Perşembe, Mart 01, 2007

70-296 Notları (9.Bölüm)

Windows 2003 işletim sisteminin güvenli çalıştırılabilmesi için düzenlenmesi gereken bir çok ayar bulunmaktadır. Bu ayarların sağlıklı ve verimli olarak düzenlenebilmesi için bir çok yardımcı araç sunulmuştur. İyi bir planlama ve araçların yerinde kullanımı ile güçlü bir güvenlik altyapısı oluşturmak mümkün olabilir.

Windows 2003 güvenlik ayarları birden fazla araç, bunların konsol ekranları veya Group Policy ile yönetilebilmektedir.

Denetim Kuralları

Denetim Kuralları ve buna bağlı olarak oluşturulan log kayıtları sistem olaylarını incelemek için kullanılan en önemli kaynaklardandır. Ancak kullanımı son derece hassastır. Zira gereğinden fazla log kaydı üreten bir denetim kuralı, güvenlik olaylarını izlemeyi güçleştireceğinden yarardan çok zarar getirebilir.

Audit Account Logon Events : Bir bilgisayara logon olan her kullanıcı için kullanılır. Bu ayar genelde DC’ler için kullanılmakta olup üye sunucular için açılmasına gerek yoktur.

Audit Account Management : Bir bilgisayar üzerinde bulunan tüm hesapların yönetimine ilişkin eylemler loglanır. Kullanıcı oluşturma, değiştirme, silme hatta şifre değişikliği bile bu ayarın aktif hale getirilmesi ile loglanabilir. DC’ler dışındaki diğer sunucularda bu ayar ile sunucunun yerel SAM veritabanına ilişkin eylemler loglanır.

Audit Directory Service Access : Bir AD nesnesine erişmeye çalışan kullanıcıya ilişkin eylemler loglanır. Sadece DC’lerde açılması yeterlidir.

Audit Logon Events : Bilgisayara logon ve logoff olan tüm kullanıcılara ilişkin eylemler loglanır.

Audit Object Access : Bir dosya, klasör veya registry gibi sistem elemanlarına ulaşmaya çalışan kullanıcıların eylemlerinin loglanabilmesi için bu kaydın açılması ve loglanması istenen nesnenin üzerinde de denetim özelliğinin aktif hale getirilmesi gereklidir.

Audit Policy Change : Bilgisayardaki denetim ayarlarının, kullanıcı hakları atamalarının veya güven kurallarının (trust policy) değişmesi halinde loglama yapılır.

Audit System Events : Sistemin yeniden başlatılma ve kapanma gibi eylemleri ve güvenlik kayıtlarını etkileyen olaylar loglanır.

Olay Kayıtları Kuralları (Event Log Policies)

Her log türü için 4 kural kaydı tanımlanabilir.

Maksimum Log Büyüklüğü : Log dosyasının fiziksel olarak ne kadar büyüyebileceğini belirtir. 64 KB’lik adımlar halinde en fazla 4 GB’a kadar büyüyebilir.

Yerel ziyaretçi hesabının loglara erişmesini engelle : Local Guest grubu üyeleri log kayıtlarına erişemezler.

Logları sakla (Retain Log) : Logların kaç gün saklanacağını belirtir.

Logların Saklanma Metodu : Log kayıtları belirtiklen gün sayısı kadar saklanır ve gün sayısı aşıldığında, en eski günden başlamak itibariyle silinebilir. Gerektikçe silinmesi özelliği kullanılarak belirli kayıt büyüklüğüne erişildiğinde otomatik silinmesi sağlanabilir. Ya da yerel yönetici tarafından elle silinmesi sağlanabilir. Bu durumda log dosyası maksimum büyüklüğe ulaştığında yazmayı durduracaktır.

Sistem Servisleri ilkeleri

Windows 2003 Server servislerinin Group Policy ile otomatik veya elle başlatılması veya durdurulması sağlanabilir.

Kayıt Defteri (Registry ) İlkeleri

Kayıt defteri üzerinde ACL’ler oluşturmayı sağlar. Bu ilkeler Registrye yeni kayıtlar eklemez. Sadece registrynin güvenliğini düzenler.

Dosya Sistemi

Kayıt defteri ilkeleri gibi GPO’nun uygulandığı bilgisayardaki dosya sistemi üzerinde ACL’ler ile erişim yetkilerini tanımlamaya yarar.

