IIS sunucu ve powershell

Kurulumunu da powershell ile tamamladığım IIS sunucuma, şu şekilde bir powershell oturumu ile uzaktan bağlıyım.

Enter-PSSession -Computername IISsunucu1

Sunucu bilgisayar üzerinde kurulu IIS sistelerini görmek için iki benzer cmdlet var:

Get-Website

ve 

Get-IISSite

İkisi de benzer çıktı üretiyor, benzer işlevselliğe sahip. Birincisi WebAdministration modülünün bir parçası. İkincisi ise IISAdministration modülünün bir parçası. İkincisinin daha yeni bir modül olduğu söyleniyor. Ama yeni modülde tüm cmdlet'lerin karşılıkları yok.

Yüksek olasılıkla sunucunuzda birden fazla IIS sitesi olacak. Bu komutlar da size bir dizi (array) nesnesi dönecek. Bu dizinin Name, ID, Physical Path, Bindings gibi alanları olacak. Genellikle bu listelenen sitelerden biri ile ilgileniyor oluruz. İstediğimiz siteyi Name alanı ile süzebiliriz.

Get-IISSite -Name site1

Nesnenin derinlerinden site loglarının saklandığı konumu çekmek için

$s1.LogFile.Directory

kullanabilirim.

Bir siteyi durdurmak veya yeniden başlatmak için

Stop-IISSite -Name site1

Start-IISSite -Name site1

kullanılabilir. Mevcut durum zaten Get-IISSite cmdlet'inin state alanında görünüyor.

Sunucumda IP tabanlı kısıtlama/izin modülü kurulumu merak ettim.

Get-WindowsFeature Web-IP-Security

şöyle bir sonuç döndü:

Display Name                                            Name                       Install State
------------                                            ----                       -------------
            [ ] IP and Domain Restrictions              Web-IP-Security                Available

Kurulu değilmiş. Kurmak için

Install-WindowsFeature Web-IP-Security

kullandım.

IIS'te IP kısıtlaması iki farklı şekilde olabilir; verilen IP adreslerine izin verip geri kalan her bağlantıyı engellemek veya tam tersi verilen IP adreslerini engellemek, geri kalan her bağlantıya izin vererek. Mevcut durumda sitemizin hangi yapıda olduğunu görelim:

(Get-WebConfigurationProperty `
    -Filter "system.webServer/security/ipSecurity" `
    -PSPath "IIS:\" `
    -Location "site1" `
    -Name allowUnlisted).Value

allowUnlisted, listede olmayanlara izin verilsin mi sorusunu yanıtlar. True dönüyorsa sitemiz listede olmayanlara izin veren, yani listedeki IP adreslerini engelleyen durumdadır. False dönüyorsa listedekilere izin verir, geri kalanı engeller. Şimdi listemizi görelim.

Get-WebConfiguration `
      -Filter "system.webServer/security/ipSecurity/add" `
      -PSPath "IIS:\" `
      -Location "site1" | Select-Object ipAddress, subnetMask, allowed

Diyelim ki IIS'in ayarı belirtilen IP adreslerini engellemek, diğer herkese izin vermek yönünde. Bunu tam tersi olarak değiştirmek için

Set-WebConfigurationProperty `
    -Filter "system.webServer/security/ipSecurity" `
    -Name "allowUnlisted" `
    -Value $false `
    -PSPath "IIS:\" `
    -Location "site1"

gibi bir ifade kullanmalıyım. 

Engellenen bir IP adresi ekleme yolu

Add-WebConfigurationProperty `
    -Filter "system.webServer/security/ipSecurity" `
    -PSPath "IIS:\" `
    -Location "site1" `
    -Name "." `
    -Value @{
        ipAddress = "192.168.1.100"
        allowed   = $false
    } 

 ya da izin verilen bir IP ekleme yolu

 Add-WebConfigurationProperty `
    -Filter "system.webServer/security/ipSecurity" `
    -PSPath "IIS:\" `
    -Location "site1" `
    -Name "." `
    -Value @{
        ipAddress = "192.168.1.101"
        allowed   = $true

    }

 

Klavye vuruşları göndermek

Powershell ile bir pencereye klavye vuruşları göndermek mümkün. Bunu bir animasyon ile yapmak istedim. 3 not defteri süreci oluşturup, her birinin içine birer cümle ekleyip, sonra da bunları kapatmak istiyorum.

