Azure Advanced Threat Protection (Azure ATP) Nedir? Part-1

Azure Advanced Threat Protection (ATP), ağlarınızdaki güvenlik olaylarını tespit etmenize ve araştırmanıza yardımcı olan, bulut tabanlı bir güvenlik çözümüdür. Aynı zamanda siber saldırılarına ve içeriden dışarıya bilgi sızdırma gibi tehditlere karşı korumanıza yardımcı olan bir güvenlik çözümüdür.

Bununla birlikte Azure ATP, kimlik doğrulama, yetkilendirme ve bilgi toplamak için birden fazla protokolün (Kerberos, DNS, RPC, NTLM ve diğerleri gibi) ağ trafiğini izlemektedir. Ayrıca kurumdaki kullanıcı ve servislerin davranışlarını öğrenip ve bu davranışlara ilişkin bir davranış profili oluşturarak, güvenlik tespitinde bulunur. Yapılan tespitler sonucunda ortama ayrıkı bir süreç fark edildiğinde Azure ATP portalında bu süreçler görüntülenir.

Azure ATP hangi tehditlere karşı bir koruma sağlıyor;

  • Şüpheli kullanıcı ve cihaz etkinliğini öğrenme akabinde analiz etme
  • Bulut ve kurum içi ortamlardaki tehditleri algılama
  • Active Directory’de depolanan kullanıcı kimlik bilgilerini koruma ve analiz etme
  • Windows Defender Advanced Threat Protection ile entegrasyon sağlayarak araştırma ve analiz seviyesini arttırma


Not: Azure ATP, hem bulut hem de şirket içi verilerinden faydalanıp, hatalı süreçleri azaltarak ve Windows Defender ATP entegrasyonuyla uçtan uca bir araştırma deneyimi sunarak, gelişmiş kötü niyetli saldırıları tespit edebilir.
Azure ATP aşağıdaki servislerle de ilişkilendirilebilinir.

  • SIEM Integration
  • Windows Event Forwarding (WEF)
  • Directly from the Windows Event Collector (for the sensor)
  • RADIUS Accounting from VPNs

Azure ATP, üç ana saldırı türlerini kontrol eder, bu saldırı türleri sırasıyla, Kötü amaçlı saldırılar – Anormal davranışlar – Güvenlik sorunları ve Riskler.

Bilinen belirli başlı saldırı türleri aşağıdaki gibidir;

  • Pass-the-Ticket (PtT)
  • Pass-the-Hash (PtH)
  • Overpass-the-Hash
  • Forged PAC (MS14-068)
  • Golden Ticket
  • Malicious replication
  • Directory Service Enumeration
  • SMB Session Enumeration
  • DNS Reconnaissance
  • Horizontal Brute Force
  • Vertical Brute Force
  • Skeleton Key
  • Unusual Protocol
  • Encryption Downgrade
  • Remote execution
  • Malicious Service Creation

Bu saldırı türlerine istinaden süpheli bir etkinlik olduğunda, Azure ATP portalında süreci nasıl göreceğimizi aşağıdaki ekran görüntüsünden inceleyebilirsiniz. Örneğin, ortamınızdaki bir kullanıcı ikinci bir kullanıcıya Pass-the-Ticket saldırı girişiminde bulunduğunda Azure ATP portalında bu saldırının nasıl gerçekleştiğini ve nasıl bir atak uygulandığını görebilirsiniz.


*Not: Enterprise Mobility + Security’nin E5 lisansına sahip kullanıcılar Azure Advanced Threat Protection (Azure ATP) ürünü kullanabilir.

Using Resource Group on Azure

In this article, I want to look at what is azure resource group. Firstly, understanding meaning of resource and resource group is important.

Resource is a manageable item that is available through cloud computing. For example, virtual machine, storage account, database, web app… etc. are some of common resources.

Resource Group
can include all the resources for the solution that you want to manage as a group. You should decide how you want to allocate resources to resource groups based on what makes the most sense for your organization.

A resource only belongs in one resource group and a resource group can include resources where reside in different regions. Also you can add or remove a resource to a resource group at any time. A resource group can be used to scope access control for administrative actions. You can migrate a resource between resource groups. Resources can interact between each other in different resource groups. This interaction is common when the two resources are related but do not share the same lifecycle. For example, web apps connecting to a database.

Before you create storage accounts, networks or VMs etc. , You should create the resource groups first. If you don’t create resource group, It will created automatically by Azure. When it created resource group, the name will assign randomly and that are very hard to understand what are they. So this is an unadvisable option because of complication. You should use meaningful name to easy management.

