Bu metinde genelinde win2000’nın ilk kurulumundan sonra sisteminizi
daha güvenli hale getirmek için yapabileceğiniz işlemlerden
bahsedeceğim. Öncelikle herhangi bir işletim sistemi üstünde güvenlikle
ilgili çalışmalara başlamadan bilgisayarınıza yapmanız gereken ufak
düzenlemelerden bahsedip, ardından win2000 sisteminizi daha güvenli
hale getirmek için gerekli olan işlemleri anlatıcağım. Bunlar arasında
gereksiz servislerin kapatılması, “system policy”nin ayarlanması,
TCP/IP bağlantılarını filitrelendirmesi, hotfix ve SP’lerin önemi,
korunması gerekli önemli dosyalar ve bunlara ek olabilecek ufak tefek
bir kaç konu daha var. Başlıklar halinde sıralamak gerekirse:

• Fiziksel güvenlik
• Gerekli servisler
• Hotfix ve SP’lerin(Service Pack) önemi
• System policy ayarları
• Gereksiz altsistemlerin kaldırılması
• Önemli dosyaların korunması
• TCP/IP süzgeçlenmesi
• Ufak tefek işler

Fiziksel güvenlik:

Bilgisayarına kurlu olan herhangi bir işletim sistemin güvende
olmasını ve dosyalarının kendisi ve izin verdiği kişiler dışınızdaki
birileri tarafından değiştirilmemesi veya silinmemesini istemek her
kulanıcının hakkıdır. Ama bunu gerçekleştrimek için bilgisayarı işletim
sistemini aktif hale geçirmeden önce ve işletim sistemine giriş
yaparken yapması gereken bazı işlemler var.

Bilgisayarınız açılırken eğer sizin dışınızda birileri BIOS’unuza
kolayca girebiliyorsa ve burada yaptığı değişiklikleri aktif hale
getirebiliyorsa bazı sorunlarla karşılaşma olasılığınız artıyor. Her ne
kadar yeni bilgisayarların çoğunda BIOS’a nasıl girileceği başlangıçta
gözükmese de bilen bir insan rahatlıkla BIOS içinde yapıcağı
değişikliklerle ister bilgilerinizi çalma (öğrencilerin notlerını
çalınması), ister biligilerinizi yok etme (tezinizin veya projenizin
bulunduğu sabit diskin silnmesi) başarılı olabilir. Bu tür bir riski
engellemek için BIOS’a girip sadece sizin aklınızda kalıcak biraz
karmaşık bir şifre koyun (bu işlemi adım adım anlatamıyorum çünkü bir
çok çeşit BIOS ekranı var ama hepsinde bir “password” seçeneği var.).
Ama şifrenizi “sevdiğiniz bir arkadaşınızın adı, doğum tarihiniz,
kedinizin adı, vb” gibi kolay tahmin edilicek kelimeler arasından
atamayın. Biraz harf ve sayılar birlikte olsun.

İkinci adım olarak win2000 şifrenizden bahsetmek gerek. Yukarda
anlattığım mantık çerçevesinde bilgisayarınız işletim sistemini çalışır
hale getirdikten sonraki kısımla ilgili bir kaç uyarı daha yapıcağım.
Win2000’ninizin şifresi de kolay bulunur (veya tahmin edilir) bir
kelime veya kelime grubuysa biligilerinize sizin ve izin verdiğiniz
kişiler dışında birilerinin ulaşması ve zarar vermesi kolaylaşıcaktı.
Bunun için de yine biraz karmaşık bir şifre şeçmenizi öneririz.

Burada ufak bir note yazmak ihtiyacı duydum bu şifrelerin şifre
olarak kalablimesi için de tanıdıklarınıza veya ofisteki diğre
arkadaşlarınıza çok gerekmedikçe söylenmemesi gerekiyor.

Gerekli servisler:

Sisteminizi güvenli hale getirmenin en önemli adımı belki de
gerekli servislerle, gereksiz servisleri bilmek ve gereksiz olanları
kapatmak veya silmektir. TCP/IP’nini basitçe çalışması için verilicek
servisler çok da karmaşık değildir. Asteriksli (*) olanlar gerekli olan
minimum servisleri göstermektedir. (bu noktadan sonra İngilizce
terimleri kulanıyorum ki bilgisayar ekranında burada yazılı Türkçe
terimle karşınıza gelicek İngilizcesi terimi karıştırmamanız için)

• DNS client*
• EventLog*
• IPSec policy Agent
• Local Disk Maneger*
• Network Connection Manager
• Plug & Play*
• Protected Storage*
• Remote Procedure Cell
• Remote Registery Service
• RunAs Service
• Security Account Manager*

Servisleri iyi güzel söyledik de bunları nasıl kapatıcağımızı da
anlatmamız gerekli. Servislere gidiş yolu; Start | Setting | Control
Panel | Administartive Tolls | Services. Bundan sonra istenilen
servisin üstüne gelip çift tıklandığında o servisin özelliklerini
gösteren bir pencere açılacak (örnek: Resim 1). Servisi bundan sonraki
açılışlara aktif hale gelmesini istemiyorsanız “Start type” alanından
“disable” seçeneğini seçin ama unutmayın ki bu servis hala açık olan
makinenizde kulanılmaktadır. Bunu durdurmak içinde yine aynı pencerede
gözüken “Stop” düğmesine basarsanız artık o servis çalışır durumdaki
win2000’inizde de çalışmıyordur.

