Windows 2000 / XP Masaüstü Bilgisayar Güvenliği - 3
 
 Editör'den
 Linux Çekirdeği
 PKI Nedir?
 Windows Güvenliği - III
 Kullanıcı Hataları
 ODTÜ Antivirüs  Çözümleri
 Web Tarayıcıları
 Internet Tabanlı CBS ile  Planlama
 CISN Arşiv
 Anket
 Geribildirim
 
     
 

Bu sayıda Windows işletim sistemi güvenliği ile ilgili yazının son bölümüne geldik. Bu bölümde gereksiz servislerin kapatılması, kullanıcı haklarını düzenlenmesi, kayıt dosyalarında gerçekleştirilecek değişiklikler ve en son olarak da EFS (Encyripted File System) ve SRP (Software Restriction Policies) konularından bahsedeceğiz.

Servisler:

Aşağıdaki liste genellikle masaüstü bilgisayarlarda kullanılmayan servisleri içermektedir. Özellikle kullanılmayacaksa kapatılması önerilmektedir.

Alert: İşlemler arasında bilgisayar kullanıcısına ilgili işlemle ilgili mesaj gönderen bir servistir.

Clipbook: "Clipboard" (bilginin geçici olarak yüklendiği bellek alanı) bilgilerin ağ üzerinden paylaşılmasını sağlamaktadır.

Computer Browsing Service: Ağ paylaşımlarından ağdaki bilgisayarların ve paylaştırdıkları bilgilerin görüntülenmesini sağlayan servistir. Kapatıldığı zaman kullanıcının ilgili paylaşımın kaynağını bilmesi ve Explorer penceresinden yazarak ulaşması gerekmektedir.

Fax Service: Faks almayı sağlayan servistir.

FTP Publishing Service: IIS (Internet Information Server) içinde bulunan bir servistir. Varsayılan olarak yüklenmez. Masaüstü bilgisayarların dosya paylaşımların ISS'in kullandığı bir FTP sunucudan yapması önerilmemektedir.

ISS Admin Service: ISS servislerine uzaktan erişim sağlar. Masaüstü bilgisayarlarda bulunmaması gereken bir servistir.

Internet Connection Sharing: Internet'e bağlı bilgisayarın ağ geçidi olarak çalışmasını sağlayan servistir. Yerleşkemizde gerçek IP kullanımı önerilmektedir.

Messenger: Alert servisi ile birlikte çalışan, mesajları birçok bilgisayara gönderen servistir.

NetMeeting Remote Desktop Sharing: Sistem yöneticileri tarafından kullanılan bir servistir.

Routing and Remote Access: Bir ağdaki bilgisayarların başka bir ağdaki bilgisayarlara erişmesine yardımcı olan ya da uzaktan erişim sunucusu olarak kullanıcılacak bilgisayarda çalışan servistir. Masaüstü bilgisayarlarda kullanıcıların ihtiyacı yoktur.

Simple Mail Transfer Protocol (SMTP): Masaüstü bilgisayarlar e-posta sunucusu olarak kullanılmamalıdır. ISS paketi ile gelen bu özellik kapatılmalı, hatta tamamen kaldırılmalıdır.

Simple Network Management Protocol (SNMP) Service: Ağ cihazların uzaktan erişim ile yönetilmesini sağlayan protokoldür. Ancak son zamanlarda birçok açığı ortaya çıkan bu protokolün, kullanmak zorunda olanlar dışında kapatılması önerilmektedir.

Simple Network Management Protocol (SNMP) Trap: SNMP servisinin iletişim kuracağı cihazda çalışması gereken servistir. Kullanılmıyorsa kapatılması önerilmektedir.

Telnet: Genelde masaüstü bilgisayarlarda varsayılan olarak aktif çalışır durumda olmayan servis ağ cihazların komut satırından uzaktan yönetilmesini sağlamaktadır. Ancak kullanıcı adı ve parola ikilisini ve diğer bilgileri düz metin olarak iletmesi nedeniyle önerilmemektedir.

World Wide Web Publishing Service: En çok saldırıya uğrayan ve en çok açığı olan Microsoft servisidir. Varsayılan olarak aktif çalışır olmayan servis masaüstü bilgisayarlardan tamamen kaldırılması önerilmektedir. Sunucu nitelikli bilgisayarlarda da daha gelişmiş web sunucular önerilmektedir.

Regedit (kayıt) dosyasında yapılacaklar:

Aşağıda yer alan değerler önerilen değerlerdir. Bu konuda daha geniş bilgi için SANS Security Baseline belgelerine bakılması önerilmektedir.

  • HKLM\Software\Microsoft\DrWatson\CreateCrachDump (REG_DWORD) 0
  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\AEDebug\Auto (REG_DWORD) 0
  • HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun (REG_DWORD) 255
  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\AutoAdminLogon (REG_DWORD) 0
  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\DontDisplayLastUserName (REG_SZ) 1
  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SFCDisable (REG_DWORD) 4
  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SFCDScan (REG_DWORD) 1
  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SFCShowProgress (REG_DWORD) 0
  • HKLM\System\CurrentControlSet\Control\CrashControl\AutoReboot (REG_DWORD) 0
  • HKLM\System\CurrentControlSet\Services\CDrom\AutoRun (REG_DWORD) 0
  • HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareWks (REG_DWORD) 0
  • HKLM\System\CurrentControlSet\Services\MrxSmb\Parameters\RefuseReset (REG_DWORD) 1
  • HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\DisableIPSoureceRouting (REG_DWORD) 2
  • HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\EnableDeadGWDetect (REG_DWORD) 0
  • HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\EnableICMPRedirect (REG_DWORD) 0
  • HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\EnablePMTUDiscovery (REG_DWORD) 1
  • HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\KeepAliveTime (REG_DWORD) 300000
  • HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\PerformRouterDiscovery (REG_DWORD) 0
  • HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtect (REG_DWORD) 2
  • HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpen (REG_DWORD) 100
  • HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpenRetired (REG_DWORD) 80
  • HKLM\System\CurrentControlSet\Services\Netbt\Parameters\NoNameReleaseOnDemand (REG_DWORD) 1
  • HKLM\System\CurrentControlSet\Services\IPSEC\NoDefaultExpemt (REG_DWORD) 1

