Yaklaşık 17 senedir bir çok konuda blog yazıyorum ve son 3 senedir hiç yazmadığımı ancak Korona nedeniyle eve kapanınca farkettim. Dünya tarihinde bir dönüm noktası olabilecek bu virüs etkisinin ve getirdiklerinin hatırası olarak buraya not düşmüş olayım.
WannaCry için önerilen MS17-010 güvenlik bülteninde SMBv1 için uyarılar var, ancak mutlaka SMBv2 (GEÇİCİ) için de önlem alınmalı . Mümkünse geçici olarak kapatmayı deneyebilirsiniz.
2 gündür bütün topluluklarda ve güvenlik ekipleri arasında konuÅŸulan ama genel itibariyle bende dahil olmak üzere teknik detaya inmeden aksiyon almaya çalıştığımız bir ransomware saldırısı ile karşı karşıyayız. Windows Update patch’i bu iÅŸin en uç tarafında bulunuyor, alınması gereken bir çok tedbir var, sadece Windows Update güncellemesi geçerek güvenli hale geldiÄŸimizi söyleyemeyiz.
137, 138, 139 ve 445 portları inbound olarak kapatılmalı(internal dahil, özellikle 139 ve 445 trafiğine dikkat!).
File Server erişimleri durdurulmalı(yukardaki portları kapattığınızda gerek kalmayacak, ancak yine de bunu yapmalısınız.)
Hala Windows XP istemcileriniz varsa network eriÅŸimlerini durdurun.
1. maddeyi uyguladığınızda MS17-010’da önerilen ve karmaÅŸadan öteye gidemeyen Microsoft güncelleÅŸtirmeleri için geçici de olsa çözüm üretmiÅŸ oluyorsunuz.
EÄŸer tüm cihazlarınıza ilgili update’i geçmeniz mümkün deÄŸilse ya da Pazartesi kuruma gelecek ve her biri birer tehdit olacak olan cihazlardan endiÅŸe ediyorsanız;
Windows Registry veya PowerShell komutları ile SMBv1‘i kapatmak için;
Windows 7, Windows Server 2008 R2, Windows Vista, and Windows Server 2008
Çift dikiÅŸ olarak bir Group Policy hazırlayıp VPN üzerinden ya da Pazartesi sabahı kurum network’üne giren cihazlar için ilk logon sırasında komutların çalışmasını saÄŸlamak.
Basit bir rehber hazırlayarak yukardaki registry ayarlarını ya da PowerShell komutlarını ÅŸu anda iç network’de bulunmayan tüm kullanıcılara mail atarak uygulamalarını saÄŸlamak.
Son olarak bir configuration management ürünü kullanarak uzaktan Windows Update geçilmesi hem zahmetli hem de şu anda pek mümkün olmayan yöntem, öte yandan hali hazırda tecrübeli sistem yöneticilerinin rutin işlerinden birisi olduğu için ve artık aklımızın ve denetim süreçlerimizin ilk sıralarında olması gereken; backup, disaster recovery gibi konulara değinmiyorum.
Hem bulut bilişim hem de Microsoft için önemli bir adım. Microsoft veri güvenliği ve müşteri beklentilerini göz önüne alarak bu operasyon ile Almanyadaki kanunlar çerçevesinde hareket ederek bulutta(Azure) ne kadar Israrlı olduğunu tekrar gösterdi.
Sistemin nasıl çalıştığını gösteren ÅŸemayı aÅŸağıda paylaşıyorum. Microsoft data trustee model nedir ve daha fazla detay için “Microsoft Cloud Germany Compliance in the cloudfor organizations in EU/EFTA” dökümanını inceleyebilirsiniz;
Microsoft 2016’nın ilk çeyrek için gelir tahminlerini içeren tablosunu yatırımcılarına sundu. Tabloda özellikle bulut ürünlerinden Office365’in stratejik konumunu koruduÄŸunu, on-premise ürünlerin ise gerilediÄŸini okuyabiliyoruz. Mobile First – Cloud First vizyonu ile yola çıkan Satya Nadella ve Microsoft için ÅŸaşılacak sonuçlar deÄŸil.
