Windows işletim sistemi güvenlik yapılandırması kritik önem taşıyan konulardan biridir. Windows’u doğru bir şekilde yapılandırmak için kullanılan aşamalar (Windows 7, 8, 10 ve Sunucu Sürümleri) birçok noktadan oluşmaktadır. Gereksiz hizmetleri devre dışı bırakmalı, kayıt defterini düzgün yapılandırmak, güvenlik duvarını etkinleştirmek, tarayıcıyı sıkılaştırmaları ve daha pek çok şey bu noktalar için sıralanabilir.
Daha önce, güvenlik duvarı kavramlarını ve durum bilgisi olan paket denetimi ve durum bilgisi bulunmayan paket denetimi süreçlerini blogumuzda yer vermiştik. Bu yazımızda ise Windows güvenlik yapılandırmasındaki diğer önemli faktörlere dikkat çekeceğiz.
Windows Güvenlik Yapılandırmaları
Hesaplar, Kullanıcılar, Gruplar ve Parolalar
Bir Windows işletim sistemi belirli varsayılan kullanıcı hesapları ve gruplarıyla birlikte gelir. Bu hesaplar genellikle sistemlere yetkisiz erişim sağlamak, parolaları kırmak ve sunucuya veya ağa giriş yapmak isteyen davetsiz misafirler için bir başlangıç noktası olacaktır. Bu noktada varsayılan hesaplardan bazılarını yeniden adlandırmak veya devre dışı bırakmak güvenliğinizi elbette ki artıracaktır.
Windows 7 veya 8’de, Başlat, Ayarlar, Denetim Masası, Kullanıcılar ve Gruplar’a giderek kullanıcı hesaplarını bulabilirsiniz. Windows 10’da ise Başlat, Ayarlar ve Hesaplar bölümünde yer almaktadır.
Yönetici Hesapları
Varsayılan yönetici hesabının yönetici ayrıcalıkları vardır ve bilgisayar korsanları genellikle bir yönetici hesabı için oturum açma bilgileri edinmeye çalışır. Windows üzerinde oturum açmak için, önce kullanıcı adını ve ardından şifreyi tanımlamanız ve bu noktada iki adımlı bir işlem kullanmanızı gerektirir. Elbette ki varsayılan hesaplar, bilgisayar korsanının bu işlem sırasında ilk adımı atlamasına izin verir. Genellikle sistem yöneticileri bu hesapları devre dışı bırakır.
Sunucunuzun bakımı için yönetici ayrıcalıklarına sahip bir hesabınızın olması gerekir. Bir sonraki adım, standart bir hesap yerine farklı bir kullanıcı adıyla yeni bir hesap eklemek ve bu hesaba yönetici ayrıcalıkları vermek olmalıdır. Bunu yapmak bir bilgisayar korsanının görevini zorlaştırır, çünkü o hesabı ele geçirmek veya parolasını kırmak için öncelikle hangi hesabın gerçekte yönetici ayrıcalıklarına sahip olduğunu keşfetmesi gerekir. Bu da işini zorlaştıracaktır.
Diğer Hesaplar
Yönetici hesabı bilgisayar korsanları tarafından en çok hedeflenen hesaptır, ancak Windows diğer varsayılan kullanıcı hesaplarını da içerir. Tüm varsayılan hesaplara eşit derecede talepkar bir davranış uygulamak iyi bir fikirdir. Herhangi bir hesap, bir bilgisayar korsanının bir sistemin güvenliğini aşması için bir ağ geçidi haline gelebilir. Dikkat etmeniz gereken hesaplar ise aşağıdaki gibi sıralanabilir.
- IUSR_Machine name: IIS çalıştırırken, IIS için varsayılan bir kullanıcı hesabı oluşturulur. Adı IUSR_ ve makinenizin ismidir. Bu, bir bilgisayar korsanının uzlaşmaya çalıştığı ortak bir hesaptır.
