

Not: 2017 sonrası Kali sürümlerinde openvas için E:Unable to locate package hatası alabilirsiniz.

Bunun çözümü için  /etc/apt/sources.list dosyamızı aşağıdaki gibi derliyoruz. Kaydedip çıkıyoruz.

deb http://http.kali.org/kali kali-rolling main contrib non-free
# For source package access, uncomment the following line
# deb-src http://http.kali.org/kali kali-rolling main contrib non-free
deb http://http.kali.org/kali sana main non-free contrib
deb http://security.kali.org/kali-security sana/updates main contrib non-free
# For source package access, uncomment the following line
# deb-src http://http.kali.org/kali sana main non-free contrib
# deb-src http://security.kali.org/kali-security sana/updates main contrib non-free
deb http://old.kali.org/kali moto main non-free contrib
# For source package access, uncomment the following line
# deb-src http://old.kali.org/kali moto main non-free contrib

apt-get install openvas komutunu çalıştırdım. Openvas ile ilgili dosyalar repositoryler’ den indirilip kurulacaktır.

Yes deyip devam ediyorum.

Openvas için kullanıcı ve şifre oluşturuyorum. Ben test ortamı olduğu için openvas olarak belirledim. Siz istediğiniz bir kullanıcı adı ve şifreyi verebilirsiniz

openvasmd --create-user=openvas --role=Admin

openvasmd --user=openvas --new-password=openvas

openvas-start komutu ile servisleri aktif hale getiriyorum.

Not: Servislerin çalışması esnasında ya da sonrasında bir hata alırsanız openvas-check-setup komutunu kullanabilirsiniz.

https://127.0.0.1:9392 adresiyle firefox üzerinde otomatik olarak açılacak. Aşağıdaki gibi bir ekranla bizi karşıladı.

Kullanıcı adım ve şifremle login oluyorum. Openvas portalı açıldı.
Warning: Secinfo Database Missing diye bir uyarı alıyorum. Zafiyet taraması için veri tabanımın güncellenmesi gerekiyor. Bunun için ilk önce servisi stop edeceğiz.
Ve Zafiyet veri tabanımızı güncelleyeceğiz.

openvas-stop komutuyla servisi stop ettim.

openvas-setup komutuyla güncellemeleri çekmeye başladım.

Tekrar konsola girdiğimde artık Openvas hazır hale geldi.

Configuration kısmına gelerek port listesi oluşturabilirsiniz. Ya da taramak istediğiniz hedef hostları belirleyebilirsiniz. Bunları daha sonra Scans>Task bölümünden görevlere ekleyebilirsiniz.

Biz bunu daha sonraya bırakıp Scans> Task bölümünden bir host belirleyip üzerindeki kendi hazır port kurallarıyla taramaya başlayalım.

Zafiyet taraması yapılacak IP adresini giriyoruz. Ve Start Scan diyoruz.

Not: Örneğin: 192.168.1.0/24 yazarak network içindeki tüm cihazların zafiyet taramasını gerçekleştirebiliriz. Ya da 192.168.1.10,15,25,35 diyerek sadece yazdığımız ipleri taratabiliriz. Ben örnek olarak localhost’ u yazıyorum. Yani Kali Linux’ u tarayacak.

Zafiyet taraması aşağıdaki başladı ve devam ediyor.

Zafiyet taraması sonucu hangi sistem açıkları ve zafiyetleri mevcutsa high, medium, low seviyelerinde aşağıdaki gibi karşımıza getirecektir.

Buna göre öneriler ya da hangi patchlerin geçilmesi gerektiği bilgileri de yer almaktadır.

Umarım faydalı bir makale olmuştur. Bir başka makalede görüşmek üzere.

Barracuda Ürün ailesi, Güvenlik ürünleri tabanlı olarak geniş bir ürün yelpazesine sahiptir. Bu sayede güvenlik tabanlı tüm gelişmeleri yakından takip eder ve pazarın ihtiyacına uygun hızda yeni gelişmeleri “panzehir” olarak hazırlar ve ürünlerine aktarır.

Bu bağlamda en popüler ürünlerinden birisi olan geleneksel güvenlik duvarı ürünü olan, “NextGen F Serisi” ürünü yeteneklerini, lisanslama modelini, cihaz erişimi ve temel kurulumlarına dair birçok adımı sizlerle uygulamalı olarak paylaşacağım.

Ürün ve diğer tüm teknik uygulama, entegrasyon ve protokol detaylı uygulamalar için aşağıda yer alan linklerdeki dokümanları okumanızı tavsiye ederim.

https://campus.barracuda.com/product/nextgenfirewallx

https://campus.barracuda.com/product/nextgenfirewallx/doc/8650784/overview

Orta seviye fiziksel ürün modelleri ve teknik detaylarını aşağıdaki resimde bulabilirsiniz.

Sanal Platform için model ve özellikleri aşağıdaki gibi görebilirsiniz.

Kurulum ve özellikleri aktarmaya başlamadan hemen evvel, kurulum modeli olarak,

Physical Appliance (Fiziksel)

Virtual Appliance (Sanal)

Public Cloud (Bulut Tabanlı)

F Serisi Güvenlik duvarı aşağıdaki servisleri sizlere kullanım imkânı tanır, tüm servisleri doğal olarak kullanma opsiyonu lisanslamanıza bağlı olacaktır.

Lisanslama modeli ve lisans özellikleri;

Hardware License (Donanım Lisansı):

Herhangi bir donanım kapasitesine dair limitleme yok, yani cihaz ’ın fiziksel ve teknik değerlerde toplam kullanım kapasitesi kadar kullanırsınız.

Donanım herhangi bir şekilde kullanılamaz, RMA vb. teknik sebeplerden ötürü değişim gerektiğinde lisans transferini “Barracuda Support Center” ile görüşerek çok kısa süreler içerisinde transfer edebilirsiniz.

Virtual Licensing (Sanal Lisans):

Kurulacak olan Sanal/Hypervisor platformunuzda ayırdığınız kaynak ile birlikte “MAC” adresi ile sağlanır.

Sanal Ürün konumlandırması için, kullanıcı, protokol kapasitelerinizi öğrenip ardından ilgili modeli seçebilirsiniz.

VF 10 Modelinden başlayan ve kapasitelerini gösteren detayları linkten edinebilirsiniz. https://www.barracuda.com/products/nextgenfirewall_f/models/2

RAM ve CPU kaynağı burada en önemli kıstas, çünkü giriş seviyesi bir ürün alıp, 2 Core CPU’dan fazla verirseniz ürün anlık olarak kaynak optimizasyonu yapmaya çalışacağından kapatacaktır dolayısıyla doğru ürün ve donanım kaynağı konumlandırmalısınız.

Ürünleri Vmware, Hyper-V, KVM, Xen Server platformlarına kurabilirsiniz.

Ayrıca ürünleri MS Azure, AWS ve Google Public Cloud ortamlarında da aynı teknik özellikleri ile kullanabiliyorsunuz.

Yeni gelen birtakım özellikler, API/ SDWAN ve Hibrid kurulum modelleri ile birlikte ürün ismi NextGen Firewall’ dan CloudGen unvanı kazanmıştır.

