Editör'den
 Bilişim Harcamaları
 Hangi Linux?
 Sanal Yerel Ağları
 Serbest Yazılım - II
 Veritabanı Bileşenleri
 Windows Güvenliği - I
 CISN Arşiv
 Anket
 Geribildirim


Computing & Information Services Newsletter
Windows 2000 / XP Masaüstü Bilgisayar Güvenliği - 1
     
 

Bilgi teknolojilerinin gelişimi, izin verilen kullanıcıların doğru bilgiye daha hızlı erişimini sağlamaktadır. Ancak bilginin doğruluğunun, kesinliğinin ve bütünlüğünün bozulmamasını sağlamak da o bilgiye kullanıcıların erişimini sağlamak kadar önemli hale gelmiştir. Bilgiyi, bir yandan bilinçsiz kullanıcıların, bir yandan bilinçli saldırganların, öte yandan virüslerin yarattığı tehlikelerden korumak gerekmektedir. 2000 yılında "W32.Nimda" ile başlayan bilgiye doğrudan yapılan saldırıların yanında, günümüzde bilgiye erişme yollarını tehdit eden eylemler de yaygınlaşmıştır.

Bu saldırıların büyük bir kısmı Windows NT/2000/XP işletim sistemi kullanan bilgisayarlara yapılmaktadır. Bu bilgisayarların sorunsuz ve kesintisiz çalışmasını sağlamak için kullanıcıların ve sistem yöneticilerinin alması gereken bir dizi önlem vardır.

Bu makalede Windows NT/2000/XP işletim sistemi kurulu bilgisayarlarda alınması gereken dört ana önlemden iki tanesini inceleyeceğiz. "Temel Güvenlik Ayarları" başlığı altında neredeyse her kullanıcının birçok işletim sisteminde uygulayabileceği, "Orta Düzey Güvenlik Ayarları" bölümünde ise Windows NT/2000/XP kullanıcılarının yapabilecekleri ya da sistem yöneticisinden yardım alarak uygulayabilecekleri güvenlik ayarları anlatılmaktadır.

Temel güvenlik ayarları

Bilgisayarların güvenliğinden söz ederken birçok yönetici ağ ortamındaki güvenlik aşamalarını algılamakta ve bunlara karşı tedbirler almaktadır. Ancak gerçek hayat ortamında da çok tehlikeli saldırılar olabilmektedir.

Fiziksel güvenlik sağlanmalı
Bilgisayara, kullanım hakkı olan kullanıcılar dışında hiç kimsenin fiziksel olarak erişememesi ve kullanıcıların da fiziksel olarak bir zarar vermesinin engelenmesi, alınması gerek önlemlerin başında gelmektedir. Bu önlemlerin düzeyi kurumun stratejik konumuna bağlı olarak belirlenmelidir. Kullanıcıları rahatsız etmeyecek düzeyde ama bilgisayarın depoladığı bilgi ve verdiği servislerin önemine bağlı olarak ayarlanmalıdır. Gerekli güvenlik seviyesine farklı yollarla ulaşılmaktadır. Örneğin, kritik çalışmalar yapan birçok kamu kurumu ve özel şirket sistem odalarının kapılarında biometrik cihazlar kullanmakta ve kameralarla içeriyi izlemektedir.

Bilgisayar açılış işlemi kesinlikle sabit diskten olmalı
Bilgisayarın güvenliğine gelen tehditlerden bir diğeri yine fiziksel yollarla olmaktadır. Üstünde işletim sistemi olan ve bakıma ihtiyacı olmayan bir bilgisayarın açılış işlemi sırasında disket sürücüsü ya da CD-ROM seçeneğinin sabit diskten önde bulundurması bilgisayar için bir güvenlik açığı oluşturmaktadır. CD-ROM kullanılarak var olan işletim sistemi üzerine yeni bir işletim sistemi yüklenebilmekte, disket sürücüsüne yerleştirilecek bir açılış disketi yardımı ile de var olan sabit disk üstündeki tüm bilgiler silinebilmektedir.