Microsoft’un Eski Kıdemli Ürün Pazarlama Müdürü ve System Center ailesinin geliÅŸiminde önemli katkıları olan ve ÅŸu anda da Google Ürün Pazarlamanın başında bulunan son derece baÅŸarılı bir kariyere sahip Adam Hall yakın zamanda yaptığı bir paylaşımda şöyle diyordu;
Adam, BYOD’un Microsoft ürünlerinde geliÅŸtirilmesinde ve entegrasyon aÅŸamalarında önemli görevler almış belki de dünyada büyük bir etkiye sahip bir çok pazarlama aktivitesi gerçekleÅŸtirmiÅŸti, ondan bu sözleri duymak beni oldukça ÅŸaşırttı ama bir yandan da sevindirdi. Bu kenarda dursun.
Yine Microsoft’tan baÅŸka bir bomba ise Joe Belfiore’nin “ailesiyle daha fazla vakit geçirebilmek için” 1 yıllığıına iÅŸ hayatına ara vermesiydi. Kendisi bizzat facebook hesabından yaptığı duyuruda fazlasıyla “ilginç” ÅŸeyler söylüyor! (https://www.facebook.com/joebelfiore3/posts/10153050271707172?pnref=story). Kendisinin Microsoft’un Telefon, Tablet ve PC’lerden Sorumlu Kurumsal BaÅŸkan Yardımcısı olduÄŸunu hatırlatmak isterim.
İnsanlar artık mesai sonrasında çocuklarıyla, aileleriyle kısacası sevdikleriyle ilgilenmek istiyor. Bu aslında başarının en önemli sırlarından biri, fakat özellikle son 10 yıldır dramatik bir ivmeyle cep telefonundan iş takip etme, mesai saatleri sonrası saatlerce evden çalışma gibi bir yoğunluk sarmalı aldı başını gitti. Bunun en büyük sorumlusu hiç kuşkusuz Blackberry!
Yöneticilerim duyarsa kızabilir ama itiraf etmek isterim, ben dahi kişisel telefonumda şirket maillerimi kullanmıyorum. Ancak bilgisayarımı açtığımda maillerden haberdar oluyorum ve kimsenin de mesai saati dışında geç kalan mail dönüşleri için mırıldanmasına izin vermiyorum.
Türkiyede yaz saati uygulaması (saatlerin bir saat ileri alınması) martın son pazar günü baÅŸlatılır ve ekimin son pazar günü bitirilir. Böylece yılın 5 ayında geri saat (UTC+2), 7 ayında ise yaz saati (UTC+3) kullanılır. (https://tr.wikipedia.org/wiki/Türkiyede_yaz_saati_uygulaması) Bu yıl yaz saati uygulamasının bitiÅŸi 1 Kasım tarihinde gerçekleÅŸecek genel seçimlerde karışıklığa yol açabileceÄŸi sebebiyle, bir istisna olarak 25 Ekim‘den 8 Kasım tarihine ertelendi.
Windows sistemlerinde çalışan tüm client ve server sistemleri için 25 Ekim’de olması gerektiÄŸi gibi 1 saat geri alınarak yaz saati uygulamasına geçecek. Ancak bu beklenmeyen yüzlerce sorunun habercisi. Microsoft boÅŸ durmadı ve hızlıca bir Hotfix çıkardı. 100, 500, 1000 ve belkide 10000’lerce sistemi yöneten admin’ler için hızlıca çözülmesi gereken bu sorun için SCCM 2012 ile adım adım nasıl hotfix geçilir, inceleyelim.
Kısıtlı zaman nedeniyle teknik detaya girmeden “elimizde ne var” ne “nasıl yapılır” ve özellikle ekran görüntülerini paylaÅŸarak, gerisini size bırakıyorum.
Gereksinimler
Update İçerikleri
Microsoft’un Daylight Saving Time & Time Zone isimli blog’unda yaklaşık 10 gün önce Türkiyedeki bu erteleme için hotfix yayınlacağını duyurmuÅŸtu, blog post’a ve hotfix update’lere buradan eriÅŸebilirsiniz;
Bu hotfix’ler için aÅŸağıdaki notu atlamıyoruz!
Prerequisites
To apply this hotfix, you must have the following update rollup or service pack installed for the indicated systems. There are no prerequisites to apply the hotfix to systems that are not listed here.