Lisansla Modelinde en popüler lisanslama modeli EU (Energized Update) versiyonudur.

1,3 ve 5 Yıl lisanslama opsiyonlarına sahiptir. (Energized Update)

EU Lisansı 24 x7 Email, 24x5 Telefon desteğini barındırır.

Güvenlik servisi olarak;

Uygulama Kontrolü ve Dosya Tabanlı tanımlama

Yazılım Güncelleme ve bilgilendirme bültenleri

IPS/IDS imza veri tabanlı kontrolü

Barracuda URL Filtreleme

SSL-VPN Web Uygulaması şablonları hizmeti

Opsiyonel Lisanslama modelleri;

Malware Protection;

Virus taramaları için kullanılır,

Giriş seviyesindeki ilk fiziksel ve sanal üründe desteği yoktur.

ATP Protection;

ATP koruması için Malware Protection’ da almış olmanız gereklidir.

ATP sayesinde güncel ataklar, Sandbox taramasından bulut tabanlı taramaların ardından geçen güvenli dosyalar lokal ağ kaynaklarınız tarafından erişilmesine imkân tanır. Taramayı bulut tabanlı yaparak lokal kaynaklarda sizlere ek yük getirmez.

Temel bilgilerin ardından Virtual Appliance halini kurabilirsiniz. 30 Gün süreli olarak tam özelliklere sahip ürünü temel bilgileri paylaşmanızın ardından indirip kurabilirsiniz. VF25 Serisi ürünü başlangıç ve tüm testler için tavsiye ederim.

https://www.barracuda.com/purchase/evaluation/product/bngvf/VF25

NextGen Admin uygulamasını indirerek, birden çok lokasyondaki cihazlarınızı veya virtual appliance cihazlarınızı, cluster mimariniz yönetebilirsiniz.

Uygulamanın kurulması için, Windows ve Min. .Net Framework 4.0 versiyonu kurulu olması yeterlidir. Resim 1’de ara yüzünde 3 farklı cihaz bağlantı metodunu, Resim 2’de cihaza erişim halini görebilirsiniz.

Ayrıca ürünün kurulumunu yapmadan ara yüz ve temel çalışan özelliklerini görmek isterseniz, aşağıdaki linkten, hiçbir kayıt vb. zaman alacak adımlardan kurtulup doğrudan firewall demosunu görüntüleyebilirsiniz. Linki açtıktan sonra, Firewall ve View Demo adımlarının ardından cihaza otomatik oturum açacaksınız.

https://www.barracuda.com/demos

Ürünleri yapınıza kurduktan sonra, lisans aktivasyonu için, size email yoluyla gelen Lisans kodunu el ile kopyala yapıştır modeli ile aktive edebilirsiniz.

Fiziksel alınan cihaza temel erişim için,

Management portuna bilgisayarınızı doğrudan bağlayarak, cihazın varsayılan yönetim

IP adresi, 192.168.200.200

Kullanıcı adı: root

Parola: ngf1r3wall

Sanal cihaz içinde aynı topoloji yapısında düşünerek kurulum esnasındaki sanal platform kurulum konsolundan oturum açabilirsiniz.

Kullanıcı adı ve şifre

https://dlportal.barracudanetworks.com

Her iki kurulum modelinde yukarıdaki temel teknolojideki sorular ve kendi yapınıza uygun cevaplar ve temel “EULA” anlaşmasını kabul ederek kurulumu kısa sürede tamamlayabilirsiniz.

İlk aşamada, cihazınızın NTP/DNS/Sistem Ayarları/Kullanıcı kimliği ve Routing /Yönlendirme mimarisini inşa etmelisiniz.

Ardından cihazınız üzerinde kural tabanlı ilkeler oluşturarak ilk kurallarınızı yazma başlayabilirsiniz. Sırası ile işlem adımlarını en kısa haliyle paylaşacağım.

Yönlendirme mimarisi dizaynı temelde aşağıdaki gibi olmalıdır.

Cihazın kullanıcı adı ve şifresi değiştirmek için aşağıdaki adımları izleyebilirsiniz,

CONFIGURATION> Configuration Tree> Box> Administrative Settings, ardından “Lock        “butonuna tıklayınız.

En sol taraftaki işlem menüden, “System Access”

Root Password menu, parola “Cozumpark_321!”, Parola ardından, New ve Confirm adımlarını izleyiniz.

DNS ayaları için, En üst menü’ deki Configuration – DNS Settings ve DNS Domain adımlarını sırası ile izleyerek, ilgili domain tanımını yapınız. Cozumpark.com gibi.

Ardından aynı sekmede bir alt sütunda, DNS Settings bölümüne, 8.8.8.8 gibi DNS Server IP adres/adreslerini giriniz.

NTP ayarları için , aynı menüde iken en sol tarafta bulunan listeli menüden Time Settings/NTP – lokal zaman diliminizi seçiniz , NTP Settings başlığı altında, NTP Sync on Startup –yes seçeneğini aktif ediniz- Time Server IP başlığında, kendi tanımladığını ve güvendiğiniz NTP Server Ip adresi giriniz, 10.11.22.11 – ardından StartNTPd – yes işlem adımları ile NTP ayarlarınızı tamamlayınız.

Yaptığınız ayarların kalıcı olarak active edilmesi için son işlem adımı olarak, sağ üst menüde yer alan, önce Send Changes ardından, Activate kutularını onaylamanız gerekmektedir.

Son yapılan işlem adımı, cihaz üzerinde yapacağınız tüm işlemler için geçerlidir. Sizden son onay almadan yapılan işlemleri cihaz üzerinde force etmez.

Cihazınızın internete çıkması ve kural yazılıp işletilebilir hale gelebilmesi için son işlem adımını Routing /Yönlendirme ayarlarını yapmanız gereklidir.

CONFIGURATION > Configuration Tree > Box >Network – Lock butonuna basınız.

En sol menüden Configuration – Routing seçeneklerini seçtikten sonra, orta menüde açılan Main Routing Tables seçeneği ve sekmesini altif ediniz, New Entry seçeneğine tıklayarak IPv4 Routing seçeneğini seçiniz, ve “ISP Yonlendirme” ismi ile kural ismi tanımlayınız, - OK- Routes butonlarına tıklayınız. 

Target Networks Address , 192.168.99.129/28  gibi hedef network tanımını yapınız topolojinize göre, Route Type listesinden , Directly attached netwok,- interface name içerisinde Eth1 seçiniz- Trust Level seçeneği altında da Untrusted seçeneğini aktif ediniz.

Default Gateway – 192.168.99.253  gibi topolojinize göre firewall önündeki cihazın ip adresini giriniz. – OK seçeneği ile tamamlayınız.

Ardından , Sağ üst menüden, Send Changes ve Activate adımlarını izleyerek ilgili seçenekleri Kabul ettikten sonra temel kurulumları tanımlamış bulunuyorsunuz.

