Authentication
Kimlik doğrulamanın üç temel faktörü nelerdir?
Bilgi (parola, PIN), Sahiplik (token, kart), Varlık (biyometri)
Authorization’ın temel amacı nedir?
Kullanıcının hangi kaynaklara hangi izinlerle erişebileceğini belirlemek.
NTLMv1-v2 hangi tür bir mekanizma ile çalışır?
Challenge–Response protokolü.
Local account hashleri hangi veritabanında saklanır?
SAM (Security Account Manager)
Başarılı logon event ID’si nedir?
4624
SSO’nun açılımı nedir ve amacı nedir?
Single Sign-On. Bir kez oturum açıp tüm kaynaklara tekrar parola girmeden erişim.
Windows’ta erişim kontrollerini hangi yapı belirler?
Security Descriptor (SD) → içinde DACL ve SACL.
Kerberos’ta TGT’nin açılımı nedir?
Ticket Granting Ticket. Kullanıcının servis ticket almak için kullandığı bilet.
Domain account hashleri hangi dosyada bulunur?
NTDS.dit (Domain Controller veritabanı).
Başarısız logon event ID’si nedir?
4625
Windows Hello hangi authentication yöntemlerini kullanır?
PIN, parmak izi, yüz tanıma (biyometri), TPM destekli key pair.
SID ne işe yarar?
Kullanıcı, grup veya bilgisayarı benzersiz tanımlayan kimlik.
SPN ne işe yarar?
servisin AD’de benzersiz tanımlanması, Kerberos ticket eşleşmesi için.
Cached credentials ne işe yarar?
Kullanıcı DC’ye bağlanamasa da son logon bilgileriyle giriş yapabilmesini
SIEM sistemlerinin amacı nedir?
Farklı logları toplayıp analiz ederek anomali tespiti ve güvenlik olaylarını merkezi izleme
Online ve offline logon arasındaki fark nedir?
Online: DC ile iletişim kurarak doğrulama yapılır. Offline: Cached credentials kullanılır.
DACL ve SACL arasındaki farkı açıklayın.
DACL: erişim izinlerini belirler (allow/deny)
SACL: hangi erişim girişimlerinin loglanacağını belirler.
NTLMv1 neden güvensiz kabul edilir?
Zayıf kriptografi (DES/MD4 tabanlı), replay/passth-the-hash saldırılarına açık.
Credential Guard’ın amacı nedir?
LSASS’taki kimlik bilgilerini VBS ile izole ederek bellekten çalınmasını engellemek.
Least privilege prensibi ne anlama gelir?
Kullanıcılara ve süreçlere sadece görevleri için gerekli minimum izinlerin verilmesi
PKINIT nedir ve Kerberos’ta nasıl kullanılır?
Public Key Cryptography for Initial Authentication. Kerberos’ta parola yerine sertifika ile TGT alma yöntemi.
Access token içinde hangi bilgiler bulunur?
User SID, Group SIDs, Privileges, Default DACL, Session ID, Token type (primary/impersonation).
Kerberos’ta delegation türlerinden birini açıklayın.
Unconstrained delegation: servis kullanıcının kimliğiyle her yere erişebilir.
Constrained delegation: sadece belirli servislere izin.
RBCD: kaynak taraflı kontrol.
gMSA nedir ve avantajı nedir?
Group Managed Service Account. Parolası otomatik güncellenir, birden çok sunucuda kullanılabilir, yönetim kolaylığı sağlar
LSASS neden saldırıların hedefindedir?
Çünkü kimlik bilgilerini, NTLM hashlerini ve Kerberos ticketlarını belleğinde saklar