1. GİRİŞ

Günümüzde Internet ağına bağlı bir bilgisayarın çok yoğun tehditlerle karşı karşıya olduğu bilinen bir gerçek. Kullanılan işletim sistemlerinin açıklarından faydalanan virüsler, farklı amaçları olan kötü niyetli kullanıcılar ve benzeri tehditler sürekli olarak kullanıcıların karşısındadır. Üniversite bilgi işlem birimleri olarak özellikle Microsoft Windows işletim sistemleri kullanılan ortamlarda olduğumuz düşünüldüğünde kullanıcıların sürekli olarak bilgisayarlarını son işletim sistemi güncellemeleri yapılmış ve çeşitli güvenlik yazılımları kurulu halde tutmalarını tavsiye etmekteyiz. Ancak herhangi bir Microsoft Windows sürümünün ilk kurulduğunda tüm tehditlere açık olduğu bir gerçektir. Bu durumdaki bir bilgisayarın Internet'e bağlanması, çok hızlı bir şekilde virüs bulaşması ya da farklı yollarla bilgisayara ulaşılması ile sonuçlanacaktır. Bunun sonucunda da bilgisayarını sağlıklı bir şekilde kullanmak isteyen kullanıcı çoğunlukla bilgi işlem personeline başvurmakta ve zaman ve işgücü kaybına neden olmaktadır. Oysaki her kurulumla birlikte o tarihe kadarki işletim sistemlerinin tüm güncellemeleri yapılır ve kullanıcı için gerekli yazılımlar otomatik olarak yüklenirse söz konusu zaman ve işgücü kaybı en aza indirgenebilir.

ODTÜ Bilgi İşlem Daire Başkanlığı olarak, akademik ve idari personelimizin kullanımı amacı ile Windows XP işletim sisteminin mevcut tüm güncellemelerinin otomatik olarak yapıldığı ve kullanıcıların ihtiyaçları olduğu düşünülen kimi yazılımların da otomatik olarak kurulduğu ve kurulum sırasında kullanıcıya zaruri birkaç soru dışında başka hiçbir soru sormayan bir kurulum CD'si hazırlamaktayız. Bu yazının ilk bölümünde söz konusu bu CD'nin ne şekilde hazırlandığı anlatılacaktır. Ardından halen Windows işletim sistemi kullanan bir kullanıcının kullanabileceği ve tüm güncellemeleri ve çeşitli güvenlik ayarlarını otomatik olarak yapan bir güvenlik CD'sinin ne şekilde hazırlanabileceği anlatılacaktır.

Özellikle üniversite gibi çok farklı donanım özelliklerinde bilgisayarların olduğu ve farklı işletim sistemlerinin bir arada kullanıldığı ortamlarda bilgi işlem birimlerinde çalışanların önemli sorunlarından biri de hemen tüm işletim sistemleri için birer kurulum CD'si/DVD'si taşımak ve ihtiyaca göre bunlardan birini kullanmaktır. Bu ve benzeri sorunları çözmek için farklı işletim sistemlerin kurulumlarını bir arada barındıran, hatta aynı işletim sistemi için farklı konfigürasyonlarda kurulum yapılabilmesini sağlayan bir DVD hazırlanabilir. Gelecek sayımızdaki yazımızda ise bu tip bir DVD'nin ne şekilde hazırlanacağı anlatılacaktır.

2. MİCROSOFT WİNDOWS İÇİN KATILIMSIZ KURULUM CD'Sİ HAZIRLAMAK

Tüm güncellemelerin ne şekilde otomatik olarak yüklenebileceğini görmek için öncelikle katılımsız CD'nin ne şekilde hazırlanacağını görmemiz gerekir. Microsoft Windows işletim sistemlerinde kurulum sırasında, kullanıcılara sorulan sorular ve işletim sistemindeki kimi ayarların winnt.sif isimli dosyada tanımlanması durumunda kurulum sırasında söz konusu ayarlar otomatik olarak yapılacak ve bu konu ile ilgili kullanıcıya herhangi bir soru sorulmayacaktır. Söz konusu dosya elle sıfırdan yaratılabileceği gibi Microsoft'un Deployment Tools yazılımı ile otomatik olarak yaratılıp sonradan isteğe göre modifiye edilebilir.