Cihazınız internet erişimine WAN portundan ötürü artık erişebilir durumda, kural tabanlı olarak cihazın LAN portundan WAN portuna olan trafiği aktif etmek için aşağıdaki son adımı izleyiniz,

CONFIGURATION > Configuration Tree > Box> Virtual Servers > FWBoxName > Assigned Services > HQFW > Forwarding Rules sayfasında, Access Rules seçeneğini aktif ediniz. Ardından, Sağ tuş ile bulunan menüde Lock seçeneğini aktif ediniz.

Aynı servis üzerinde iken, sağ tuş New - Rule – Edit Rule , New Rule adımların izleyerek,

Name: LAN to Internet HTTP+S  Access

Action : Pass

Source : Lan

Service : HTTPS

Destination: Internet

Connection Method : Dynamic NAT

Detaylarını girip onayladıktan sonra, Send Changes ve Activate adımlarının ardından işlem adımları tamamlanmış olacaktır.

Kurulum adımlarını aşamaları ve sırası ile tamamlamış bulunmaktayız.

Keyifli okumalar…    

Merhaba değerli meslektaşlarım,

Bu teknik makalemizde sizlerle DellEMC firmasının en önemli Enterprise IT iş sürekliliği çözümü olan VPLEX ürününün bakım çalışması veya fiziksel taşıma gibi durumlarda sistemin CLI komutları ile nasıl kapatılacağını ve bu operasyonu adım adım ekran görüntülerini ile birlikte gerçekleştireceğiz.

Önemli Notlar:

Bu operasyona başlamadan önce sistem üzerinde I/O trafiğinin tamamen bittiğinden emin olmanız gerekmektedir.

Operasyona başlamadan önce mevcut durumun en son haline ait bir log dosyası toplayıp onu saklamanız da fayda vardır. İşlem sonrasında olası bir sistemin açılmama durumunda bu log dosyasını support ekibine iletmeniz işinizi kolaylaştıracaktır.

Bu log dosyasını oluşturmak için “collect-diagnostics –minimum“komutunu çalıştırmanız yeterli olacaktır.

Ayrıca VPLEX ile birlikte “EMC RecoverPoint” replikasyon çözümünü kullanıyorsanız “vplex spliter” lar üzerinden çalışan replikasyon işlemlerini de sonlandırmanız gerekmektedir.

Şimdi önemli notları dikkate alıp önerilen işlemleri tamamladıktan sonra operasyona başlayabiliriz.

İşlemleri CLI komut satırından yapabilmek için öncelikle PuTTY programı ile ssh protokolü üzerinden vplex engine bağlanıyoruz.

Bağlandıktan sonra “vplexcli” komutu ile VPLEX CLI katmanına geçiş sağlıyoruz.

Yukarıdaki ekran görüntüsünde;

İlk olarak “battery-conditioning summary” komutu ile cihazın enerji bataryalarındaki durumu kontrol ediyoruz.

Power Supply lardaki enerji durumunun “true” olduğunu görmekteyiz.

Yukarıdaki ekran görüntüsünde;

“Battery-conditioning disable –s /engines/*/stand-by-power-supplies/*” komutu ile cihazın her iki bataryasının da enerji durumunu “disable” konumuna getiriyoruz.

Power Supply lardaki enerji durumunun “false” olduğunu görmekteyiz.

Yukarıdaki ekran görüntüsünde;

 “Cd /notifications/call-home” komutu ile cihazın call-home özelliğini kontrol ediyoruz ve call-home özelliğinin “true” olduğunu görmekteyiz.

Yukarıdaki ekran görüntüsünde;

 “Setenabled false --force” komutu ile cihazın call-home özelliğini kapatıyoruz.

Yukarıdaki ekran görüntüsünde;

“Cluster shutdown -c cluster-1” komutu ile cihazın üzerinde kurulu olan cluster ‘ı kapatma komutunu gönderiyoruz.

Yukarıdaki ekran görüntüsünde;

 “Cluster status” komutu ile cihazın shutdown sonrasında gelmiş olduğu mevcut durumu görmekteyiz ve cluster ın artık çalışmadığını görmekteyiz.

Böylelikle VPLEX üzerindeki yazılımsal özelliklerin kapatma işlemini tamamladık.

Şimdi ise VPLEX üzerinde mevcut olan fiziksel kontrolurlar (director) lerin kapatılmasına.

Yukarıdaki ekran görüntüsünde;

 “Ssh–l root 128.221.x.x” komutu ile 1. director olan “director-1-1-a” ya bağlanıyoruz.

“Shutdown–P “now” “komutu ile director e kapatma komutu gönderiyoruz.

Yukarıdaki ekran görüntüsünde;

 Director ün kapandığından emin olmak için “ping 128.221.x.x” komutunu çalıştırıyoruz.

Yukarıdaki ekran görüntüsünde;

“Ssh–l root 128.221.x.x” komutu ile 2. director olan “director-1-1-b” ye bağlanıyoruz.

“Shutdown–P “now”“komutu ile director e kapatma komutu gönderiyoruz.

Yukarıdaki ekran görüntüsünde;

Director ün kapandığından emin olmak için “ping 128.221.x.x” komutunu çalıştırıyoruz.

Yukarıdaki ekran görüntüsünde;

“Engines/engine-1-1/directors/ ll” komutu ile her iki director ün durumlarını görüntülüyoruz.

Yukarıdaki ekran görüntüsünde;

“Cluster status” komutu ile cihazın shutdown sonrasında gelmiş olduğu mevcut durumu görmekteyiz.

Ayrıca vplex engine üzerindeki director larında tamamen kapandığını görmekteyiz.

Yukarıdaki ekran görüntüsünde;

“Sudo /sbin/shutdown 0” komutu ile sisteminin tümüyle kapatılması için son komutu çalıştırıyoruz.

Bu komut çalıştırıldıktan sonra artık vplex sistemine management veya ssh portlarından erişilemeyecektir.

Böylelikle VPLEX sistemimizin tamamen kapatılmıştır.

Sizlere fayda sağlamısı dileğiyle...

Oracle Cloud global endüstride en çok kullanılan bulut hizmetlerinden biridir. Entegre çözümlere tam olarak cevap verebilme yeteneğine sahip olması yanında Oracle firmasının uzun zamandır yaptığı yatırımlar sayesinde bulut dünyasında kendini farklı bir noktada konumlandırmıştır. En önemli kurumsal özelliklerinden bir tanesi olan “ Public Cloud “ ile maksimum seviyede güvenli bir bulut ortamı sağlayabilir ve tüm hizmetlerinizi aktif bir şekilde işletebilirsiniz. Yapılan araştırmalarda Enterprise seviyedeki işletmeler Public Cloud ortamını tercih etmektedir.

“ Bulut teknolojilerinin gelişmesi ile birlikte örneğin, Oracle firması kendi Public Cloud alt yapısına Dünyanın ilk otonom veri tabanı olan “ Oracle Database 18C “ ürününü eklemiştir. Oracle Database 18C insan hatalarını ve manuel yönetimi ortadan kaldırarak daha yüksek düzeyde güvenilirlik, güvenlik ve operasyonel verimlilik sağlanmasına yardımcı olur.  

Oracle Cloud ile işleriniz ve işletmeniz büyüdükçe günümüzdeki bununla birlikte gelecek teknolojilere daha hızlı Entegre olabilir ayrıca Uygulama, Alt yapı, Veri ve Platform bulutları gibi çözümler ile maksimum verimliliğin yanında minimum maliyetler ile hizmetlerinizi direk olarak üretim ortamına geçirebilirsiniz. 

