Windows 2000 / XP Masaüstü Bilgisayar Güvenliği - 2
 
 Editör'den
 Linux ile Güvenlik  Duvarı ve Sanal Ağlar
 Web Sayfası Hazırlama  İpuçları
 Windows Güvenliği - II
 Bilişim Uzmanı mı,  Güneyli mi?
 Milyarlarca Dolar Çöpe  Gitti!
 Büro İşinde Boyun - Bel  Sorunları
 CISN Arşiv
 Anket
 Geribildirim
 
     
 

Geçen sayıdaki makalede anlattığımız basit ve orta düzey güvenlik ayarlarına ek olarak, bu ve önümüzdeki sayıdaki makalede Windows NT/2000/XP güvenliği ile ilgili, sadece sistemler üstünde bilgili kişilerin uygulaması uygun olacak hareketlerden söz edilecektir. Bu makalede günlük tutulmasının başlatılması ve kullanıcı hesabı ayarları anlatılacaktır.

Günlük dosyası politikaları:

Günlük dosyalarının tutulmasını sağlamak için aşağıdaki yol izlenmelidir:

Control Panel è Administrative Tools è Local Security Policy è Local Policies è Audit Policy

Burada yer alan politikalar üzerinde yapılacak işlemler şunlar olmalıdır:

Audit account logon events:
Bilgisayara ne zaman başarısız bağlanma denemesinde bulunulduğu ve kimin ne zaman bağlandığı bilgilerinin tutulması için "Success" ve "Failure" işaretlenmelidir.

Audit account managment:
Yeni hesap açılması, hesap silinmesi ve/veya özeliklerinin değiştirilmesi bilgisinin tutulması için "Success" ve "Failure" işaretlenmelidir.

Audit directory service access:
Active Directory cisimlerine erişim bilgisinin tutulmasını sağlar, ancak domain yapısı olmayan durumlarda işaretlenmesine gerek yoktur.

Audit logon events:
Verilen servislere bağlantı denemelerinin ve bağlantıların bilgilerinin tutulması için "Success" ve "Failure" işaretlenmelidir.

Audit object access:
Dosyalara başarısız erişim denemelerinin bilgisinin tutulması için "Failure" işaretlenmelidir. Başarılı erişimlerin bilgisinin tutulması halinde log dosyasının hızla büyük boyutlara ulaşabileceğinden dolayı "Success" işaretlenmemelidir.

Audit policy change:
Güvenlik ayarlarındaki, günlük tutma politikalarındaki ve kullanıcı haklarındaki değişiklik bilgisinin tutulması için "Success" ve "Failure" işaretlenmelidir.

Audit privilege use:
Kullanıcı haklarının kullanımı bilgisinin tutulması için "Failure" işaretlenmelidir.

Audit process tracking:
Her işlemin başlatıldığı, durdurulduğu, kapatıldığı bilgisinin tutulmasına olanak verir, ancak bu işlem sonucu log dosyası hızla büyük boyutlara ulaşacağından işaretlenmesine gerek yoktur.

Audit system events:
Bilgisayarın açılıp kapanmasına, logların dolmasına kadar sistemle ilgili birçok bilginin tutulması için "Success" ve "Failure" işaretlenmelidir.

Hesap politikaları:

Hesap politikalarına ulaşmak için aşağıdaki yol izlenmelidir:

Control Panel è Administrative Tools è Local Security Policy è Account Policies

Hesap politikaları, Parola Politikaları (Password Policy) ve Hesap Kapatma Politikaları (Account Lockout Policy) olarak ikiye ayrılır. Burada yer alan politikalar üzerinde yapılacak işlemler şunlar olmalıdır:

1. Password Policy

Enforce password history:
Kullanıcıların parolaların birkaç parola içinden döngüsel şekilde seçmemeleri için "24 passwords remembered" olarak ayarlanabilir.

Maximum password age:
Kullanıcıları belirli zaman aralıklarında parolalarını değiştirmeye zorlamak için "90 days" olarak ayarlanabilir.

Minimum password age:
Kullanıcıların kendi parolalarını sık sık değiştirmeye çalıştıklarında sistemin buna izin verebilmesi için "1 days" olarak ayarlanabilir.

Minimum password length:
Kullanıcıların seçtikleri parolaların programlar tarafından kırılmasını zorlaştırmak için "8 characters" olarak ayarlanabilir.

Password must meet complexity requirements:
"Complexity requirements" bir parolada büyük harf, küçük harf, rakam ve özel karakterlerden en az üçünün olması anlamına gelmektedir. Kullanıcıların seçtikleri parolaların programlar tarafından kırılmasını zorlaştırmak için "Enabled" işaretlenmelidir.

Store password using reversible encryption for all users in the domain:
Microsoft ISS gibi bazı programların istediği, kullanıcıların parolalarının "geri dönüşümlü şifreleme yöntemi" ile tutulması şifrelerin kırılmasını kolaylaştırdığı için "Disabled" işaretlenmelidir.

