computer management

 "Windows Computer Management (Bilgisayar Yönetimi)", Windows işletim sistemlerinde yerleşik olarak gelen kapsamlı bir yönetim aracıdır. Bu araç, sistem yöneticilerinin ve ileri düzey kullanıcıların bilgisayarın çeşitli bölümlerini merkezi bir yerden yönetmesini sağlar. Şimdi Computer Management’i detaylıca, bileşenleriyle birlikte açıklayacağım:

---

🔧 Computer Management Nedir?

Bilgisayarınızdaki donanım, hizmetler, kullanıcı hesapları, diskler ve olay günlükleri gibi sistem bileşenlerini tek bir arayüzden yönetmenizi sağlayan Windows yönetim konsoludur.

Nasıl Açılır?

• Başlat menüsüne sağ tık → Bilgisayar Yönetimi

• Veya Win + X → Computer Management

• Ya da Çalıştır (Win + R) → compmgmt.msc yaz → Enter

---

🧭 Bileşenleri ve Ne İşe Yaradıkları

1. System Tools (Sistem Araçları)

Bilgisayarın temel işleyişine dair denetim sağlar.

a. Event Viewer (Olay Görüntüleyicisi)

• Sistem günlüklerini, hata mesajlarını ve uyarıları gösterir.

• Özellikle hata ayıklama ve saldırı analizi (log analizi) için kritiktir.

Kullanım: Hatalı uygulamaların neden çöktüğünü veya başarısız oturum açma denemelerini burada inceleyebilirsin.

b. Shared Folders (Paylaşılan Klasörler)

• Ağ üzerinden paylaşılan klasörleri ve oturumları gösterir.

Alt bölümleri:

• Shares: Hangi klasörler paylaşıma açık?

• Sessions: Kim bağlandı?

• Open Files: Kim hangi dosyayı açtı?

c. Local Users and Groups (Yerel Kullanıcılar ve Gruplar)

• Kullanıcı hesaplarını ve grupları yönetir.

• Kullanıcıya parola atama, grubuna göre yetki verme, hesapları devre dışı bırakma burada yapılır.

Özellikle siber güvenlik açısından admin haklarını kontrol etmen önemli.

d. Performance Logs and Alerts (Performans Günlükleri ve Uyarılar)

• Sistem performansına dair özel günlükler oluşturmanı sağlar (az kullanılır).

• CPU kullanımı gibi eşikleri aşıp aşmadığını denetler.

e. Device Manager (Aygıt Yöneticisi)

• Donanımların sürücü durumlarını gösterir ve yönetmeni sağlar.

• Sürücü güncelleme, donanım devre dışı bırakma gibi işlemler yapılır.

---

2. Storage (Depolama)

Disk yönetimi ve hacim işlemlerinin yapıldığı bölümdür.

a. Disk Management (Disk Yönetimi)

• Yeni disk ekleme

• Disk bölme (partition)

• Formatlama

• Sürücü harfi atama/değiştirme

• GPT/MBR biçimlendirme

Siber güvenlikte: Disk şifrelemeden önce ya da adli bilişimde disk yapısını anlamak için kullanılır.

---

3. Services and Applications (Hizmetler ve Uygulamalar)

a. Services (Hizmetler)

• Bilgisayar başlatıldığında çalışan arka plan servislerini yönetir.

• Servisleri durdurabilir, yeniden başlatabilir ya da başlangıç tipini değiştirebilirsin (Automatic, Manual, Disabled).

Kritik kullanım: Gereksiz veya şüpheli servisleri devre dışı bırakmak. Özellikle malware analizi için çok önemlidir.

b. WMI Control (Windows Management Instrumentation)

• Sistem bilgilerine uzaktan erişim için kullanılır.

• Gelişmiş kullanıcılar ve yazılımlar tarafından sistem durumu sorgulanır.

Gelişmiş güvenlik senaryolarında uzaktan sistem envanteri çıkarmak için kullanılır.