Oracle Cloud sistemleri bizlere;

Yazılımlar (SaaS); Kullanıcıların bulut tabanlı uygulamalara internet vasıtası ile bağlanarak gerekli çalışmaların yapabildiği bir teknoloji bütünüdür. İnsan kaynakları, Pazarlama yönetimi, Marketing yazılımları bunlara birer örnektir.

Saas üzerinde Marketing Satış metrikleri incelemesi

Veri (DaaS); Veri bulutu hizmetidir. Çeşitli departmanlara odaklandıkları portföye göre en iyi bilgileri sağlayarak nokta çözümler oluşmasına olanak verir. Birçok kanal ve sensörden gelen veriler sayesinde hızlı kararlar alınmasına yardımcı olur.

DaaS ile gelen verilerin sembolik gösterimi

Platform (PaaS) ; En basitten en karmaşık uygulamalara kadar istediğin yer programın bulut üzerinde çalışmasına olanak sağlayan platformdur. Örneğin Oracle Database 18C , Mysql yada İş zekası uygulamarı PaaS üzerinde çalışmaktadır. Oracle Paas ile mevcut altyapınızda çalışan uygulamalarınız bulut üzerine taşıyabilir ya da yedekleyebilirsiniz.

Oracle Paas ile erişebileceğiniz bazı uygulamalar.

Oracle Database 18C; Oracle Autonomous Database Cloud insan müdahalesi olmadan sistem çalışırken tüm rutin veritabanı bakım görevlerinin gerçekleştirilmesi dahil olmak üzere otomatik ayarlama, yama ve güncellemeler sunan bulut ortamındaki ilk otonom veri yönetim çözümüdür.

Oracle MySql; Oracle Cloud desteği ile MySQL Enterprise Edition temelinde oluşturulan Oracle MySQL Cloud Service, organizasyonların iş atikliğini arttırmasını ve maliyetleri azaltmasını sağlamak üzere basit, otomatik, entegre ve kurumsal kullanıma hazır bir bulut servisi sunar.

Oracle Java; Oracle Java Bulut Hizmeti, işletmelerin Java uygulamalarını güvenli bir şekilde geliştirmesini ve dağıtmasını sağlayan abonelik tabanlı, self servis, güvenilir, ölçeklenebilir ve esnek kurumsal sınıf bir bulut platformudur.

Oracle Webcenter Bulutu; WebCenter ihtiyacınıza uygun özelleştirilmiş topolojilerle hizmete açabileceğiniz bir portal uygulamasıdır.

İş Zekâsı Uygulamaları; Oracle BI Bulut Hizmeti tamamen bulutta çalışabilir veri tabanı ve hızlı analizleri ile anında erişebileceğiniz bilgiler sunar. Her çeşit veriyi, istediğiniz zaman, istediğiniz yerde analiz edebilirsiniz.

Paas üzerinde örnek bir Oracle BI uygulaması

Görüldüğü üzere Oracle Cloud ile bir çok kurumsal hizmeti bulut ortamında alabilmekte ve mevcutta çalışan veri tabanımız ya da iş zekası uygulamalarımızı buluta taşıyabiliyoruz. Taşıdığımız bu hizmetlerde isterseniz erişimi genele açabilir yada iki nokta arasında IPSEC Vpn kurarak kapalı devre bir network ile erişim sağlayabilirsiniz.

Ücretlendirme Modeli;

Oracle Cloud ücretlendirmesi 2 farklı şekilde listelenir. Bunlardan birincisi “ Kullandıkça Öde “ diğeri “Aylık Esnek “ olarak nitelendirilmektedir. Ücretlendirme modelinde mevcutta bir lisansınız varsa ayrıca ek indirimler sağlanır. Aşağıdaki örnek tablo Oracle Database 18C için örnek fiyatlamaları içerir.

Makalemizin en başında bahsettiğimiz gibi Oracle Cloud ile yedekleme senaryoları kullanarak mevcut verimizi bulut ortamına yedekleyebiliriz. Aşağıda örnek bir tabloda Veri tabanı yedeklemesi ile ilgili fiyatlama gösterilmektedir.

Bir Oracle sevdalısı olarak özellikle üzerine düştüğüm ve veri tabanı ile birlikte iş zekâsını incelediğim bu hizmetleri şahsen beğenerek araştırmaktayım. Son olarak sizde Oracle Cloud tüm ürünleri incelemek ve test etmek için ücretsiz ve süreli kullanım desteği sağlamak isterseniz resmi siteden detaylı bilgilere ulaşabilir, mevcut ürünleri inceleyebilir, test edebilir ve uygulamalarınızı çalıştırabilirsiniz.

Diğer makalelerde görüşmek üzere,

Buğra Parlayan

Bir uygulamanız var ve siz bunu azure üzerinde konumlandırmak istiyorsunuz. Azure compute başlığı altında aslında size pek çok hizmet sunmaktadır. Ancak kimi zaman bu hizmet çeşitliliği kafa karışıklığına neden olabilmektedir. “Decision Tree” olarak isimlendirdiğimiz aşağıdaki akış şeması işleri biraz daha sadeleştiriyor.

Bu akış şemasını başlangıç noktası olarak ele alın. Her uygulamanın kendine özgü gereksinimleri vardır, bu nedenle öneriyi bir başlangıç noktası olarak kullanın. Daha sonra, daha ayrıntılı bir değerlendirme yapın ve aşağıdakilere bakın:

·         Feature set

·         Service limits

·         Cost

·         SLA

·         Regional availability

·         Developer ecosystem and team skills

·         Compute comparison tables

Bunlar aslında bir uygulamayı bulut üzerinde çalıştırmak için bilmeniz gereken en temel parametrelerdir.

Eğer kompleks uygulamalarınız var ise yani uygulamanız çoklu iş yüklerinden oluşuyorsa, her iş yükünü ayrı ayrı değerlendirin. Tam bir çözüm belki iki veya daha fazla cumpute hizmeti ile sunulabilir.

Peki bu akış şeması bize ne anlatıyor? Öncelikle iki temel tanımımız var bunları biliyor olmalıyız.

Greenfield

Greenfield yazılım veya dağıtım, daha önce hiç bulunmayan bir kurulum ve / veya yapılandırmadır. Yani sıfırdan inşa etmeye başladığınız projeler için kullanılır.

Brownfield

Bir brownfield dağıtımı, var olan bir altyapıya yükseltme veya ekleme anlamına gelir. Yani yeni bir proje değil var olan bir proje veya var olan bir proje için güncelleme, değişiklik anlamına gelir.

Örnek yeni bir proje yapıyor olun, bu durumda ilk sorunun cevabı YES olacaktır yani sağ bölüm ile devam ediyoruz;

İlk soru çok basit aslında, bu yazılım, dağıtım, proje için tüm kontrolün sizde olması mı gerekiyor. Yani kuracağınız OS’ den tutun, IIS veya .net bileşenleri vb? Eğer bu sorunun cevabı YES ise bu durumda sizin için en iyi çözüm Azure üzerinde IaaS bir hizmet almanızdır. Yani sanal makine hizmeti almanız yeterlidir.