Disk yapılandırması NTFS olmalı
Disk yapılandırması Windows işletim sistemlerinde FAT32 ya da NTFS olarak ayrılmaktadır. FAT32 disk yapılandırmalarını Windows 9x sürümleri kullanmaktadır. Windows 2000/XP her ikisini de kullanabilmekte, Windows NT ise sadece NTFS kullanmaktadır. NTFS yapılandırılmış sabit disklerde kullanıcı düzeyinde dosya ve dizinlere erişim hakkı verilebiliyor olması kullanıcıların bilinçsizce ya da bilinçli olarak sistem dosyalarına ya da kişisel dosyalara verecekleri zararları engelleme şansı vermektedir.

Service Pack ve Hotfixes yüklenmeli
Bir işletim sisteminin güvenli olabilmesi için kendi sürümünden sonra çıkan tehditlere karşı önlemlerini almış olması gerekmektedir. Önlemleri kurulum aşamasında alınamadığından her işletim sistemi için güvenlik yamaları ve toplu yamaları içeren "Servis Pack" dosyaları çıkmaktadır. Her kullanıcı kendi kullandığı bilgisayarın güncellemesini bu dosyalar yardımı ile yapmalıdır. ODTÜ kullanıcıları Servis Pack dosyalarına ftp://ftp.cc.metu.edu.tr/Security/Updates/Windows konumundan erişebilmektedir. Kritik güncelleme dosyalarını Windows 2000/XP işletim sistemleri http://www.windowsupdate.com adresinden otomatik olarak indirmektedir. Windows 9x/NT kullanıcıları ise bu işlemi elle yapmalıdırlar.

Basit Dosya Paylaşımı kapatılmalı
Windows XP'de bulunan bu özellik, paylaştırılmış dosyalara ağ erişimi sayesinde herkesin ulaşmasına izin vermektedir. Paylaştırılmış dosyalar üzerinde erişim hakkı ayarları yapılamamaktadır. Paylaştırılan dosyalara kimlerin hangi haklarla erişeceğini ayarlamak için "Basit Dosya Paylaşımı" kapatılmalıdır. Bu işlem için;

  • Herhangi bir dizin açılır, "Araçlar" (Tools) menüsünden "Klasör Seçenekleri" (Folder Options) seçilir.
  • "Görünüm" (View) sekmesi altında "Basit dosya paylaşımı kullan" (Use simple file sharing) seçeneği yanındaki işaret kaldırılır.
  • "Tüm klasörlere uygula" (Apply to All Folders) düğmesine basılır.

    Parola kullanılmalı
    Bilgisayara yerel bağlantı sırasında kullanıcı parola kullanmalıdır. Pekçok sistem yöneticisi işletim sistemini ilk kurdukları sırada, normal kullanıcılar da kendilerine tahsis edilmiş bilgisayarlarda boş parolayı tercih etmektedir. Bu şekilde seçilmiş bir parola bilgisayara fiziksel olarak erişen herhangi birinin bilgisayadaki bilgilere ulaşmasına yol açacaktır. Bunun yanı sıra ağ erişimi ile bilgisayara ulaşan kötü niyetli kişi bilgisayardaki kullanıcı isimlerini elde ettikten sonra kullanıcı haklarına sahip olarak bilgisayarda işlem yapabilecektir. Her ne kadar Windows XP Professional işletim sisteminde boş parola kullanan kullanıcıların bilgisayarlarına ağ üzerinden erişim engellenmiş olsa da, fiziksel olarak erişim durumunda boş parola kullanmak güvenliği tehdit edici bir unsur olmaya devam etmektedir.

    "Guest" hesabı devre dışı bırakılmalı
    "Guest" kullanıcı hesabı, parola kullanmadan bilgisayarın ağda paylaştırılmış kaynaklarına erişimi sağlamaktadır. Windows XP Home Edition dışındaki Windows NT/2000/XP işletim sistemlerinde bu hesabın kullanımını engellemeye izin verilmiştir.

    "Guest" kullanıcısının isminin değiştirilmesi için;
    Control Panel | Administrative Tools | Local Security Settings | Local Policies | Security Options altındaki "Rename Guest Account" çift tıklanıp "Guest" dışında herhangi bir isim yazılmalıdır.

    "Guest" kullanıcı hesabının kapatılması için;
    Control Panel | Administrative Tools | Computer Management | System Tools | Local Users and Groups | Users altındaki "Guest" hesabına sağ tıklanmalı, çıkan menüde "Properties" seçilmeli, "General" sekmesi altındaki "Account is disabled" seçeneği işaretlenmelidir.

    Windows XP Home Edition, "Guest" hesabının kullanıma kapatılmasına izin vermediği için bu hesaba güçlü bir şifre atamak gerekmektedir.

    Anti-virüs programı kurulmalı
    Günümüzün korkulu rüyası haline gelen virüsler özellikle ağ trafiği yaratma ve toplu e-posta gönderme yetenekleri sayesinde kaynakları tüketmektedir. Buna karşı kuruluşlarda bulunan her masaüstü bilgisayarda güncel bir virüs programı bulunması vazgeçilmez bir güvenlik önlemi olmaktadır. Her ne kadar virüslere karşı kuruluşların ilgili bölümleri tarafından alınacak tek önlem olmasa da bu, masaüstü Windows işletim sistemi kullananlar için bir gerekliliktir.

    Bilgisayara bir virüs tarama programı kurmak ve onu ilk kurulduğu gibi bırakmak, bir güvenlik tedbiri olmaktan çok bir güvenlik açığıdır. Virüs tarama programına güvenip indirilecek programların yeni virüslerden birisini içerme olasılığı, günümüz Internet dünyasında oldukça yüksek bir olasılıktır. Bu nedenle virüs tarama programının güncel tutulmasına önem verilmelidir.

    ODTÜ kampüsüne hizmet veren lisanslı McAfee VirusScan 4.5.1 programı ftp://ftp.cc.metu.edu.tr/Security/McAfee konumunda bulunmaktadır. Virus tarama programının Service Pack dosyaları aynı konumdan indirilebilir. Son güncellemeleri de ftp://ftp.metu.edu.tr/popular/virus-updates/McAfee adresinden edinilebilir. Programın kurulumu, güncellenmesi ve virüslerle ilgili geniş bilgi www.antivirus.metu.edu.tr adresinde yer almaktadır.

    Orta düzey güvenlik ayarları

    Parola korumalı ekran koruyucu kullanılmalı
    Kullanıcıların çalışma aralarında verdikleri kahve molasında bilgisayarın başına oturan kötü niyetli ya da bilinçsiz bir kimse, çalışan uygulamaları durdurmaktan, kullanıcı hesabının haklarına bağlı olarak, sisteme zarar vermeye kadar birçok işlem gerçekleştirebilir. Bunu engellemek için, bilgisayarın halen çalıştığını gösteren ve böylece yanlışlıkla kapatılmasını önleyen ekran koruyucu kullanmak ve bunu bir güçlü parola ile desteklemek gerekmektedir.

    "Yönetici" (Administrator) hesabının adı değiştirilmeli
    Birçok saldırı öncelikle "yönetici" isminde ve tüm kullanıcılardan çok daha fazla haklara sahip bir kullanıcı hesabı varlığını varsayarak yapılmaktadır. Bir bilgisayarda bu hakların sahibi "yönetici" isimlendirmesi dışında birisi olursa saldırlar sonuçsuz kalacaktır.

    Bu adı değiştirmek için önce;
    Control Panel | Administrative Tools | Local Security Settings | Local Policies | Security Options altındaki "Rename Administrator Account" çift tıklanıp Administrator dışında herhangi bir isim yazılmalıdır.

    Daha sonra;
    Control Panel | Administrative Tools | Computer Management | System Tools | Local Users and Groups | Users altındaki "Administrator" sağ tıklanmalı, çıkan menüden "Rename" seçilmeli ve "Administrator" dışında herhangi bir isim yazılmalıdır.

    Kullanıcı hesaplarının sayısı sınırlandırılmalı
    Birçok kullanıcı hesabı olan bilgisayarlarda artık bilgisayar kaynaklarını kullanmayan kullanıcıların hesaplarının var olması sorun yaratmaktadır. Yetkisiz kullanımı engellemek için bilgisayar koordinatörünün eski kullanıcıları tespit edip hesaplarını silmek ya da arşivlemek gibi önlemleri en kısa zamanda alması gerekmektedir.

