Edit�r'den
Bili�im Harcamalar�
Hangi Linux?
Sanal Yerel A�lar�
Serbest Yaz�l�m - II
Veritaban� Bile�enleri
Windows G�venli�i - I
CISN Ar�iv
Anket
Geribildirim


Computing & Information Services Newsletter
Windows 2000 / XP Masast Bilgisayar Gvenlii - 1
     
 

Bilgi teknolojilerinin geliimi, izin verilen kullanclarn doru bilgiye daha hzl eriimini salamaktadr. Ancak bilginin doruluunun, kesinliinin ve btnlnn bozulmamasn salamak da o bilgiye kullanclarn eriimini salamak kadar nemli hale gelmitir. Bilgiyi, bir yandan bilinsiz kullanclarn, bir yandan bilinli saldrganlarn, te yandan virslerin yaratt tehlikelerden korumak gerekmektedir. 2000 ylnda "W32.Nimda" ile balayan bilgiye dorudan yaplan saldrlarn yannda, gnmzde bilgiye erime yollarn tehdit eden eylemler de yaygnlamtr.

Bu saldrlarn byk bir ksm Windows NT/2000/XP iletim sistemi kullanan bilgisayarlara yaplmaktadr. Bu bilgisayarlarn sorunsuz ve kesintisiz almasn salamak iin kullanclarn ve sistem yneticilerinin almas gereken bir dizi nlem vardr.

Bu makalede Windows NT/2000/XP iletim sistemi kurulu bilgisayarlarda alnmas gereken drt ana nlemden iki tanesini inceleyeceiz. "Temel Gvenlik Ayarlar" bal altnda neredeyse her kullancnn birok iletim sisteminde uygulayabilecei, "Orta Dzey Gvenlik Ayarlar" blmnde ise Windows NT/2000/XP kullanclarnn yapabilecekleri ya da sistem yneticisinden yardm alarak uygulayabilecekleri gvenlik ayarlar anlatlmaktadr.

Temel gvenlik ayarlar

Bilgisayarlarn gvenliinden sz ederken birok ynetici a ortamndaki gvenlik aamalarn alglamakta ve bunlara kar tedbirler almaktadr. Ancak gerek hayat ortamnda da ok tehlikeli saldrlar olabilmektedir.

Fiziksel gvenlik salanmal
Bilgisayara, kullanm hakk olan kullanclar dnda hi kimsenin fiziksel olarak eriememesi ve kullanclarn da fiziksel olarak bir zarar vermesinin engelenmesi, alnmas gerek nlemlerin banda gelmektedir. Bu nlemlerin dzeyi kurumun stratejik konumuna bal olarak belirlenmelidir. Kullanclar rahatsz etmeyecek dzeyde ama bilgisayarn depolad bilgi ve verdii servislerin nemine bal olarak ayarlanmaldr. Gerekli gvenlik seviyesine farkl yollarla ulalmaktadr. rnein, kritik almalar yapan birok kamu kurumu ve zel irket sistem odalarnn kaplarnda biometrik cihazlar kullanmakta ve kameralarla ieriyi izlemektedir.

Bilgisayar al ilemi kesinlikle sabit diskten olmal
Bilgisayarn gvenliine gelen tehditlerden bir dieri yine fiziksel yollarla olmaktadr. stnde iletim sistemi olan ve bakma ihtiyac olmayan bir bilgisayarn al ilemi srasnda disket srcs ya da CD-ROM seeneinin sabit diskten nde bulundurmas bilgisayar iin bir gvenlik a oluturmaktadr. CD-ROM kullanlarak var olan iletim sistemi zerine yeni bir iletim sistemi yklenebilmekte, disket srcsne yerletirilecek bir al disketi yardm ile de var olan sabit disk stndeki tm bilgiler silinebilmektedir.