Açılan bir not defteri penceresinin içine bir kelime yazmak için

[System.Windows.Forms.SendKeys]::SendWait()

 kullanmam gerek. Ama bunu kullanmak için önce

Add-Type -AssemblyName System.Windows.Forms

eklemeliyim. Kapatırken de bir not defteri sürecini diğerinden ayırt etmek için pencerenin başlığına göre ayırt etmek için

[Microsoft.VisualBasic.Interaction]::AppActivate("Not Defteri")

gibi bir şey kullanmak istiyorum. Kapatırken Alt+F4 komutunun karşılığını

[System.Windows.Forms.SendKeys]::SendWait("%{F4}")

 ile göndermek, bu sorunun cevabını "Hayır" ile cevaplamak için "n" kısayolunu da

[System.Windows.Forms.SendKeys]::SendWait("n")

ile göndermek istiyorum. Her not defteri penceresinin içeriği olacak kelimeleri de aşağıdaki gibi bir değişkene koydum.

$kelimeler = "Bugun","gunlerden","pazartesi"

Hepsini tek bir betiğe koyunca:

Add-Type -AssemblyName System.Windows.Forms

Add-Type -AssemblyName Microsoft.VisualBasic

$kelimeler = "Bugun","gunlerden","pazartesi"

$kelimeler | % {

    start notepad

    sleep -Milliseconds 500

    [System.Windows.Forms.SendKeys]::SendWait($_)

}

sleep -Milliseconds 500

try {

    $kelimeler | % {

        [Microsoft.VisualBasic.Interaction]::AppActivate("$_, Not Defteri")

        [System.Windows.Forms.SendKeys]::SendWait("%{F4}")

        sleep -Milliseconds 500

        [System.Windows.Forms.SendKeys]::SendWait("n")

        sleep -Milliseconds 500

    }

}

finally {

    ps notepad -ea silent | kill -force -ea silent

}

Kapatmak için pencere başlığına göre Alt+F4 göndermek istedim, ama Türkçe yerelleştirme dışında herhangi bir durumda AppActivate çalışmayacaktır. Bu durum için try - finally ile bütün not defteri süreçlerini sonlandırdım.

Uygulama kilitlenince bildirim gelsin

Windows bir makine üzerinde çalışan bir uygulamamız var. Bu uygulama, nedendir bilinmez, bazen kilitleniyor. Böyle durumlar sonrasında yapmasını beklediğimiz işlemi yapamadığı için kesinti oluyor. Bunun önüne geçmek istiyorum.

Windows, uygulamanın bu şekilde kilitlendiği (Application hang) durumunda Uygulama olay günlüğüne 1002 kimliği ile bir kayıt düşüyor.

Logname = Application
ProviderName = Application Hang
Id = 1002

Bu olay kaydında kilitlenen uygulamanın başlatıldığı tarih ve saat bilgisi de yer alıyor. Bu bilgileri şimdilik eposta yoluyla bana atmasını istiyorum. Bu amaçla bir betik oluşturdum. Betik, son 1 dakika içinde oluşan bu tipteki bir olayları listeleyip sonuncusunu bir değişkene atıyor.

$ev1 = Get-WinEvent -FilterhashTable @{

LogName='Application';
ID=1002;
StartTime=(Get-Date).AddMinutes(-1);
ProviderName='Application Hang'

} -ErrorAction SilentlyContinue |

    Where-Object {$_.Properties[0].Value -eq "uygulama.exe"} |

    Select-Object -First 1

Olay kaydı içinde şu bilgiler var:

Uygulama adı : $_.Properties[0]

Uygulama kimliği : $ev1.Properties[2].Value 

Başlangıç zamanı : $ev1.Properties[3].Value

Kilitlenme tipi : $ev1.Properties[9].Value

Ancak başlangıç zamanı şurada yazdığım gibi, FILETIME verisi. Bunu okunabilir bir şekle getirmek için

Get-Date -Format "yyyy-MM-dd HH:mm:ss" -Date ([datetime]::FromFileTimeUtc($ev1.Properties[3].Value))

kullanıyorum. Ayrıca gelen eposta içinde bilgisayarın başlatılma zamanı da olsa iyi olur. Bu sebeple CIM içinden bu bilgiyi de çekiyorum:

Bilgisayar açılış : (gcim win32_operatingsystem).LastBootUpTime

Tarih verilerini görüntülemede yyyy-MM-dd HH:mm:ss şeklinde format görmek istediğim için bunu da dönüştürüyorum:

Get-Date -Format "yyyy-MM-dd HH:mm:ss" -Date ((gcim win32_operatingsystem).LastBootUpTime)

Olay kaydında bir de sonlanma zamanı var, Properties[4] içinde, ama bu alanda hep  4294967295 verisi var. Bu da aslında aslında henüz süreç resmi olarak sonlanmadığı için 0xFFFFFFFF değerine eşit olan

[uint32]::MaxValue

Dolayısıyla bu alanı kullanmamıza gerek yok.

Bu betiği C:\Scripts\betik1.ps1 gibi bir konuma kopyaladıktan sonra zamanlanmış görevi oluşturmak için aşağıdaki kodu kullandım.

schtasks /Create

        /TN "Uygulama Sonlanma Bildirimi"

        /SC ONEVENT

        /EC "Application"

        /MO "*[System[Provider[@Name='Application Hang'] and (EventID=1002)]]"

        /TR "powershell.exe -ExecutionPolicy Bypass -File C:\Scripts\betik1.ps1"

Böyle bir durumda eposta göndermesin, sadece uygulamayı sadece yeniden başlatılsın denebilir. Bu durumda basit bir şekilde

ps uygulama.exe | kill

start uygulama.exe

gibi içeriğe sahip bir betik iş görür. 

EFI disk bölümüne sürücü harfi ataması yapmak

Şu konuyla ilgilenirken alternatif yöntemlere denk geldim, çözümün şıklığı hoşuma gitti. Öncelikle hangi disk bölümünün EFI bölümü olduğunu bulmak için

$EFIbolumu = gcim win32_volume | where SystemVolume -eq $true

Bulduğumuzdan emin olmak istersek

$EFIbolumu | ft DriveLetter, @{N="SizeMB";E={[int]($_.Capacity/1MB)}},

    @{N="FreeMB";E={[int]($_.FreeSpace/1MB)}}, 

    Label, SystemVolume, FileSystem, PageFilePresent, BootVolume

Bunun sonucunda benim durumumda şöyle bir çıktı verdi:

DriveLetter SizeMB FreeMB Label SystemVolume FileSystem PageFilePresent BootVolume
----------- ------ ------ ----- ------------ ---------- --------------- ----------
                96     45               True FAT32                False      False

EFI sürücüleri için SystemVolume = True, C: sürücüsü gibi önyükleme bölümleri için ise BootVolume = True olur. Ek ayırt edici olarak bir de PageFilePresent'i kadraja aldım, emin olmak için. Genellikle EFI bölümleri 100 MB kadar ve FAT32 yapıda olurlar.

Son aşamada Set-CimInstance alias'ı scim'i kullanıyoruz.

$EFIbolumu | where SystemVolume -eq $true | scim -Property @{DriveLetter='E:'} 

Benzer şekilde birim etiketini değiştirmek için

$EFIbolumu | where SystemVolume -eq $true | scim -Property @{Caption='EFI-part'} 

Harf atamasını geri almak için yöntem aynı:

mountvol E: /d 

---

https://devblogs.microsoft.com/powershell-community/changing-drive-letters-and-labels-via-powershell/ 

bootmgfw.efi dosyası eski sertifika ile imzalanmış

Windows altında güvenli önyükleme sertifikaları indirildi ve firmware'e eklendi. Güvenli önyükleme de etkin. Windows Güvenliği'nde güvenli önyükleme için "Başka sertifika değişikliği gerekmiyor" mesajı da görüntüleniyor. Ama EFI partition'ında bootmgfw.efi dosyasını imzalayan sertifika hala 2011 sertifikası gözüküyor.

