Bu makalede sistem adminlerinin şirket çalışanlarının denetimi için kullandıkları GPO'lardan örnek olarak bir kaçının nasıl aşıldığı anlatılmaktadır.

Bu döküman özellikle Microsoft ailesi işletim sistemi kullanan şirketlerde group policyi'lere bağlı olarak sınırlandırılmış yetkilerle köşeye sıkıştırılmış kullanıcıların bu utanç duvarlarını nasıl aldatabileceklerini ve geçeceklerini anlatacaktır. Ev kullanıcısı veya pci'lerinde admin yetkisinden başka bir şekilde çalışmayan arkadaşların bu dökümandan pek birşeyler anlaması mümkün değildir. Malum nasreddin hocamızın dediği gibi damdan düşenin haline ancak başka bir damdam düşmüş biri bilebilir. Bende uzun bir müddet bu sınırklı policy'lerde boğulmuş olan bir user olarak deneyimlerimi benim durumumda olan arkadaşlarla paylaşmak istedim.

Şirket admin'leri çoğunlukla GPO(Group Policy Objects)leri oluştururken domain user'larının mümkün olduğunca kısıtlanması gerektiğini bununda sebebi sorulunca çoğu saldırının şirket içi ağ'dan geldiğini veya PC'ler ile iş konusu harici eylemlerde bulunulmasının sakıncaları olduğunu söylemektedirler.
Evet haklı olabilirler ancak bu bir user'in üstün yeteneklere sahip bir pc'yi sadece Ms Office araçlarını veya Şirket için satın alınan paket programları kullanmaya mecbur oldukları anlamınada gelmez. Bir kullanıcının masa üstü resmini değiştirmesi, saatini değiştirmesi veya ekran koruyucusunu kapatmak istemesi,çözünürlüğü ile oynamak istemesi bu kısıtlamaların hangisini haklı hale getirir? Zaten hali hazırda işletim sisteminin user kapsamına aldığı kullanıcı bir çok risk içeren komutun çalışmasını engellemektedir.

Yanlış anlaşılmasın ben GPO'lara karşı olan biri değilim ama fazlaca abartıldığını düşünenler arasındayım. Her neyse zaten şu anki konumum itibari ile policylerle artık işim yok.

Evet biraz sitem'den sonra gelelim bu adi gpo'lardan bazılarını nasıl alt edebileciğimize. Ben şu ana kadar bir kaçını bulabildim ve onları sizlerle paylaşmak istiyorum.

=====================================================
-------------------------
1- Donatılar-Oyunlar :)
-------------------------
Sorun: Oyunlar - En çok kısıtlanan nesnelerdir. User'inin iş vakti oyun oynamasından nefret eden patronların adminlere zorla yaptırdığı policy'lerin başında gelir. Kullanıcı her oyun açma denmesinde . Erişim engellendi ibaresi ile karşılaşır.

Denemeler:
1- Mağdur Kullanıcı öncellikle Başlat menüsünden sağ tıklayıp aç komutunu vermeyi dener ama başaramaz. Zaten çoğu gpo'larda taskbar için sağ click çalışmaz.
2- Kullanıcı c:\Windows\system32\ altından doğrudan oyunun exe'sine tıklayıp çalıştırmayı dener. Aslında hiç bir manası yoktur bunu yapmanın ama mağdur adam bu :) hırs yapmış. Bundada başarısız olur.
3- Kullanıcı aynı exe'ye sağ tıklayıp farklı çalıştır değip başka arkadaşlarının şifresiyle açmayı dener ve bundada başarısız olur. Ve zaten çoğu GPO'da Run As çalışmaz.

Çözüm:
Command prompt açılır ve oraya istediğiniz oyunun exe'si yazılır örnek
[code]
C:\spider.exe

Hayırlı olsun :)
[/code]

Sebep: Adminimiz gpo'a da oyunları kısıtlarken sadece oyun isimleri ve patchine göre kısıtlamıştır ve windows'ta bunları registry içinde unicode şeklinde muhafaza etmiştir. Windows gui'si altında yapılan her işlem doğrudan registry'den karşılaştırma yapılarak gerçekleştiğinden command prompt işlemleri bu olaydan mahfuz kalmaktadır.
=====================================================
-------------------------------------
2- Command Prompt Kısıtlaması
-------------------------------------
Sorun: Yukarıda da bahsettiğimiz gibi command prompt'da bir çok adminimizin ve patronumuzun istemeyeceği şeyler yapılabilir. Ve adminlerimizin gözünde command-prompt mutlaka kısıtlanmalıdır.