- ASP.NET: Makinenizde ASP.NET çalışıyorsa, web uygulamaları için varsayılan bir hesap oluşturulur. .NET’e aşina bir hacker bu hesabı hedefleyebilir.
- Veritabanı hesapları: SQL Server gibi birçok ilişkisel veritabanı yönetim sistemi varsayılan kullanıcı hesapları oluşturur. Bir davetsiz misafir, özellikle de verilerinize ulaşmak isteyen biri, bu hesapları hedefleyebilir.
Yeni hesap eklerken, her zaman hesabın kullanıcısına veya grubuna, BT personeli için hesaplar olsa dahi işlerini gerçekleştirmek için gereken en az sayıda ve türde ayrıcalık vermek en güvenli yoldur.
Aşağıda bazı örnekler verilmiştir:
- Bir PC teknisyeninin veritabanı sunucusunda yönetici haklarına ihtiyacı yoktur. BT departmanına ait olmasına rağmen, o departmandaki her şeye erişmesi doğru olmayacaktır.
- Yöneticiler web sunucusunda bulunan uygulamaları kullanabilir, ancak bu sunucu üzerinde tam yetkili hakları olması doğru değildir.
- Bir programcının sunucuda çalışan uygulamalar için geliştirme yapması, o sunucuda tüm haklara sahip olması gerektiği anlamına gelmez.
Bunlar kullanıcı haklarını ayarlarken göz önünde bulundurulması gereken örneklerden birkaçı olarak sıralanabilir.
Her zaman ilgili kişinin işini yapması için gereken en az erişimi verilmelidir. Bu kavrama genellikle en az ayrıcalık prensibi denir ve güvenliğin temel taşıdır.
Windows Güvenlik Politikalarını Belirleme
Uygun güvenlik ilkeleri belirlemek, bir Windows sunucusunu sıkılaştırmada bir sonraki kritik bir adımıdır. Bu adım bir kuruluşun güvenlik standartları ve prosedürleri ile ilgili sahip olabileceği yazılı politikaları ifade etmez. Güvenlik politikaları terimi her bir makinenin kendi içerisinde yer alan politikalarını ifade eder.
İlk endişe konusu güvenli şifre politikaları belirlemektir. Windows parolaları için varsayılan ayarlar güvenli değildir. Aşağıdaki tablo varsayılan şifre politikalarını göstermektedir. Maksimum şifre yaşı, kullanıcı bu şifreyi değiştirmeye zorlanmadan önce bir şifrenin ne kadar etkili olduğunu ifade eder.
Parola geçmişini zorunlu kılma, sistemin önceki kaç parolayı hatırladığı anlamına gelir ve böylece kullanıcının parolaları yeniden kullanmasını önler. Minimum şifre uzunluğu, bir şifre için izin verilen minimum karakter sayısını tanımlar. Elbette ki bu işlemleri zorlamak, çoğu zaman iş yapılabilirliği engelleyecek hale gelebilir. Politikaları belirlerken iş sürekliliğini de düşünmek gerekir.
Parola karmaşıklığı, kullanıcının sayıları, harfleri ve diğer karakterleri birleştiren bir parola kullanması gerektiği anlamına gelir. Bunlar, Windows NT 4.0 ve ileriye doğru tüm Windows sürümleri için varsayılan güvenlik ayarlarıdır. Sisteminiz bir iş ortamında korunuyorsa, Yerel Güvenlik’teki ayarlar devreye girerek değişiklik yapma izniniz olmadığını gösterebilir.
Politika | Öneri |
Şifre geçmişini zorla | 1 şifre |
Maksimum şifre yaşı | 42 gün |
Minimum şifre yaşı | 0 |
Minimum şifre uzunluğu | 0 |
Parolalar karmaşıklık gereksinimlerini karşılamalıdır | Engelli |
Alan adındaki tüm kullanıcılar için geri dönüşümlü şifreleme kullanarak şifre saklama | Engelli |
Varsayılan şifre politikaları yeterince güvenli değildir, bunun yerine hangi politikaları kullanmalısınız? Farklı uzmanlar bu soruyu farklı cevaplar. Aşağıdaki tabloda, Microsoft ve Ulusal Güvenlik Ajansı NSA‘nın önerileri sıralanmıştır.