Kullanıcı Hakları

Kullanıcıların sahip olduğu bazı hakları düzenler.

Hesap İlkeleri

Şifre ilkeleri, hesap kilitleme ve Kerberos ilkeleri gibi güvenlik ayarlarının düzenlenmesini sağlar.

DC’lerin güvenliğinin sağlanması

DC’ler etki alanı ve içinde çalışan tüm sistemlerin yönetiminde en büyük role sahip olduklarından güvenliğinin sağlanması diğer sistemlere göre çok daha büyük önem arzetmektedir.

DC’lerin fiziksel olarak güvenli ortamlarda tutulması, konsol ekranlarının şifre ile korunması ve hatta ağ ortamında DC’lerin tüm portlardan erişimine izin verilmemesi güvenlik yöntemleri arasında sayılabilir.

Yine Olay kayıtlarının (Event Log) aktif hale getirilmesi ve denetim özelliğinin (Audit Policy) çalıştırılması da önemlidir. DC’lerde bazı denetim ayarları açıktır ancak varsayılan değer olarak sadece başarılı eylemler loglanır. Başarısız eylemlerin loglanması için düzenleme yapılması gereklidir.

Kullanıcı yetkilerinin atanması

Güvenli bir çalışma ortamı oluşturulması için aşağıdaki bazı önerilerin uygulanmasında fayda vardır. Aşağıdaki ayarlar Domain Controller Security Policy içinde uygulanması halinde DC’lerin daha güvenli çalışmasını sağlayacaklardır.

Debug Programs

Bu yetkiye sahip kullanıcılar hata ayıklama araçları kullanarak işletim sistemi hatta kernel seviyesinde inceleme ve değişiklikler yapabilirler. Bu tarz uygulamaların kullanılmasına gerek yoksa veya yazılım geliştiriciler sistemde çalışmıyorsa Administrators grubundan bu yetki geri alınabilir.

Add Workstations to Domain

Varsayılan değer olarak tüm tanımlanmış kullanıcıların (Authenticated Users) etki alanına 10 adete kadar PC’yi dahil etme yetkileri vardır. Bu sayede AD’de Computers bölümü altında bilgisayar nesneleri oluşturabilirler. Eğer sistem IT personeli tarafından yönetiliyorsa kullanıcılardan (Authenticated Users) bu yetki geri alınabilir.

Allow Log On Locally

Bu yetki varsayılan ayar olarak aşağıdaki kullanıcı gruplarına bilgisayarın konsol ekranından logon olabilme imkanını tanır.

- Account Operators

- Administrators

- Backup operators

- Print operators

- Server operators

Shut Down the System

Bu yetki varsayılan ayar olarak aşağıdaki kullanıcı gruplarına sistemin kapatılabilme yetkisini verir.

- Administrators

- Backup Operators

- Print Operators

- Server operators

Servislerin Ayarlanması

Daha önceki tabloda yer alan servislere ek olarak DC’lerde aşağıdaki servislerin de başlama şeklinin otomatik olması gereklidir.

- Distributed File System

- File Replication Service

- Intersite messaging

- Kerberos Key Distribution Center

- Remote Procedure Call (RPC)

Bir sistemde güvenliğin sağlanabilmesi için uyulması gereken en önemli kurallardan biri de “Gereken en az yetkiyi verme prensibiyle çalışmak”tır. Bu prensibin başarıyla uygulanabilmesi için aşağıdaki detaylara dikkat etmek gerekir :

- Güçlü bir şifre politikası uygulamak

- Yetkileri kısıtlamak (özellikle logon yetkilerini).

- Yetkisiz erişimleri engellemek için güvenlik ayarlarını kullanmak.

- Dosya ve kayıt defterleri için Access Control Lists (ACL)’ ler oluşturmak.

- Önemli grupların üyeliklerini Group Policy ile düzenlemek.

- Kullanılmayan tüm servisleri kapatmak ve hangi servisi kimin kullanabileceğini tespit etmek.

- Her bilgisayar rolü için br güvenlik şablonu tespit etmek ve uygulamak.

- Anlaşılabilir ve takip edilebilir düzeyde bir denetim stratejisi uygulamak.

Güvenli ayarlarının GPO ile düzenlenmesi

Güvenlik ayarlarının her sunucu ve PC için teker teker elle uygulanmaya çalışılması pratik bir yöntem değildir. Bu durumda Group Policy’nin yeteneklerinden faydalanmak ve merkezi bir uygulama en doğrusudur.

