|
Geçen sayıdaki makalede anlattığımız basit ve orta düzey güvenlik ayarlarına ek olarak, bu
ve önümüzdeki sayıdaki makalede Windows NT/2000/XP güvenliği
ile ilgili, sadece sistemler üstünde bilgili kişilerin uygulaması uygun olacak hareketlerden söz edilecektir. Bu makalede günlük tutulmasının başlatılması
ve kullanıcı hesabı ayarları anlatılacaktır.
Günlük dosyası politikaları:
Günlük dosyalarının tutulmasını sağlamak için aşağıdaki yol izlenmelidir:
Control Panel è Administrative Tools è Local Security Policy è
Local Policies è Audit Policy
Burada yer alan politikalar üzerinde yapılacak işlemler şunlar olmalıdır:
Audit account logon events:
Bilgisayara ne zaman başarısız bağlanma denemesinde bulunulduğu ve kimin ne zaman bağlandığı bilgilerinin tutulması için "Success" ve "Failure"
işaretlenmelidir.
Audit account managment:
Yeni hesap açılması, hesap silinmesi ve/veya özeliklerinin değiştirilmesi bilgisinin tutulması için "Success" ve "Failure" işaretlenmelidir.
Audit directory service access:
Active Directory cisimlerine erişim bilgisinin tutulmasını sağlar, ancak domain yapısı olmayan durumlarda işaretlenmesine gerek yoktur.
Audit logon events:
Verilen servislere bağlantı denemelerinin ve bağlantıların bilgilerinin tutulması için "Success" ve "Failure" işaretlenmelidir.
Audit object access:
Dosyalara başarısız erişim denemelerinin bilgisinin tutulması için "Failure" işaretlenmelidir. Başarılı erişimlerin bilgisinin tutulması halinde log
dosyasının hızla büyük boyutlara ulaşabileceğinden dolayı "Success" işaretlenmemelidir.
Audit policy change:
Güvenlik ayarlarındaki, günlük tutma politikalarındaki ve kullanıcı haklarındaki değişiklik bilgisinin tutulması için "Success" ve "Failure"
işaretlenmelidir.
Audit privilege use:
Kullanıcı haklarının kullanımı bilgisinin tutulması için "Failure" işaretlenmelidir.
Audit process tracking:
Her işlemin başlatıldığı, durdurulduğu, kapatıldığı bilgisinin tutulmasına olanak verir, ancak bu işlem sonucu log dosyası hızla büyük boyutlara
ulaşacağından işaretlenmesine gerek yoktur.
Audit system events:
Bilgisayarın açılıp kapanmasına, logların dolmasına kadar sistemle ilgili birçok bilginin tutulması için "Success" ve "Failure" işaretlenmelidir.
Hesap politikaları:
Hesap politikalarına ulaşmak için aşağıdaki yol izlenmelidir:
Control Panel è Administrative Tools è Local Security Policy è
Account Policies
Hesap politikaları, Parola Politikaları (Password Policy) ve Hesap Kapatma Politikaları (Account Lockout Policy) olarak ikiye ayrılır.
Burada yer alan
politikalar üzerinde yapılacak işlemler şunlar olmalıdır:
1. Password Policy
Enforce password history:
Kullanıcıların parolaların birkaç parola içinden döngüsel şekilde seçmemeleri için "24 passwords remembered" olarak ayarlanabilir.
Maximum password age:
Kullanıcıları belirli zaman aralıklarında parolalarını değiştirmeye zorlamak için "90 days" olarak ayarlanabilir.
Minimum password age:
Kullanıcıların kendi parolalarını sık sık değiştirmeye çalıştıklarında sistemin buna izin verebilmesi için "1 days" olarak ayarlanabilir.
Minimum password length:
Kullanıcıların seçtikleri parolaların programlar tarafından kırılmasını zorlaştırmak için "8 characters" olarak ayarlanabilir.
Password must meet complexity requirements:
"Complexity requirements" bir parolada büyük harf, küçük harf, rakam ve özel karakterlerden en az üçünün olması anlamına gelmektedir. Kullanıcıların
seçtikleri parolaların programlar tarafından kırılmasını zorlaştırmak için "Enabled" işaretlenmelidir.
Store password using reversible encryption for all users in the domain:
Microsoft ISS gibi bazı programların istediği, kullanıcıların parolalarının "geri dönüşümlü şifreleme yöntemi" ile tutulması şifrelerin kırılmasını
kolaylaştırdığı için "Disabled" işaretlenmelidir.
2. Account Lockout Policy
Account lockout duration:
Belli sayıda başarısız bağlanma denemesinden sonra kullanıcı hesabı belli bir sure kullanıma kapatılır ve böylece Brute Force tür atakların hızı
kesilir,
bu amaçla bu değer "60 minutes" olarak ayarlanabilir.
Account lockout threshold:
Kullanıcının kaç defa yanlış parola girişinde bulunabileceğini belirleyen bu değer aşıldığı zaman kullanıcı hesabı belli bir süre Brute Force tür
atakları
engellemek için kapatılır, bu amaçla bu değer "5 invalid logon attempts" olarak ayarlanabilir.