Deployment Tools yazılımı kullanılarak winnt.sif dosyası oluşturulurken bir grafik arayüz yardımı ile kurulum sırasında yapılması istenen ayarlar belirlenir ve bununla ilgili komutlar dosyaya yazılır. Deployment Tools programını kullanırken Şekil-1'de görülen pencerede kurulumun kullanıcıya hiçbir soru sorulmadan mı yapılacağı, yoksa sadece belirlenen kısımların mı otomatikleştirileceği belirlenebilir. ODTÜ Bilgi İşlem Daire Başkanlığı tarafından hazırlanan kurulum CD'sinde kimi ayarlar kullanıcıya sorulmaktadır. Örneğin tüm yerleşkede kurulum yapılırken kullanılacak bir CD'de yönetici şifresinin belirlenmesi, tüm bilgisayarların şifresinin aynı olması ile sonuçlanarak büyük bir güvenlik açığı oluşturacaktır.

Şekil-1

Şekil-2'de görülen ekranda ise her başlık içinde otomatik olarak belirlenmesi istenen ayarlar belirlenerek kolaylıkla bir winnt.sif dosyası oluşturulabilir. Söz konusu dosya, kurulum CD'sinin I386 dizinine kopyalanmalıdır. Daha önce belirtildiği gibi bu dosya üzerinde isteğe göre değişiklikler yapılabilir.

Şekil-2

[Data]      AutoPartition=0 (Windows kurulumunun yapılacağı partitionun seçilebilmesini sağlar değeri 1 olursa kullanıcıya sorulmadan yeterli boş alana sahip olan ilk partitiona kurulum yapılır.)   AutomaticUpdates=Yes (İşletim sisteminin Windows güncellemelerini otomatik olarak yapmasını sağlar. Güvenli bir sistem için mutlaka değeri Yes olmalıdır.) [Unattended]     TargetPath=\WINDOWS (Windows’un kurulacağı dizini belirler.) [GuiUnattended]     AdminPassword=”xxxxx” (Yönetici şifresinin kurulum sırasında kullanıcıya sormadan belirlenmesi isteniyorsa kullanılır.)   TimeZone=130 (Saat dilimini belirtmek için kullanılır. 130 Türkiye’nin yer aldığı saat dilimidir.) [UserData]     ProductKey=xxxxx-xxx (Microsoft tarafından kurulum için verilen kodun girilebileceği kısımdır.)    OrgName="METU" (Yazılıma sahip olan kurumun adının girilebileceği kısımdır.) [params.MS_TCPIP]     DNSSuffixSearchOrder=cc.metu.edu.tr,metu.edu.tr (DNS sunucularının uzantılarını belirler)   DNSServerSearchOrder=xxx.xxx.xxx.xxx (DNS sunucularının IP numaralarını belirler) [Shell]     DefaultStartPanelOff = Yes (Start menüsü için klasik menünün mü, Windows XP menüsünün mü görüleceğini belirler. Yes klasik menüyü belirtir.)   DefaultThemesOff = Yes (Genel görünüm için klasik menünün mü, Windows XP menüsünün mü görüleceğini belirler. Yes klasik görünümü belirler) [GuiRunOnce]     %systemdrive%\install\install.cmd (Bilgisayar açıldıktan sonra kullanıcı herhangi bir işlem yapmadan, sadece bir kez çalışacak dosyayı belirler. Windows güncellemeleri ve diğer programları kurmak için bu dosya kullanılacaktır.)

Aşağıda Microsoft Windows XP için örnek bir winnt.sif dosyası bulunmaktadır:

;SetupMgrTag [Data]     AutoPartition=0     MsDosInitiated="0"     UnattendedInstall="Yes"     AutomaticUpdates=Yes [Unattended]     UnattendMode=DefaultHide     OemSkipEula=Yes     OemPreinstall=No     TargetPath=\WINDOWS     DUDisable = No     EnableBigLBA = Yes [GuiUnattended]     EncryptedAdminPassword=NO     OEMSkipRegional=1     TimeZone=130     OemSkipWelcome=1 [UserData]     ProductKey=xxxxx-xxxxx-xxxxx-xxxxx-xxxxx     FullName="Hasan Nadir Derin"     OrgName="ODTÜ BİDB"     ComputerName=BILGISAYAR [TapiLocation]     CountryCode=90     AreaCode=0 [RegionalSettings]     LanguageGroup=1,6     Language=0000041f [Identification]     JoinWorkgroup=WORKGROUP [Networking]     InstallDefaultComponents=Yes [GuiRunOnce] %systemdrive%\install\install.cmd

winnt.sif dosyasına eklenebilecek tüm özellikler için Deployment Tools ile birlikte gelen yardım dosyaları incelenebilir.