Hotfixler ve SP(Service Pack)’ler:

Tavsiyemiz win2000’nızı kurdunuz ve servislerin bir kısmnı
kapatını, sonra yapılacak en öneli iş “windos update” sitesine
bağlanıp, gerekli kritik güncelemeleri yapmanız ve SP’leri de
bilgisayarınıza yüklemeniz. Burada dikkat edilecek bir notka var;
kulanmadığınız servislerle ilgili yamaları uygulamanın bir anlamı yok.
Taii bını anlamak için kulnabileceğiniz bazı araçlar var. Hangi
hotfixlerin eksik olduğunu anlamak için “Hfnetcheck.exe” doysasını
microsoft’un sitesinden biligisayarınıza çekip kontrol edebilirsiniz.
İlgi çekici bir örenk olduğ u için burada belirtme ihtiyacı duydum;
Nimda virüsü yayılırken yaması yapılmamış IIS’ler (microsoft tarafından
dizayn edilmiş bir web sunucusu) biligisayarlara ve ağ iletişimine
zarar verdi.

System policy’in ayarlanması:

Biraz da “system policy”den bahsediyim (veya bahsetmiş olan
amcalardan derleme yapıyım). Bunun için izlenicek yol; Start | Setting
| Control Panel | Administrative Tolls | Local Security Setting. Açılan
pencerede bir miktar oynama yapacağınız “Account Policies, Local
Policies” var.

Burada yazan değerlerin hepsini yerine getirdiğinizde sizin
bulunduğunuz şartlara uymayan bir durum ortaya çıkabilir. Bunu önlemek
için önce kendi şartlarınızı gözden geçirin. Ondan sonra bu işlemleri
yapın.

Password Policies

Enforce Password History Enabled (önerilen değer 5)

Maximum Password Age Enabled (önerilen değer 60)

Minimum Password Age Enabled (önerilen değer 5)

Password Must Meet Copmlexity Requirment Enabled

Store Password Using Reverse Encription Disabled

Account Lockout Policies

Account Lockout Treshold Enabled (önerilen değer 5)

Account Lockout Duration Enabled (önerilen değer 30)

Reset Account Locout Treshold After Disabled (önerilen “manual reset of account”)

Audit Policy

Aşağıdaki değerleri minimal düzeyde tutarmanızı önerilir (unutmayın ki kendi koşullarınıza göre).

Audit Account Logon Events

Audit Account Manegmen

Audit Logon Events

Audit Policy Change

Audit System Events

User Rights

Klasik kural: administrator her türlü hakka sahiptir, gerisini de
“durum” göre belirler. Burada genel bir yapıdan bahsetmek yanlış
olucaktır. Yine de “everyone” bulunan seçenekleri bir daha gözden
geçirmenizi tavsiye ederiz.

Security Options

Aşağıdaki liste içinde, “Microsoft Networking” kulanarak dosya
alışverişi ve paylaşımı yapıyorsanız, “SBM encryption” ve “Secure
Channel” önem kazanıyor. Buiki seçeneğn değerlerini belierlerken
dikkatli davranıp kendi koşularınıza uygun olanını seçmelisiniz.

Gereksiz altsistemlerin kaldırılması:

Gereksiz altsistemlerin kapatılması diye bir konumuz daha var. OS2
ve Posix yazmaç (registry) değerlerini HKLM\ System\ CurremtControlSet\
Control\ Session\ Maneger\ Subsystem içinden kaldırabilirsiniz. İlgili
dosyaları (os2*,posix* dosyaları) buradan silebilirsiniz. Bu sistemler
artık genel kulanımda yoklar ama açıkları sayesinde bilgisayarınıza
istemediğiniz kişiler tarafından bağlantı kurulabilme olanağı veriyor.