Bu hotfixleri geçmenin birden çok ve belki de daha hızlı yolları olabilir, ancak özellikle 10 bini aşan sayıda client yöneten müşterilerden gelen acil çağrılar için hızlıca çözüm üretmeye çalıştım. Bunun için ilk olarak bir BAT dosyası oluşturuyoruz;
Hotfix’leri indirdiÄŸim klasörün altına ismi önemli olmayan bir bat dosyası oluÅŸturdum;
Kodlar çok basit wusa kullanarak ilgili update’leri seçip stand alone olarak deploy edilen collection için çalıştıracak. Hepsi bu.
YAYGINLAÅžTIRMA
Bundan sonrası SCCM adminleri için çocuk oyuncağı, kolay gelsin;
`
Burada örnek olması açısından policy’i client üzerinden çalıştırdım, yüzlerce client için bu mümkün olmadığından bu aÅŸamada Right Click Tools kullanıyoruz.
System Center 2012 Operations Manager ile bir çok HP ürünü rahatlıkla monitor edilebilir. Bu monitoring iÅŸlemi için HP’nin sunduÄŸu management pack’ler ve bir kaç konfigürasyon ihtiyacı bulunuyor. Blade sunucular için de ayrıca geliÅŸtirilmiÅŸ bir MP var. Ancak diÄŸer ürünler gibi management pack’leri scom’a import etmek yeterli olmuyor. AÅŸağıda konunun detaylarına deÄŸinmeye çalışacağım;
Elimizde ne var?
System Center 2012 R2 Operations Manager
HP BladeSystem c7000 Enclosure
HP BladeSystem Management Pack for System Center 2012 (burdan)
HP BladeSystem Management Pack için daha önce kullanılan linkler artık HP OneView ürününe yönlendiriliyor. HP OneView tüm HP ürünleri için izlemeyi merkezileÅŸtiren ve çok daha kolay hale getiren bir ürün. Biz de eski Blade MP’leri kullanmak yerine HP OneView ile gelen SCOM Integration Kit’i kullanacağız.
Proje öncesi topoloji çok önemli, hangi rol hangi sunucu ile nasıl haberleşiyor bunu görmek, sonradan çıkacak bir sorunu şimdiden önler.
Topolojiyi şu şekilde planladım;
(Sonradan makaleyi incelediğimde topolojinin net olmadığını farkettim. Aşağıda aslında 2 örnek topoloji paylaşmıştım. İlk senaryoda SCOM 2012, HP Device Monitor Console ve HP Device Monitor Service aslında aynı sunucu üzerinde ancak çizim çok doğru olmamış gibi. İkinci senaryoda ise SCOM 2012 ve HP Device Monitor Service yine aynı sunucuda fakat bu kez HP Device Monitor Service ayrı (remote host) sunucuda.)
Aksiyon planı aşağıdaki gibi;
SCOM Integration Kit kurulumu
Management Pack’lerin SCOM’a import edilmesi
SNMP ayarları
HP Device Monitor Console ile Onboard Admin’e baÄŸlantı
SCOM ile BladeSystem Enclosure’ları izleme
Yukardaki ekran görüntüsünde bulunan HP OneView’u indirdikten sonra aÅŸağıdaki adımlarla devam ediyoruz;
Burası karar noktası;
Mevcut SCOM sunucusunda network monitoring ihtiyacı varsa HP Device Monitor Service’i aynı sunucuya kurmak destelenmiyor. Bunun nedeni DMC’nin SNMP Trap servisine ihtiyaç duyması. BaÅŸka bir sunucuya kurmayı seçerseniz biz SCOM Agent kurulu olan herhangi bir sunucuya kurabilirsiniz.
Ben şimdilik SCOM üzerine kuruyorum ve bu management server ile network monitoring yapmadığımı varsayıyorum.
Bu aÅŸamadan sonra SCOM sunucusunda HP Device Monitor Console, HP Device Monitor Service ve HP Blade Management Pack‘lere sahibiz.
HP Management Pack’leri SCOM’a import ederek devam ediyoruz. Integration Kit kurulduÄŸunda C:Program FilesHP Scom Management PacksManagement Packs altına ilgili Mp’leri atar.