Benzer katılımsız kurulum ayarları Windows 98 ve Windows 2000 için de yapılabilir. Bu ayarların yapılacağı dosyaları oluşturmak için, Windows 2000 için Windows Deployment Tools, Windows 98 için de Microsoft Batch 98 programları kullanılabilir.

2.1. Microsoft Windows kurulumuna Service Pack dosyalarını eklemek:

Hazırlanan kurulum CD'sinin katılımsız olmasının güvenlik açısından tek başına bir getirisi olmadığı için kuruluma, Microsoft tarafından çıkartılan tüm güncellemelerin de otomatik olarak kurulmasını sağlamak gerekir. Bu işlem yapılırken ilk adım o ana kadar çıkmış en son service pack'in kuruluma entegre edilmesi olmalıdır. Örnek olarak Windows XP'yi alırsak, bu işlem için sırasıyla aşağıdaki adımlar izlenmelidir.

1. Üzerinde herhangi bir işlem yapılmamış olan Windows XP CD'sinin bir kopyası yerel diske kopyalanır. (örn: C:\WIN_XP_CD\).
2. Katılımsız CD oluşturulabilmesi için daha önceden hazırlanan winnt.sif dosyası I386 dizini içine kopyalanır.
3. Service Pack 2 dosyası aşağıdaki komut ile kurulum CD'si içine entegre edilir (XPSP2.EXE, service pack 2 olmak üzere):
   C:\ XPSP2.EXE -s:C:\WIN_XP_CD

Bu işlemler yapıldıktan sonra oluşan WIN_XP_CD dizininde oluşan yeni kurulum CD'si service pack 2'yi de içermekte ve kurulum sırasında fazladan bir işlem yapılmasına gerek kalmadan service pack 2'nin de kurulumunu yapmaktadır. Diğer Windows versiyonları için de aynı komutlar kullanılarak kuruluma ilgili service pack'lerin entegre edilmesi mümkündür.

2.2 Microsoft Windows kurulumuna güncelleme dosyalarını eklemek:

Kurulum CD'sine en güncel Service Pack'in entegre edilmesinden sonra halen elimizdeki Windows kurulumu en son haline gelmemiştir. Bunu gerçekleştirebilmek için, en son service pack'in piyasaya sürülmesinden sonra yine Microsoft tarafından yayınlanan kritik güncelleme dosyalarının da kuruluma eklenmesi gerekir. Öncelikle en son service pack çıktıktan sonra Microsoft'un yayınladığı güncellemeler tespit edilerek yerel diske indirilmelidir. Bu işlemden sonra güncellemeleri kurulum sırasında yaptırmanın iki farklı yolu vardır:

Güncellemeleri kuruluma entegre etmek: İndirilen güncelleme dosyası /integrate:path komutu ile birlikte çalıştırılır. Örneğin indirilen güncelleme dosyası WindowsXP-KB891781-x86-ENU.exe ve yerel diskteki kurulum dosyaları C:\WIN_XP_CD dizininde ise kullanılacak komut aşağıdaki gibi olmalıdır:
WindowsXP-KB891781-x86-ENU.exe /integrate:C:\WIN_XP_CD

Güncelleştirmeleri kurulum sonrasında çalıştırmak: Bu işlem için önceki adımlarda bahsedilen winnt.sif dosyasında [GuiRunOnce] bölümünde tanımlanan dosyanın yaratılması ya da içerisinde değişiklik yapılması gerekir. Bu konu bir sonraki ana başlıkta daha detaylı anlatılacaktır.

2.3 Microsoft Windows kurulumu sonrası otomatik olarak yapılacak kurulumlar:

Windows Xp kurulumları için hazırlanan kurulum CD'sinde yanda görülen resimdeki gibi bir dizin yapısı yaratıldığında bu dizinlerin içlerinde yer alan dosyalar, kurulum sırasında aşağıdaki şekilde yerel diske kopyalanırlar:

$Docs: Documents and Settings dizini altına
$Progs:Program Files dizini altına
$$: Windows dizini altına
$1: Windows'un kurulacağı diskin kök dizini altına

Bu durumda winnt.sif dosyasında [GuiRunOnce] bölümüne yazılan %systemdrive%\install\install.cmd komutu, kurulum yapıldıktan sonra Windows'un kurulu olduğu diskte yer alan install\install.cmd dosyasının çalıştırılmasını sağlar. Kurulum sonrası çalışacak tüm programlar bu dosyada belirtilmelidir. Bu dosya ile çeşitli Windows güncellemeleri kurulabileceği gibi diğer programlar da otomatik olarak kurulabilir.

