Anasayfa » Group Policy Management – Temel Güvenlik Ayarları

Makaleyi Paylaş

Windows Server

Group Policy Management – Temel Güvenlik Ayarları

 

Başlıktan da anlaşıldığı üzere bu makalede yeni kurulan ve güvenlik politikaları yeni oluşturulan bir şirkette yapılması gereken, olmazsa olmaz diyebileceğimiz GPO’lardan söz etmek istiyorum. Bir şirketin GP politikası oluşturulurken dikkat etmemiz gereken hususlar çok fazla olmakla birlikte kaçınılmaz bazı ayarları yapmamız gerekir. Bununla ilgili söylenecek çok fazla şey olduğundan amacımızın GPO ile içli dışlı olan arkadaşlarımıza yardımcı olmak olduğunu hatırlatarak konuya hemen girelim. Başlıklar ve altında ilgili ayar şeklinde belirtmeye başlıyoruz.

 

1-      Password Policy

 

Hepimzin yakından bildiği bir policy tipidir. Computer Configuration altında uygulanır. Domaine üye bilgisayarlara oturum açacak kullanıcılar için uygulanacak kurallar bütününü temsil eder. En çok kullanılan iki ayarı aşağıda veriyorum:

 

a-      Minimum password length: Minimum şifre uzunluğu, önerilen 7/8 karakterdir.

Sponsor

 

Computer Configuration à Policies à Windows Settings à Security Settings à Account Policies à Password Policy yolunda bulunur.

 

 

image001

 

 

b-      Password Must Meet Complextlity Requirements: Şifrenin karmaşık bir kombinasyona sahip olup olmayacağını belirtir, önerilen durum karmaşık olmasıdır.

 

Computer Configuration à Policies à Windows Settings à Security Settings à Account Policies à Password Policy yolunda bulunur.

 

 

image002

 

 

 

2-      Audit Policy

 

Domain ortamında olan biteni kısmen de olsa izlediğimiz policy bölümüdür. En işimize yarayan policy,

 

a-      Audit Object Access: Paylaşıma açık dosyalara erişimin izlenip başarılı/başarısız gibi sonuçları veren policydir.

 

Computer configuration à Policies à Windows Settings à Security Settings à Local Policies à Audit Policies yolunda bulunur.

 

 

image003

 

 

3-      User Right Assignment

 

Belki de en çok soru gelen, herkesin GPMC ( Group Policy Management Console ) içinde en çok uğradığı bölümdür.  İçerisinde en çok kullanmamız gerekenlerden bir kaç tanesine bakalım.

 

a-      Allow Log On Through Remote Desktop Services

 

 

 

Uzak masaüstü uygulaması ile bilgisayarlara oturum açabilecek kullanıcı yada grupların belirlendiği bölümdür. Computer Configuration à Policies à Windows Settings à Security Settings à Local Policies à User Right Assignment yolunda bulunur. Olması gereken ayar aşağıdaki gibidir :

 

 

 

image004

 

 

 

b-      Change System Time

 

 

Bu kural da yine çok dikkat çekmeyen, ama güvenli bir ortamda olması gereken ayarlardan biridir. Çünkü sistem saatinin sunucudan ya da ortamda herkesçe ulaşılan bir kaynaktan farklı olması ve değiştirilmesi, network erişimini olumsuz yönde etkiler. Çoğumuz dosya paylaşımlarına bu sebeple erişememezlik yaşamışızdır. Bu sebeple biz yöneticiler dışında kimse bu ayara dokunmamalı. User Right Assignment ‘taki önemli ayarlardan biridir:

 

 

 

image005

 

 

 

c-       Log on as a batch job

 

 

Yine User Right Assignment altında bulunan, genellikle atlanan, ama atlanmaması gereken ayarlardan biri olduğunu düşünüyorum. Uzantısı “.bat” formatındaki dosyaları administrator grubu dışındaki kullanıcılar çalıştırdığında, sisteme virüs bulaşma ihtimalini göz önüne almak gerektiği kanaatindeyim. Yalnızca Backup Operators grubunu bu durumdan dışarıda tutmak gerek. Çünkü zaman zaman arayüz ile alamadığımız yedekleri, uzantısını. bat olarak oluşturduğumuz batch dosyalar ile alabiliyoruz. Güvenliği optimum düzeyde tutarak olması gereken ayar:

 

 

 

image006

 

 

 

d-      Log on as a service

 

 