2. Account Lockout Policy

Account lockout duration:
Belli sayıda başarısız bağlanma denemesinden sonra kullanıcı hesabı belli bir sure kullanıma kapatılır ve böylece Brute Force tür atakların hızı kesilir, bu amaçla bu değer "60 minutes" olarak ayarlanabilir.

Account lockout threshold:
Kullanıcının kaç defa yanlış parola girişinde bulunabileceğini belirleyen bu değer aşıldığı zaman kullanıcı hesabı belli bir süre Brute Force tür atakları engellemek için kapatılır, bu amaçla bu değer "5 invalid logon attempts" olarak ayarlanabilir.

Reset account lockout counter after:
İlk yanlış parola girildikten ne kadar süre sonra yanlış parola sayacının sıfırlanacağı bilgisidir. Brute Force tür atakları engellemek için "60 minutes" olarak ayarlanabilir.

Kullanıcı haklarının düzenlenmesi:

Kullanıcı haklarının düzenlenmesi için aşağıdaki yol izlenmelidir:

Control Panel è Administrative Tools è Local Security Policy è Local Policies è User Rights Assignment

Burada yer alan politikalar arasında olası güvenlik sorunlarını önlemek için farklı kullanıcılara göre verilecek haklar şunlardır:

Kullanıcı Hakkı Olası Sorun Domain kullanıcısı PC / Sunucu kullanıcısı Profesyonel kullanıcı
Access this computer from the network Administrator hesabının şifresinin çalınması sonucunda bilgisayara ağdan erişilebilir. Domain Users (Administrator kullanıcısı çıkarılmalıdır) Domain Users -
Act as part of the operating system İşletim sistemi gibi hareket etmek her türlü hakka sahip olmak demektir. - - -
Add workstations to the domain Bu haklara sahip kullanıcılar ağa başka bir Domain Controller daha kurup SAM veritabanına ulaşabilir. Administrator - -
Backup files and directories Hakkı olmayan kullanıcılar tarafından alınmış yedekler "Restore Files and Directories" hakkı ile birlikte kullanıldığında izinsiz erişimlere neden olacaktır. Backup Operators Backup Operators Backup Operators
Bypass traverse checking Kullanıcı hakları ile çelişecek dizin erişimlerine yol açacaktır. Administrators, Server Operators, Backup Operators Administrators (Users ISS için gereklidir) Administrators
Change the system time Günlük dosyaların verilerinde karışıklık olabilir. Administrator Administrator Administrator
Create a pagefile   Domain Administrators Administrator Administrator
Debug programs Kullanıcıların diğer programları da kontrol etmelerine ve zararlı kod çalıştırmalarına neden olabilir. - - -
Deny access to this computer from the network Yönetici grubundan birisinin parolasının çalınmasına karşı bir önlemdir. Administrator - -
Enable computer and user accounts to be trusted for delegation "Encrypting File System" ile birlikte dosya paylaşım sunucularında kullanılır. Gerekmediği sürece kullanılmamalıdır. Gerekmediği sürece kullanılmamalıdır. Gerekmediği sürece kullanılmamalıdır.
Increase scheduling priority Kullanıcıların bir işin önceliğini arttırması bilgisayarda diğer servislerin durmasına neden olabilir. Administrator Administrator Administrator
Load and unload device drivers Kullanıcıların sürücü dosyası olarak truva atı yüklemelerine olanak vermektedir. Administrator Administrator Administrator
Local pages in memory Kullanıcı bu özelliği kullanarak servis durdurma saldırısı yapabilir. - - -
Log on as a service Bağlantı kullanıcıya sistem hakları ile bağlanmaya izin verir. Bu hakları isteyen anti-virüs programları vardır, ancak izlenmesi önemlidir. Gerekli programlar - -
Log on locally Yerel bilgisayardan çalıştırıldığında kullanıcı haklarını artıran programlar vardır. Administrator, Server operators, Backup operators Administrator, Server operators, Backup operators Administrator, İzin verilmiş kullancılar
Replace a process level token Kullancının kendi işleminin önceliğini arttırarak güvenlik kurallarının üstüne çıkma şansı vardır. - - -
Restore files and directories Yedekleme hakkına da aynı anda sahip olan bir kullanıcı yedekleri indirip sistemde açık kapı bırakabilir. Backup operators, ya da bu iş için tanımlanmış bir kullanıcı Backup operators, ya da bu iş için tanımlanmış bir kullanıcı Backup operators, ya da bu iş için tanımlanmış bir kullanıcı
Shut down the system Bilinçsiz bir kullanıcı sistem önemli bir iş yaparken bilgisayarı kapatabilir. Administrator, Server Operators Administrator İzin verilmiş kullanıcılar
Take ownership of files or other objects Kullanıcılar kendilerine ait olmayan dosyaların haklarını elde edebilirler. Administrator Administrator Administrator

Önümüzdeki sayıda gereksiz servislerin kapatılması, güvenlik ayarları ve kayıt dosyasında yapılacak ek güvenlik düzenlemeleri incelenecektir. Ayrıca ek özelliklerden EFS (Encyripted File System) ve SRP (Software Restriction Policies)'den de bu son makalede söz edilecektir.

İbrahim ÇALIŞIR

 
     
  - BAŞA DÖN -