install.cmd dosyasına kurulacak her güncelleme ya da program ile ilgili o güncellemenin ya da programın ne şekilde kurulacağına dair komutlar bulunarak yazılmalıdır. Örneğin Windows güncellemelerinin kuruluma entegre edilmiş olması istenmiyor, sonradan kurulması tercih ediliyorsa aşağıdaki komut kullanılabilir:

start /wait %systemdrive%\install\KB893803.exe /q /n /z

Burada, KB893803.exe dosyası CD'de yer alan $OEM$\$1\install dizininde yer almaktadır ve kurulum sırasında Windows'un kurulu olduğu diskin Install dizinine kopyalanmaktadır. start /wait komutu bu dosyanın çalışması bitmeden diğer dosya ile ilgili komutun çalışmaya başlamamasını sağlar. Ayrıca burada yer alan komutlardan /q, /n ve /z komutları ise sırasıyla kurulumun katılımsız olacağı, kurulum sırasında değişiklik yapılan dosyaların yedeklenmemesini ve yükleme tamamlandıktan sonra bilgisayarın yeniden başlatılmamasını sağlar. Hemen hemen tüm Windows güncellemelerinde bu komutlar kullanılsa da her eklenen yeni güncelleme için hangi komutların kullanılacağını Microsoft'un Internet sitesinden takip etmekte fayda vardır.

Güncelleştirmeler dışında, diğer yazılımlar da benzer şekilde, sessiz kurulum komutları bulunarak kurulabilir. Örneğin ODTÜ'nin lisanslı anti-virüs yazılımlarından McAfee'nin otomatik kurulumu ve güncel virüs tanımlama dosyalarının kurulabilmesi için gereken iki komut aşağıdaki gibidir:

start /wait %systemdrive%\install\McAfee\Setup.exe /QB start /wait %systemdrive%\install\Mcafee\sdat4925.exe /silent

Bu ve benzeri komutlar, ilgili yazılımların kendi web sitelerinden ya da Internet'te yapılacak basit bir arama ile bulunabilir.

Tüm güncelleme ve yazılımların kurulumundan sonra bilgisayarın yeniden başlatılması gerekir. Bu işlem için de install.cmd dosyası içinde aşağıdaki komut kullanılabilir.

shutdown.exe -r -f -t 10 -c "Windows XP 10 saniye sonra yeniden baslatilacak"

Bu komuttaki -r, -f ve -t 10 komutları sırası ile bilgisayarın kapatıldıktan sonra yeniden başlatılacağı, o an çalışan proseslerin tümünün onaylama beklenmeden sonlandırılacağı ve bu işlemin 10 saniye sonra olacağını belirler. -c komutu ise kullanıcıya bilgi vermek amacı ile kullanılır.

Örnek bir install.cmd dosyası aşağıda verilmiştir:

CLS @echo off ECHO Removal Tool kuruluyor... ECHO Lutfen bekleyiniz... start /wait %systemdrive%\install\hotfixes\Windows-KB890830-V1.5-TRK.exe /q ECHO Windows Installer 3.1 kuruluyor... ECHO Lutfen bekleyiniz... start /wait %systemdrive%\install\KB893803.exe /q /n /z ECHO VIRUS Scan 8.0i kuruluyor... ECHO Lutfen bekleyiniz... start /wait %systemdrive%\install\VSE80iLEN\Setup.exe /QB ECHO VIRUS Scan Guncellemeleri kuruluyor... ECHO Lutfen bekleyiniz... start /wait %systemdrive%\install\VSE80iLEN\sdat4517.exe /silent ECHO Acrobat Reader 6.02 kuruluyor... ECHO Lutfen bekleyiniz... start /wait %systemdrive%\install\Acrobat_Reader\AdbeRdr602_tur_full.exe -p"-s /v\"/qn\"" ECHO Adaware SE 1.0.5 kuruluyor... ECHO Lutfen bekleyiniz... start /wait %systemdrive%\install\Adaware\aawsepersonal.exe /s taskkill /IM hh.exe /F taskkill /IM Ad-Aware.exe /F xcopy /Q /I /E /Y %systemdrive%\install\Adaware\defs.ref "%systemdrive%\Program Files\Lavasoft\Ad-Aware SE Personal" ECHO Guvenlik Ayarlari yapiliyor.. ECHO Lutfen bekleyiniz... start /wait %systemdrive%\install\0403181042.exe ECHO Windows XP yeniden baslatiliyor... shutdown.exe -r -f -t 10 -c "Windows XP 10 saniye sonra yeniden baslatilacak" EXIT