Bu policy, yaygın kullanılan bir policydir. Ama burada hatırlatmak amacıyla tekrar edelim. Domain ortamında servis başlatma yetkisine sahip kullanıcı ya da grupları belirtmek için kullanırız. Zaman zaman servisleriyle birlikte kurulan programlar biz bilmeden client taraflarında kurulabilir. Bu durumlarda sistemimiz bilmediğimiz bir sürü programla dolacağından, client tarafındaki envanter takibinden koparız. Bunun önüne geçmek için bu kurala yalnızca istediğimiz kullanıcı ya da grupları tanımlarız ki bizim bilgimiz dışında domainimizde servis çalışmasın. Örneğin;

 

 

 

image007

 

 

 

Yukarıdaki şekle göre servis başlatmasını istediğim kullanıcıyı domain admin yapmam gerekir. Fakat bu, zaman zaman sakıncalar doğruabilir. Bu sebeple tavsiyem, servis başlatacak sıfır bir grup açıp, buraya ekledikten sonra, servislerde start yetkisi olacak kullanıcılar oldukça ilgili gruba dahil etmek olacaktır.

 

 

e-      Shutdown the system

 

 

Adından da anlıyoruz ki, sistemi shut down edecek kullanıcı ya da grupları belirliyoruz. Tabi ki ilk olarak admin yetkisine sahip kullanıcılar burada olmalı.

 

 

 

image008

 

 

 

4-      Security Options

 

 

Computer Configuration à Policies à Windows Settings à Security Settings à Local Policies à Security Options bölümünde yer alır. Burada da yine çok fazla ayar ihtiyaca göre ayarlanabilir fakat ben kendi uyguladığım bir ayarı vereyim.

 

 

a-      Accounts : Guest Account Status

 

 

Domain ortamındaki bilgisayarlarda yer alan “Guest“ kullanıcısının durumunu belirtir. Varsayılan olarak zaten devre dışıdır. Fakat manuel olarak enable edilmelerine karşı önlem amacıyla, aşağıdaki ayarı yapmanızı öneririm:

 

 

 

image009

 

 

 

5-      Public Key Policies

 

 

Bu ayarımız, opsiyonel olmakla birlikte yavaş yavaş zorunlu hale gelmektedir. İçerisindeki Trusted Root Certification Authorities bölümüne, ortamımızda Lync, Exchange gibi sertifika isteyen yazılımlar oldukça tüm domain ortamına sertifika dağıtmamız artık kaçınılmaz oldu. Aşağıdaki örnekte bir mail sunucu sertifikası mevcut, Trusted Root Certification Authroties ‘e sağ click Import diyerek gerçekleştirmeliyiz, aksi halde tüm domain ortamına manuel olarak sertifika import etmek çok zaman kaybına yol açıyor.

 

 

 

image010

 

 

 

 

6-      Network

 

 

 

Computer Configuration à Policies à Administrative Templates à Network yolunda bulunur. Bizim burada değiştireceğimiz ve en çok lazım olacak ayar DNS Servers ayarıdır.

 

 

 

a-      DNS Client

 

 

 

Zaman zaman mecburen de olsa bazı client makinelerde oturum açan kullanıcılara admin yetkisi verebiliyoruz. Kullanıcı, bunu bilerek ya da bilmeyerek internet üzerinde ulaşamadığı kaynaklara kısıtlı bir bilgiyle dns adresini değiştirerek ulaşmaya çalışıyor. Bir süre sonra domaine oturum açamadığını tarafımıza bildiriyor. İşte biz bu ayarı policy tarafında etiketleyip mecburi kılarsak, bizim söylediğimiz dns adresinden başka bir adres girse bile bir sonraki log on ‘da yeniden dns adresi bizim istediğimiz adres olacağından log on sorunu başlamadan bitmiş olacak. Burada göstereceğimiz adres tabiki Domain Controller olmalı:

 

 

 

image011

 

 

 

7-      Remote Desktop Services

 

 

Computer Configuration à Administrative Templates à Windows Components à Remote Desktop Services yolunda bulunur. Buradaki ayarları aslında ortamda bir ya da birden fazla terminal sunucu varsa değiştirmek daha mantıklı. Şirketin genel güvenlik politikasına göre yöneticiler sizden bazı kısıtlamalar isteyebilir. Örneklendirelim:

 

 

a-      Do not allow clipboard redirection

 

 

Uzak masaüstündeki kopyala/yapıştır fonksiyonunun önüne geçmemizi sağlar. İlgili ayarı şekilde belirtelim:

 

 

 

image012

 

 

 

b-      Do not allow drive redirection

 

 

Bu ayar da yine yukarıdakine benzer. Drive redirection eşittir sürücü yönlendirmesi demektir. Bu ayarı enable edersem sunucuma şunu demiş olacağım: C,D,E gibi sürücüleri uzak masaüstüne getirme.