Bunu görmek için normalde bir harf ataması olmayan EFI disk bölümü için bir harf ataması yapmam lazım. Grafik arayüz var, ama orası heyecanlı değil. Hedefimiz, birçok bilgisayarda C: sürücüsünden hemen önce oluşturulan ~100 MB boyutunda olan FAT32 dosya sistemine sahip bir disk bölümü. Bu bölüme benim bilgisayarımda aşağıdaki gibi ulaştım ve E harfini atadım.

Get-Disk -Number 0 | Get-Partition -PartitionNumber 1 | 

    Set-Partition -NewDriveLetter E

Bu işlemi ve bundan sonraki işlemleri yükseltilmiş ayrıcalıklarla yapmam gerek.

(Get-AuthenticodeSignature E:\EFI\Microsoft\Boot\bootmgfw.efi).SignerCertificate | 

    Select-Object NotAfter, Issuer

Sanıyorum bir ara bu dosya yeni sertifika(lar) ile imzalanır.

İşlem bittikten sonra E sürücüsünü kaldırmak gerek.

Get-Volume -DriveLetter E | Get-Partition | 

    Remove-PartitionAccessPath -AccessPath "E`:\"

Bu disk bölümü harfini kaldırmak için alternatif yöntemler

mountvol E: /d

veya

diskpart > list volume > select volume # > remove letter=E

komut silsilesini kullanmak gerek.

Güvenli önyükleme sertifikaları

Bir süredir hayatımızda güvenli önyükleme (secure boot) diye bir şey var, rootkit'lerin veya benzeri zararlı yazılımların bilgisayarın ilk açılış aşamasında devreye girmesini engellemek için. Bu sistem, etkinleştirildikten sonra çalışacak olan önyükleme kodunun yetkilendirilmiş olup olmadığını anlamak için sertifikalar kullanılıyor. İşin içinde sertifika varsa bir de geçerlilik süresi vardır. Ve bu sene de, 2011'de kullanılmaya başlayan (nedendir bilinmez) Microsoft sertifikalarının son senesi. Güncellenmeleri lazım.

Süreç prüzsüz işliyor. Güvenli önyükleme firmware'de etkinleştirilmişse (aksi takdirde 1796 Microsoft-Windows-TPM-WMI olay kaydedilir) işletim sistemi, yeni sertifikaları kurup güvenliği sağlıyor. Süreci kontrol etmek isteyenler için Ayarlar>Gizlilik ve Güvenlik>Cihaz Güvenliği adımında "Güvenli Önyükleme" bölümündeki mesaja bakılabilir. Eğer aşağıdaki gibi bir durumdaysa herşey olması gerektiği gibi işlemiş demektir. Kurulum üst üste birkaç kez yeniden başlatma istiyor.

 

İşleri powershell ile kontrol etmek için Get-SecureBootUEFI cmdlet'i kullanılabilir. Bu cmdlet'in -Name parametresine DB ve KEK (depoları) verilerek istenen sertifikaların sistemde mevcut olup olmadığı kontrol edilebilir. Olması gereken sertifika isimleri, depo ismi ve son kullanma tarihleri şöyle:

Sertfika adı	Depo adı	Son kullanma tarihi
Windows UEFI CA 2023	DB	2035-06-13 22:08:29Z
Microsoft Option ROM UEFI CA 2023	DB	2038-10-26 22:12:20Z
Microsoft UEFI CA 2023	DB	2038-06-13 22:31:47Z
Microsoft Corporation KEK 2K CA 2023	KEK	2038-03-02 23:31:35Z

Tüm sertifikaların isimlerinde 2023 geçmesi sebebiyle bu kontrolü aşağıdaki gibi otomatikleştirebilirim.