    Paylaşım izinleri düzenlenmeli
    Windows NT/2000/XP işletim sistemlerinde dosya paylaştırıldığında varsayılan olarak "Everyone" grubuna tüm haklar verilir. Bu nedenle dosya paylaştırıldıktan sonra izinlerinin düzenlenmesi gerekmektedir. Paylaştırma işlemi sırasında "İzinler" (Permission) düğmesine tıklanarak dosyaya erişebilecek kullanıcılar arasından "Everyone" çıkarılmalıdır. Bununla beraber yerel diske erişme hakkı olan kullanıcılar listeye eklenebilir.

    Uzaktan Masaüstü (Remote Desktop) bağlantısı kapalı olmalı
    Uzaktan Masaüstü erişimi, yöneticiler açısından kendi bilgisayarlarından diğer bilgisayarlara erişme yeteneği kazandırsa da, şu ana kadar ortaya çıkan açıkları ve ağ trafiğinin dinlenmesi sonucunda oluşabilecek sorunların büyüklüğü, bu aracın kullanımının yöneticilerden çok, kötü niyetli kişilere yarayacağını göstermektedir. Sadece ağ güvenliği tam sağlanmış ve gerekli güvenlik güncelemeleri yapılmış sistemlerde kullanılmasında bir sakınca yoktur.

    Uzaktan Masaüstü bağlantısının çalışmadığından emin olmak için;
    Start | Run | gpedit.msc | Computer Configuration | Administrative Templates | Windows Components | Terminal Services altındaki "Do not allow new client connection" satırı "Enabled" olarak değiştirilmelidir.

    "Page" dosyası bilgisayar kapanırken temizlenmeli
    Yönetici parolası dahil birçok bilgi bilgisayar kullanımı sırasında "Page" dosyasının içerisine işlenmektedir. Kullanıcılar ya da izinsiz erişim sağlamış kişiler bu dosyadan bilgi sızdırabilmektedir. Kullanıcı bilgisayar kapatma işlemi sırasında bu dosya içindeki bilgileri yok ederek tehditten kurtulabilir.

    Windows 2000/XP işletim sistemlerinde;
    Control Panel | Administrative Tools | Local Security Policy | Security Settings | Local Policies | Security Options altındaki "Clear virtual memory page file" seçeneği "Enabled" olarak değiştirildiğinde işlem bilgisayar kapanırken otomatik olarak yapılır.

    Varsayılan paylaşımlar kapatılmalı
    Windows 2000/XP işletim sistemlerinde, yöneticilerin kullanması amacıyla sabit diskte ayrılan bölümler varsayılan olarak gizli paylaştırılmıştır. Ancak bu durum yöneticilerin bilgisayara kolay erişmesinin dışında birçok kötü niyetli kişinin bilgisayara kolaylıkla ulaşmasına izin vermektedir.

    Bu durumu engellemek için "regedit" kayıt dosyasında;
    HKLM / SYSTEM / CurrentControlSet / LanManServer / Parameters dizini altında "AutoShareWks" satırının Dword değeri "0" yapılarak yaratılması gerekmektedir. Bu işlemin ardından bilgisayar yeniden başlatılmalıdır.

    Otomatik CD çalıştırılması engellenmeli
    Günümüz tehditleri arasında bulunan, kişisel bilgilere ve kaynaklara ulaşmakta en çok kullanılan yöntemlerden biri olan "truva atı" nitelikli programlar, bilgisayar tekrar başlatıldığında otomatik olarak çalışan CD yardımıyla kullanıcının haberi olmadan bilgisayara yüklenmektedir.

    Bu tehdidi engellemek için;
    HKLM / System / CurrentControlSet / Services / CDRom dizini altında "AutoRun" satırının Dword değeri "0" yapılarak yaratılması gerekmektedir.

    Önümüzdeki sayıda "Üst Düzey Güvenlik Ayarları" başlığı altında gereksiz servislerin kapatılması, günlük tutulmasını başlatılması, kullanıcı hesabı ayarları, güvenlik ayarları, kayıt dosyasında yapılacak ek güvenlik düzenlemeleri ve kullanıcı hakları incelenecek, ek özelliklerden EFS (Encyripted File System) ve SRP'den (Software Restriction Policies) söz edilecektir.

    İbrahim Çalışır

  •  
         
      - BAŞA DÖN -  
    © 2002 METU CC
    Design: CC - INFO