Politika | Microsoft, | NSA |
Şifre geçmişini zorla | 3 şifre | 5 şifre |
Maksimum şifre yaşı | 42 gün | 42 gün |
Minimum şifre yaşı | 2 gün | 2 gün |
Minimum şifre uzunluğu | 8 karakter | 12 karakter |
Parolalar karmaşıklık gereksinimlerini karşılamalıdır | Öneri yok | Evet |
Alan adındaki tüm kullanıcılar için geri dönüşümlü şifreleme kullanarak şifre saklamak | Öneri yok | Öneri yok |
Uygun şifre politikalarının geliştirilmesi büyük ölçüde ağ ortamınızın gereksinimlerine bağlıdır. Ağınız son derece hassas verileri depolayıp işliyorsa ve bilgisayar korsanları için çekici bir hedefse, politikalarınızı ve ayarlarınızı her zaman daha fazla güvenliğe doğru eğmeniz gerekir. Ancak, güvenlik önlemleri çok karmaşıksa, kullanıcılarınızın bu noktada zorlanacağını da unutmamalısınız. Örneğin, çok uzun, karmaşık şifreler (+%&//(6865Vgddw^%46 gibi) ağınızı oldukça güvenli hale getirir. Ancak bu tür şifreleri kullanıcıların hatırlaması neredeyse imkansızdır.
Hesap Kilitleme Politikaları
Yerel Güvenlik Ayarları iletişim kutusunu açtığınızda, seçenekleriniz parola ilkeleri ayarlamakla sınırlı değildir. Ayrıca hesap kilitleme politikaları da belirleyebilirsiniz. Bu politikalar, bir kullanıcının kilitlenmeden önce kaç kez oturum açmaya çalışabileceğini ve ne kadar süreyle kilitleneceğini belirler. Varsayılan Windows ayarları aşağıdaki tabloda gösterilmektedir.
Politika | Varsayılan ayarları |
Hesap kilitleme süresi | Tanımlanmamış |
Hesap kilitleme eşiği | 0 geçersiz oturum açma denemesi |
Sonrasında hesap kilitleme sayacını sıfırla | Tanımlanmamış |
Bu varsayılan ilkeler güvenli değildir. Esasen, sonsuz sayıda giriş denemesine izin vererek, şifre kırıcıların kullanımını çok kolay hale getirir ve birisinin en sonunda bir veya daha fazla şifreyi kıracağını ve sisteminize erişeceğini garanti edebiliriz. Aşağıdaki tablo Microsoft ve Ulusal Güvenlik Ajansı’nın önerilerini sunmaktadır.
Politika | Microsoft, | NSA |
Hesap kilitleme süresi | 0, belirsiz | 15 saat |
Hesap kilitleme eşiği | 5 deneme | 3 deneme |
Sonra hesabı sıfırla | 15 dakika | 30 dakika |
Kayıt Defteri Ayarları
Windows Kayıt Defteri, Microsoft Windows işletim sistemlerinde ayarları ve seçenekleri depolamak için kullanılan bir veritabanıdır. Bu veritabanı, belirli bir bilgisayardaki tüm donanım, yazılım, kullanıcılar ve tercihler için kritik bilgiler ve ayarlar içerir. Kullanıcılar her eklendiğinde, yazılım yüklendiğinde veya sistemde başka herhangi bir değişiklik yapılırsa (güvenlik ilkeleri dahil), bu bilgiler kayıt defterinde depolanır.