Denemeler:
1: Mağdur kullanıcımızın aslında gui altında bunu çözebilmesi için hiç bir yolu yoktur. Yukarıda oyunlar için anlatılan kısımda ki tüm şeyleri denemesine rağmen Erişim Engellendi faciasından kaçamaz.

Çözüm:
Çözüm çok basittir gui'den kurtulun. Yani bu iş ne mouse tıklamıyla ne de klavye hileleri ile olmaz.
Her pc'de ki siz zaten bir işyerinde çalışıyorsanız yüklü olması farz olan Ms Office paketiniz mutlaka vardır . Ki zaten olmayanlarda çözümü yazacağımda bunu nereden yapabileceklerini hemen anlayacaklar(VbScript) :).

Evet öncelikle excel açılır ve vbasic için gereken butonlar taskbar'a alınır ardından excel'de bir buton veya steğe göre tepki vermesi istenen obje çizilir. Ardından bu obje'ye iki kere tıklayarak kod penceresi açılır ve aşadğıdaki kod aynen copy paste edilir.

[code]
Dim i As Integer
Private Sub CommandButton1_Click()
i = Shell("c:\windows\system32\cmd.exe", vbNormalFocus)
End Sub
[/code]

DOS'tunuz hayırlı olsun :)
=====================================================
----------
Registry
----------
Sorun: Herhalde Registry'nin user'lara neden kısıtlı olduğunu yazmama gerek yok. Adminlerin en korkulu rüyasıdır registry'nin gizliklerinin ifşa edilmesi. Tüm sizin adınıza yapılan her kısıtlama ve özel ayar sizin user profilinize ait registry anahtarlarınızda saklanır.Bazı meraklı user'larda bunları görmek isteyebilirler.

Denemeler: Meraklı kullanıcımızın registry editörleri olarak regedit.exe ve regedt32.exe 'nin varlığından haberdar olduğunu varsayıyoruz. Öncelikle kullanıcımız yukarıda bahsedilen; oyunlar için olsun msdos için olsun verilen trcikleri buralarda deneyecektir ancak sonuç "Erişim Engellendi" olacaktır.

Çözüm: Çözüm biraz garip olacak derecede basittir. Regedit veya regedt32 uygulamaları farklı kullanıcı ile çalıştır parametrelerinde her defasında farklı sınırlı hesap kullanan user'ların şifreleri girilse hatta kullanıcı kendi username'ini ve şifresini tekrar girse bile "Erişim Engellendi" hatası alacaktır. Ancak ne gariptirki kullanıcı bahsedilen programlara farklı kullanıcı parametresini verdiği anda çıkan penceredeki hiç bir şekilde değişiklik yapmdan default ayarlar ile doğrudan tamam butonuna basarsa registry editörlerimiz açılabiliyor. Bir microsoft klasiği :)

Registry'niz hayırlı olsun :)
=====================================================

Aslında daha yazacak bir çok açık var Windows ve Gpo 'lar ile alakalı ancak şimdilik sanırım bunlar işinizi görecekir. Zaten bu 3 açıkta verdiğim trickleri kullanarak daha bir çok kısıtlı alana erişim sağlayabilirsiniz. şimdilik benden bu kadar.

Bu açıkların hepsi benim tarafımdan keşfedilmiş ve test edilmiştir. Lütfen kaynak belirtmeden sağda solda yayınlamayınız. Ama biliyorumki hiç bir lamer bu uyarıya aldırmadan bunu sağda solda her dökümanıma olduğu gibi yayınlayacaktır. Ne diyim Allah'ından bulsunlar. :)

İbrahim Akgül 2006
StreAmeR
http://www.spymastersnake.org
http://www.mdkgroup.com

__________________________