Windows 2003 server tüm bilgisayar nesnelerini AD’de Computers Container (Konteyner) altına yerleştirir. Konteyner özel bir AD nesnesidir. AD’de Computers dışında, Users, Builtin ve ForeignSecurityPrincipals adında üç özel nesne daha bulunur. Bu nesneler silinemez ve benzer özelliklerde konteynerler oluşturulamaz.

Group Policy nesneleri Site, domain veya OU’ lara bağlanabilir ancak Konteynerlerle ilişkilendirilemezler.

Tüm sunucuları bağlayacak bir temel GP ayarlar seti oluşturmak için yapılabilecek en iyi hareketlerden biri, kök AD dizininde bir sunucu OU’ su oluşturmak ve sunucuları bu OU altına kaydırmaktır. Daha spesifik hareket etmek isteyen sistem yöneticileri, farklı rollerdeki sunucular için farklı OU’ lar ve GP setleri oluşturabilirler.

Özellikle aynı ayar setlerine sahip olduklarından emin olmadıkça PC’ler ve sunucuları aynı OU altında toplamak doğru olmayacaktır.

Bir GPO’ nun birden fazla OU’ ya bağlanması (link) sonucunda GPO’ nun birden çok kopyası oluşturulmaz. Hala tek bir kopyası vardır ancak GPO da yapılan değişiklikler bağlı olduğu tüm OU’lardaki tüm nesneleri eşit derecede etkileyecektir.

GPO Link listesinde birden fazla GPO görülüyorsa sıralama olarak daha üstte olan GPO daha etkindir ve ayarları baskın olacaktır.

GPO ayarlarının uygulama öncelikleri aşağıdaki açıklamaya göre hesaplanabilir.

- Eğer üst seviye OU’ daki GPO ayarı tanımlanmamış ve altındaki OU’ daki aynı ayar tanımlanmış ise, geçerli ayar alt OU’ daki olacaktır.

- Eğer üst seviye OU’ daki GPO ayarı tanımlı ve altındaki OU’ daki aynı ayar tanımlanmamış ise, geçerli ayar üst OU’ daki olacaktır.

- Eğer üst ve alt seviye OU’ ların her ikisinde de aynı ayar tanımlanmış ise, geçerli ayar alt OU’ daki olacaktır.

Güvenlik ayarlarının şablon dosyalar ile yapılması

Windows 2003, güvenlik ayarlarının tek elden yapılabilmesi için daha önceden tanımlı ayarların bulunduğu şablon (template) dosyalarına sahiptir. Şablon dosyaları (.inf) uzantılı metin dosyalarıdır.

Şablon dosyaları ile aşağıdaki güvenlik ayarları düzenlenebilir :

- Hesap yönetim kuralları (Account policies)

- Yerel Kurallar (Local Policies)

- Olay Günlüğü Kuralları (Event Log Policies)

- Kısıtlı Gruplar (Restricted Groups)

- Sistem servisleri

- Kayıt defteri yetkileri (Registry permissions)

- Dosya sistemi yetkileri (File System permissions)

Şablon dosyaları Group Policy, GP Security Configuration and Analysis MMC veya secedit.exe ile uygulanabilir.

Metin tabanlı şablon dosyaları ile çalışmanın en büyük avantajlarından biri, sisteme yapılan düzenlemelerin geri alınması istendiğinde, yapılan tüm ayarları hatırlamanın zor olacağı varsayılarak bir dosya kullanarak geri dönmenin daha basit olacağının varsayılmasıdır.

Şablon dosyaları Windows\Security\templates klasörü altında bulunmaktadır.

Setup Security.inf : Bilgisayarı Windows 2003 setup programının hazırladığı temel güvenlik ayarlarına döndürür. Bu ayarlar, daha sonradan yüklenen tüm yazılımların hazırladığı güvenlik ayarlarını ezebileceğinden, bu yazılımların yeniden yüklenmesi gerekebilir.

DC Security.inf : Bu ayarlar dosyası, bir W2K3 sunucusu DC’ye dönüştürüldüğünde ortaya çıkar. DC’ lerin varsayılan dizin ve kayıt defteri güvenlik ayarları bulunmaktadır.

Securedc.inf : DC’ nin güvenlik seviyesini yükseltecek ayarlar içerir. Anonim hesaplar ve LAN Manager sistemleri için yüksek güvenlik ayarları bulunur.