$kek = Get-SecureBootUEFI -Name KEK -Decoded

$db  = Get-SecureBootUEFI -Name db  -Decoded

$arr1 ="Windows UEFI CA 2023","Microsoft UEFI CA 2023","Microsoft Option ROM UEFI CA 2023"

$res1 = $db  | Where-Object {$_.Subject -match "2023"} |

        Select-Object @{N="Subj";E={$_.Subject.split(",")[0].replace("CN=","")}},

                        @{N="Store";E={"DB"}}, ValidFrom, ValidTo,

                        @{N="Stat";E={if ($_.Subject.split(",")[0].replace("CN=","") -in $arr1) {"OK"} else {"NOT OK"}}}

$res1 += $kek  | Where-Object {$_.Subject -match "2023"} |

        Select-Object @{N="Subj";E={$_.Subject.split(",")[0].replace("CN=","")}},

                        @{N="Store";E={"KEK"}}, ValidFrom, ValidTo,

                        @{N="Stat";E={if ($_.Subject.split(",")[0].replace("CN=","") -eq "Microsoft Corporation KEK 2K CA 2023") {"OK"} else {"NOT OK"}}}

$res1 | Format-Table -AutoSize -Wrap

Sertifikaların kurulması sırasında ve sonrasında sistem olay günlüğüne Microsoft-Windows-TPM-WMI sağlayıcı ismi altında aşağıdaki olaylar kaydediliyor.

ID	Sağlayıcı	Seviye	Mesaj
1800	Microsoft-Windows-TPM-WMI	Uyarı	A reboot is required before installing the Secure Boot update. Reason: Boot Manager (2023)
1801	Microsoft-Windows-TPM-WMI	Hata	Updated Secured Boot certificates are available on this device but have not yet been applied to the firmware.
1043	Microsoft-Windows-TPM-WMI	Bilgi	Secure Boot KEK update applied successfully
1045	Microsoft-Windows-TPM-WMI	Bilgi	Secure Boot DB update to install Microsoft UEFI CA 2023 certificate applied successfully
1044	Microsoft-Windows-TPM-WMI	Bilgi	Secure Boot DB update to install Microsoft Option ROM UEFI CA 2023 certificate applied successfully
1036	Microsoft-Windows-TPM-WMI	Bilgi	Secure Boot Db update applied successfully
1808	Microsoft-Windows-TPM-WMI	Bilgi	This device has updated Secure Boot CA/keys.

En son 1808 ID'li olay, sistem nihai seviyeye ulaştıktan sonra kaydedildi. 

Sertifikalar geldi ama firmware'e erişim reddedildiyse şu hata mesajı kaydedilir:

1796

Microsoft-Windows-TPM-WMI

Hata

The Secure Boot update failed to update KEK 2023 with error Invalid access to memory location.

Bu sertifikaların olması sistemin korunduğu anlamına gelmiyor, bir veya daha fazla yeniden başlatma bekliyor olabilir. Nihai durum için hem firmware'de güvenli önyükleme açık olmalı hem de cihaz güvenliğinde yukarıda bahsettiğim mesaj görüntülenmeli. Hepsini tek seferde gösterebilecek bir registry konumundan veri okuyacak örnek şu adreste verilmiş:

(Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\" -Name "UEFICA2023Status").UEFICA2023Status

Genel olarak bir KB ile başlayan güncelleştirme kodu bu sertifikaların yüklenmesi ile ilişkilendirilmemiş ama ben KB5089549 ve KB5092762 güncelleştirmelerini buldum, tam yüklenme sonrasında.

Linux tarafında mokutil ile sertifikaların varlığı kontrol edilebilir:

sudo mokutil --db | grep -B 1 "2023"
sudo mokutil --kek | grep -B 1 "2023"

Bu komutun sonucu ilk verdiğim tablo ile örtüşmeli. Güncel sertifikalar yoksa fwupdmgr ile firmware güncellemesi denetlenebilir.

sudo fwupdmgr refresh
sudo fwupdmgr get-updates
sudo fwupdmgr update

Ama sertifikaların varlığı yetmiyor, yeni sertifika ile imzalanmış bir shimx64.efi dosyasına ihtiyaç var. Bu dosyanın imzandığı sertifikayı görmek için pesign aracı kullanılabilir (varsayılan olarak kurulu değildir, kurmak için aynı isimli paket kurulmalı).

sudo pesign -S -i /boot/efi/EFI/fedora/shimx64.efi

Benim makinemde bu şöyle bir sonuç döndü:

---------------------------------------------
certificate address is 0x7f321a9fd6d0
Content was not encrypted.
Content is detached; signature cannot be verified.
The signer's common name is Microsoft Windows UEFI Driver Publisher
No signer email address.
No signing time included.
There were certs or crls included.
---------------------------------------------

Bu da henüz imzalı bir shim olmadığını gösteriyor. Önümüzdeki günlerde sanıyorum ki güncel sürüm gelir.