Güvenli kayıt defteri ayarları, bir ağın güvenliğini sağlamak için çok önemlidir. Ne yazık ki, bu alan genellikle göz ardı edilir. Akılda tutulması gereken şey ise, kayıt defterinde ne yaptığınızı bilmiyorsanız, ciddi sorunlara neden olabileceğinizdir. Kayıt defterine aşina değilseniz, dokunmayın. Kayıt defteri değişiklikleri yapmakta rahat olsanız bile, herhangi bir değişiklikten önce kayıt defterini yedeklemeniz tavsiye edilir.
Kayıt Defteri ile İlgili Temel Bilgiler
Kayıt defterini oluşturan fiziksel dosyalar, kullandığınız Windows sürümüne bağlı olarak farklı şekilde depolanır. Windows’un eski sürümleri (Windows 95 ve 98), kayıt defterini Windows dizininizde USER.DAT ve SYSTEM.DAT adlı iki gizli dosyada tutmaktaydı. Windows XP’den bu yana Windows’un tüm sürümlerinde, kayıt defterini oluşturan fiziksel dosyalar % SystemRoot% \ System32 \ Config içinde depolanır. Windows 8’den beri dosyaya ntuser.dat adı verilmiştir.
Kullandığınız Windows sürümü ne olursa olsun, bu dosyaları açıp düzenleyerek kayıt defterini doğrudan düzenleyemezsiniz. Bunun yerine, herhangi bir değişiklik yapmak için regedit.exe aracını kullanmanız gerekir. Regedit32 gibi yeni araçlar da kullanılabilir. Ancak, birçok kullanıcı, eski regedit’in kayıt defterini aramak için daha kullanıcı dostu bir “bul” seçeneğine sahip olduğu için bu araçları kullanır. Elbette ki size uygun olanını seçebilirsiniz.
Kayıt defteri “veritabanı” olarak adlandırılsa da, aslında ilişkisel bir veritabanı yapısına (MS SQL Server veya Oracle’daki bir tablo gibi) sahip değildir. Kayıt defteri, sabit diskteki dizin yapısına benzer bir hiyerarşik yapıya sahiptir. Aslında, regedit kullandığınızda, Windows Gezgini gibi organize edildiğini göreceksiniz.
Kayıt defterini görüntülemek için Başlat, Çalıştır’a gidin ve regedit yazın.
Kayıt defteri beş ana klasörden oluşur. Bir sistemin / uygulamanın eklemeleri olabilir, ancak bunlar sisteminizin çalışması için gerekli bilgileri içeren birincil klasörlerdir.
- HKEY_CLASSES_ROOT: Burası, tüm dosya ilişkilendirme türlerinizi, OLE bilgilerinizi ve kısayol verilerinizi içerir.
- HKEY_CURRENT_USER: HKEY_USERS adlı bilgisayarda şu anda oturum açmış olan kullanıcı için uygun olan bölüme bağlanır.
- HKEY_LOCAL_MACHINE: Belirli bir bilgisayardaki donanım, yazılım ve diğer tercihler hakkında bilgisayara özgü bilgiler içerir.
- HKEY_USERS: Bilgisayarın her kullanıcısı için ayrı ayrı tercihler içerir.
- HKEY_CURRENT_CONFIG: HKEY_LOCAL_MACHINE ürününün geçerli donanım yapılandırmasına uygun bölümüne bağlanır.
Bir dalı genişletirseniz, alt klasörlerini görürsünüz. Bunların çoğunda, belirli bir girişe ulaşmadan önce muhtemelen dört veya daha fazla sayıda alt klasör bulunur. Windows Kayıt Defterindeki belirli bir girişe anahtar denir. Anahtar, sisteminizin belirli bir yönüne ilişkin ayarları içeren bir girdidir. Kayıt defterini değiştirirseniz, aslında belirlenen değerin ayarlarını değiştirirsiniz.
Boş Oturumların Erişimini Kısıtlamak
Boş oturumlar, bilgisayardaki çeşitli paylaşımlardan yararlanılabilecek önemli bir zayıflıktır. Boş oturum, Windows’un anonim bağlantıları belirlemenin yoludur. Herhangi bir sunucuya anonim bağlantı yapılmasına her izin verdiğinizde, önemli güvenlik riskleri davet etmiş olabilirsiniz. Sunucu hizmetinin sistem hesabında kullanıcı adı ve parola kimlik doğrulaması olmadan oturum açmış olan istemcilere erişimi kısıtlayıp kısıtlamadığını belirlemek için boş oturum paylaşımlarını açıp kapatan bir kayıt defteri değeri olan RestrictNullSessAccess ekleyerek bilgisayardaki paylaşımlara null oturum erişimini değiştirin . Değerin “1” olarak ayarlanması, kimliği doğrulanmamış kullanıcılar için NullSessionPipes ve NullSessionShares girdileridir.
Anahtar Yolu: HKLM \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer
Eylem: Ayarlandığından emin olun: değer = 1
Adlandırılmış Kanallar Üzerinde Boş Oturum Erişimini Kısıtla
Önceki null oturum kayıt defteri ayarıyla aynı nedenden ötürü değiştirilmelidir. Bu tür erişimi kısıtlamak, ağ üzerinden yetkisiz erişimi önlemeye yardımcı olur. Null oturum erişimini adlandırılmış yöneltmeler ve paylaşılan dizinler üzerinden kısıtlamak için kayıt defterini düzenleyin ve değerleri aşağıda gösterildiği gibi anahtarı silin.
Anahtar Yolu: HKLM \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer
Eylem: tüm değerleri sil
Anonim Erişimi Kısıtla
Anonim erişim kayıt defteri ayarı, anonim kullanıcıların etki alanı kullanıcı adlarını listelemelerini ve paylaşım adlarını numaralandırmasını sağlar. Kapatılmalıdır.
- 0 – İsimsiz kullanıcılara izin ver
- 1 – Anonim kullanıcıları kısıtla
- 2 – Açık anonim izinlere sahip kullanıcılara izin ver
Anahtar Yolu: HKLM \ SYSTEM \ CurrentControlSet \ Control \ Lsa
Eylem: Set Value = 2
Kayıt Defterine Uzaktan Erişim
Kayıt defterine uzaktan erişim, bilgisayar korsanları için bir başka potansiyel açılıştır. Windows XP kayıt defteri düzenleme araçları varsayılan olarak uzaktan erişimi destekler, ancak yalnızca yöneticilerin kayıt defterine uzaktan erişimi olmalıdır. Neyse ki, Windows’un sonraki sürümleri bunu varsayılan olarak kapattı. Aslında, bazı uzmanlar herhangi bir kişi için kayıt defterine uzaktan erişim olmaması gerektiğini tavsiye etmektedir.
Yöneticilerinizin kayıt defteri ayarlarını uzaktan sık sık değiştirmeleri gerekiyorsa, bunlara uzaktan erişimi tamamen engellemek, bu yöneticilerin verimliliğinde bir azalmaya da sebep olacaktır. Ancak, kayıt defterine uzaktan erişimi tamamen engelleme kesinlikle ve kesinlikle daha güvenlidir.
1 . Kayıt defterine aşağıdaki anahtarı ekleyin: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurePipeServers \ winreg.
2. Winreg’i seçin, Güvenlik menüsünü ve ardından İzinler’i tıklatın.
3. Yöneticinin iznini Tam Denetim olarak ayarlayın, listelenen başka kullanıcı veya grup olmadığından emin olun ve ardından Tamam’ı tıklatın.
Önerilen Değer = 0
Hizmetler
Hizmet, bilgisayar kullanıcısının doğrudan müdahalesi olmadan çalışan bir programdır. Unix / Linux ortamlarında bunlara cinler denir. Bilgisayarınızdaki birçok öğe hizmet olarak çalıştırılır. Internet Information Services, FTP Hizmeti ve birçok sistem hizmeti birer örnektir. Çalışan her hizmet, bir bilgisayar korsanı için potansiyel bir başlangıç noktasıdır. Açıkçası, bilgisayarınızın gerekli işlevlerini yerine getirebilmesi için çalışan bazı servislerinizin olması gerekir. Ancak, makinenizin kullanmadığı hizmetler vardır. Bir hizmet kullanmıyorsanız, hizmet kapatılmalıdır.