When you place your resources in a same resource group, they will start to share a common lifecyle. That is to say, they will be created together, they will run together using some kind of common function and they will be deleted together. You should be carefull when you selected a resource group. Because your every action will affect all resources such as deleting in related resource group.

You can plan out your resource groups as a heterogeneous or homogenous. If you have several different type of resource as a virtual networks, virtual machine, web apps etc. , you called it “heterogenous resource group”. For having homogenous, you should have your all virtual network in one, all virtual machine in one etc.

One of features is RBAC in resource group. RBAC ( Role-Based Access Control ) is a system that provides fine-grained access management of resources in Azure. You can manage users on resources groups what users need to perform their jobs. Instead of giving all users limitless permissions in your Azure subscription or resources, you can permit only particular actions at a specify scope.

How to Create A Resource Group

You can follow steps below to create a resource group.

Firstly, select the “Resource Group” left side on Azure Portal.

After that, click “Add” like below.

Write your meaningful name for Resource Group. If you have more subscription, you should choose a subscription where you want to placed your resource group. The resource group has to reside in a region. So, choose your region and create it.

You have to provide a location for resource group when deploy a resource group. Because, you indicate a location for the resource group accutually you stored metadata there. So you should make sure that your data is stored in a specific region.

You can see detail of Monitoring and Billing. Firstly, You should click “Resource Group” left side In Azure Portal. After that, choose your related resource group in resource groups. You will see options to choose left side again. Select “Resource Cost” under settings and you will reach your resources cost like below.

Azure VM Stop vs. Deallocated

In this article, I will explain difference between Azure VM stop and Azure VM stop (deallocated ).

There are 2 options to stop VM in Azure and they are not equal each other.There is a big difference between this two methods. You will still get charged for compute resource even you turn off the VM one of these methods. For another, You will free from paying and you can reduce overall cost.

The first stopped option we will reach the VM using RDP and to turn off operating system inside. In other words, it is same as turning off and turning on your computer in your daily life. Even stopped the VM with this process, you will continue to be charged because of allocated resources (cpu, ram etc. ) on the VM is not released. Because you are charged for using resouces by Microsoft Azure.


So you should release resources using option 2. In this option, We will stop VM on Azure Portal. While VM is closing, it release resources in this way. So you will not be charged at all. When you released resources, you will released dynamic ip adress as well as. So dynamic IP adress will change after you start VM again. If changing ip adress is important for you, you should your IP as a static form before deallocated.


This is really great feature to save the money by deallocating your VMs that not necessary operation always. However, it always couldn’t be possible to track this situation manually. So you can use Auto-Shutdown one property of Azure VM. You can schedule your VM shutdown time using this property on Azure Portal. You can follow steps for Auto-Shoutdown below.

How to Deploy Auto-Shutdown Schedule

First step click ” Virtual Machine ” left side on Azure Portal. Then click related VM which you want to configure.


In second step, go to operations under related VM features. Then click Auto-shutdown.


In the last step, you should enable this feature firtsly. After that you can choose what time you want to deallocated your VM as is seen from picture below. If you want a notification after shutdown your VM, you can enter your e-mail address related tab at the same time. End of these steps, save and close it.


Azure Backup ile Azure VM’ler nasıl yedeklenir

Microsoft Azure Backup Nedir?

Azure ‘un kurtarma servisleri arasında yer alan Azure Backup, verilerinizi Microsoft’un güvenli Data Centerlarına yedeklemek (veya korumak) ve geri yüklemek için kullanabileceğiniz Azure tabanlı bir hizmettir. Ayrıca Şirket içi veya şirket dışı yedekleme amacıyla kullanılan basit, güvenilir ve bulutla bütünleşmiş bir hizmettir. Azure Backup servisi bir yedekleme hizmetinden yanı sıra belirli yedekleme hizmetleri için depolama alanı olarak da kullanılabilir. Windows Client işletim sistemleri, Windows Server işletim sistemleri ve System Center Data Protection Manager ortamlarını desteklemektedir.

Azure Backup servisi, depolama alanı olarak Azure Storage (depolama) servisinden destek alır. Hizmetin bileşenlerinden olan Azure Backup Agent aracı ise doğrudan Windows (Client/Server) veya System Center Data Protection Manager sistemleriyle entegre olabilir ve bu ortamlardan aldığı verileri Azure’a transfer ederek Azure Backup Vault’lar içerisinde depolar.


Ayrıca doğrudan Azure IaaS üzerinde çalışan Azure VM’lerin yedeklemesini de gerçekleştirebilir.

Bu yazımızda ise Azure tarafında barındırdığımız VM makinelerin korumasını konu alacağız.