Hisecdc.inf : Securedc.inf’den daha da yüksek seviye güvenlik ayarları içerir. Sayısal olarak işaretlenmiş iletişim (digitally signed communication) ve şifrelenmiş güvenli kanal iletişimi (encrypted secure channel communication) ayarlarının zorunlu uygulanmasını sağlar. Bazı servisleri pasif hale getirir ve Power Users grubunu boşaltır.

Compatws.inf : Varsayılan ayar olarak yerel Users grubunun üyeleri sadece Windows uyumluluğu test edilip onaylanmış yazılımları çalıştırabilirler. Uyumsuz yazılımları sadece Power Users grubu üyeleri çalıştırabilir. Bazı durumlarda kullanıcılara bu yazılımları kullanabilmeleri için Power users grubu yetkileri verilir. Compatws.inf ayarları uygulandığında Power users grubu boşaltılır ve Users grubu için bazı dizin ve kayıt defteri yetki değişiklikleri yapılır. Bu şablon DC’lerde kullanılmaz.

Securews.inf : Üye sunucular veya PC’ler için güvenlik ayarları içerir. Anonim hesapların erişimine dair yetki kısıtlamaları ve Sayısal olarak işaretlenmiş iletişim (digitally signed communication) ayarları içerir.

Hisecws.inf : Daha yüksek derecede güvenlik ayarları içerir. Local Administrators grubu üyeleri sadece Domain Admins ve yerel Administrator hesabı olur. NTLM güvenlik seviyesini arttırır.

Rootsec.inf : Windows 2003 işletim sistemi kullanan sistemler için varsayılan dosya sistemi güvenlik ayarlarını içerir. Bir sistem sürücüsüne (C:, D: vb.) varsayılan yetkileri geri yüklemek için kullanılabilir.

Şablon dosyaları metin tabanlı olduklarından üzerlerinde kolayca değişiklik yapmaya uygundurlar. Ancak değiştirmeden önce yedeklerinin alınmasında fayda vardır.

Security Configuration and Analysis aracı, şablon ayarlarının uygulanmasına imkan sağladığı gibi mevcut ayarlarla bir şablon dosyasını karşılaştırmayı ve o anki ayarların üzerinde değişiklik yapılıp yapılmadığını öğrenmeyi sağlar.

Bir sistemin analiz edilebilmesi için araç ile öncelikle bir veritabanı oluşturulmalıdır. Bu veritabanına bir şablon dosyası aktarılır ve bilgisayardaki aktif ayarlar ile aralarındaki farklılıklar analiz edilir. Farklılıklar bazı özel işaretlerle belirtilir :

- Kırmızı daire içindeki X : Ayarın hem veritabanı hem de bilgisayarda olduğunu ancak değerlerin aynı olmadığını gösterir.

- Beyaz daire içindeki yeşil işaret : Ayarın hem veritabanı hem de bilgisayarda olduğunu ve değerlerin aynı olduğunu gösterir.

- Beyaz daire içindeki soru işareti : Ayarın veritabanında bulunmadığını ya da yetki kısıtlamaları nedeniyle aracın ayarları sorgulayamadığını gösterir.

- Beyaz daire içindeki ünlem işareti : Ayarın veritabanında bulunduğunu ancak bilgisayar ayarlarında bulunmadığını gösterir.

- İşaret yok : Ne bilgisayarda ne de veritabanında ayarın bulunmadığını gösterir.

Ayarlar incelendikten sonra istenirse değişiklik yapılıp bilgisayara uygulanabilir ya da bu ayarlardan yeni bir şablon dosyası oluşması sağlanabilir.

Oluşturulan şablon dosyası, mevcut veritabanı içindeki değiştirilmiş şablondan üretilir. Aktif bilgisayar ayarlarından üretilmez.

Secedit.exe

Bu araç ile Security Configuration and Analysis aracının yaptıklarının tamamı ve hatta daha fazlası komut satırından yapılabilir. En büyük avantajlarından biri de bir şablonun sadece bir kısmını uygulamak gibi bir esnekliğe sahip olmasıdır. Tıpkı grafik tabanlı diğer araç gibi bir veritabanı oluşturur, karşılaştırır, analiz eder ve ayarları uygulayabilir. Ayrıca uygulanan ayarların geriye alınabilmesi için bir “Rollback” şablonu da oluşturabilir.

Hiç yorum yok: