�Edit�r'den
�Bili�im Harcamalar�
�Hangi Linux?
�Sanal Yerel A�lar�
�Serbest Yaz�l�m - II
�Veritaban� Bile�enleri
�Windows G�venli�i - I
�CISN Ar�iv
�Anket
�Geribildirim


Computing & Information Services Newsletter
Windows 2000 / XP Masaüstü Bilgisayar Güvenliði - 1
     
 

Bilgi teknolojilerinin geliþimi, izin verilen kullanýcýlarýn doðru bilgiye daha hýzlý eriþimini saðlamaktadýr. Ancak bilginin doðruluðunun, kesinliðinin ve bütünlüðünün bozulmamasýný saðlamak da o bilgiye kullanýcýlarýn eriþimini saðlamak kadar önemli hale gelmiþtir. Bilgiyi, bir yandan bilinçsiz kullanýcýlarýn, bir yandan bilinçli saldýrganlarýn, öte yandan virüslerin yarattýðý tehlikelerden korumak gerekmektedir. 2000 yýlýnda "W32.Nimda" ile baþlayan bilgiye doðrudan yapýlan saldýrýlarýn yanýnda, günümüzde bilgiye eriþme yollarýný tehdit eden eylemler de yaygýnlaþmýþtýr.

Bu saldýrýlarýn büyük bir kýsmý Windows NT/2000/XP iþletim sistemi kullanan bilgisayarlara yapýlmaktadýr. Bu bilgisayarlarýn sorunsuz ve kesintisiz çalýþmasýný saðlamak için kullanýcýlarýn ve sistem yöneticilerinin almasý gereken bir dizi önlem vardýr.

Bu makalede Windows NT/2000/XP iþletim sistemi kurulu bilgisayarlarda alýnmasý gereken dört ana önlemden iki tanesini inceleyeceðiz. "Temel Güvenlik Ayarlarý" baþlýðý altýnda neredeyse her kullanýcýnýn birçok iþletim sisteminde uygulayabileceði, "Orta Düzey Güvenlik Ayarlarý" bölümünde ise Windows NT/2000/XP kullanýcýlarýnýn yapabilecekleri ya da sistem yöneticisinden yardým alarak uygulayabilecekleri güvenlik ayarlarý anlatýlmaktadýr.

Temel güvenlik ayarlarý

Bilgisayarlarýn güvenliðinden söz ederken birçok yönetici að ortamýndaki güvenlik aþamalarýný algýlamakta ve bunlara karþý tedbirler almaktadýr. Ancak gerçek hayat ortamýnda da çok tehlikeli saldýrýlar olabilmektedir.

Fiziksel güvenlik saðlanmalý
Bilgisayara, kullaným hakký olan kullanýcýlar dýþýnda hiç kimsenin fiziksel olarak eriþememesi ve kullanýcýlarýn da fiziksel olarak bir zarar vermesinin engelenmesi, alýnmasý gerek önlemlerin baþýnda gelmektedir. Bu önlemlerin düzeyi kurumun stratejik konumuna baðlý olarak belirlenmelidir. Kullanýcýlarý rahatsýz etmeyecek düzeyde ama bilgisayarýn depoladýðý bilgi ve verdiði servislerin önemine baðlý olarak ayarlanmalýdýr. Gerekli güvenlik seviyesine farklý yollarla ulaþýlmaktadýr. Örneðin, kritik çalýþmalar yapan birçok kamu kurumu ve özel þirket sistem odalarýnýn kapýlarýnda biometrik cihazlar kullanmakta ve kameralarla içeriyi izlemektedir.

Bilgisayar açýlýþ iþlemi kesinlikle sabit diskten olmalý
Bilgisayarýn güvenliðine gelen tehditlerden bir diðeri yine fiziksel yollarla olmaktadýr. Üstünde iþletim sistemi olan ve bakýma ihtiyacý olmayan bir bilgisayarýn açýlýþ iþlemi sýrasýnda disket sürücüsü ya da CD-ROM seçeneðinin sabit diskten önde bulundurmasý bilgisayar için bir güvenlik açýðý oluþturmaktadýr. CD-ROM kullanýlarak var olan iþletim sistemi üzerine yeni bir iþletim sistemi yüklenebilmekte, disket sürücüsüne yerleþtirilecek bir açýlýþ disketi yardýmý ile de var olan sabit disk üstündeki tüm bilgiler silinebilmektedir.

Disk yapýlandýrmasý NTFS olmalý
Disk yapýlandýrmasý Windows iþletim sistemlerinde FAT32 ya da NTFS olarak ayrýlmaktadýr. FAT32 disk yapýlandýrmalarýný Windows 9x sürümleri kullanmaktadýr. Windows 2000/XP her ikisini de kullanabilmekte, Windows NT ise sadece NTFS kullanmaktadýr. NTFS yapýlandýrýlmýþ sabit disklerde kullanýcý düzeyinde dosya ve dizinlere eriþim hakký verilebiliyor olmasý kullanýcýlarýn bilinçsizce ya da bilinçli olarak sistem dosyalarýna ya da kiþisel dosyalara verecekleri zararlarý engelleme þansý vermektedir.

Service Pack ve Hotfixes yüklenmeli
Bir iþletim sisteminin güvenli olabilmesi için kendi sürümünden sonra çýkan tehditlere karþý önlemlerini almýþ olmasý gerekmektedir. Önlemleri kurulum aþamasýnda alýnamadýðýndan her iþletim sistemi için güvenlik yamalarý ve toplu yamalarý içeren "Servis Pack" dosyalarý çýkmaktadýr. Her kullanýcý kendi kullandýðý bilgisayarýn güncellemesini bu dosyalar yardýmý ile yapmalýdýr. ODTÜ kullanýcýlarý Servis Pack dosyalarýna ftp://ftp.cc.metu.edu.tr/Security/Updates/Windows konumundan eriþebilmektedir. Kritik güncelleme dosyalarýný Windows 2000/XP iþletim sistemleri http://www.windowsupdate.com adresinden otomatik olarak indirmektedir. Windows 9x/NT kullanýcýlarý ise bu iþlemi elle yapmalýdýrlar.

Basit Dosya Paylaþýmý kapatýlmalý
Windows XP'de bulunan bu özellik, paylaþtýrýlmýþ dosyalara að eriþimi sayesinde herkesin ulaþmasýna izin vermektedir. Paylaþtýrýlmýþ dosyalar üzerinde eriþim hakký ayarlarý yapýlamamaktadýr. Paylaþtýrýlan dosyalara kimlerin hangi haklarla eriþeceðini ayarlamak için "Basit Dosya Paylaþýmý" kapatýlmalýdýr. Bu iþlem için;

  • Herhangi bir dizin açýlýr, "Araçlar" (Tools) menüsünden "Klasör Seçenekleri" (Folder Options) seçilir.
  • "Görünüm" (View) sekmesi altýnda "Basit dosya paylaþýmý kullan" (Use simple file sharing) seçeneði yanýndaki iþaret kaldýrýlýr.
  • "Tüm klasörlere uygula" (Apply to All Folders) düðmesine basýlýr.

    Parola kullanýlmalý
    Bilgisayara yerel baðlantý sýrasýnda kullanýcý parola kullanmalýdýr. Pekçok sistem yöneticisi iþletim sistemini ilk kurduklarý sýrada, normal kullanýcýlar da kendilerine tahsis edilmiþ bilgisayarlarda boþ parolayý tercih etmektedir. Bu þekilde seçilmiþ bir parola bilgisayara fiziksel olarak eriþen herhangi birinin bilgisayadaki bilgilere ulaþmasýna yol açacaktýr. Bunun yaný sýra að eriþimi ile bilgisayara ulaþan kötü niyetli kiþi bilgisayardaki kullanýcý isimlerini elde ettikten sonra kullanýcý haklarýna sahip olarak bilgisayarda iþlem yapabilecektir. Her ne kadar Windows XP Professional iþletim sisteminde boþ parola kullanan kullanýcýlarýn bilgisayarlarýna að üzerinden eriþim engellenmiþ olsa da, fiziksel olarak eriþim durumunda boþ parola kullanmak güvenliði tehdit edici bir unsur olmaya devam etmektedir.

    "Guest" hesabý devre dýþý býrakýlmalý
    "Guest" kullanýcý hesabý, parola kullanmadan bilgisayarýn aðda paylaþtýrýlmýþ kaynaklarýna eriþimi saðlamaktadýr. Windows XP Home Edition dýþýndaki Windows NT/2000/XP iþletim sistemlerinde bu hesabýn kullanýmýný engellemeye izin verilmiþtir.

    "Guest" kullanýcýsýnýn isminin deðiþtirilmesi için;
    Control Panel | Administrative Tools | Local Security Settings | Local Policies | Security Options altýndaki "Rename Guest Account" çift týklanýp "Guest" dýþýnda herhangi bir isim yazýlmalýdýr.

    "Guest" kullanýcý hesabýnýn kapatýlmasý için;
    Control Panel | Administrative Tools | Computer Management | System Tools | Local Users and Groups | Users altýndaki "Guest" hesabýna sað týklanmalý, çýkan menüde "Properties" seçilmeli, "General" sekmesi altýndaki "Account is disabled" seçeneði iþaretlenmelidir.