Disk yaplandrmas NTFS olmal
Disk yaplandrmas Windows iletim sistemlerinde FAT32 ya da NTFS olarak ayrlmaktadr. FAT32 disk yaplandrmalarn Windows 9x srmleri kullanmaktadr. Windows 2000/XP her ikisini de kullanabilmekte, Windows NT ise sadece NTFS kullanmaktadr. NTFS yaplandrlm sabit disklerde kullanc dzeyinde dosya ve dizinlere eriim hakk verilebiliyor olmas kullanclarn bilinsizce ya da bilinli olarak sistem dosyalarna ya da kiisel dosyalara verecekleri zararlar engelleme ans vermektedir.

Service Pack ve Hotfixes yklenmeli
Bir iletim sisteminin gvenli olabilmesi iin kendi srmnden sonra kan tehditlere kar nlemlerini alm olmas gerekmektedir. nlemleri kurulum aamasnda alnamadndan her iletim sistemi iin gvenlik yamalar ve toplu yamalar ieren "Servis Pack" dosyalar kmaktadr. Her kullanc kendi kulland bilgisayarn gncellemesini bu dosyalar yardm ile yapmaldr. ODT kullanclar Servis Pack dosyalarna ftp://ftp.cc.metu.edu.tr/Security/Updates/Windows konumundan eriebilmektedir. Kritik gncelleme dosyalarn Windows 2000/XP iletim sistemleri http://www.windowsupdate.com adresinden otomatik olarak indirmektedir. Windows 9x/NT kullanclar ise bu ilemi elle yapmaldrlar.

Basit Dosya Paylam kapatlmal
Windows XP'de bulunan bu zellik, paylatrlm dosyalara a eriimi sayesinde herkesin ulamasna izin vermektedir. Paylatrlm dosyalar zerinde eriim hakk ayarlar yaplamamaktadr. Paylatrlan dosyalara kimlerin hangi haklarla erieceini ayarlamak iin "Basit Dosya Paylam" kapatlmaldr. Bu ilem iin;

  • Herhangi bir dizin alr, "Aralar" (Tools) mensnden "Klasr Seenekleri" (Folder Options) seilir.
  • "Grnm" (View) sekmesi altnda "Basit dosya paylam kullan" (Use simple file sharing) seenei yanndaki iaret kaldrlr.
  • "Tm klasrlere uygula" (Apply to All Folders) dmesine baslr.

    Parola kullanlmal
    Bilgisayara yerel balant srasnda kullanc parola kullanmaldr. Pekok sistem yneticisi iletim sistemini ilk kurduklar srada, normal kullanclar da kendilerine tahsis edilmi bilgisayarlarda bo parolay tercih etmektedir. Bu ekilde seilmi bir parola bilgisayara fiziksel olarak erien herhangi birinin bilgisayadaki bilgilere ulamasna yol aacaktr. Bunun yan sra a eriimi ile bilgisayara ulaan kt niyetli kii bilgisayardaki kullanc isimlerini elde ettikten sonra kullanc haklarna sahip olarak bilgisayarda ilem yapabilecektir. Her ne kadar Windows XP Professional iletim sisteminde bo parola kullanan kullanclarn bilgisayarlarna a zerinden eriim engellenmi olsa da, fiziksel olarak eriim durumunda bo parola kullanmak gvenlii tehdit edici bir unsur olmaya devam etmektedir.

    "Guest" hesab devre d braklmal
    "Guest" kullanc hesab, parola kullanmadan bilgisayarn ada paylatrlm kaynaklarna eriimi salamaktadr. Windows XP Home Edition dndaki Windows NT/2000/XP iletim sistemlerinde bu hesabn kullanmn engellemeye izin verilmitir.

    "Guest" kullancsnn isminin deitirilmesi iin;
    Control Panel | Administrative Tools | Local Security Settings | Local Policies | Security Options altndaki "Rename Guest Account" ift tklanp "Guest" dnda herhangi bir isim yazlmaldr.

    "Guest" kullanc hesabnn kapatlmas iin;
    Control Panel | Administrative Tools | Computer Management | System Tools | Local Users and Groups | Users altndaki "Guest" hesabna sa tklanmal, kan mende "Properties" seilmeli, "General" sekmesi altndaki "Account is disabled" seenei iaretlenmelidir.

    Windows XP Home Edition, "Guest" hesabnn kullanma kapatlmasna izin vermedii iin bu hesaba gl bir ifre atamak gerekmektedir.

    Anti-virs program kurulmal
    Gnmzn korkulu ryas haline gelen virsler zellikle a trafii yaratma ve toplu e-posta gnderme yetenekleri sayesinde kaynaklar tketmektedir. Buna kar kurulularda bulunan her masast bilgisayarda gncel bir virs program bulunmas vazgeilmez bir gvenlik nlemi olmaktadr. Her ne kadar virslere kar kurulularn ilgili blmleri tarafndan alnacak tek nlem olmasa da bu, masast Windows iletim sistemi kullananlar iin bir gerekliliktir.

    Bilgisayara bir virs tarama program kurmak ve onu ilk kurulduu gibi brakmak, bir gvenlik tedbiri olmaktan ok bir gvenlik adr. Virs tarama programna gvenip indirilecek programlarn yeni virslerden birisini ierme olasl, gnmz Internet dnyasnda olduka yksek bir olaslktr. Bu nedenle virs tarama programnn gncel tutulmasna nem verilmelidir.

    ODT kampsne hizmet veren lisansl McAfee VirusScan 4.5.1 program ftp://ftp.cc.metu.edu.tr/Security/McAfee konumunda bulunmaktadr. Virus tarama programnn Service Pack dosyalar ayn konumdan indirilebilir. Son gncellemeleri de ftp://ftp.metu.edu.tr/popular/virus-updates/McAfee adresinden edinilebilir. Programn kurulumu, gncellenmesi ve virslerle ilgili geni bilgi www.antivirus.metu.edu.tr adresinde yer almaktadr.

    Orta dzey gvenlik ayarlar

    Parola korumal ekran koruyucu kullanlmal
    Kullanclarn alma aralarnda verdikleri kahve molasnda bilgisayarn bana oturan kt niyetli ya da bilinsiz bir kimse, alan uygulamalar durdurmaktan, kullanc hesabnn haklarna bal olarak, sisteme zarar vermeye kadar birok ilem gerekletirebilir. Bunu engellemek iin, bilgisayarn halen altn gsteren ve bylece yanllkla kapatlmasn nleyen ekran koruyucu kullanmak ve bunu bir gl parola ile desteklemek gerekmektedir.

    "Ynetici" (Administrator) hesabnn ad deitirilmeli
    Birok saldr ncelikle "ynetici" isminde ve tm kullanclardan ok daha fazla haklara sahip bir kullanc hesab varln varsayarak yaplmaktadr. Bir bilgisayarda bu haklarn sahibi "ynetici" isimlendirmesi dnda birisi olursa saldrlar sonusuz kalacaktr.

    Bu ad deitirmek iin nce;
    Control Panel | Administrative Tools | Local Security Settings | Local Policies | Security Options altndaki "Rename Administrator Account" ift tklanp Administrator dnda herhangi bir isim yazlmaldr.

    Daha sonra;
    Control Panel | Administrative Tools | Computer Management | System Tools | Local Users and Groups | Users altndaki "Administrator" sa tklanmal, kan menden "Rename" seilmeli ve "Administrator" dnda herhangi bir isim yazlmaldr.

    Kullanc hesaplarnn says snrlandrlmal
    Birok kullanc hesab olan bilgisayarlarda artk bilgisayar kaynaklarn kullanmayan kullanclarn hesaplarnn var olmas sorun yaratmaktadr. Yetkisiz kullanm engellemek iin bilgisayar koordinatrnn eski kullanclar tespit edip hesaplarn silmek ya da arivlemek gibi nlemleri en ksa zamanda almas gerekmektedir.

    Paylam izinleri dzenlenmeli
    Windows NT/2000/XP iletim sistemlerinde dosya paylatrldnda varsaylan olarak "Everyone" grubuna tm haklar verilir. Bu nedenle dosya paylatrldktan sonra izinlerinin dzenlenmesi gerekmektedir. Paylatrma ilemi srasnda "zinler" (Permission) dmesine tklanarak dosyaya eriebilecek kullanclar arasndan "Everyone" karlmaldr. Bununla beraber yerel diske erime hakk olan kullanclar listeye eklenebilir.

    Uzaktan Masast (Remote Desktop) balants kapal olmal
    Uzaktan Masast eriimi, yneticiler asndan kendi bilgisayarlarndan dier bilgisayarlara erime yetenei kazandrsa da, u ana kadar ortaya kan aklar ve a trafiinin dinlenmesi sonucunda oluabilecek sorunlarn bykl, bu aracn kullanmnn yneticilerden ok, kt niyetli kiilere yarayacan gstermektedir. Sadece a gvenlii tam salanm ve gerekli gvenlik gncelemeleri yaplm sistemlerde kullanlmasnda bir saknca yoktur.

    Uzaktan Masast balantsnn almadndan emin olmak iin;
    Start | Run | gpedit.msc | Computer Configuration | Administrative Templates | Windows Components | Terminal Services altndaki "Do not allow new client connection" satr "Enabled" olarak deitirilmelidir.

    "Page" dosyas bilgisayar kapanrken temizlenmeli
    Ynetici parolas dahil birok bilgi bilgisayar kullanm srasnda "Page" dosyasnn ierisine ilenmektedir. Kullanclar ya da izinsiz eriim salam kiiler bu dosyadan bilgi szdrabilmektedir. Kullanc bilgisayar kapatma ilemi srasnda bu dosya iindeki bilgileri yok ederek tehditten kurtulabilir.

    Windows 2000/XP iletim sistemlerinde;
    Control Panel | Administrative Tools | Local Security Policy | Security Settings | Local Policies | Security Options altndaki "Clear virtual memory page file" seenei "Enabled" olarak deitirildiinde ilem bilgisayar kapanrken otomatik olarak yaplr.

    Varsaylan paylamlar kapatlmal
    Windows 2000/XP iletim sistemlerinde, yneticilerin kullanmas amacyla sabit diskte ayrlan blmler varsaylan olarak gizli paylatrlmtr. Ancak bu durum yneticilerin bilgisayara kolay erimesinin dnda birok kt niyetli kiinin bilgisayara kolaylkla ulamasna izin vermektedir.

    Bu durumu engellemek iin "regedit" kayt dosyasnda;
    HKLM / SYSTEM / CurrentControlSet / LanManServer / Parameters dizini altnda "AutoShareWks" satrnn Dword deeri "0" yaplarak yaratlmas gerekmektedir. Bu ilemin ardndan bilgisayar yeniden balatlmaldr.

    Otomatik CD altrlmas engellenmeli
    Gnmz tehditleri arasnda bulunan, kiisel bilgilere ve kaynaklara ulamakta en ok kullanlan yntemlerden biri olan "truva at" nitelikli programlar, bilgisayar tekrar balatldnda otomatik olarak alan CD yardmyla kullancnn haberi olmadan bilgisayara yklenmektedir.

    Bu tehdidi engellemek iin;
    HKLM / System / CurrentControlSet / Services / CDRom dizini altnda "AutoRun" satrnn Dword deeri "0" yaplarak yaratlmas gerekmektedir.

    nmzdeki sayda "st Dzey Gvenlik Ayarlar" bal altnda gereksiz servislerin kapatlmas, gnlk tutulmasn balatlmas, kullanc hesab ayarlar, gvenlik ayarlar, kayt dosyasnda yaplacak ek gvenlik dzenlemeleri ve kullanc haklar incelenecek, ek zelliklerden EFS (Encyripted File System) ve SRP'den (Software Restriction Policies) sz edilecektir.

    brahim alr

  •  
         
      - BAA DN -  
    2002 METU CC
    Design: CC - INFO