  1. İlk olarak Azure portalında oturum açılır.
  2. Azure Hub menüsünden Resource Group‘a tıklanıp, bir RG-VMBACKUP isimli bir resource group oluşturulur.


Azure Hizmetleri bölümünden Backup and Site Recovery(OMS) servisi tıklanır ve gerekli bilgiler girilerek Backup hizmeti oluşturulur.


Oluşturduğumuz Backup hizmetin ardından Backup servisi devreye almak için, RG-VMBACKUP-VMBACKUP adımları izlenir. Yukarıdaki resimde görüldüğü gibi bu hizmet üzerinde Backup butonu ile yedekleme adımları başlatılır.


Azure VM yedekleme işlemi 3 ana adımda uygulanır. Bunlar; Backup Goal – Backup Policy – Item to Backup ‘dır. İlk bölümde Azure platforum’dan VM yedekleme işlemi yapılacağı gösterilir.


İkinci adımda ise, Yedek alınanacak VM makinanın hangi durumda ve nasıl yedek alınacağı adımları gösterilir. Choose Backup policy linkinden defaultPolicy uygunlanabilir. Ya da Create New linkinden istediğiniz gün ve saatte yedek aldırılabilir.


Yeni bir policy oluşturma linkine tıkladığımızda, Yukarıda göründüğü gibi policy ismini ve günlük yedekleme zamanı belirtilip, yeni policy oluşturulur.


Son adımda ise Backup’ı alınacak VM ve VM’ler gösterilir.


Tüm adımlar tamamlandıktan sonra Enable Backup butonu ile yedekle adımları sonlandılır ve yedekleme hizmeti aktif edilir.

Backup Items bölümüne bakıldığından, Azure Virtual Machine tarafında 1 adet VM olduğu görülür.

Hazırlanan Backup servisini isteğe göre Backup ıtems-Backup ıtems (Azure Virtual Machine) – Yedeği alınan sunucu(WS2016SQLSP1)-Settings – Backup Policy adımları takip edilerek Backup Now butonu ile manuel olarak yedekleme başlatılabilir. Ya da oluşturulan policy içinde yedekleme zamanı beklenebilir.

Manuel olarak yedekleme işlemi başlatıldıktan sonra, Backup jobs bölümünden yedeklemenin başladığını takip edebilirsiniz. Bu sayede Azure platfrom’daki sanal makinelerin de güvenliğini bir kat daha arttırmış olursunuz.
 

Azure SMB Dosya Paylaşımı Oluşturma Nasıl Yapılır

Microsoft Azure Storage nedir?

Microsoft Azure Storage, yüksek oranda kullanılabilir, güvenli, dayanıklı, ölçeklenebilir ve yedekli depolama sağlayan, Microsoft tarafından yönetilen bir bulut hizmetidir.

Azure Depolama üç veri hizmetinden oluşur: Blob storage, File Storage ve Queue Storage. Blob depolama, standart ve premium depolama seçeneklerini destekler. Premium depolamada olabilecek en yüksek performans için yalnızca SSD kullanılır. Seyrek erişimli depolama, seyrek erişilen büyük miktarlarda verileri düşük maliyetli depolama olanağı sunan başka bir özelliktir.

Azure Storage özelliğini kullanmak için önce bir Storage hesabı oluşturmanız gerekir. Ardından o depolama hesabındaki belirli bir hizmete/hizmetten veri aktarabilirsiniz.

Blob Storage

Temelde bilgisayarda (veya tablet, mobil cihaz ve benzeri) depoladığınız dosyalara benzer dosyalardır. Bu dosyalar resimler, Microsoft Excel dosyaları, HTML dosyaları, sanal sabit diskler (VHD) olabileceği gibi, günlükler, veri tabanı yedeklemeleri gibi büyük veriler de dahil olmak üzere neredeyse her şey olabilir. Bloblar klasörlere benzer kapsayıcılarda depolanır.

Blob depolamada depoladığınız dosyalara URL’leri, REST arabirimi ya da Azure SDK’sı depolama istemci kitaplıklarından birini kullanarak tüm dünyadan erişebilirsiniz. Depolama istemcisi kitaplıkları, Node.js, Java, PHP, Ruby, Python ve .NET dahil olmak üzere birden çok dil için kullanılabilir.


Blok bloblar, sayfa blobları (VHD dosyaları için kullanılır) ve ekleme blobları olmak üzere üç tür blob vardır.

  • Blok blobları, yaklaşık 4,7 TB’a kadar boyutta sıradan dosyaları saklamak için kullanılır.

  • Sayfa blobları, 8 TB’a kadar boyutta rastgele erişimli dosyaları saklamak için kullanılır. Bunlar, sanal makineleri içeren VHD dosyaları için kullanılır.

  • Ekleme blobları blok bloblarına benzer bloklardan oluşur ancak ekleme işlemleri için en iyi duruma getirilmiştir. Bunlar, aynı bloba birden çok VM’den günlük bilgileri kaydı gibi şeyler için kullanılır.

Azure Dosyaları

Standart Sunucu İleti Bloğu (SMB) protokolü kullanılarak ağ dosya paylaşımları oluşturmanıza olanak tanır. Bu durum, birden fazla VM’nin hem okuma hem de yazma erişimi ile aynı dosyaları paylaşabildiği anlamına gelir. Dosyalara dünyanın herhangi bir yerinden erişim imzası (SAS) içeren bir URL kullanarak erişebilme olanağı sağlar.

Queue Storage

Azure Queue hizmeti, iletileri depolamak ve almak için kullanılır. Kuyruk iletilerinin boyutu 64 KB’ye kadar olabilir ve bir kuyruk, milyonlarca ileti içerebilir. Kuyruklar, genellikle zaman uyumsuz olarak işlenecek ileti listelerini depolamak için kullanılır.

Örneğin, müşterilerinizin resimleri karşıya yükleyebilmesini ve her resmin küçük resimlerini oluşturabilmesini istediğinizi düşünelim. Müşterinizin resimleri karşıya yüklerken küçük resimleri oluşturmanızı beklemesini sağlayabilirsiniz. Alternatif olarak bir kuyruk kullanabilirsiniz. Müşteri, karşıya yüklemeyi tamamladığında, kuyruğa bir ileti yazın. Ardından Azure İşlevinin iletiyi kuyruktan alıp ve küçük resimleri oluşturmasını sağlayın. Bu işlemin tüm bölümleri ayrıca ölçeklendirilebileceğinden kullanımınız için ayarlarken daha fazla kontrol sunar.

Hangi işletim sistemi sürümlerinin hangi ortamlarda dosya paylaşımlarını bağlamayı desteklediği aşağıdaki tabloda gösterilmiştir.



Azure SMB Dosya paylaşımı oluşturmak için Azure Portalına giriş yapılır.



Yeni Azure panelini açtıktan sonra yukarıda görüldüğü üzere, New – Storage Account – Create Storage Account adımlarını takip ederek yeni bir storage account oluşturulur.


Oluşturduğumuz storage account içine girdiğimizde Services kısmında Files bölümüne tıklanır.


Paylaşım yapacağımız bir file share oluşturulur. İstenildiği üzere bu files share’e bir kota verilir. (Test ortamı olduğundan 100GB verilmiştir.)


Kısa süre içinde 100 GB’lık bir file alanı oluşur. Not : İsteğe bağlı bir veya birden fazla file share alanı oluşturulabilir.


Oluşturduğumuz bu paylaşım alanını desteklediği işletim sistemleri üzerine map driveolarak ekleyebiliriz. Bu ekleme işlemini ise yukarıdaki resimde anlatıldığı üzere, oluşturduğumuz file share alanına tıklıyoruz. Açılan yeni pencere de Connect butonunu göreceksiniz. Bu Connect butonuna tıkladığınızda Windows işletim sistemine nasıl bağlantı sağlayacağınız tek bir komutla anlatılmıştır.

Bağlantı sekli olarak Powershell, Commad, Lunix hizmetleri sunulmaktadır. Biz commad üzerinden ilerleyeceğiz.

KOMUT: net use Z:peakupstorage.file.core.windows.netpeakshare /u:AZUREpeakupstorage RfbSW1ShGiKo7kpspeJJ6GfkojNlu/qw+A6Q’I3t/0JAXTgCe3jIQyHjBTgcOWywcOKI904BcDSP0A4xMLmHuA==

Yukarıdaki komutu Map Drive yapacağınız Windows işletim sistemi üzerinde çalıştırın.


Kısa süre içinde Windows işletim sisteminizin Bilgisayar bölümüne girdiğinizde peakshare diye oluşturduğumuz 100GB’lık alanı Map Drive olarak eklendiğini göreceksiniz.


Birkaç deneme yaptığımızda, sharepoint ve onedrive hizmetlerinden hatırlayacağınız bir sekronizasyon ekranı göreceksiniz. Bu sayede Azure’a veri atmak yada saklamak çok daha kolay.

Not: Herhangi bir yeniden başlatma durumunda sistem kaldığı yerden devam edecektir.