Peki böyle bir gereksinim yok ise No diyerek bir alt bölüme inebilirsiniz.

High performance computing workloads, yani yüksek performans gerektiren iş yükleriniz olacak mı?

Azure, bulutta büyük paralel ve toplu hesaplama işlerini çalıştırmanızı sağlayan ve isteğe bağlı kolay bir şekilde genişleyebilen bilgi işlem kaynaklarını sağlamaktadır.  Eğer böyle bir ihtiyaç var ise bu durumda Azure Batch kullanımı olacak demektir.

Azure batch sayesinde büyük ölçekli paralel ve yüksek performanslı bilgi işlem (HPC) işlerini verimli bir şekilde yönetebilirsiniz. Temel olarak azure batch sanal makinelerden oluşan bir compute pool oluşturur ve yönetir, istediğiniz uygulamaları yükler veya yine istediğiniz işleri zamanlar ve çalıştırır. Bu sayede cluster veya zamanlanmış görevler için ayrı uygulamalara ihtiyaç duymazsınız. Sadece Azure batch için yayınlana API' leri veya araçları kullanmanız yeterlidir.

Peki HPC ihtiyacı yok ise bu durumda yine No diyerek bir alt bölüme inebilirsiniz.

Aslında konuyu adım adım ve uzun uzadıya anlatmaya gerek yok sanırım. Son bu örnek ile konuyu bağlamak istiyorum. Bir sonraki sorumuz bir mikroservis kullanacak mısınız?

Eğer yeni nesil bir yöntem olan yazılım geliştirmede son dönemde sıklıkla gördüğümüz mikro servis kullanımı olacak ise yine işler değişiyor. Eğer bir yazılımcı iseniz zaten Monolithic ve MicroService farklarını burada anlatmamın bir anlamı olmaz. Ama özetle bir birinden daha bağımsız ve esnek parçalardan oluşan bir proje istiyorsanız mutlaka Micro Service kullanılmaktadır. Bu sayede yazılım ekipleri bir birinden daha bağımsız kod geliştirmekte ve hatta deployment yapabilmektedir. Genişletilmesi daha kolay ve bağımsız olur. Eğer sizin uygulamanızda da micro servis olacak ise bu durumda App Service kullanıyor olmanız gerekmektedir.

Evet, uzun lafın kısası alında Microsoft bence çok güzel bir akış diyagramı ile aslında bizlere ne tür uygulamalar için azure üzerinde ne tür hizmetleri kullanabileceğimizi veya kullanmamız gerektiğiniz bize özetliyor. Bu sayede aslında azure üzerinde koşacak uygulamalar içinde daha doğru bir maliyet hesabı yapılmış olur.

Umarım faydalı bir makale olmuştur. Bir sonraki makalemde görüşmek üzere.

Kaynak

https://docs.microsoft.com/en-us/azure/architecture/guide/technology-choices/compute-decision-tree

Merhabalar, bu teknik yazımızda sizlerle Dell EMC Unity Serisi storage larda herhangi bir problem oluştuğunda veya performans analiz incelemesi gerekti durumlarda EMC Support Mühendisleri tarafından sizden ilk talep SP Collect (Storage Controller log dosyası) dosyasının storage üzerinden nasıl alındığını adım adım ekran görüntüleri ile paylaşıyor olacağım.

Şimdi Storage yönetim ekranından giriş yaparak başlıyoruz.

Yukarıdaki ekran görüntüsünde;

Dell EMC Unity serisi storage yönetim konsoluna kullanıcı adı ve şifre ile giriş yapıyoruz.

Yukarıdaki ekran görüntüsünde;

Dell EMC Unity serisi storage yönetim konsolunda “System” menüsü altından "service" bölümünü açıyoruz.

Yukarıdaki ekran görüntüsünde;

“Service Tasks” menüsü altından " Collect Service Information " seçeneğini seçip " Execute " butonu ile log toplama işlemine geçiyoruz.

Yukarıdaki ekran görüntüsünde;

“ +” butonu ile oluşturacağımız log dosyasının içeriğini belirtiyoruz ve biz bu çalışmamızda " Full Collect " seçeneğini seçip log toplama işlemini başlatıyoruz.

Yukarıdaki ekran görüntüsünde;

log doyasının oluşturma işleminin başladığını görmekteyiz.

Yukarıdaki ekran görüntüsünde; log doyasının başarılı bir şekilde oluşturulduğunu, dosya ismi ve boyut bilgisini görebilmekteyiz.

Son olarak ".tar" uzantılı log dosyasının bilgisayarımıza indirilmeye hazır olduğunu görmekteyiz.

Sizlere fayda ve farkındalık sağlaması dileğiyle...

Değerli Dostlar, daha önceki yazımızda Oracle Cloud hizmetinin ne olduğunu açıklamış ve bu hizmetler hakkında kısa bilgiler vermiştik. Yazımızın bu kısmında Oracle Cloud üzerinde ücretsiz bir deneme hesabı açarak bu hesapta uygulamaları, altyapıları ve yazılımları test edeceğiz. Bu ortamlara erişmek için ilk olarak bulut promosyon koduna ihtiyacımız olacak fakat şunları bilmekte fayda görüyorum. Öncelikle Oracle bulut promosyon kodu 300$ ‘lık kullanım yada 30 günlük bir süre hakkı sunar. Bu haklardan hangisi önce biterse ücretsiz kullanımda bu şekilde sona erer. Devam ettirmek isterseniz belirtilen şartlarda ödeme işlemlerini gerçekleştirmeniz gerekir. Ayrıca daha önceden bir promosyon kodu kullandıysanız tekrar kullanamazsınız ve kayıt esnasın da kredi kartı bilgilerinizin girilmesi istenir. Bu doğrulama, kötüye kullanımı önleme amaçlıdır ve sanal kredi kartı kabul edilmez. Bununla birlikte ücretsiz bulut kullanım hakkı Türkiye dâhil birçok Avrupa ülkesinde desteklenmektedir. Kullanım süresi bittikten sonra eğer ödeme yapılmazsa 7 gün sonra ürünler silinir.

Not: Ücretsiz süreli kullanım hakkında sık sorulan sorular için : https://cloud.oracle.com/tr_TR/trial-faq

Bu bilgiler ışığında “https://cloud.oracle.com/tr_TR/tryit“ adresine tıklayarak hesap oluşturma işlemlerine başlayabiliriz. Web sitesi açıldığında aşağıdaki ekranla karşılaşacaksınız. “ Ücretsiz Hesap Oluşturun “ butonuna tıklıyoruz ve devam ediyoruz.

1 numaralı alanda, hesap bilgilerini girmemiz için aşağıdaki ekran ile karşılaşacağız. Burada eğer bireysel bir deneme yapıyorsanız “ Kişisel Kullanım “ kurumsal bir test yapıyorsanız “ Şirket Kullanımı “ diyerek diğer bilgileri doldurup bir alt kısma geçiş yapacağız. Unutmadan burada dikkat etmeniz husus Veri Bölgesi Ön değerinin EMEA seçilmesidir. Bu sayede Türkiye’de bulunan Oracle veri merkezinden hizmet alabilirsiniz.