 ---

https://woshub.com/updating-uefi-secure-boot-certificates-windows-faq/#:~:text=In%20this%20article%2C%20we%E2%80%99ll%20show%20you%20how%20to,CA%202023%20certificate%2C%20without%20waiting%20for%20automatic%20installation.

https://support.microsoft.com/en-us/topic/windows-secure-boot-certificate-expiration-and-ca-updates-7ff40d33-95dc-4c3c-8725-a9b95457578e

https://learn.microsoft.com/en-us/windows-hardware/manufacture/desktop/windows-secure-boot-key-creation-and-management-guidance?view=windows-11#14-signature-databases-db-and-dbx

 

Şişmiş bir CapabilityAccessManager.db-wal dosyası

Bir bilgisayarda C: sürücüsünde yer kalmamış. Sysinternals aracı du64 ile diski adım adım inceledim.

du64 -q -l 1 C:\

du64 -q -l 1 C:\ProgramData

du64 -q -l 1 C:\ProgramData\Microsoft

... 

ve sonunda

C:\Programdata\Microsoft\Windows\CapabilityAccessManager\CapabilityAccessManager.db-wal

dosyasının boyutunun +130 GB olduğunu gördüm. Bu dosyaya kamera, mikrofon ve konum gibi bilgilere erişim isteyen uygulamalar kaydediliyor. Bu dosyaya erişen hizmet ise camsvc. Bu klasöre ve altındaki dosyalara sadece NT AUTHORITY\SYSTEM hesabı erişebiliyor. Bu dosya bir SQLite veritabanı. Dosyayı incelemek için önce sahibini ve yetkilerini değiştirmem gerekti.

gsv camsvc | spsv

Set-Service camsvc -startuptype disabled

$dosya = "C:\Programdata\Microsoft\Windows\CapabilityAccessManager\CapabilityAccessManager.db-wal"

$acl1 = Get-Acl $path

$acl1.SetOwner([System.Security.Principal.NTAccount]"DOMAIN\user")

$kural1 = New-Object System.Security.AccessControl.FileSystemAccessRule("DOMAIN\user","Read","Allow")

$acl1.AddAccessRule($kural1)

Set-Acl $path $acl1

Daha sonra bu .db-wal uzatılı dosya ile birlikte .db ve .db-shm dosyaları bilgisayarıma aktarıp (yukarıdaki yetkilendirmeyi onlara da yaptıktan sonra) SQLite ile incelemek istedim. Bu aşamada sqlitebrowser.org adresinden DB Browser for SQLite'ı indirip .db uzantılı dosyayı açtım. Aşağıdaki SQLite sorgusunu kullanarak ezici bir çoğunlukla +56000 kez konum bilgisinin ExpressConnectNetworkService tarafından talep edildiğini gördüm.

SELECT

    b.StringValue AS ExecutablePath,

    c.StringValue AS CapabilityName,

    COUNT(*) AS RequestCount

FROM NonPackagedUsageHistory h

JOIN BinaryFullPaths b ON b.rowid = h.BinaryFullPath

JOIN Capabilities c ON c.rowid = h.Capability

GROUP BY h.BinaryFullPath, h.Capability

ORDER BY RequestCount DESC

LIMIT 20;

ExpressConnectNetworkService'in vazgeçilmez bir bileşen olmadığı (bir bloatware?) ortada. Şimdilik devre dışı bıraktım.

gsv 'ExpressConnect Network Service' | spsv

set-service 'ExpressConnect Network Service' -StartupType disabled

Hatta DellOptimizer hizmetini de devre dışı bıraktım. Ama Dell hizmetlerinin bir süre sonra tekrar kendiliğinden etkinleşmek gibi kötü huyları var. Bir süre izleyip göreceğim.