Bu aşamada yukarda kurduğumuz HP Device Monitor Service için SNMP ayarlarını yapacağız. SNMP ayarları için öncesinde Windows Feature olarak eklemiş olmalısınız.
Enclosure’ları SNMP ile izlediÄŸimiz için auth için community string’leri giriyoruz ve broadcast’e sebebiyet vermemek için ilgili onboard administrator adresini ve localhost ya da sunucusunun netbios adını (HP Device Monitor Service kurulu) giriyoruz.
Artık SCOM sunucusu üzerine kurduÄŸumuz HP Device Monitor Service’in gelen SNMP paketleri dinlediÄŸine ve onboard administrator’ları eklemek için hazır olduÄŸuna eminiz.
HP Device Monitor Console’u açarak, Device Monitor Service aracılığı ile onboard administrator’ları ekliyoruz;
Onboard Administrator: HP BladeSystem Enclosure gibi sistemleri izlemek için kullanılan arayüzün adı. Bu arayüze baÄŸlanarak izlediÄŸi tüm verileri SCOM’a aktaracağız, aslında yaptığımız ÅŸey bu.
Eğer Run as Administrator seçmezseniz malesef bağlanamıyor.
Localhost ya da Netbios adını yazarak Device Monitor Console üzerinden Device Monitor Service’e baÄŸlantı saÄŸlıyoruz.
BaÄŸlantı saÄŸlandıktan sonra Add Onboard Administrator diyerek ilgili Onboard Administrator sunucusunun IP’sini yazarak ekliyoruz.
Onboard Administrator eklemeleri tamamlandıktan sonra onboard arayüzden SNMP’leri aktif hale getirmek gerekiyor. Bunun için arayüzden aÅŸağıdaki ÅŸekilde SNMP’leri aktif ettikten sonra artık monitoring için herÅŸey hazır olacak.
System Location
İlgili bladesystem’i tanımlamak için herhangi bir ÅŸey yazabilirsiniz.
Bulut bilişim hızla yükselen bir grafik ile pazarda büyümeye devam ediyor. Günümüzde paranın yerini bilginin aldığı bir dönemden geçiyoruz. Eskiden kurumların ya da kişilerin en kıymetli varlıkları paraydı ve bu paranın korunması için yine para vererek bazı önlemler alınırdı(para kasası vs.). Belki şu anda da bir çok insanın hala sahip olduğu en değerli varlık olarak parayı gördüğünü söyleyebiliriz ancak şöyle bir örnekle aslında bilginin çoktan bu en değerli varlık konusunda başı çektiğini görüyoruz.
Bilişim teknolojileri ile birlikte milyarlarca kişisel ve kurumsal veri üremeye başladı ve hiç durmadan devam ediyor.
Paradan baÅŸlarsak; toplam 1 milyon TL’si olan kiÅŸi ya da kurum düşünelim. Bu para ile bir kaç ev, iÅŸ yeri, baÅŸka taşınmaz varlıklar satın alınabilir. Peki bu para kaybolursa ya da çalınırsa? En fazla 1 Milyon TL, taşınmaz varlık olarak düşünürsek bir kaç ev ya da iÅŸ yeri olarak maddi kayıp söz konusu.
Bilgi ya da veri ile devam edelim; yaklaşık 15 yıllık geriye dönük kiÅŸisel dökümanlar, fotoÄŸraflar, videolar, binlerce dosya ve en önemlisi belki de “ÅŸifreler“. Bir kurum bu verilerin teknik olarak zarar görmesi, çalınması ihtimalleri söz konusu olduÄŸunda kurtarmak için ne kadar para verir? Bu verilerin kurtarılması için verilecek para içindeki datanın deÄŸeri ile doÄŸru orantılı. 1 milyon TL onlarca katı bu dataların kurtarılması için feda edilebilir. Dolayısıyla bilgi artık ÅŸirketler için paradan çok çok daha önemli bir deÄŸere sahip varlık oldu. Belki bu datalarda ÅŸirketin itibarını zedeleyecek, hatta iflasına yol açacak deÄŸerde bilgiler mevcut, 3. kiÅŸilerin eline geçmesi kurum için 1 milyon TL’den kat be kat daha önemli.