---

👨‍💻 Neden Önemlidir?

Computer Management:

• Bir Windows sistemini tek panelden denetlemek için merkezi konsoldur.

• Sistem yöneticileri için olmazsa olmazdır.

• Adli bilişim, malware analizi, sistem sertleştirmesi (hardening) gibi alanlarda yoğun şekilde kullanılır.

---

🧠 Pro Tüyolar:

• Event Viewer ile "Security" loglarını denetleyerek sızma girişimlerini bulabilirsin.

• Services bölümünden şüpheli isimli servisleri (örneğin "WinDriver Update Service") kontrol et.

• Local Users kısmında gizli veya varsayılan ama aktif kullanıcı hesabı var mı diye düzenli kontrol yap.

• Disk Management bölümünden gizli disk bölümleri veya şifrelenmiş hacimleri fark edebilirsin.

🔍 1. Event Viewer (Olay Görüntüleyicisi) — Log Analizi için Kalbin Ta Kendisi

📌 Ne İşe Yarar?

Sistemdeki her olay, hatalar, uygulama çökmeleri, sistem açılışları, başarısız oturum denemeleri burada kayıt altına alınır. Özellikle bir saldırgan sisteme sızmaya çalıştıysa veya zararlı yazılım sistemde iz bıraktıysa, Event Viewer bu izleri görmeyi sağlar.

🧭 Nasıl Açılır?

• Computer Management > System Tools > Event Viewer

• Ya da Win + R → eventvwr.msc

📂 Ana Log Kategorileri:

• Application: Programların hataları, çökmeleri (örnek: antivirüs hata verirse burada çıkar)

• Security: Oturum açmalar, başarısız denemeler, yetkisiz erişim (KRİTİK)

• System: Windows servisleri, sürücü hataları

• Setup: Kurulum olayları (genelde format sonrası aktif)

---

✅ Vaka Örneği #1: Şüpheli Oturum Açma Tespiti

📌 Durum:

Kullanıcının bilgisayarı gece kendi kendine açılmış gibi. Kullanıcı sabah açık buluyor.

🔍 İnceleme:

1. Event Viewer → Windows Logs > Security

2. Event ID 4624: Başarılı oturum açma

3. Event ID 4625: Başarısız oturum açma

4. Event ID 4648: Kimlik doğrulaması belirli bir işlem için yapıldı

4624'te kullanıcı adı "Administrator" ile gece 03:12’de giriş varsa ve IP adresi dış ağdan geliyorsa: Sızma olabilir.

---

✅ Vaka Örneği #2: Malware Dosyası Sistemi Etkiliyor

📌 Durum:

Sistemde yavaşlama var. Bir uygulama otomatik kapanıyor. Şüpheleniliyor.

🔍 İnceleme:

1. Application Log kontrol edilir.

2. Olay Kaynağı olarak "Application Error" ya da "Windows Error Reporting" varsa, ilgili EXE dosyası log’da çıkar.

3. Dosya yolu: C:\Users\...\AppData\Roaming\evil.exe — burada malware olabilir.

Bu durumda dosya virustotal’de taranır, güvenli modda silinir veya analiz edilir.

---

🔥 Siber Güvenlik için Hedefli Kullanım:

Hedef	Event ID	Açıklama
Başarılı oturum	4624	Kim giriş yaptı, ne zaman?
Başarısız oturum	4625	Brute force denemeleri
Kullanıcı oluşturma	4720	Sistem dışı kullanıcı eklenmiş mi?
Kullanıcı silme	4726	İz kaybettirme
Grup değişimi	4732	Bir kullanıcı admin grubuna mı alındı?
Güvenlik logları silindi	1102	İzler silinmiş olabilir

---

💡 Uzman Tüyosu:

Log’ları dışa aktar (.evtx) ve SIEM araçlarıyla analiz et (Splunk, Elastic, Graylog). Özellikle saldırı sonrası log bütünlüğü için bu adım önemlidir.