    EFS (Encrypted File System):

    Şu ana kadar ağ üzerinden gelebilecek saldırılara karşı birçok önlem hakkında bilgi verildi. Bu bölümde ise bilgisayarın başına oturacak kötü niyetli kişilerden bilgisayardaki verileri korumak için yapılabileceklerden bahsedeceğiz.

    EFS dosyaların şifrelenmiş olarak sabit diskte saklanmasını sağlayan WindowsXP işletim sistemlerinde bulunan bir özelliktir. Public key şifreleme sistemine göre çalışan mekanizmada yönetici haklarına sahip olmak şart değildir. EFS kullanılarak dizin şifrelemek için kullanıcı kendi sertifikalarından ya da Windows XP tarafından o anda oluşturulacak sertifikadan yararlanabilir. Şifrelenmiş dizin içindeki alt dizinlerde bulunan dosyalar ve dizine kopyalanacak dosyalar da aynı anahtarla şifrelenir (EFS işlemleri dizin bazında yapılabilir). Dizini şifrelemek için kullanıcının dizinin "Özellikler" (Properties) kısmından "Gelişmiş" (Advanced) düğmesine basarak ulaşacağı pencerede “Veri korumak için içeriği şifrele” seçeneğini işaretlemesi gerekmektedir.

    Şifrelenmiş dizine sadece şifreleyen kullanıcı ve varsayılan olarak yöneticinin üyesi olduğu bilgi kurtarma ajanları ulaşabilir. Kullanıcı profilinin bozulması, yönetici tarafından kullanıcı parolasının değiştirilmesi ve kullanıcıya ulaşılamayacak anda oluşan acil durumda, bilgi kurtarma ajanları şifrelenmiş dizine erişebilir.

    SRP (Software Restriction Policies):

    Yöneticinin bir domain'de ya da masaüstü bilgisayarda hangi programların çalışmasına izin vereceğini belirlemeye yarayan Windows XP işletim sistemi özelliklerinden birisidir.

    SRP kurallarına "Yerel Güvenlik İlkesi" (Local Security Policy) içinden ulaşılır. Poliçenin varsayılan kuralı "unresticted" (kısıtlamasız) olarak belirlenmiştir (her programın çalışmasına izin verir). Yönetici, yaklaşımına göre poliçeyi "disallow" (izin verilmeyen) olarak değiştirebilir. SRP'de iki yaklaşım içinde program çalıştırılması kontrol edilir:

    1. Sadece güvenilir kodların çalışması: Tüm güvenilir programlar ve onların ilintili olduğu program parçacıklarının belirlenebildiği durumlarda uygulanan yöntemdir. Genelde;

  • İş istasyonları
  • Uygulama noktası PC'leri
  • Kiosk PC'ler
    amacıyla hazırlanmış bilgisayarlarda uygulanacak yöntemdir. Örneğin bir yönetici sadece Internet Explorer programının çalışmasına izin verebilir, bu durumda kullanıcı, bilgisayarda başka bir program çalıştırmayı denediğinde, izini olmadığına dair bir mesaj alacaktır.

    2. İstenmeyen kodların çalıştırılmaması: Yönetici tarafından kısıtlanması gerekmeyen bilgisayarlarda istenmeyen programların çalışmasını engellemek amacıyla uygulanacak politikadır. Örneğin dosya paylaşım programlarının kullanımını istemeyen bir yönetici bunu poliçeler ile tanımlayabilir.

    Yazılım tanımlama kuralları:

    1. Karam (Hash) kuralı: Yazılımın dijital parmak izine bakılarak tanımlama yapılır. Çalıştırılabilir dosya başka bir dizine de taşınsa yöneticinin belirlediği kurallara bağlı kalacaktır.

    2. Yol (Path) kuralı: Yazılımın dizin yapılanmasındaki konumuna göre belirlenen kuraldır. Çalıştırılabilir dosya başka bir dizine taşındığında kural geçersizdir.

    3. Sertifika kuralı: Yayımcısının sertifikasına bağlı olarak belirlenen kuraldır. Çalıştırılabilir dosya bulunduğu dizinden bağımsızdır.

    4. Alan (zone) kuralı: Internet üzerinde hangi alandan (Internet, yerel ağ, güvenilir siteler, yasak siteler) geldiğine bağlı olarak belirlenen kuraldır.

    Kurallar belirlenirken dikkat edilecek noktalardan birisi belirtilen program çalışırken arkada başka program parçacıkları ile ilintili işler yapıp yapmadığıdır. Kullanıcıya sadece belirili programlar kullanımına izin verildiği durumda daha çok önem kazanmaktadır. Test aşamasında msinfo.exe programı ile çalışan görevler takip edilir ve uygun olanlar hakkında kurallar belirlenir.

    İbrahim ÇALIŞIR

  •  
         
      - BAŞA DÖN -