Reset account lockout counter after:
İlk yanlış parola girildikten ne kadar süre sonra yanlış parola sayacının sıfırlanacağı bilgisidir. Brute Force tür atakları engellemek için "60
minutes"
olarak ayarlanabilir.
Kullanıcı haklarının düzenlenmesi:
Kullanıcı haklarının düzenlenmesi için aşağıdaki yol izlenmelidir:
Control Panel è Administrative Tools è Local Security Policy è
Local Policies è User Rights Assignment
Burada yer alan politikalar arasında olası güvenlik sorunlarını önlemek için farklı kullanıcılara göre verilecek haklar şunlardır:
| Kullanıcı Hakkı |
Olası Sorun |
Domain kullanıcısı |
PC / Sunucu kullanıcısı |
Profesyonel kullanıcı |
| Access this computer from the network |
Administrator hesabının şifresinin çalınması sonucunda bilgisayara ağdan erişilebilir. |
Domain Users (Administrator kullanıcısı çıkarılmalıdır) |
Domain Users |
- |
| Act as part of the operating system |
İşletim sistemi gibi hareket etmek her türlü hakka sahip olmak demektir. |
- |
- |
- |
| Add workstations to the domain |
Bu haklara sahip kullanıcılar ağa başka bir Domain Controller daha kurup SAM veritabanına ulaşabilir. |
Administrator |
- |
- |
| Backup files and directories |
Hakkı olmayan kullanıcılar tarafından alınmış yedekler "Restore Files and Directories" hakkı ile birlikte kullanıldığında
izinsiz erişimlere neden olacaktır. |
Backup Operators |
Backup Operators |
Backup Operators |
| Bypass traverse checking |
Kullanıcı hakları ile çelişecek dizin erişimlerine yol açacaktır. |
Administrators, Server Operators, Backup Operators |
Administrators (Users ISS için gereklidir) |
Administrators |
| Change the system time |
Günlük dosyaların verilerinde karışıklık olabilir. |
Administrator |
Administrator |
Administrator |
| Create a pagefile |
|
Domain Administrators |
Administrator |
Administrator |
| Debug programs |
Kullanıcıların diğer programları da kontrol etmelerine ve zararlı kod çalıştırmalarına neden olabilir. |
- |
- |
- |
| Deny access to this computer from the network |
Yönetici grubundan birisinin parolasının çalınmasına karşı bir önlemdir. |
Administrator |
- |
- |
| Enable computer and user accounts to be trusted for delegation |
"Encrypting File System" ile birlikte dosya paylaşım sunucularında kullanılır. |
Gerekmediği sürece kullanılmamalıdır. |
Gerekmediği sürece kullanılmamalıdır. |
Gerekmediği sürece kullanılmamalıdır. |
| Increase scheduling priority |
Kullanıcıların bir işin önceliğini arttırması bilgisayarda diğer servislerin durmasına neden olabilir. |
Administrator |
Administrator |
Administrator |
| Load and unload device drivers |
Kullanıcıların sürücü dosyası olarak truva atı yüklemelerine olanak vermektedir. |
Administrator |
Administrator |
Administrator |
| Local pages in memory |
Kullanıcı bu özelliği kullanarak servis durdurma saldırısı yapabilir. |
- |
- |
- |
| Log on as a service |
Bağlantı kullanıcıya sistem hakları ile bağlanmaya izin verir. Bu hakları isteyen anti-virüs programları vardır, ancak izlenmesi
önemlidir. |
Gerekli programlar |
- |
- |
| Log on locally |
Yerel bilgisayardan çalıştırıldığında kullanıcı haklarını artıran programlar vardır. |
Administrator, Server operators, Backup operators |
Administrator, Server operators, Backup operators |
Administrator, İzin verilmiş kullancılar |
| Replace a process level token |
Kullancının kendi işleminin önceliğini arttırarak güvenlik kurallarının üstüne çıkma şansı vardır. |
- |
- |
- |
| Restore files and directories |
Yedekleme hakkına da aynı anda sahip olan bir kullanıcı yedekleri indirip sistemde açık kapı bırakabilir. |
Backup operators, ya da bu iş için tanımlanmış bir kullanıcı |
Backup operators, ya da bu iş için tanımlanmış bir kullanıcı |
Backup operators, ya da bu iş için tanımlanmış bir kullanıcı |
| Shut down the system |
Bilinçsiz bir kullanıcı sistem önemli bir iş yaparken bilgisayarı kapatabilir. |
Administrator, Server Operators |
Administrator |
İzin verilmiş kullanıcılar |
| Take ownership of files or other objects |
Kullanıcılar kendilerine ait olmayan dosyaların haklarını elde edebilirler. |
Administrator |
Administrator |
Administrator |
Önümüzdeki sayıda gereksiz servislerin kapatılması, güvenlik ayarları ve kayıt dosyasında yapılacak ek güvenlik düzenlemeleri incelenecektir. Ayrıca ek
özelliklerden EFS (Encyripted File System) ve SRP (Software Restriction Policies)'den de bu son makalede söz edilecektir.
İbrahim ÇALIŞIR
|