Önemli dosyaların korunması:

Bazı araçaların herkes tarafından kulanılmasını istemiyorsanız yeni
bir admin grubu yaratın (örneğin AdminTools). Hangi kulanıcıların bu
araçları kulanabilmelerini istiyorsanız onları bu grubun altına koyun.
Bu doysalar üstündeki ACL’leri “LocalSytem” ve “Administrative
Group”tan kaldırın ve “AdminTools”a bu dosyaların sahipliğini ve “Read”
ve “Execute” hakkını verin. Bu dosyalar arasında ilk aklımıza gelenler;

TCP/IP süzgeçlenmesi

TCP/IP filitrelendirmesi diye bir konudan bahsediceğimizi
söylemiştik. Burada Win2000 iki çeşit sunuyor. TCP/IP filitrelendirmesi
ve IPSec. TCP/IP filitrelendirmesi tek bir bilgisayarlar için
kulanılırken, IPSec ise “Group Policy” olarak atanabilinir.

TCP/IP filitrelendirmesi;

Bir örnekle anlatmak en uygunu olucaktır. Diyelim ki bilgisayarınız
FTP ve Web bır servis veriyor (ki bunları da vermesine genelde gerek
yok). “Network and Dial-Up Connection” kulanılarak filitreleme
yapabilirsiniz. Start | Settings | Network and Dial-Up Connection |
Properties | General | Internet Protocol (TCP/IP) | Properties |
Advenced | Options | TCP/IP Filtering | Properties. Biraz uzun gibi
gözükse de azim her şeye çare. Aşağıdaki örnekte gözüktüğü üzere TCP
bağlantılarını 21 (FTP), 80 (http) ve 443 (https) portlarıyla
sınırlamış durumda. Hatta UDP portlarına hiç bir şekilde izin
verilmemiş. Bu kısmı kulandığınız programlara verdiğiniz servislere
göre ayarlıyabilirsiniz.

Resim 2

IPSec filitrelendirmesi;

Bu seçenek bir grup için kulanlıldığında daha etkilidir. IPSec’in
özelliklerinde “enable” işaretledikten sonra yapmanız gerekenler
bitmiyecektir. “Local Security Setting” içine girip kendi “policy”inizi
girmeniz gerekecek. Üç tane kolunlu bir tabloyu dolduracaksınız.
Kolonlarda;

• IPSec filter lists
• IPSec filter action
• IPSec policy rules

olucaktır. Bu ağ içinde sisteminize gelen ve sisteminizden giden
trafiğin filitrelendirmesi sırasında uygulanıcak politikayı(policy),
hangilerinin filitlendirileceği listesini (list), ve yapılacak işlemi
(action) içermektedir. bu işlemlerden sonra “Local Machine”de “IP
Security Policies” i kulnamaya baslıyabilirsiniz. Bunu için üstüne
gelip sağ-tıkdan sonra “assign”ı seçin. Bilgisayarınızı tekrar
başalamanıza gerek kalmadan hemen uygulamaya girecektir.

Ufak tefek işler:

• Uygulama dosyaların kulanım izinlerlini belirleyin
• Sistemi önyüklemesinin(boot) hemen OS olmasını ayarlayın. Bu işlemı
  yapmak için My Computer | Properties | Advanced | Startup and Recovery
  | System Startup içindeki önyükleme değerini (boot time) “0” olarak
  belirleyin.

Sonuç:

Buraya kadar yaptıklarınız arasında önyükleme (boot) esnasında
yapıcağımız şifrelemeden, sistem süzgeçleme kadar pek çok şeyden
bahsettik fakat bunların bir kısmı sizin bulunduğunuz ortam şartlarına
uymayabilir. Daha önce de belittiğimiz gibi öncelikle kendi durumunuzu
ortaya tüm hatlarıyla ortaya koyun ki yapıcağınız ayarlar
bilgisayarınızı güvenli hale getirirken aynı zamanda da çalışmaz hale
getirmesin. Sizlere sadece win2000 kurulumundan sonra yapılacak ilk
işlemnleri anlatım ama daah yapılabilicek çok şey olduğunu unutmayım
EK1’de alıntı yaptığim ve faydalı bulduğum sayfaların bağlantıları var.

Kolay gelsin.

EK1:

Burada anlatıklarım aşağıdaki sitelerden çıkrarılmış özet ve
derlemelerdir. Daha fazla biligi ve ayrıntı için win2000 güvenlik
sitelerini ziyarat etmenizi öneririm.

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/secur...

http://www.systemexperts.com/tutors/HardenW2K101.pdf

http://nsa2.www.conxion.com/win2000/download.htm

http://www.yale.edu/its/security/new-index.html?http://www.yale.edu/its/...

http://www.labmice.net/articles/securingwin2000.htm

http://arstechnica.com/tweak/win2000/security/begin-1.html

http://www.sans.org/infosecFAQ/win2000/win2000_list.htm

İbrahim Çalışır

BİLGİ İŞLEM DAİRESİ BAŞKANLIĞI

İNTERNET TEKNOLOJİLERİ GÜVENLİĞİ

(security at metu.edu.tr 11/02/2002)

__________________________