Haberler

Kütüphane

Ürünler

Olympians

.: Menü
	Ana sayfa
	Son gönderilenler
	Arşiv
	Yazarlar
	İndeks
.: Kategoriler:
	Dokümanlar
	Kitaplar
	Ürün dokümanları

.: Mini Forum
	Güvenlik
	Olympos

Yeni mesajlar:
	ACİL...WORKSTATION
	RE: Bilgisayarımı kontrol edemiyorum!!!
	cd den pc ye kopyalama
	Error parsing C:\Windows\browscap.ini on line 220
	RE: Telefonunuz dinleniyor mu?
	RE: 80048820 hatası
	hata kodu 80048820
	RE: başlangıç sayfası değiştir
	RE: Yeni Phising Tehlikesi MUTLAKA OKUYUN !!
	acil yardım
	A-POLICY AGENT ORCHESTRATOR
	masaüstü
	?
	RE: MSN GÖRÜŞMELERİ KAYDI
	msn messenger - internet explorer dilemması
	RE: En iyi antivirüs yazılımı sizce hangisi?
	RE: naomi
	RE: mesenger
	RE: Birileri Pc'me mi Bağlanıyo?? Yardım Eder Misiniz Lütfen
	hard disk hatası
	modem ayarları
	msn messenger
	RE: giriş sayfamı google yapamıyorum.yardım ederseniz sevini
	RE: bakalım kım bılecek bu soruyu
	RE: msn virüsü
	RE: İnternet explorer giriş sayfası değişmiyor
	RE: acil yardım
	varsayılan ağ geçidi
	RE: Birileri Pc'me mi Bağlanıyo?? Yardım Eder Misiniz Lütfen
	RE: activexdebugger32.exe sorunu çözüldü
	RE: acil yardım
	Hata Raporları
	RE: acil yardım
	RE: acil yardım
	activexdebugger32_exe
	msn açılmıyor lütfen yardım edin
	RE: pcmde windowsu sahte olarak goruo
	RE: MSN GÖRÜŞMELERİ KAYDI
	RE: GİRİS SAYFASI DEĞİŞMİYOR DİYENLER
	RE: anakartım yanarmı
	RE: başlangıç sayfası değiştir
	RE: anakartım yanarmı
	RE: acil yardım
	RE: google
	RE: acil yardım
	RE: Deepfreeze ama çok farklı bi konu :( mutlaka okuyun. Yar
	RE: adsl hızım çok yavaş çözüm bulamadım
	RE: Kriptografi enteresan birşey...
	anakartım yanarmı
	RE: ses sorunu

Google Toolbar'a ekleyin

MSN Yardım

Online Oyun Forumları

Halkın Yükselişi Partisi

The Climb Forum

Windows 2000 güvenliği

Ana sayfa

Kütüphane

Dokümanlar


Yazar: İbrahim Çalışır	Yayınlanma tarihi: 25.03.2002 17:00

Bu metinde genelinde win2000’nın ilk kurulumundan sonra sisteminizi daha güvenli hale getirmek için yapabileceğiniz işlemlerden bahsedeceğim. Öncelikle herhangi bir işletim sistemi üstünde güvenlikle ilgili çalışmalara başlamadan bilgisayarınıza yapmanız gereken ufak düzenlemelerden bahsedip, ardından win2000 sisteminizi daha güvenli hale getirmek için gerekli olan işlemleri anlatıcağım. Bunlar arasında gereksiz servislerin kapatılması, “system policy”nin ayarlanması, TCP/IP bağlantılarını filitrelendirmesi, hotfix ve SP’lerin önemi, korunması gerekli önemli dosyalar ve bunlara ek olabilecek ufak tefek bir kaç konu daha var. Başlıklar halinde sıralamak gerekirse:

Fiziksel güvenlik
Gerekli servisler
Hotfix ve SP’lerin(Service Pack) önemi
System policy ayarları
Gereksiz altsistemlerin kaldırılması
Önemli dosyaların korunması
TCP/IP süzgeçlenmesi
Ufak tefek işler

Fiziksel güvenlik:

Bilgisayarına kurlu olan herhangi bir işletim sistemin güvende olmasını ve dosyalarının kendisi ve izin verdiği kişiler dışınızdaki birileri tarafından değiştirilmemesi veya silinmemesini istemek her kulanıcının hakkıdır. Ama bunu gerçekleştrimek için bilgisayarı işletim sistemini aktif hale geçirmeden önce ve işletim sistemine giriş yaparken yapması gereken bazı işlemler var.
Bilgisayarınız açılırken eğer sizin dışınızda birileri BIOS’unuza kolayca girebiliyorsa ve burada yaptığı değişiklikleri aktif hale getirebiliyorsa bazı sorunlarla karşılaşma olasılığınız artıyor. Her ne kadar yeni bilgisayarların çoğunda BIOS’a nasıl girileceği başlangıçta gözükmese de bilen bir insan rahatlıkla BIOS içinde yapıcağı değişikliklerle ister bilgilerinizi çalma (öğrencilerin notlerını çalınması), ister biligilerinizi yok etme (tezinizin veya projenizin bulunduğu sabit diskin silnmesi) başarılı olabilir. Bu tür bir riski engellemek için BIOS’a girip sadece sizin aklınızda kalıcak biraz karmaşık bir şifre koyun (bu işlemi adım adım anlatamıyorum çünkü bir çok çeşit BIOS ekranı var ama hepsinde bir “password” seçeneği var.). Ama şifrenizi “sevdiğiniz bir arkadaşınızın adı, doğum tarihiniz, kedinizin adı, vb” gibi kolay tahmin edilicek kelimeler arasından atamayın. Biraz harf ve sayılar birlikte olsun.

İkinci adım olarak win2000 şifrenizden bahsetmek gerek. Yukarda anlattığım mantık çerçevesinde bilgisayarınız işletim sistemini çalışır hale getirdikten sonraki kısımla ilgili bir kaç uyarı daha yapıcağım. Win2000’ninizin şifresi de kolay bulunur (veya tahmin edilir) bir kelime veya kelime grubuysa biligilerinize sizin ve izin verdiğiniz kişiler dışında birilerinin ulaşması ve zarar vermesi kolaylaşıcaktı. Bunun için de yine biraz karmaşık bir şifre şeçmenizi öneririz.
Burada ufak bir note yazmak ihtiyacı duydum bu şifrelerin şifre olarak kalablimesi için de tanıdıklarınıza veya ofisteki diğre arkadaşlarınıza çok gerekmedikçe söylenmemesi gerekiyor.

Gerekli servisler:

Sisteminizi güvenli hale getirmenin en önemli adımı belki de gerekli servislerle, gereksiz servisleri bilmek ve gereksiz olanları kapatmak veya silmektir. TCP/IP’nini basitçe çalışması için verilicek servisler çok da karmaşık değildir. Asteriksli (*) olanlar gerekli olan minimum servisleri göstermektedir. (bu noktadan sonra İngilizce terimleri kulanıyorum ki bilgisayar ekranında burada yazılı Türkçe terimle karşınıza gelicek İngilizcesi terimi karıştırmamanız için)

DNS client*
EventLog*
IPSec policy Agent
Local Disk Maneger*
Network Connection Manager
Plug & Play*
Protected Storage*
Remote Procedure Cell
Remote Registery Service
RunAs Service
Security Account Manager*

Servisleri iyi güzel söyledik de bunları nasıl kapatıcağımızı da anlatmamız gerekli. Servislere gidiş yolu; Start | Setting | Control Panel | Administartive Tolls | Services. Bundan sonra istenilen servisin üstüne gelip çift tıklandığında o servisin özelliklerini gösteren bir pencere açılacak (örnek: Resim 1). Servisi bundan sonraki açılışlara aktif hale gelmesini istemiyorsanız “Start type” alanından “disable” seçeneğini seçin ama unutmayın ki bu servis hala açık olan makinenizde kulanılmaktadır. Bunu durdurmak içinde yine aynı pencerede gözüken “Stop” düğmesine basarsanız artık o servis çalışır durumdaki win2000’inizde de çalışmıyordur.

Hotfixler ve SP(Service Pack)’ler:

Tavsiyemiz win2000’nızı kurdunuz ve servislerin bir kısmnı kapatını, sonra yapılacak en öneli iş “windos update” sitesine bağlanıp, gerekli kritik güncelemeleri yapmanız ve SP’leri de bilgisayarınıza yüklemeniz. Burada dikkat edilecek bir notka var; kulanmadığınız servislerle ilgili yamaları uygulamanın bir anlamı yok. Taii bını anlamak için kulnabileceğiniz bazı araçlar var. Hangi hotfixlerin eksik olduğunu anlamak için “Hfnetcheck.exe” doysasını microsoft’un sitesinden biligisayarınıza çekip kontrol edebilirsiniz. İlgi çekici bir örenk olduğ u için burada belirtme ihtiyacı duydum; Nimda virüsü yayılırken yaması yapılmamış IIS’ler (microsoft tarafından dizayn edilmiş bir web sunucusu) biligisayarlara ve ağ iletişimine zarar verdi.

System policy’in ayarlanması:

Biraz da “system policy”den bahsediyim (veya bahsetmiş olan amcalardan derleme yapıyım). Bunun için izlenicek yol; Start | Setting | Control Panel | Administrative Tolls | Local Security Setting. Açılan pencerede bir miktar oynama yapacağınız “Account Policies, Local Policies” var.
Burada yazan değerlerin hepsini yerine getirdiğinizde sizin bulunduğunuz şartlara uymayan bir durum ortaya çıkabilir. Bunu önlemek için önce kendi şartlarınızı gözden geçirin. Ondan sonra bu işlemleri yapın.

Password Policies

Enforce Password History Enabled (önerilen değer 5)
Maximum Password Age Enabled (önerilen değer 60)
Minimum Password Age Enabled (önerilen değer 5)
Password Must Meet Copmlexity Requirment Enabled
Store Password Using Reverse Encription Disabled

Account Lockout Policies

Account Lockout Treshold Enabled (önerilen değer 5)
Account Lockout Duration Enabled (önerilen değer 30)
Reset Account Locout Treshold After Disabled (önerilen “manual reset of account”)

Audit Policy

Aşağıdaki değerleri minimal düzeyde tutarmanızı önerilir (unutmayın ki kendi koşullarınıza göre).

Audit Account Logon Events
Audit Account Manegmen
Audit Logon Events
Audit Policy Change
Audit System Events

User Rights

Klasik kural: administrator her türlü hakka sahiptir, gerisini de “durum” göre belirler. Burada genel bir yapıdan bahsetmek yanlış olucaktır. Yine de “everyone” bulunan seçenekleri bir daha gözden geçirmenizi tavsiye ederiz.

Security Options

Aşağıdaki liste içinde, “Microsoft Networking” kulanarak dosya alışverişi ve paylaşımı yapıyorsanız, “SBM encryption” ve “Secure Channel” önem kazanıyor. Buiki seçeneğn değerlerini belierlerken dikkatli davranıp kendi koşularınıza uygun olanını seçmelisiniz.

Additional Restriction for Anonymos Connections	No access without explicit anonymous permision
Allow System to Be Shut Down Without Having to Log On	Disabled
Audit Use of Backup and Restore Privilege	Enabled
Clear Virtual Memory Pagefile When System Shuts Down	Enabled
Digitaly Sign Client Communication (Always)	Enabled (yüksek düzey güvenlik)
Digitaly Sign Client Communication (When possible)	Enabled (orta düzey güvenlik)
Digitaly Sign Server Communication (Always)	Enabled (yüksek düzey güvenlik)
Digitaly Sign Server Communication (When possible)	Enabled (orta düzey güvenlik)
Disable CTRL-ALT-DEL Requirement for Logon	Disabled
Do Not Display Last User Name in Log On	Enabled (çok kulanıcılı sistemlerde)
LAN Manager Authentication Level	Send NTLMv2 responses only/refuse LM & NTLM
Number of Previous Logon to Cache ( In case Domain Controler Is Not Available)	0
Prevent User From Installing Printer Drives	Enabled
Recovery Console: Allow Automatic Administrative Logon	Disabled
Rename Administrator Account	“admin” veya “administrator” yapmayın
Restrict CD-ROM Access to Locally Logged-On User Only	Enabled
Restrict Flopy Access to Locally Logged-On User Only	Enabled
Secure Channel: Digitally Encrypt or Sign Secure Channel Data (Always)	Enabled (yüksek düzey güvenlik)
Secure Channel: Digitally Encrypt Secure Channel Data (When Posible)	Enabled (orta-yüksek düzey güvenlik)
Secure Channel: Digitally Sign Secure Channel Data (When Possible)	Enabled (orta düzey güvenlik)
Secure Channel: require Strong (Windows 2000 or Later) Session Key	Enabled (çok yüksek düzey güvenlik)
Send Unencrypted Password to Connect to Third-Party SMB Servers	Disabled
Strengten Default Permissions of Global System Objects (e.g. Symbolic Links)	Enabled
Unsigned Driver Installation Behavior	Do not allow
Unsigned Non-Driver Installation Behavior	Do not allow