👥 2. Local Users and Groups (Yerel Kullanıcılar ve Gruplar)

📌 Ne İşe Yarar?

Windows sistemindeki tüm yerel kullanıcı hesaplarını ve gruplarını buradan yönetirsin. Yeni kullanıcı ekleme, silme, parolaları sıfırlama veya yetki seviyesini değiştirme gibi işlemler buradan yapılır.

🧭 Nasıl Açılır?

• Computer Management > System Tools > Local Users and Groups

İki alt klasör vardır:

• Users: Tüm yerel kullanıcı hesapları

• Groups: Yetki grupları (Administrator, Guests, Power Users vs.)

---

🔐 Kritik Güvenlik Denetimleri

✅ Vaka Örneği #1: Gizli Yönetici Kullanıcısı

📌 Durum:

Sistemde normal kullanıcı gibi görünen ama aslında admin yetkisi olan gizli bir kullanıcı var.

🔍 İnceleme:

1. Users klasörüne git.

2. Tanımadığın kullanıcı adlarını kontrol et. (örn: system_user, user123, backupadmin)

3. Bu kullanıcıyı sağ tıkla → Properties

4. “Member Of” sekmesine bak:

   • Eğer Administrators grubundaysa, o kullanıcı admin yetkisine sahiptir.

🛡️ Müdahale:

• Kullanıcıyı disable et (Properties > Account is disabled).

• Gerekirse sil.

• Şifreyi değiştir ve gruplarını düşür.

---

✅ Vaka Örneği #2: Yeni Açılmış Arka Kapı Hesabı

📌 Durum:

Hacker sistemde “arka kapı” kullanıcı açmış.

🔍 Tespit:

1. Users klasörünü aç.

2. Date Created (Oluşturulma Tarihi) sütununa göre sırala.

3. Sistem kurulumu dışında herhangi bir tarihte açılmış kullanıcılar varsa dikkatli ol!

Alternatif PowerShell komutu:

powershell
Get-LocalUser | Sort-Object Created

---

✅ Vaka Örneği #3: Varsayılan Ama Etkin Admin Hesabı

Windows bazı sistemlerde yerleşik (built-in) Administrator hesabını pasif yapar. Ancak bazı saldırganlar bu hesabı aktif eder ve parola koyar.

🔍 Kontrol:

• Administrator hesabı etkin mi?

• Properties → “Account is disabled” kutusu işaretli değilse, aktif demektir.

🛡️ Öneri:

• Bu hesabı kapat.

• Eğer açık bırakacaksan, karmaşık ve uzun bir parola ata.

• Gerekirse yeniden adlandır (örnek: SystemManager42 gibi) – saldırganlar varsayılan isimleri hedefler.

---

🛑 Siber Güvenlik Hardening Önerileri

Güvenlik Adımı	Açıklama
Guest hesabını devre dışı bırak	Misafir kullanıcılar genelde sınırlıdır ama açığı çok olur.
Administrator hesabını yeniden adlandır	Brute-force saldırılarını zorlaştırır.
Kullanıcı hesaplarını düzenli denetle	Ayda 1 kez bilinmeyen hesap var mı kontrol et.
“Account Lockout Policy” ayarla	3 yanlış denemeden sonra kilitle. GPEdit’ten yapılır.
“Password Policy” uygula	En az 12 karakter, karmaşık şifre zorunluluğu koy.

---

🧠 Pro Taktik (Advanced)

• PowerShell ile admin olan tüm kullanıcıları listele:

powershell
Get-LocalGroupMember -Group "Administrators"

• Şifre en son ne zaman değiştirildi?

powershell
Get-LocalUser | Select-Object Name, PasswordLastSet

---

📌 Özeti:

Yerel kullanıcılar ve gruplar, saldırganların sistemde kalıcılık (persistence) sağlamak için en çok kullandığı alandır. Eğer bu bölümü iyi denetlersen, %80'lik bir güvenlik açığını kapatırsın.