Tam bu noktada bulut biliÅŸim için örnekler verilirken geçmiÅŸte bankaların kurulması ve insanların alışkanlıklarını deÄŸiÅŸtirirken yaÅŸadığı zorluklardan bahsedilir. Bankalar ilk kurulduÄŸunda insanlar çekindiler ve evlerde(yastık altı) sakladıklarını paralarını bankalara yatırmak istemediler. Bu çekincenin en büyük sebebi paranın zamanının “en deÄŸerli varlığı” olmasıydı. Zamanla bankaların geliÅŸmesiyle ve bazı teÅŸviklerle bu direnç kırıldı ve herkes parasını bankaya yatırmaya baÅŸladı. Günümüzde nakit kullanımı kredi kartı ya da banka kartı kullanımının gerisinde kaldı bile.
Geçmişle karşılaştırdığımızda aşağıdaki gibi bir eşitleme yapabiliriz;
Para = Banka
Bilgi = Veri Merkezi
Bankaların ilk kurulduğu yıllara tekrar dönerek parayı bilgi, bankaları da veri merkezleri olarak kurguladığımızda ve günümüze tekrar döndüğümüzde şöyle bir tablo çıkıyor karşımıza;
Bilgi artık veri merkezlerinde saklanan dünyanın en önemli deÄŸiÅŸim, satın alma aracı haline gelmiÅŸ, milyarlarca dolarlık ekonomileri yönetmeye yarayan süper ötesi bir deÄŸer. Peki insanlar paralarını bankaya yatırmaya nasıl teÅŸvik edildiler? Basit bir soru, cevabı da basit: “faiz”. Düz bir denklem kurarak veri merkezlerinin kiÅŸilere ya da kurumlara faizle verilerini kendilerine getirmeleri karşılığında para ya da daha fazla deÄŸerli bilgi vereceÄŸini düşünmek için henüz erken olabilir. Ancak veri merkezlerinin bu teÅŸviÄŸi ücretlerde indirim yaparak, kampanyalar düzenleyerek saÄŸlayamayacağı da aÅŸikâr. Sistemin devamı için ve teÅŸviklerin cezbedici noktalara yükselmesi için baÅŸka bir çözüm ortaya çıkabilir.
Öyle görülüyor ki geleceği veri merkezlerinin bu politikaları şekillendirecek.
Enterprise Mobility Suite çözümünü daha iyi anlamak ve gerçek hayat senaryoları ile karşılatırmak adına Microsoft bir video serisi hazırladı; Mastering of Mobility!
Enterprise Mobility Suite yeni bir çözüm olması nedeniyle bir çok soruyu beraberinde getiriyor. EMS sahip olmak için neler yapılmalı konusunda aşağıda bazı ipuçları paylaşacağım.
Microsoft’un insan odaklı BT vizyonu kurumların BT departmanlarını daha çok kullanıcı dostu, cihaz ve teknoloji yatırımlarında insanı ön planda tutan bir perspektifte ilerliyor.
Enterprise Mobility Suite bu vizyonun bir parçası olan 3 çözüm ile öne çıkıyor;
Kurumsal ve kişisel verilerin güvenliği için Azure Rights Management Service
Çalışanlar nerede olursa olsun kurumsal networke ve uygulamalara erişebilmeleri için ihtiyaç duyduğumuz Microsoft Intune (System Center 2012 R2 Configuration Manager ile çok daha güçlü).
İnsan odaklı çözümlerin başında gelen kurumsal ya da kiÅŸisel her cihazdan eriÅŸim imkanı. Bunun için Microsoft’un SSO(Single Sign On) ya da Multi Factor Auth. çözümü Azure Active Directory Premium.
Dikkatli baktığımızda tüm çözümlerdeki ana fikrin çalışanlara daha verimli ve esnek bir ortam(People-Centric IT) sunmak olduğunu anlıyoruz.
EMS için öncelikle Azure Active Directory, Microsoft Intune ve Azure RMS anlaşmaları gerekiyor. Ancak EMS Subscription ile yapacağınız tek bir aktivasyon sayesinde hepsine sahip olabilirsiniz.
Sonrasında lisanslarınızı aşağıdaki gibi kullanıcı/özellik bazı yönetebileceksiniz.