    Windows XP Home Edition, "Guest" hesabýnýn kullanýma kapatýlmasýna izin vermediði için bu hesaba güçlü bir þifre atamak gerekmektedir.

    Anti-virüs programý kurulmalý
    Günümüzün korkulu rüyasý haline gelen virüsler özellikle að trafiði yaratma ve toplu e-posta gönderme yetenekleri sayesinde kaynaklarý tüketmektedir. Buna karþý kuruluþlarda bulunan her masaüstü bilgisayarda güncel bir virüs programý bulunmasý vazgeçilmez bir güvenlik önlemi olmaktadýr. Her ne kadar virüslere karþý kuruluþlarýn ilgili bölümleri tarafýndan alýnacak tek önlem olmasa da bu, masaüstü Windows iþletim sistemi kullananlar için bir gerekliliktir.

    Bilgisayara bir virüs tarama programý kurmak ve onu ilk kurulduðu gibi býrakmak, bir güvenlik tedbiri olmaktan çok bir güvenlik açýðýdýr. Virüs tarama programýna güvenip indirilecek programlarýn yeni virüslerden birisini içerme olasýlýðý, günümüz Internet dünyasýnda oldukça yüksek bir olasýlýktýr. Bu nedenle virüs tarama programýnýn güncel tutulmasýna önem verilmelidir.

    ODTÜ kampüsüne hizmet veren lisanslý McAfee VirusScan 4.5.1 programý ftp://ftp.cc.metu.edu.tr/Security/McAfee konumunda bulunmaktadýr. Virus tarama programýnýn Service Pack dosyalarý ayný konumdan indirilebilir. Son güncellemeleri de ftp://ftp.metu.edu.tr/popular/virus-updates/McAfee adresinden edinilebilir. Programýn kurulumu, güncellenmesi ve virüslerle ilgili geniþ bilgi www.antivirus.metu.edu.tr adresinde yer almaktadýr.

    Orta düzey güvenlik ayarlarý

    Parola korumalý ekran koruyucu kullanýlmalý
    Kullanýcýlarýn çalýþma aralarýnda verdikleri kahve molasýnda bilgisayarýn baþýna oturan kötü niyetli ya da bilinçsiz bir kimse, çalýþan uygulamalarý durdurmaktan, kullanýcý hesabýnýn haklarýna baðlý olarak, sisteme zarar vermeye kadar birçok iþlem gerçekleþtirebilir. Bunu engellemek için, bilgisayarýn halen çalýþtýðýný gösteren ve böylece yanlýþlýkla kapatýlmasýný önleyen ekran koruyucu kullanmak ve bunu bir güçlü parola ile desteklemek gerekmektedir.

    "Yönetici" (Administrator) hesabýnýn adý deðiþtirilmeli
    Birçok saldýrý öncelikle "yönetici" isminde ve tüm kullanýcýlardan çok daha fazla haklara sahip bir kullanýcý hesabý varlýðýný varsayarak yapýlmaktadýr. Bir bilgisayarda bu haklarýn sahibi "yönetici" isimlendirmesi dýþýnda birisi olursa saldýrlar sonuçsuz kalacaktýr.

    Bu adý deðiþtirmek için önce;
    Control Panel | Administrative Tools | Local Security Settings | Local Policies | Security Options altýndaki "Rename Administrator Account" çift týklanýp Administrator dýþýnda herhangi bir isim yazýlmalýdýr.

    Daha sonra;
    Control Panel | Administrative Tools | Computer Management | System Tools | Local Users and Groups | Users altýndaki "Administrator" sað týklanmalý, çýkan menüden "Rename" seçilmeli ve "Administrator" dýþýnda herhangi bir isim yazýlmalýdýr.

    Kullanýcý hesaplarýnýn sayýsý sýnýrlandýrýlmalý
    Birçok kullanýcý hesabý olan bilgisayarlarda artýk bilgisayar kaynaklarýný kullanmayan kullanýcýlarýn hesaplarýnýn var olmasý sorun yaratmaktadýr. Yetkisiz kullanýmý engellemek için bilgisayar koordinatörünün eski kullanýcýlarý tespit edip hesaplarýný silmek ya da arþivlemek gibi önlemleri en kýsa zamanda almasý gerekmektedir.