Gereksiz altsistemlerin kaldırılması:

Gereksiz altsistemlerin kapatılması diye bir konumuz daha var. OS2 ve Posix yazmaç (registry) değerlerini HKLM\ System\ CurremtControlSet\ Control\ Session\ Maneger\ Subsystem içinden kaldırabilirsiniz. İlgili dosyaları (os2*,posix* dosyaları) buradan silebilirsiniz. Bu sistemler artık genel kulanımda yoklar ama açıkları sayesinde bilgisayarınıza istemediğiniz kişiler tarafından bağlantı kurulabilme olanağı veriyor.

Önemli dosyaların korunması:

Bazı araçaların herkes tarafından kulanılmasını istemiyorsanız yeni bir admin grubu yaratın (örneğin AdminTools). Hangi kulanıcıların bu araçları kulanabilmelerini istiyorsanız onları bu grubun altına koyun. Bu doysalar üstündeki ACL’leri “LocalSytem” ve “Administrative Group”tan kaldırın ve “AdminTools”a bu dosyaların sahipliğini ve “Read” ve “Execute” hakkını verin. Bu dosyalar arasında ilk aklımıza gelenler;

Arp.exe	Ipconfig.exe	Nbtstat.exe
At.exe	Net.exe	Netstat.exe
Atsvc.exe	Nslookup.exe	Qbasic.exe
Calcs.exe	Posix.exe	Rdisk.exe
Cmd.exe	Rpc.exe	Regedt32.exe
Debug.exe	regedit.exe	Route.exe
Edit.com	Rexec.exe	Runonce.exe
Edlin.exe	Rsh.exe	Syskey.exe
Finger.exe	Secfixup.exe	Tracert.exe
ftp.exe	telnet.exe	Command.com
Xcopy.exe	Tftp.exe	Hypertrm.exe
Clipsrv.exe	Dialer.exe	Sysedit.exe
Attrib.exe	Ping.exe
Wscript.exe	Cscript.exe

TCP/IP süzgeçlenmesi

TCP/IP filitrelendirmesi diye bir konudan bahsediceğimizi söylemiştik. Burada Win2000 iki çeşit sunuyor. TCP/IP filitrelendirmesi ve IPSec. TCP/IP filitrelendirmesi tek bir bilgisayarlar için kulanılırken, IPSec ise “Group Policy” olarak atanabilinir.

TCP/IP filitrelendirmesi;

Bir örnekle anlatmak en uygunu olucaktır. Diyelim ki bilgisayarınız FTP ve Web bır servis veriyor (ki bunları da vermesine genelde gerek yok). “Network and Dial-Up Connection” kulanılarak filitreleme yapabilirsiniz. Start | Settings | Network and Dial-Up Connection | Properties | General | Internet Protocol (TCP/IP) | Properties | Advenced | Options | TCP/IP Filtering | Properties. Biraz uzun gibi gözükse de azim her şeye çare. Aşağıdaki örnekte gözüktüğü üzere TCP bağlantılarını 21 (FTP), 80 (http) ve 443 (https) portlarıyla sınırlamış durumda. Hatta UDP portlarına hiç bir şekilde izin verilmemiş. Bu kısmı kulandığınız programlara verdiğiniz servislere göre ayarlıyabilirsiniz.

