[Çözüldü] Oturum Açma Sınırı LDAP

Bence talebiniz işin doğasına ters. Benim bir hesabım varsa hesabımı neden bilgisayar bazında sayısı kısıtlama ihtiyacı duyuyorsunuz?

Herkes iyi niyet ile ve sizin gibi bilince sahip mi sanıyorsunuz ? xx kullanıcısı 2000 pc lik 5000 personellik yerde 50 pc de kullanıcını acarsa ne yapmayı düşünüyorsunuz ? İşin dogasına ters evrak mı imzalatacaksınız ?

Daha geçenlerde bu konu soruldu mimari de bu tip birşey mümkün değil. Hakan abi 3rd uygulamadan bahsetmişti.

Merhaba,

Active directory users and computers içerisinden ilgili OU'ya gelerek User/Properties/Account/Log On To yolunu izleyerek sınırlayabilirsiniz.

Kolay gelsin.

Gönderen: @alpaytayfun

xx kullanıcısı 2000 pc lik 5000 personellik yerde 50 pc de kullanıcını acarsa ne yapmayı düşünüyorsunuz ?

xx kullanıcısına ait yetkiler ile sisteme 50 noktadan erişim sağlanmış olur. Sorun nerede anlamadım?

@fatihbalci sadece istemci değil, sayı sınırlaması da getirmek istiyor. En fazla şu kadar istemcide oturum açabilsin gibi. Bende sorunu anlamaya çalışıyorum, bu durum nasıl bir sorun oluşturabilir onu anlamadım.

Gönderen: @SerkanAtes

Gönderen: @alpaytayfun

xx kullanıcısı 2000 pc lik 5000 personellik yerde 50 pc de kullanıcını acarsa ne yapmayı düşünüyorsunuz ?

xx kullanıcısına ait yetkiler ile sisteme 50 noktadan erişim sağlanmış olur. Sorun nerede anlamadım?

@fatihbalci sadece istemci değil, sayı sınırlaması da getirmek istiyor. En fazla şu kadar istemcide oturum açabilsin gibi. Bende sorunu anlamaya çalışıyorum, bu durum nasıl bir sorun oluşturabilir onu anlamadım.

Sorun şu ki insanlar bilgi güvenliğine önemini bilmedikleri için oturum şifrelerini veriyorlar.
En azından 2-3 bilgisayarda açabilsin ki 50 bilgisayarda açamasın.. o kişi işten çıktığında masaüstündeki ver yazıcı ayarları bir ton şey ile uğraşmakta I.T. kısımında iş yogunluğu çıkartıyor.. diğer konulara girmiyorum bile.

Active Directory: Limit concurrent user logins - TechNet Articles - United States (English) - TechNet Wiki (microsoft.com)

Şunu deneyecegim..

@fatihbalci Hocam onu ilk mesajımda  yazmıştım zaten 🙂 "   X bilgisayarda x kullanıcısı sadece acabilsin ayarı var " 

Alpay Bey Merhaba,

Ben bahsettiğiniz gibi büyük yapılarda aktif olarak çalıştım. Söylediğiniz yöntem sürdürülebilir bir yöntem değil. Bu nedenle bu tür büyük kurumlarda bile bunun ile uğraşmıyoruz. Örnek makale linkini ben diğer bir postta zaten paylaşmıştım, bunun ile nasıl uğraşacaksınız? Zamanlanmış görev + PS

Zaten PS çalıştırmak yasak olmalı o zaman sizde bilgi güvenliği derken bunu atlıyorsunuz sanırım?

Özetle bunu talep etmekte haklısınız ancak Serkan beyin yaklaşımı doğru. 

Eğer bu kadar büyük bir firma iseniz ATA ve benzeri bir kişinin başka bilgisayarlarda login olduğunu anomali olarak tespit eden ürünlere yatırım yaparsınız. Örnek biz bankada linkteki gibi işler ile uğraşmak yerine bu tür ürünler alıp ilgili kişilerin yöneticilerine bunu otomatik raporluyorduk.

Bu ürünleri alacak bütçeniz olmayabilir bu da çok doğal bir durum. Ancak bilgi güvenliği farkındalığı olan bir IT çalışanı için ürün aldıramıyorsanız bu da sıkıntılı bir durum.

Önerim, tespitiniz doğru ama yöntem yönetilebilir değil, çünkü siz bu yöntemi bu kadar büyük bir yapıda sağlıklı işletemediğinizi göreceksiniz, ama bu konuyu çözdük olarak işaretleyeceksiniz fakat pratikte çok başarılı olmadğını görünce ürün araştırmaya başlayacaksınız.

1 - Farkındalık mailleri iletin

2 - Bahsettiğiniz yöntemi deneyin, memnun kalırsanız devam edin

3 - Yöntem işletmesi zor ve %100 sağlıklı çalışmıyor ise SIEM, Audit veya UBA ürünleri ile temel koruma sağlayın.

Bana öyle geliyor ki organizasyonel sıkıntılar var kurumda. Bu tip senaryo ihtiyaçları şirketlerin global mimarilere uygun olmadığında ve deneyimsiz bilgi işlemlerin yöneticilerin her isteğini uygunsuz kestirmelerle uygulayan şirketlerde yaşanır. Şifrelerin insanlar arasında paylaşımından bahsetmişsiniz bu tip bir yapıyı yarın geçişi ihtiyaç olduğunda standartlara [ki geçişi mecbur ülkece KVKK denilen şartları ağır kanunname var] kavuşturmakta ve geliştirmekte zorlanırsınız.

Bu sebeple biraz da bu tip senaryo ihtiyaçlarını sebep olarak kullanıp yönetim ile birlikte sunumlarla çalışarak olması gereken AD, security vs mimarilere uygun şekilde organizasyonu düzeltebilirseniz hem siz rahat edersiniz hem de şirket zaman içinde seviye kazanmış olur.
Akabinde oluşabilecek senaryolar daha çok hiç sorulmamış şekillerde değil de insanların daha önce düşündüğü, ihtiyacı vaki 3rd vs hizmet olarak planlanmış sistem organizasyonları şeklinde olacaktır.
Örneğin client oturum sınırları yukarı da konuşuldu bunlar dışında client'lar üzerinde eski profil dosyalarının alan kaplaması vs bilindik bir durumdur. Net den buna yönelik zaman bazlı client'lardan profilleri temizleyen batch'ler bulabilirsiniz.

Asıl değineceğim nokta ise GPO policy temelinde ihtiyaç ve uygulamaların doğru şekilde kurgulanması şu yönden önemli. Kestirme çözümler özellikle 'logon scriptler' başta düşünülmeyen başka iş, kayıp süreçleri doğurabiliyor. Örneğin son günler de temp profile konusu gündem oluyor. Windows'larda bunun en sık yaşanma nedeni logon, startup sürecinde karmaşık scripting uygulanması ve bunların hata verdiğinde logon sürecinin doğru işleyememesi sonucu temporary profile düşülmesidir malum bunun çözümü ise client bazlı manuel müdahale gerektiriyor yine zaman kaybı...

Yani çözüm oluştururken mimarileri öğrenerek ve uygunluğuna göre hazırlık; bu tip temp, gpo clientlara çok geç aktarılıyor, clientlar gpo almıyor, logon çok uzun sürüyor gibi sorular oluşmadan önce başarım sağlayacaktır.

Bu arada Alpay biz seni eleştirmiyoruz, sakın yanlış anlama, ben 21 senedir bu sektörde yerli, global müşteri ve danışman olarka yer aldığım için tecrübelerimizi paylaşıyoruz. Amacımız her bilgi sistemleri çalışanın endüstri standartlarında iş yapması ama tabi ki Türkiye gerçekleri, patron istekler vs gibi dinamikleri biliyoruz. ben kariyerime ilk kobide başladım 4 yıl kobide çalıştığım için depo bile saydım öyle düşün ondan hayal dünyasında yaşamıyoruz. Sadece olması gereken bu diyoruz. Örnek sen alman gereken bilgiyi aldın, gerisi diğer bu postu okuyan arkadaşlara yorum ve fikir oluyor.

Kolaylıklar diliyoruz.

Ayrıca bknz: https://sozluk.cozumpark.com/siem