    Paylaþým izinleri düzenlenmeli
    Windows NT/2000/XP iþletim sistemlerinde dosya paylaþtýrýldýðýnda varsayýlan olarak "Everyone" grubuna tüm haklar verilir. Bu nedenle dosya paylaþtýrýldýktan sonra izinlerinin düzenlenmesi gerekmektedir. Paylaþtýrma iþlemi sýrasýnda "Ýzinler" (Permission) düðmesine týklanarak dosyaya eriþebilecek kullanýcýlar arasýndan "Everyone" çýkarýlmalýdýr. Bununla beraber yerel diske eriþme hakký olan kullanýcýlar listeye eklenebilir.

    Uzaktan Masaüstü (Remote Desktop) baðlantýsý kapalý olmalý
    Uzaktan Masaüstü eriþimi, yöneticiler açýsýndan kendi bilgisayarlarýndan diðer bilgisayarlara eriþme yeteneði kazandýrsa da, þu ana kadar ortaya çýkan açýklarý ve að trafiðinin dinlenmesi sonucunda oluþabilecek sorunlarýn büyüklüðü, bu aracýn kullanýmýnýn yöneticilerden çok, kötü niyetli kiþilere yarayacaðýný göstermektedir. Sadece að güvenliði tam saðlanmýþ ve gerekli güvenlik güncelemeleri yapýlmýþ sistemlerde kullanýlmasýnda bir sakýnca yoktur.

    Uzaktan Masaüstü baðlantýsýnýn çalýþmadýðýndan emin olmak için;
    Start | Run | gpedit.msc | Computer Configuration | Administrative Templates | Windows Components | Terminal Services altýndaki "Do not allow new client connection" satýrý "Enabled" olarak deðiþtirilmelidir.

    "Page" dosyasý bilgisayar kapanýrken temizlenmeli
    Yönetici parolasý dahil birçok bilgi bilgisayar kullanýmý sýrasýnda "Page" dosyasýnýn içerisine iþlenmektedir. Kullanýcýlar ya da izinsiz eriþim saðlamýþ kiþiler bu dosyadan bilgi sýzdýrabilmektedir. Kullanýcý bilgisayar kapatma iþlemi sýrasýnda bu dosya içindeki bilgileri yok ederek tehditten kurtulabilir.

    Windows 2000/XP iþletim sistemlerinde;
    Control Panel | Administrative Tools | Local Security Policy | Security Settings | Local Policies | Security Options altýndaki "Clear virtual memory page file" seçeneði "Enabled" olarak deðiþtirildiðinde iþlem bilgisayar kapanýrken otomatik olarak yapýlýr.

    Varsayýlan paylaþýmlar kapatýlmalý
    Windows 2000/XP iþletim sistemlerinde, yöneticilerin kullanmasý amacýyla sabit diskte ayrýlan bölümler varsayýlan olarak gizli paylaþtýrýlmýþtýr. Ancak bu durum yöneticilerin bilgisayara kolay eriþmesinin dýþýnda birçok kötü niyetli kiþinin bilgisayara kolaylýkla ulaþmasýna izin vermektedir.

    Bu durumu engellemek için "regedit" kayýt dosyasýnda;
    HKLM / SYSTEM / CurrentControlSet / LanManServer / Parameters dizini altýnda "AutoShareWks" satýrýnýn Dword deðeri "0" yapýlarak yaratýlmasý gerekmektedir. Bu iþlemin ardýndan bilgisayar yeniden baþlatýlmalýdýr.

    Otomatik CD çalýþtýrýlmasý engellenmeli
    Günümüz tehditleri arasýnda bulunan, kiþisel bilgilere ve kaynaklara ulaþmakta en çok kullanýlan yöntemlerden biri olan "truva atý" nitelikli programlar, bilgisayar tekrar baþlatýldýðýnda otomatik olarak çalýþan CD yardýmýyla kullanýcýnýn haberi olmadan bilgisayara yüklenmektedir.

    Bu tehdidi engellemek için;
    HKLM / System / CurrentControlSet / Services / CDRom dizini altýnda "AutoRun" satýrýnýn Dword deðeri "0" yapýlarak yaratýlmasý gerekmektedir.

    Önümüzdeki sayýda "Üst Düzey Güvenlik Ayarlarý" baþlýðý altýnda gereksiz servislerin kapatýlmasý, günlük tutulmasýný baþlatýlmasý, kullanýcý hesabý ayarlarý, güvenlik ayarlarý, kayýt dosyasýnda yapýlacak ek güvenlik düzenlemeleri ve kullanýcý haklarý incelenecek, ek özelliklerden EFS (Encyripted File System) ve SRP'den (Software Restriction Policies) söz edilecektir.

    Ýbrahim Çalýþýr

  •  
         
      - BAÞA DÖN -  
    © 2002 METU CC
    Design: CC - INFO