Resim 2

IPSec filitrelendirmesi;

Bu seçenek bir grup için kulanlıldığında daha etkilidir. IPSec’in özelliklerinde “enable” işaretledikten sonra yapmanız gerekenler bitmiyecektir. “Local Security Setting” içine girip kendi “policy”inizi girmeniz gerekecek. Üç tane kolunlu bir tabloyu dolduracaksınız. Kolonlarda;

IPSec filter lists
IPSec filter action
IPSec policy rules

olucaktır. Bu ağ içinde sisteminize gelen ve sisteminizden giden trafiğin filitrelendirmesi sırasında uygulanıcak politikayı(policy), hangilerinin filitlendirileceği listesini (list), ve yapılacak işlemi (action) içermektedir. bu işlemlerden sonra “Local Machine”de “IP Security Policies” i kulnamaya baslıyabilirsiniz. Bunu için üstüne gelip sağ-tıkdan sonra “assign”ı seçin. Bilgisayarınızı tekrar başalamanıza gerek kalmadan hemen uygulamaya girecektir.

Ufak tefek işler:

Uygulama dosyaların kulanım izinlerlini belirleyin
Sistemi önyüklemesinin(boot) hemen OS olmasını ayarlayın. Bu işlemı yapmak için My Computer | Properties | Advanced | Startup and Recovery | System Startup içindeki önyükleme değerini (boot time) “0” olarak belirleyin.

Sonuç:

Buraya kadar yaptıklarınız arasında önyükleme (boot) esnasında yapıcağımız şifrelemeden, sistem süzgeçleme kadar pek çok şeyden bahsettik fakat bunların bir kısmı sizin bulunduğunuz ortam şartlarına uymayabilir. Daha önce de belittiğimiz gibi öncelikle kendi durumunuzu ortaya tüm hatlarıyla ortaya koyun ki yapıcağınız ayarlar bilgisayarınızı güvenli hale getirirken aynı zamanda da çalışmaz hale getirmesin. Sizlere sadece win2000 kurulumundan sonra yapılacak ilk işlemnleri anlatım ama daah yapılabilicek çok şey olduğunu unutmayım EK1’de alıntı yaptığim ve faydalı bulduğum sayfaların bağlantıları var.

Kolay gelsin.

EK1:

Burada anlatıklarım aşağıdaki sitelerden çıkrarılmış özet ve derlemelerdir. Daha fazla biligi ve ayrıntı için win2000 güvenlik sitelerini ziyarat etmenizi öneririm.

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/w2kprocl.asp
http://www.systemexperts.com/tutors/HardenW2K101.pdf
http://nsa2.www.conxion.com/win2000/download.htm
http://www.yale.edu/its/security/new-index.html?http://www.yale.edu/its/security/Procedures/Securing/NT/w2k/
http://www.labmice.net/articles/securingwin2000.htm
http://arstechnica.com/tweak/win2000/security/begin-1.html
http://www.sans.org/infosecFAQ/win2000/win2000_list.htm

İbrahim Çalışır

BİLGİ İŞLEM DAİRESİ BAŞKANLIĞI
İNTERNET TEKNOLOJİLERİ GÜVENLİĞİ
( security at metu.edu.tr 11/02/2002)

| Yazıcı-uyumlu sayfa | Bu makaleyi arkadaşına gönder |

Konu ile alakalı olabilecek diğer dokümanlardan bazıları:	Yayınlanma tarihi:
[MS] Internet Explorer için toplu yama	01.04.2002 00:00
Microsoft Outlook güvenlik açıkları	25.03.2002 04:30
Windows 2000 güvenliği	25.03.2002 17:00
Samba : Linux, Windows ve Apple ile dosya paylaşımı	03.04.2002 00:00
IPsec ile sanal özel ağ oluşturma	03.04.2002 13:12
Windows İşletim sistemlerinde sistem dosyalarının ve yazılımların güncelliğini sağlamak	25.03.2002 13:20
Windows 2000`de IP güvenliği (adım adım IPSec)	10.03.2002 10:15
PGP ile Güvenlik	08.03.2002 16:00
Carnivore nedir?	07.03.2002 08:00
MS RAS Adres defterindeki kontrol edilmeyen tampon bellek kod çalıştırılmasına izin veriyor	12.06.2002 14:00

Yorum listesi

Bir yorum yok.

Yazıcı uyumlu