Şifreleme Dosya Sistemi
Windows 2000’den başlayarak, Windows işletim sistemi, ortak anahtar şifrelemesine dayanan ve Windows 2000’deki CryptoAPI mimarisinden yararlanan Şifreleme Dosya Sistemi’ni (EFS) sundu.
Bu hala Windows 7, 8 ve 10’da var; ancak, Windows’un sonraki sürümlerinde, EFS yalnızca Windows’un Windows Professional gibi üst düzey sürümlerinde kullanılabilir. Bu sistemle, her dosya, bir kullanıcının genel / özel anahtar çiftinden bağımsız olan rastgele oluşturulmuş bir dosya şifreleme anahtarı kullanılarak şifrelenir; bu yöntem, şifrelemeyi kriptoanaliz tabanlı saldırıların birçok formuna karşı dirençli hale getirir.
Güvenlik Şablonları
Bir Windows sistemini daha güvenli hale getirmenin çeşitli yollarını tartışıyoruz. Ancak hizmetleri, parola ayarlarını, kayıt defteri anahtarlarını ve diğer araçları keşfetmek, güvenlik açısından yeni olan yönetici için göz korkutucu bir görev olabilir. Bu ayarları bir dizi makineye uygulamak, en deneyimli yönetici için bile sıkıcı bir görev haline gelmektedir.
İşletim sistemi sıkılaştırmanın bu yönünü basitleştirmenin en iyi yolu güvenlik şablonlarını kullanmaktır. Güvenlik şablonu, bir veya birden fazla bilgisayarı kontrol edebilen yüzlerce olası ayar içerir. Güvenlik şablonları, kullanıcı hakları, izinler ve parola ilkeleri gibi alanları denetleyebilir ve yöneticilerin bu ayarları Grup İlkesi Nesneleri (GPO’lar) aracılığıyla merkezi olarak dağıtmalarını sağlar.
Güvenlik şablonları, hedef bilgisayarda neredeyse tüm güvenlik ayarlarını içerecek şekilde özelleştirilebilir. Windows’a bir dizi güvenlik şablonu yerleştirilmiştir. Bu şablonlar etki alanı denetleyicileri, sunucular ve iş istasyonları için kategorilere ayrılmıştır. Bu güvenlik şablonlarının Microsoft tarafından tasarlanmış varsayılan ayarları vardır. Bu şablonların tümü C: \ Windows \ Security \ Templates klasöründe bulunur. Bu klasörde bulacağınız güvenlik şablonlarının kısmi bir listesi:
- Hisecdc.inf: Bu şablon, etki alanı denetleyicileriyle güvenliği ve iletişimi artırmak için tasarlanmıştır.
- Hisecws.inf: Bu şablon, istemci bilgisayarlar ve üye sunucular için güvenliği ve iletişimi artırmak üzere tasarlanmıştır.
- Securedc.inf: Bu şablon, etki alanı denetleyicileriyle güvenliği ve iletişimi artırmak için tasarlanmıştır, ancak Yüksek Güvenlik DC güvenlik şablonu düzeyine değildir.
- Securews.inf: Bu şablon, istemci bilgisayarlar ve üye sunucular için güvenliği ve iletişimi artırmak üzere tasarlanmıştır.
- Security.inf: Bu şablon, yeni yüklenen bir bilgisayarın varsayılan güvenlik ayarlarını yeniden uygulamak için tasarlanmıştır. Yanlış yapılandırılmış bir sistemi varsayılan yapılandırmaya döndürmek için de kullanılabilir.
Yazar: Hamza Şamlıoğlu