Hesap ve iletişim bilgilerimizi doldurduktan sonra 2. Kısım olan doğrulama ekranına geleceğiz. Burada cep telefonu numaramızı yazarak “ Kod İste “ butonuna tıklıyoruz. Gelen kodu doğrulama ekrana girerek işlemi onaylıyoruz. Kodun gönderimi 2-4 dakika orası sürecektir. Ayrıca Oracle ilgili bilgilendirmeleri size bu numara aracılığı ile yapabilir.

Cep telefonum aşağıda görüldüğü üzere gelen doğrulama kodu ile onaylandı. Eğer size kod istediğiniz halde doğrulama kodu gelmediyse. “ Yardıma mı ihtiyacınız var? Sohbet “ kısmından bilgilerinizi girerek destek alabilirsiniz. Kod gönderim problemi genel olarak GSM operatörü uyumsuzluğundan oluyor. Sohbette sizinle ilgilenecek kişiye derdinizi anlatıp Mobile Operatörünüz ve Mobil numaranızı yazarsanız direk aynı pencereden doğrulama kodunu verecekler.

Şimdi Sıra ödeme yöntemi belirlemede. Bilgilendirmede 1 Dolar ya da bunun TL karşılığı çekilebilir denmiş fakat bende bir hesap hareketi olmadı. İnternet alışverişine açık olan bir kredi kartı ile gerekli tanımlamayı yapıyoruz. Kartınız internet alışverişine kapalı ya da bir sanal kartsa işlem onaylanmayacaktır.

Son olarak Hüküm ve Koşulları kabul ederek işlemi tamamlıyoruz.

Tüm adımlar başarılı bir şekilde tamamlandığında aşağıdaki bilgilendirme ile karışılacağız. 15 Dakika sonra belirttiğimiz e-posta adresine işlemin tamamlandığına dair gelen e-posta da Cloud paneline giriş için gerekli bilgiler yer alacak.

Aşağıda gelecek olan E-posta ile örnek bir görüntüyü iletiyorum.

Tarafıma iletilen bilgiler ışığında Cloud paneline geçici şifrem ile giriş yapıyorum. ( Giriş yaptıktan sonra şifre değiştirmeniz istenecek )

Artık Oracle Cloud servislerimizi kullanabilir ve test edebiliriz

Makalemizin bu şekilde sonuna gelmiş bulunmaktayız. Görsel olarak artık estetiğe önem veren Oracle Cloud ürünlerinin testlerinin yapılacağı ve adım adım inceleneceği diğer makaleleri hızlıca yazmaya başladım. Netice itibari ile 30günlük bir sürede birçok ürünü test etmek gerekiyor. Özellikle FKM tarafını test edeceğimiz diğer yazılarda görüşmek üzere.

Buğra Parlayan

SQL Server 2017 ile birlikte, Reporting Service tarafında da yenilikler gelmiş oldu. Reporting Services ilk olarak SQL Server 2005 ile yayınlanmıştı. SQL Server 2008, 2008 R2, 2012 ve 2014 sürümleri neredeyse aynı olan SSRS de, SQL Server 2016’da tamamen yepyeni bir SSRS karşımıza çıktı. Bu yenilikler SQL Server 2017 ile de devam etmektedir.

İlk olarak SSRS artık SQL Server kurulumu içerisinde Feature Selection ekranından çıkmış oldu. Management Studio gibi internetten indirilebilir bir sürüm oldu.

SSRS 2017 – 1

Yukardaki Instak SSRS dediğiniz web sitesi açılarak, SSRS kurulum dosyasını indirip kuruluma devam edebileceksiniz. Dosya boyutu yaklaşık 93 mb’lık bir setup dosyası inecektir.

SQL Server setup’ı çalıştırmadan da, Reportin Service’i aşağıdaki linkten indirebilirsiniz.

https://www.microsoft.com/en-us/download/details.aspx?id=55252

SSRS 2017 – 2

SqlServerReportingSerives.exe olarak inen dosyayı çalıştırarak kuruluma başlıyoruz.

Welcome ekranını Install diyerek geçiyoruz.

SSRS 2017 – 3

Edition seçim ekranında, SQL Server 2017 lisansınızı “Enter the Product Key” alanına girmeniz gerekiyor.

Free edition kısmına, 180 günlük deneme sürümünü, test için kendi bilgisayarınızda kurulum yapacaksınız Developer Edition’ı veya Express olan ücretsiz sürümü seçebilirsiniz.

Reporting Services başlığının altındaki October 2017, bize SSRS’İn hangi sürümünü kurduğumuz hakkında bilgi vermektedir. Management Studio’da olduğu gibi, SSRS içinde güncellemelerin geleceğini düşünüyoruz.

Next dedikten sonra lisans sözleşmesini onaylanıp Next ile devam ediyoruz.

SSRS 2017 – 4

Install Database Engine ekranında, Install Reporting Services Only ile sadece Reporting Services’i kuracağını ve SSRS için farklı bir database sunucusuna ihtiyaç olduğunu belirtmektedir. SSRS’in databaselerini herhangi bir SQL Server üzerinde konumlandırabilirsiniz.

Burada dikkat edilmesi gereken konu, SSRS 2017’nin veritabanlarını daha eski sürüm database sunucularında konumlandırdığınızda versiyon farkı olacağından, SSRS çalışmayacaktır. Eski bir SSRS’in databaselerini yeni bir SQL Server versiyonuna konumlandırmanızda bir sıkıntı yoktur.

SSRS 2017 – 5

SSRS’in hangi klasöre kurulacağını bu ekrandan değiştirebilirsiniz. Önceki sürümlerde SSRS, Microsoft SQL Server klasörüne kurulmaktaydı, SSRS 2017’de ise kendine ait bir klasöre kurulabilmektedir.

SSRS 2017 – 6

Kurulum bittikten sonra sunucuya mutlaka restart ediyoruz. Sunucu açıldıktan sonra SSRS’in yapılandırmasının nasıl yapılacağına bakacağız.

SSRS’i yapılandırmak için, Microsoft SQL Server Reporting Services’in altındaki Configuration Manager’ı açıyoruz.

SSRS 2017 – 7

SSRS Connection ekranı

SSRS 2017 – 8

Server name alanına localde kurulmuş olan SSRS’in Server adı gelmektedir. Connect diyerek SSRS Configration ayarlarına giriş yapıyoruz.

SSRS 2017 - 9

Report Server Status genel durum ekranında Report Server Database Name ve Report Server Mode alanları boş olarak gelmektedir. Bunun sebebi SSRS’in kullanacağı veritabanlarını daha yapılandırmadığımızdan bu alanlar boş gelmektedir.

Web Service URL ve Web Portal URL linkleri de, daha SSRS yapılandırılmadığından hata verecektir.

Database sekmesine girderek SSRS veritabanlarını başka bir SQL Server üzerinde konumlandırmamız gerekecek.

SSRS 2017 – 10

Database sekmesindeki Change Database bölümüne tıklıyoruz.

SSRS 2017 – 11

Yeni bir kurulum yaptı isek, Create a new report server database seçeneği ile ilerliyoruz.

Eğer mevcut SSRS veritabanları kullanmak istiyorsak Choose an existing report server database seçeneğini seçmemiz gerekiyor.

SSRS 2017 – 12

SSRS veritabanlarını oluşturacağımız sunucu adını Server Name kısmına, Auth. Type’ı seçiyoruz.

SSRS veritabanlarının çalışacağı SQL Server üzerinde ssrsUsr isminde bir login oluşturdum, istediğiniz isimde bir login açabilirsiniz. İsterseni Windows auth. İle de devam edebilirsiniz. SSRS için kullanacağımız loginlerin veritabanı oluşturabilmeleri için ilk olarak sysadmin yetkisi verilip, daha sonra bu yetki SSRS vertabanları için db_owner verilmesi yeterli olacaktır.

Tüm bilgileri doğru girdikten sonra mutlaka Test Connection butonu ile SQL Server bağlantısını kontrol ediyoruz.

SSRS 2017 – 13

Database sekmesinde, SSRS veritabanlarının isimlerini belirtiyoruz, eğer birden fazla SSRS kullanıyorsanız, veritabanı isimlerini bu SSRS’lerln kullanım amaçlarına göre vermenizde fayda var.

SSRS 2017 – 14

Credentials, bu bölümde SSRS servisinin, SSRS veritabanlarının bulunduğu SQL Server’a nasıl bağlanıp iletişim kuracağını seçeceğimiz ekrandır. SQL Server Credentials, Windows Credentials veya Service Credentials seçebilmekteyiz.

SQL Server ve diğer SSRS gibi servisler için ayrı hesaplar kullanılmasında fayda vardır. SSRS içinde bir Windows servis kullanıcısı açılıp, Logon bilgilerine bu user bilgileri girilebilir.

SSRS 2017 – 15

Summary ekranında, yeni oluşacak database ile ilgili genel bilgileri vermektedir. Next diyerek yeni database kurulumunu yapıyoruz.

SSRS 2017 – 16

Girilen tüm bilgileri doğru olduysa, database başarılı bir şekilde oluşturulmuş oluyor. Finish diyerek database kurulumunu tamamlıyoruz.

SSRS 2017 – 17

Database kurulumunda sonra, Database Name ve SQL Server Name bu sekmeye gelmiş oldu. SSRS databaseleri için kullanılan login bilgiside aşağıdaki bölümde gösterilmektedir.

SSRS veritabanlarını oluşturduktan sonra, SSRS’e bağlanacağımız Web Portal URL’lerini de kontrol etmemiz gerekiyor.

İlk olarak raporların yüklendiği Web Service URL’i kontrol edelim.

SSRS 2017 – 18

Web service URL sekmesinde bize, Web Service’in konfigüre edilmediğini ve Apply butonuna basarak Web Service URL’sinin oluşturmamız gerektiğini bize belirtiyor.

SSRS veritabanları oluşmadan Web Service URL’ini de oluşturmuyor, raporların hangi veritabanında tutulacağı bilgileri gerektiğinden ilk olarak veritabanı kurulumu gerekmektedir.

Apply diyerek Web Service URL’i oluşturuyoruz.

URLs bölümündeki link aktif oldu, bu linke tıklayarak Web Service’i kontrol edelim.

http://dataplatformssr/ReportServer

SSRS 2017 – 19

Web Service linkimiz ve servisin çalıştığını doğrulamış olduk.

Esas Reporting Service’in linkininde oluşturulması gerekiyor, bunun için Web Portal URl sekmesine gidip, buradaki Apply butonuna tıklıyoruz.

SSRS 2017 – 20

İstersek Virtual Directory alanından SSRS’in web adresi ismini buradan değiştreibiliriz.

Apply’dan sorna URLs kısmındaki link aktif oldu. Bu linke tıklayarak SSRS’e bağlanıp, çalışıp çalışmadığını kontrol ediyoruz.

http://dataplatformssr/Reports/browse/

SSRS 2017 – 21

Reporting Service web servisimizin çalıştığını gördük, bu web arayüzünden son kullanıcılar raporları görüntüleyecekler. Artık Report Manager veya Data Tools ile rapor tasarlanıp, SSRS’e yüklenebilir duruma gelmiş oldu.

Bu makalemizde sizlere Reporting Service 2017’nin nasıl kurulacağı ve kurulduktan sonra doğru bir şekilde nasıl yapılandırılması hakkında bilgiler sunmaya çalıştık. Bir sonraki makalemizde görüşmek üzere.

Bu makalemde sizlere özellikle Lepide ürününü verdiğimiz büyük müşterilerimizde yaşadığımız bir takım sorunlardan sonra aklıma gelen ve aslında 2016 yılında kendi bloğumda yayınladığım bir konudan bahsetmek istiyorum. İşin güzelliği makaleyi çok özenerek yazmışım, malum o zamanda Lepide ve Audit ürünleri ile ilgilendiğim için kendime yazıp her zaman yaptığım gibi yayınladım. Aradan iki yıl geçmiş tabiki pek çok makalemde olduğu gibi yazdığımı unutup hop Google a iki satı arama kelimesi girince makale karşıma çıktı, çok mutlu oldum, sonra fark ettim ki Çözümpark’ ta çıkmıyor, çünkü ben inatla site:cozumpark.com yazarak arama yaparım mevcut kaynakları önce gözden geçirmek için çıkmayınca zaman kaybı yaşadım, sonra kontrol edince cidden bu makaleyi portalda yayınlamayı atlamışım, ondan dolayı bu güne yayınlamak kısmetmiş deyip yayınlıyorum.

Windows Vista ve sonrası işletim sistemleri için sunulan bu GPO sayesinden bir bilgisayar için yerel olarak detaylı olarak ayarlanan Audit policylerin aynı makineye uygulanan diğer GPO ile çakışması durumunda bu yaptığınız ayarların bakın kalmasını sağlar. GPO içerisinde Audit ayarları için aşağıdaki yolu takip edebilirsiniz;

Computer Configuration-Windows Settings-Security Settings-Local Policies-Audit Policy

Burada gördüğünüz gibi ana kategoriler için temel ayarlar bulunmaktadır;

Ancak siz bu ayarlara ek olarak aşağıdaki komut seti ile daha detaylı ayarlar yapabilirsiniz

auditpol /list /subcategory:*

Mevcut alt kategorileri listeleyebiliriz;

Mevcut makinenizde yapılan değişiklikleri ise aşağıdaki komut seti ile görüntüleyebiliriz;

auditpol /get /category:*

Peki alt kategoriler için nasıl bir ayarlama yapıyoruz? Öncelikle ilk komutumuzdan tüm alt kategorileri not alıp ihtiyaç duyduklarımız için aşağıdaki gibi ayarlama yapabiliyoruz

auditpol /set /subcategory:"file system" /success:enable /failure:enable

Komutun hemen etkisini güvenlik olay günlüklerinde görebiliyorsunuz

Varsayılan ayarları yüklemek için aşağıdaki komutu kullanabilirsiniz

auditpol /clear

Yine en çok kullanılan örnekleri de aşağıdaki gibi sizler ile paylaşabilirim

auditpol /set /subcategory:"user account management" /success:enable /failure:enable

auditpol /set /subcategory:"logon" /success:enable /failure:enable

auditpol /set /subcategory:"IPSEC Main Mode" /failure:enable

Eğer yaptığınız ayarları merkezi olarak dağıtmak istiyorsanız öncelikle bir makinede yukarıda olduğu gibi gerekli gördüğünüz tüm ayarları yapın ve sonra aşağıdaki gibi bunu yedekleyin

auditpol /backup /file:auditpolicy.txt

Daha sonra bu txt dosyasını DC üzerindeki netlogon paylaşımına kopyalayın ve aşağıdaki makalede anlatıldığı gibi başlangıç komut seti dosyası oluşturarak bunu uygulayabilirsiniz

https://support.microsoft.com/en-us/kb/921469

Ancak burada önemli olan bunun gibi ince ayar audit policy yapmak istiyorsanız ilgili bu makinede aşağıdaki GPO Enable olmalıdır

Computer Configuration-Windows Settings-Security Settings-Local Policies-Security Options altında

Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings.

Bunun Enable yaptıktan sonra artık yapacağınız alt kategori ayarları geçerli olacaktır. Aksi halde bu makineye uygulanacak olan bir Audit policy yaptığınız ayarları ezecektir.

Kayıt defteri üzerinden yapmak istiyorsanız

MACHINE\System\CurrentControlSet\Control\Lsa altına yeni bir DWORD oluşturuyoruz

İsmi SCENoApplyLegacyAuditPolicy

Değeri 1 yapmanız yeterli, makineyi restart etmenize gerek yok.

Varsayılan olarak bu GPO için ayarlar ise aşağıdaki gibidir;

Aslında çok kişi tarafından merak edilmeyen hatta farkında bile olmayan bir GPO olmasına karşın özellikle audit ile ilgilenenler için çok ince bir bilgi olduğu ve yine müşterilerimde karşıma çıktığı için sizler ile de paylamak istedim.

Bir sonraki makalemizde görüşmek üzere

Kaynak

https://technet.microsoft.com/en-us/library/dd772710(v=ws.10).aspx

https://support.microsoft.com/en-us/kb/921469

Azure platformu üzerinde birçok iş yüklerimizi konumlandırabiliyoruz. Bunlardan bir tanesi de Azure SQL VM’lerimiz. Bu tarz kritik sistemleri Azure üzerinde konumlandırdığımızdan backup politikamızın da en iyi şekilde ayarlamamız gerekiyor.

Daha öncesinde Azure üzerinde bulunan SQL VM’lerimizin backup’ını instance bazında alabiliyorduk. Bu makalemizde ise artık Azure VM içerisinde bir SQL varsa database bazında backup alma işlemlerini gerçekleştirebileceğiz. Tabi bu özellik şuan Preview olarak sunuluyor.

Resim 01

Azure SQL VM Backup özellikleri:

Azure Recovery Services Vault servisini kullanarak tüm yedekleri merkezi olarak yönetin ve izleyin.

Zero-infrastructure backup:Yedekleme altyapısını yönetme veya karmaşık yedekleme komut dosyaları yazmamıza gerek yok.

Restore to any time, up to a specific second: Veri tabanlarını belirli bir saniyeye kadar herhangi bir tarih ve zamana geri yükleyin. Azure Backup, kullanıcıların seçili tarih için kurtarma noktası kullanılabilirliğine ilişkin grafiksel bir genel bakış sunarak, kullanıcıların doğru kurtarma süresini seçmelerine yardımcı olur.

15-minute Recovery Point Objective (RPO): Kuruluşun yedek SLA'larının ihtiyaçlarını karşılamak için her 15 dakikada bir işlem günlüğü yedeklemesini desteklemektedir.

PAYG Service:Ön ödeme gerekmeden sadece her ay kullandığınız tüketime göre maliyetiniz olur.

Native SQL API integration: Azure Backup, SQL yedekleme sıkıştırması, tam yedekleme, farkların yedeklenmesi ve log’ların yedeklemeleri dahil geri yükleme gibi avantajlar elde etmesi için yerel SQL API'lerini kullanır. Müşteriler SSMS kullanarak yedekleme işlerini izleyebilirler.

Support for Always On Availability Group: Azure Backup, bir Availability Group içerisindeki veri tabanlarını korur, böylece veri koruması yük devretme sonrası bile sorunsuz bir şekilde devam eder.

Şimdi Azure üzerinde SQL Server kurulu olan bir VM içerisinden Database backup’ın nasıl alınacağına bakalım. Bunun için ilk olarak Azure Recovery Vault servisimizin olması gerekiyor. Daha önceki makalelerde Azure Recovery Vault servisinin nasıl oluşturulacağından bahsetmiştik. Artık direkt olarak Database Backup alma işlemlerine geçebiliriz.

Recovery Vault servisimize geldikten sonra “+Backup” yazan butona tıklıyoruz.

Resim 02

Yedekleyeceğimiz iş yükünün Azure üzerinde olduğunu ve üzerinde SQL Server çalıştırdığını belirtip, “Start Discovery” diyerek Azure aboneliğimiz içerisinde bulunan VM’lerin bulunmasını sağlıyoruz.

Resim 03

VM listesi geldikten sonra ilgili VM’i seçip, “Discover DBs” diyerek sunucu içerisindeki database’lerin bulunma işlemini gerçekleştiriyoruz.

Resim 04

Backup’ını alacağımız Database vea database’leri seçiyoruz.

Resim 05

Ardından “Configure Backup” diyerek Backup politikamızı belirtiyoruz.

Resim 06

Backup politikasında günlük, haftalık, aylık ve yıllık olacak şekilde planlamalarımızı yapıyoruz.

Resim 07

Database log’larının backup’ını alamk istediğimiz “Log Backup” seçeneğini “Enable” yapıp backup’ın hangi sıklıkla alınacağını ve saklama süresini belirtiyoruz.

Resim 08

Resim 09

“Enable Backup” diyerek, Database Backup işlemini belirtilen saat içerisinde yapılması için aktif ediyoruz.

Resim 10

İstersek backup’ı manuel başlatabiliriz. Bunun içi recovery vault içerisinde “Backup Items” menüsüne gelerek, “SQL in Azure VM” seçeneğini seçerek sunucu detaylarına geliyoruz.

Resim 11

Resim 12

Ardından “Backup Now” diyerek Backup işlemini manuel olarak başlatıyoruz. Sonrasında ise politika da belirtilen şekilde backup’ların alınması devam edecektir.

Resim 13

Resim 14

Resim 15

Backup detaylarını görmek için ise tekrardan “Backup Items” bölümüne gelerek detaylara baktığımızda backup’a ait detayları görebiliyoruz.

Resim 16

Resim 17

Bu makalemizde Azure üzerinde bulunan SQL VM’lerimizin database backup’ını Azure Recovery Vault servisi ile nasıl alabileceğimizden bahsetmiş olduk. Umarım faydalı bir makale olmuştur. Bir sonraki makalemizde görüşmek dileğiyle.