 

 

 

image013

 

 

 

 

Computer Configuration altındaki ayarları bitirdik. En azından asgari olanları yaptık. Şimdi geldik kullanıcı tarafında gerekli olan minimum ayarlara. Önerilen de diyebiliriz. Güvenlik tarafında Group Policy ile hareket ediyorsak, bilgisayar tarafı kadar kullanıcı tarafına da önem vermeliyiz. Yine lafı çok uzatmadan ayarlara geçelim.

 

 

1-      Internet Explorer Maintenance

 

 

User Configuration à Windows Settings altında bulunur. Burada, policy uygulayacağımız kullanıcı hangi bilgisayarda oturum açarsa açsın kendisine bu policy uygulanacaktır. İlk ayarımız :

 

 

a-      Proxy Settings

 

 

GPO’da aynı yolu takip ederek, Connection bölümüne geldik. Ortamda bir proxy sunucumuz var ise ve biz bu kullanıcının bizim belirttiğimiz proxy sunucu üzerinden internete çıkmasını istiyorsak aşağıdaki ayarları yapmamız gerekir.

 

 

 

image014

 

 

 

Tabi bu ayarı yaptıktan sonra, kullanıcının bunu değiştirmesinin önüne geçmek durumundayız. Biraz işi bilen bir kullanıcı bu ayarı görüp devre dışı bırakabilir. Bunun önüne geçmek için :

 

 

b-      Disable Connections Page

 

 

Kullanıcının, yukarıda yaptığım ayara ulaşmamasını sağlayan ayardır. User Configuration à Administrative Templates à Windows Components à Internet Explorer à Internet Control Panel altında bulunur.

 

 

 

image015

 

 

 

Bu ayarı da aktif ettikten sonra kullanıcı Connections sayfasını göremeyeceği için, dolayısıyla proxy server adresimizi de göremeyecektir. Tam anlamıyla istediğimizi yapmış olduk. Diğer ayarlar ile devam ediyoruz.

 

 

 

2-      Control Panel

 

 

User Configuration à Administrative Templates yolunu takip ederek bulabileceğimiz bir menüdür. Altında en çok işimizi görecekler:

 

 

 

a-      Prohibit access to the control panel

 

 

 

Control panele girişi engellemek, bizim kurduğumuz program yapısını, yetkisi olan kullanıcıların bozmasına engel olmak açısından optimum çözümdür. İlgili ayarın şekli aşağıdadır:

 

 

 

image016

 

 

 

3-      Network Connections

 

 

Network ayarlarında kullanıcılar eğer Domain Users grubuna üyeler ise zaten değişiklik yapamazlar. Ama yine mecburi yetkilendirmelerden ötürü kimi kullanıcıya bazı haklar tanımamız gerekir. Bir yandan da bizim yaptığımız network ayarlarına dokunmamalarını sağlamalıyız. Bunun sağlamanın en güzel yolu aşağıdadır.

 

 

 

a-      Prohibit access to properties of LAN Connection

 

 

 

User Configuration à Administrative Templates à Network à Network Connections bölümünde bulunur. Kullanıcıların local area network olarak bildiğimiz ethernet kartının özelliklerine girmelerini, dolayısıyla IP adreslerinde değişiklik yapmalarını böylece engellemiş oluruz.

 

 

 

image017

 

 

 

b-      Prohibit access to the command promt

 

 

 

Bu policy, makalede yazacağım son maddemiz. İlgili ayarı yaptığımız kullanıcılar komut satırına ulaşamayacaklar. Haliyle komut satırında uygulanabilecek hiç bir komutu da koşturamayacaklardır. Yine güvenlik açısından faydalıdır. Örneğin kötü niyetli bir kullanıcı komut satırına ulaşıp bazı ayarları değiştirebilir ya da ulaştığı makineyi kapatabilir. Biz böylece bu tip aksiyonların da önüne geçmiş oluyoruz. İlgili ayarın şeklini son olarak aşağıda verelim:

 

 

User Configuration à Administrative Templates à System ve

 

 

 

image018

 

 

 

Bir şirketin GP yapısı belli toplantılar sonunda, yöneticilerin isteklerine göre şekillenebilir. Bu makalede yaptıklarımız, biz sistem uzmanlarının kimseye sormadan yapacağımız hareketlerdir. Yeterince açık anlatabilmişimdir diyerek makalemizin sonuna geliyorum. Hem genel ayarları hatırlatma, hem de temel bazı bilgileri tazeleme açısından faydalı olacağını umuyorum.

 

 

Teşekkürler

Makaleyi Paylaş

Cevap bırakın