Azure dosya paylaşımı ile ilgili anlatılacaklarım bu kadar…

 

Azure Nested Virtualization Üzerinde Hyper-V VM Nasıl Kullanılır

Azure platformunu kullanan arkadaşlara sesleniyorum, siz hiç Azure VM sunucuları içine Hyper-V sanallaştırma platformunu konumlandırdığınızı düşündünüz mü? Bazılarınızdan evet cevabını duyar gibiyim. Beklenen bu özelliği artık kullanabilir haldeyiz. Bu makale serimizde sizlere bu özellikten bahsediyor olacağım.

Microsoft’un yeni özellikleri arasında yer alan Azure Nested Virtualization, sayesinde Azure platformunda birden fazla VM açmak yerine Azure sanal makinelerin içine Hyper-V role kurup, gerekli ayarlamaları onun üzerinden yapabilirsiniz. Azure Nested Vırtualızatıon ortamını ürün geliştirme, test etme, müşteri eğitimi, demo gibi çeşitli alanlarda kullanabilirsiniz.



Not: Azure Nested Vırtualızatıon özelliğini Azure’un Dv3 ve Ev3 VM boyutlarını
kullanarak test edebilirsiniz.

Şimdi ise adım adım bu özelliği inceleyelim. Demomuzda yapacağımız aksiyonlar ise, ilk olarak Azure Portal’ı üzerinde bir VM makine oluşturup, Hyper-V roles’un kurulumu gerçekleştireceğiz. Ardından Hyper-V içine bir adet Windows Server 2016 makine kurup, network konfigürasyonunu ayarlayacağız.



İlk olarak aşağıdaki özelliklerde bir Azure VM makine oluşturuyoruz. Resimde gösterildiği gibi size boyutunu seçip, normal bir şekilde VM adımlarını takip ederek Windows server 2016 makinesi oluşturuyoruz.

  • Windows Server 2016 Datacenter

  • Region: West Europe

  • Disk Type: SSD

  • Machine Type: D4S_V3 Standard



Windows server 2016 kurulumunu tamamlayıp, standart konfigürasyonlarını ayarladıktan sonra Server Manager altında Add Roles and Features bölümünden Hyper-V kurulumunu gerçekleştiriyoruz.

A

Resimde görüldüğü gibi Azure VM üzerine Hyper-V roles’un kurulumunu başarılı bir şekilde tamamladık.



Şimdi ise kurulumunu tamamladığımız Hyper-V üzerinde bir adet sanal makine oluşturarak (WS2016), iç içe sanallaştırma testini gerçekleştireceğiz. Windows Server 2016 ISO’sunu kullanarak 2GB RAM ile WS2016DC01 olarak adlandırdığım bir VM makine oluşturdum.

Not: Windows Server 2016’yı https://www.microsoft.com/en-us/evalcenter/evaluate-windows-server-2016 adresinden indirebilir veya Aboneliğinizi (MSDN, EA vb.) kullanabilirsiniz.



Hyper-V üzerindeki sanal makinanın network ayarlamaları için Host makinemize geri dönüp network ayarlamalarını düzenleyeceğiz. Azure VM makinemizi açıp, Hyper-V’i çalıştırıyoruz. Açılan Hyper-V yönetim konsolu üzerinde Actions bölümü altındaki Virtual Switch Manager linkine tıklayarak varolan Network Adaptor’unu İnternal Networkbağlantısına çekiyoruz.

Not: Dikkat edilmesi şeylerden birisi ise iç içe sanallaştırmada VM’lerin Ağa bağlanabilmesi için NAT’ı kullanmamız gerekir.



İnternal Network’e çektiğimiz Azure Vm makinesine static bir ip adresi tanımlıyoruz.



Hyper-V sanal makinenin internete çıkması için (NAT yapılandırma işlemi için) ilgili powershell komutunu çalıştırıyoruz. Çünkü GUI’den NAT’ı yapılandıramıyoruz.

New-NetNat –Name NVMNat –InternalIPInterfaceAddressPrefix 192.168.10.0/24



Başarılı bir şekilde powershell komutunu çalıştırdıktan sonra tekrardan Hyper-V üzerinde oluşturduğumuz.WS2016DC01 makinemize sabit ip tanımlıyoruz. (Resim üzerinde görüldüğü gibi…) ve makinenin otomatik internete bağlandığını göreceksiniz.



Bu şekilde Azure VM makineler üzerinde sanallaştırma yapıldığını görmüş olduk. Azure tarafında çıkan birçok yeni özellikleri sizlerle paylaşıyor olacağım.

Azure DNS Hizmeti nasıl kullanılır

Bu makalemizde, Azure portalını kullanarak DNS Zone’larımızı nasıl yöneteceğimizi inceliyor olacağız. İlk başta Azure tarafındaki DNS mantığından bahsedeceğim, akabinde DNS Zone hizmetini nasıl kullanacağını adım adım sizlere göstereceğim.

Azure DNS Servisi nedir

Azure DNS servisi belirli bir etki alanıyla ilgili DNS kayıtlarını barındırmak için kullanılır. Etki alanınızı Azure DNS’de barındırmaya başlamak için bir DNS bölgesi oluşturmanız gerekir. Ardından bu DNS bölgesinde etki alanınız için tüm DNS kayıtları oluşturulur. Son olarak, DNS bölgenizi Internet’te yayımlamak için etki alanının ad sunucularını yapılandırmanız gerekir.



Not: Azure DNS, şu anda alan adlarının satın alımını desteklememektedir.

Azure portalında oturum açın.



Hub menüsünde New- Networking ve ardından DNS Zone‘a tıklayarak DNS bölgesini oluşturun.



Oluşturulan Zone’nun alan adı bilgileri ve Resource Group bilgilerini girip,erbulmus.com etki alanımı tanımlıyorum.



DNS bölgesinin ve kayıtlarınızın doğru bir şekilde ayarlandığından emin olduğunuzda, etki alanı adınızı Azure DNS’ın NS kayıtlarını kullanacak şekilde yapılandırmanız gerekir. Bu da Internet’teki diğer DNS kayıtlarını bulmalarını sağlar. (Etki alanını satın aldığınız yere bu kayıtların girişi yapılması gerekir.)



Tüm kayıtlar başarılı bir şekilde girildikten sonra erbulmus.com adresine ait istediğimiz DNS kayıtlarını girebiliriz. Bu işlem Record Set butonuna tıklayarak gerçekleştirilir.


Record girişleri ise tüm DNS servis sağlayıcılarında olduğu gibi ve Type bölümünde görebildiğiniz gibi DNS kayıtların girişi yapılır. (A, AAAA, CNAME, MX, NS, SRV, TXT, PTR)

Aşağıdaki kaynak linkinden faydalanarak Azure DNS hizmetini Powershell ile de yönetebilirsiniz.

Link: https://docs.microsoft.com/en-us/azure/dns/private-dns-getstarted-powershell

Azure Active Directory pass-through authentication ile Single Sign-On (SSO) nasıl yapılır

Kurumsal çalışma ortamlarında ya da kişisel iş süreçlerinde kullanıcılar bir kimlik doğrulamaya ihtiyaç duyarlar, her bir hesap için bir şifre oluşturuyor ve bu hesap bilgilerini ya dijital ortamlarda saklıyorlar ya da ufak bir not defterinde, aradan kısa bir süre geçtiğinde veya bu şifreleri unuttukların da geri dönük hesap bilgilerinden o hesaba ait şifreyi bulup, giriş yapmaları kullanıcılar için bir eziyet haline geldiğini ve iş sürekliliğini azalttığını söyleyebiliriz. Neredeyse 1-2 dakikada yapılacak iş süreçlerini 10-15 dakika da yapıldığını görüyoruz.

Kimlik doğrulama denildiğinde şüphesiz aklıma ilk gelen servis Microsoft ADconnect tools yazılımıdır. Microsoft’un AD Connect aracını kullanarak, kullanıcıların kimlik bilgilerinin korunmasını ve yönetimini sağlayabiliyoruz. Bununla birlikte ise (Azure AD) Pass-through Authentication hizmeti de Microsoft AD connect aracına eklenerek Single Sign On (SSO) özelliği ile de tek bir kimlik doğrulama ile birçok servise erişim sağlanabiliyor.



Azure Active Directory (Azure AD) Pass-through Authentication; kullanıcılar tek şifre kullanarak hem local ortamlarında hem de bulut tabanlı ortamlarda oturum açmalarını sağlayan bir yazılım servisidir. Aynı zamanda bu yöntemle birlikte şifre sync işleminin yanı sıra ADFS yapısı gibi güvenli ortamlar hazırlayıp, kimlik doğrulama işlemi yapabilirsiniz. Bu hizmet sayesinde bir yandan kullanıcı verimliliğini artarken, diğer bir yandan da BT yönetim süreçlerini hızlandırır.

Şimdi ise bu özelliği nasıl kullanacağımız konusunda yapılması gereken adımları sizlere paylaşacağım. İlk olarak test ortamımı sizlere kısaca anlatmak isterim. Ortamımızda 1 adet DC sunucu ve ona üye olan bir ADconnect sunucumuz bulunmaktadır. Microsoft ADconnect yazılımı kurulu olan sunucumuza bağlanıp, ADconnect yazılımını çalıştırarak kuruluma başlayabiliriz.


Kurulum penceresinde karşıma gelen configure butonuna tıklayarak ilerliyoruz.


Ardından Change user sign-in linkine tıklayıp, ilerliyoruz.


Global admin hakkına sahip bir hesap ile ilgili yerleri doldurup, ilerliyoruz.


Sonrasında ise resimde görüldüğü gibi Pass-through authentication seçeneğini işaretliyoruz. Bu seçenek ile birlikte Enable single sign-on linkini işaretleyerek, tek bir kimlik doğrulaması ile birçok servis veya uygulamaya erişim hakkı vermiş oluyoruz.


On-prem tarafındaki eşitleme işlemini doğrulamak için local tarafta oluşturduğunuz ve admin hakkına sahip bir hesap ile giriş işlemi yapılarak, credentials bilgilerini doğruluyoruz. Doğrulama işlemi tamamlandıktan sonra On-prem taraftaki domain bilgilerinin otomatik olarak geldiğini göreceksiniz.


Bu işlemlerin sonunda sync işlemi otomatik olarak başlasın mı? Diye soruyor. Bu tercih isteğe bağlıdır. Configure diyerek kurulum adımlarımızı başarılı bir şekilde tamamlamış bulunuyoruz.

Şimdiye kadar Azure Active Directory pass-through authentication kurulum adımları tamamladık ve Single Sign On özelliğini aktifleştirdik. Peki, bu özelliği kullanıcılara nasıl tanımlayacağımız konusunda ise bize GROUP POLICY servisi yardımcı olacaktır.

Herhangi bir DC üzerinde Group Policy Management consolunu açıyoruz. Tanımlama işlemini isterseniz uygulanacak kullanıcı OU’larına ya da domain altında olan tüm kullanıcılara tanımlama işlemini gerçekleştirebilirsiniz. Ben tüm domain altındaki kullanıcılara tanımlanacak şekilde ayarlacağım. Bu sebeple domain hizmeti altında yer alan default domain policy‘ni seçip, editliyorum.


Ardından User ConfigurationPoliciesAdministrative TemplatesWindows ComponentsInternet ExplorerInternet Control PanelSecurity Page klasörü altında Site to Zone Assignment List linkine tıklıyorum.


Açılan pencerede ise policy’i aktifleştirmek için, Enable seçeneğini seçiyoruz. Configurasyon ve yönlendirme işlemi için ise Show butonuna tıklıyoruz. Enter the zone assignment kısmına ise aşağıdaki değerleri girerek, işlemleri uyguluyoruz.

Value Name: https://autologon.microsoftazuread-sso.com – Value: 1
Value Name: https://aadg.windows.net.nsatc.net – Value: 1

Tüm bu işlemleri tamamladıktan sonra herhangi bir kullanıcı login olmak istediğinde, yönlendirme işlemi devreye girerek (Single Sign On) Office 365 hesabına doğrudan erişim sağlanacaktır. Bu sayede yukarıdaki işlemleri kullanarak kullanıcıların kimlik bilgilerinin korunmasını ve yönetimini sağlayabiliyoruz.

Azure NestedVM

Merhabalar, bu makale Azure’da NestedVM özelliğini test etmek için lab ortamı kuracağım. Azure’ da öncelikle sanal makine açmamız gerekiyor. NestedVM özelliğini kullanmak için birkaç dikkat etmemiz gereken bazı detaylar mevcuttur:

  • Açtığımız sanal makinenin boyutu (size) Dv3 serisi ve Ev3 serisi olmalıdır.
  • Açtığımız makinelerin bölgesine (region) dikkat etmemiz gerekiyor. Dv3 serisi ve Ev3 serisi makineler her bölgede (region) açılmamaktadır.
  • Dv3 ve Ev3 serisi makineler hangi bölgede açıldığını aşağıdaki makaleden bulabilirsiniz.
  • Makalenin içerisinde detaylı bilgi mevcut olucaktır.(https://azure.microsoft.com/en-us/regions/services/)

İlk olarak Azure’da bir sanal makine oluşturalım.

Sol alandan “Virtual Machine ” alanına tıklayalım. Ardından sol üst köşedeki “Add” butonuna tıklayalım.

Açılan ekrandan Azure’un bize sunduğu hazır image’lerin başlıklarını görüntülüyor olacağız. Biz Windows Server özellikli bir makine kuracağımız için “Windows Server”a tıkladıktan sonra sağda çıkan ekrandan kuracağımız sanal makinenin işletim sistemini seçiyor olacağız. Ben Windows Server 2016 Datacenter’ı seçerek devam edeceğim.

Resimde de göreceğiniz gibi kuracağımız sanal makineye bağlanacak olan kullanıcın adını, şifresini , Azure da görüntüleyeceğimiz adını, subscription’ını, Resource group’unu ve location’ını belirtiyor olacağız.

Ardından gelecek olan ekrandan makinenin boyutunu(size) belirteceğiz.

Makalenin ilk bölümünde de belirttiğim gibi seçmiş olduğumuz bölgeye göre sanal makine boyutlarını görüyor olacağız. Bize 3 adet önerilen makine boyutu sunacak. Eğer bizim kullanacak olduğumuz altyapı daha fazla kaynak harcayacaksa sağ üstte bulunan ” View All “a tıkladıktan sonra tüm boyutları görüyor olacağız.

Resimde de göreceğiniz gibi açılan ekranda ise makineyi bir sanal network’e dahil edebiliriz,oluşturduğumuz sanal network subnet ekleyebilir hatta network’ü 2 subnet’e ayırabiliriz. Makineye bir publıc ip ve network security group da ekleyebiliriz. Network security group’u ekleyerek makine üzerinde açılması ya da kapatılması gereken portları yönetiyor olacağız.

“Purchase(satın alma)” butonuna tıklayarak makinenin kurulumunu başlatmış olacağız.

Ardından Azure’da kurduğumuz makineye kullanıcı adı ve şifresi ile makineye uzaktan bağlantı gerçekleştirelim. NestedVM özelliğini kullanmak için Hyper-V rolünü konumlandırmamız gerekiyor. “Add Roles and Features”e tıklayalım.

Ardından kurmak istediğimiz Rolü ya da özelliği hangi makineye kurmak istediğimizi belirtip “Next” butonuna tıklayalım.

Ekleyeceğimiz olacağımız Hyper-V rolünü seçip “Next” tuşuna basalım.Ardından “Features” ekranına geldiğimizde bir özellik eklemeyeceğimizden dolayı “Next” diyelim.

“Virtual Switches” Alanına geldiğimizde bir network adaptör seçmemizi isteyecek. Biz seçmeden devam edeceğiz. Çünkü sanal içinde sanal oluşturacağımız için Hyper-V içerisindeki sanal makine ya da makineler internete çıkmayacak. Azure’ da oluşturduğumuz makinede “NAT” kuralı oluşturarak Hyper-V üzerinde olan makineleri internete çıkaracağız.

Hyper-V rolünün kurulumu tamamlandığında makineyi yeniden başlatmamız gerekecek.

“Virtual Switch Manager” alanına tıklayarak bir adet sanal switch oluşturalım. Sırasıyla;

  1. Sanal switch olarak “Internal”ı seçelim
  2. Create Virtual Switch’e tıkladıktan sonra ok tuşuna tıklayalım.

Oluşturmuş olduğum “Virtual Switch”i Azure’da açmış olduğum makinede de görüntülüyor olacağız.Azure da olan makinin network ayarlarına gelerek, eklemiş olduğumuz “Virtual Switch”in IPv4 ayarlarına girelim.

Sonrasında IPv4 ayarlarını konfigüre edelim. İstediğiniz bir network aralığından bir ip adresi tanımlayalım. Ben 192.168.0.0/24 network’ünü tercih ettim. IP adresini verdikten sonra Azure’daki makine de PowerShell’i Administrator olarak çalıştıralım.

Powershell üzerinden bir NAT kuralı yazalım. Internal IP adresi kısmına ise Azure’daki makinenin “Sanal Switch”ine verdiğimiz IP bloğunu yazalım.

New-NetNat
–Name
NVMNat
–InternalIPInterfaceAddressPrefix
192.168.0.0/24

Ardından Hyper-V ortamına dönüyoruz. Hyper-V de oluşturduğumuz makinelere oluşlturmuş olduğumuz Internal Swith’i tanımlıyorum. Sırasıyla;

  1. Sanal makineye sağ tıklayıp “Settings”
  2. Virtual Switch’den oluşturmuş olduğumuz Internal Switch’i seçelim.
  3. Ok tuşuna basarak ekranı kapatalım.

Hyper-V de oluşturduğumuz sanal makineye bağlanarak. Network ayarlarına gelelim sonrasında oluşturduğumuz NAT’ın network’ünden bir IP adresi verelim. Burada dikkat etmmiz gereken unsur Gateway olarak Azure’daki makinenin IP adresini Gateway olarak vermek olacaktır.

Yapmış olduğumuz işlemlerin ardından ,Hyper-V de olan sanal makine üzerinden internete çıkıyor ve kullanılıyor olacaktır.