3. GÜVENLİK AYARLARI

Öncelikle virüslerin network içerisinde sürekli yayılma isteğinde olduğu bilinmelidir. Standart bir Windows XP isletim sistemi kurulumundan sonra, güncellemelerin yapılmamış olmasından dolayı virüslerin bilgisayara girebilme şansı çok yüksektir. Bu bilgisayarlar intenet ağına bağlandıkları anda çeşitli virüs ve güvenlik saldırılarına maruz kalırlar. ODTÜ yerleşkesi içinde bu tür bilgisayarlara giren virüslerin yayılmasını önlemek amacı ile standart windows XP kurulumundan sonra çevrimdışı (internete veya ağa bağlantısı olmadan) olarak işletim sistemi güncellemelerini, kullanılan antivirüs programının güncellemelerini otomatik olarak yapan bir CD hazırlanmıştır.

Güvenlik CD'si içeriği:

- SP2 (Service pack 2 dosyalarının bulunduğu klasör)
- Updates (Windows XP İşletim sistemi güncellemelerinin bulunduğu klasör)
- FixTools (Çeşitli virüsler için özel hazırlanmış araçlar)
- McAfee (Antivirüs programı)
- Symantec Norton (Antivirüs programı)
- XP_ENinstall.bat (Otomatik ayar yapan betik-ENG)
- XP_TRkur.bat (Otomatik ayar yapan betik -TR)

Öncelikle güvenli bir bilgisayar isteniyorsa şu bilinmelidir ki: Bilgisayarda kullanılan temeli oluşturan işletim sistemi sağlam olmalıdır. Eğer temel bozuksa üstüne inşaa edilen yapı da sağlam olamayacaktır. Örnek olarak, Windows XP işletim sistemi kurulduktan sonra bilgisayar dış saldırılara olanak sağlayan açıklar içerir. Kullanılacak olan antivirüs programları yalnızca bozuk temele sahip işletim sistemi üstüne koruma programı kurmak demektir. Bu yeterli güvenliği sağlayamaz. Yapılması gereken işletim sisteminin açıklarını kapatmaktır. Öncelikle güncellemeleri yapılmalı, daha sonra da kurulumdan sonra standart olarak çalışır halde olan zararlı olabilecek servis ya da uygulamaları durdurmak gerekir.

Saldırılarda Çok Kullanılan Portlar:

135: DCOM servisi, SCM (Service Control Manager)
137: Netbios Name Service
138: Netbios Datagram Service
139: Netbios Session Service
445: Microsoft Directory Service
1024 den büyük olan portlar: Çeşitli trojan, virüs ve 3. parti yazılımların kullanabildikleri portlar.

Bu portları kapatabilmek için bazı servis ya da servisleri kapatmak, Windows'un kayıt defterinde bazı değişiklikler yapmak gerekmektedir.

135: DCOM Servisinin kullandığı porttur. Bu portu kapatmak için DCOM Servisini durdurmak gerekir. Bu işlem için

START-->RUN-->services.msc

Bilgisayarda çalışan servislerin içinden "DCOM Server Process Launcher" isimli servis durdurulur.

137: Netbios Name Servisinin kullandığı porttur. Bu portu kapatmak için DCOM servisi durdurulmalıdır.
138: Netbios Datagram servisinin kullandığı porttur. Bu portu kapatmak için DCOM servisi durdurulmalıdır.
139: Netbios Session Servisinin kullandığı porttur. Bu portu kapatmak için:

START --> Control Panel --> Network Connections --> Local Area Connections (Properties) --> Internet Protocol (TCP /IP) (Properties)

Bu pencereden gelişmiş seçenekler açılır. "Wins" sekmesinde NETBIOS Over TCP/IP iptal edilir.
445: Microsoft Directory Servisinin kullandığı servistir. Bu portu kapatmak için Kayıt defterinde aşağıdaki ayarı yapmak gerekir.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]

Klasöründe "SmbDeviceEnabled" değeri "0" yapılır.

Bir sonraki sayımızda farklı işletim sistemlerini barındıran bir çoklu ortam DVD'sinin nasıl hazırlanabileceği anlatılacaktır.

Akademik Bilişim 2007 Konferansında sunulmuştur.

Selçuk Han Aydın - Ulaş Canatalı - Hasan Nadir Derin