⚙️ 3. Services (Hizmetler) — Sistem Açılırken Ne Çalışıyor?

📌 Ne İşe Yarar?

Windows'ta çalışan arka plan servislerini buradan görebilir, başlatabilir, durdurabilir veya devre dışı bırakabilirsin. Özellikle sistemle birlikte otomatik çalışan zararlı yazılımlar burada saklanabilir.

🧭 Nasıl Açılır?

• Computer Management > Services and Applications > Services

• Ya da doğrudan Win + R → services.msc

---

🕵️‍♂️ Vaka Analizli Derin Denetim

✅ Vaka Örneği #1: Malware Servisi Sistemi Açınca Çalışıyor

📌 Durum:

Bilgisayar açılır açılmaz yavaşlıyor. Her antivirüs taramasında kapanıyor.

🔍 İnceleme:

1. Hizmet listesinde Name, Startup Type, Status sütunlarına dikkat et.

2. Şüpheli isimler ara: “Updater, Windows Helper, Driver Agent, WinService, svchost123” gibi.

3. Description kısmı eksik olan servisler, rastgele harflerden oluşan adlar (örnek: xpdhrsvc) özellikle tehlike işaretidir.

4. Sağ tık → Properties → Path to executable kısmına bak:

   • Örnek yol: C:\Users\Ali\AppData\Roaming\evil.exe ← Şüpheli!

   • Normal servisler genelde C:\Windows\System32\ altındadır.

🛡️ Müdahale:

• Hizmeti durdur.

• Startup Type → Disabled yap.

• Dosya yolunu not al, dosyayı güvenli modda veya Live USB ile sil.

• Gerekirse servisin registry kaydını da temizle.

---

✅ Vaka Örneği #2: Meşru Görünümlü Servis

Saldırgan “Windows Audio Driver” gibi bir isim vererek servisini gizler.

🔍 Ne Yapmalı?

• Sağ tık → Properties → Digital Signer kontrol et.

  • Microsoft imzası yoksa dikkat!

• Servisin Dependencies sekmesine bak:

  • Hiçbir sisteme bağlı değilse → büyük ihtimalle sahte.

---

🔐 Güvenlik Denetimi için İpuçları

İncelenecek Alan	Açıklama
Startup Type "Automatic" olanlar	Sistemle birlikte başlar. Malware için ideal yer.
Boş açıklamaya sahip servisler	Sahte olma ihtimali yüksek
Kullanıcı klasöründen çalışan servisler	Normal servis sistem klasöründen çalışır
Garip görünümlü, rastgele karakterli isimler	“xye71svc” gibi hizmetler genelde zararlıdır

---

🔨 Güvenli Temizlik İçin

1. Şüpheli hizmetin Service name'ini not al (örnek: malupdate)

2. CMD'yi Administrator olarak aç:

bash
sc delete malupdate

3. Registry'de kalan kalıntılar için:

bash
regedit

• Git: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

• Şüpheli servisi sil

---

🧠 PowerShell Taktikleri

• Tüm çalışan servisleri listele:

powershell
Get-Service | Where-Object {$_.Status -eq "Running"}

• Belirli bir servis hakkında detaylı bilgi:

powershell
Get-WmiObject Win32_Service -Filter "Name='malupdate'" | Format-List *

• Şüpheli yolda çalışan servisleri bul:

powershell
Get-WmiObject Win32_Service | Where-Object { $_.PathName -like "*AppData*" }

---

🚨 Siber Güvenlik Hardening Önerileri

• Gereksiz servisleri kapat (örnek: Remote Registry, Xbox Services, Bluetooth destek servisi vs.)

• Tüm servisleri loglayan bir SIEM sistemine yönlendir.

• Powershell script ile günlük kontrol script’i yaz ve zamanlanmış göreve koy.

• Servis başlangıç türlerini "Automatic" yerine "Manual" yap (gerekmedikçe).

 

---