• Audit Policy                       : Her şirket yetkilisi, buna bilgi işlem yöneticisi de dahil olmak üzere, şirketinin bilişim alt yapısında neler oluyor bilmek ister değil mi ? Kimler oturum açmış, kim hangi klasöre erişmeye çalışmış, bir klasör izinleriyle kimler oynamış, dosyaları kim silmiş ve bir haftasonu sistemin aniden çökmesine neden olan bir vaka oluşmuş. Bir sunucu kendi kendine kapanmış fakat biz sebebini bilmiyoruz. İşte bilmek istiyorsak, buradaki ayarlar ile oynuyoruz. Audit Policy içerisindeki ayarları enable ederek, yukarıda saydıklarımı izleyebilir ve sistemde olağan dışı bir durum olduğunda raporlayabiliriz.

• User Right Assignment                : Bir group policy objesinde en çok kullanılan alanlardan biri daha.. Kimler uzak masaüstü yapabilsin? Sistem saatini kimler değiştirebilsin? Kimler servis hesabı olarak çalışabilsin ? Hangi kullanıcılar için oturum açma yasaklansın ? Kimler sistemi shutdown edebilsin? Kim data senkronizasyonu yapabilsin ? Kimler disk managementta bakım yapabilsin ? Kimler için servis başlatma yetkisi olmasın ? .BAT uzantılı dosyaları hangi kullanıcılar çalıştırabilsin ? Kimler yedekten geri dönüş yapabilsin ( Windows System Backup ) ? gibi soruların cevapları buradadır. Önemlidir. Aslında bu sorular, her bilişim projesinde, bilgi işlem yöneticileri tarafından üst yöneticilere sorulacak sorulardır. Bu sebeple atlamamak ve iyi dizayn etmek gereklidir.

• Security Options                             : Bu ayar içerisinde de, birbirinden önemli bir çok ayar madde yer alır. Aşağıda yazdığım soruların cevaplarına burada karar veriyoruz.
  • Local admin hesapları aktif/devredışı?
  • Microsoft account aktif/devredışı ?
  • Guest hesaplarının durumu ?
  • İzin verilen taşınabilir aygıtlar ? (USB device gibi)
  • Printer install etme yetkisi kimlere ait ?
  • DC ile istemci arasındaki iletişim imzalansın ve bir public key’e sahip olsun mu?
  • ADUC içerisinde kaydedilmiş olan bir bilgisayarın maksimum orada kalma süresi ?
  • CTRL + ALT + DEL kullanılacak mı ? ( Bunun aktif olmadığı yerler, potansiyel saldırı malzemesi olabilir).
  • İnteraktif logon mesajları çıkacak mı ? ( Şirket adı, Hoşgeldiniz vb. İbareleri içerir. )
  • Ağ erişimlerinde regedit’ e uzaktan erişim olacak mı ? Kimler erişebilecek ?
  • UAC ayarları : admin olmayan kullanıcıların .exe çalıştırma yetkisi olacak mı ?

Gibi soruların cevapları buradadır.

• Event Log                                           : Burası kısaca, sisteminizde olan biteni izlemek istiyor musunuz buna bağlı olarak değişir. İstiyorsak, neleri açmalıyız bunu belirliyoruz. Sistemde olan bitenler, .exe uzantılı uygulamalarda olan bitenler, tutulan kayıtların maksimum ve minimum boyutlarının belirlenmesi gibi ayarları içerir.

• Restricted Groups                          : Orta ölçekli bir şirkette çalışıyorsunuz diyelim. Sürekli önünüze bir bilgisayar geliyor, kurup teslim ediyorsunuz ve her seferinde bir kullanıcıy “local admin” hakkı tanımlamak durumunda kalıyorsunuz. Her gün bu işlemi en az 3 kere yaptığınızı düşünürseniz, bir tanesi 5 dakikadan günde 15 dakka, haftada 75 dakika yapar. Yani haftada 1 saatten fazla böyle basit bir işlem için uğraşıyorsunuz demektir. Halbuki her hafta bir makale yazılabilri bunun yerine. Ya da güzel bir yazı okunabilir. 1 saat yemek molasıdır. Haftada bir gün yemeğinizden ödün veriyorsunuz J . Bunu yapmak yerine, bu ayar içerisinden kimlerin local admin olacağını bir kereye mahsus belirleyip, tüm bilgisayarlarda ilgili kullanıcı kimse onu local admin yaparak bu işi kökten çözebilirsiniz.

Detaylı açıklama               : http://support.microsoft.com/kb/279301

• Registry                                              : Bir bilgisayara uzaktan REG_KEY yollamak için kullandığımız alandır. Bunlar önceden hazırladığımız .VBS uzantılı dosyalar olabilir. Ya da istemci tarafında normalde olması gereken bir key yoktur ve bir program hata veriyordur. Bunu tespit edip, GPO ile ilgili makinieye yollayarak problemi aşabiliriz.

• Central Access Policy                                    : Dinamik obje erişimlerinde kullanılır. NTFS permissionların özelleştirilmiş halidir diyebiliriz. Bununla ilgili portalımızda çok güzel bir makale serisi var. Detaylıca açıklamak yerine okumayı öneriyorum.

http://social.technet.microsoft.com/wiki/contents/articles/20659.windows-server-2012-r2-dynamic-access-control-dac-tr-tr.aspx

• Wired Network Policy                                  : Şirketimizdeki kablolu ağ istemcilerinin, iletişimlerinin nasıl gerçekleşeceğinin belirlendiği alandır. Şifreli / Şifresiz ? Kimlik doğrulamalı / doğrulanmadan ? gibi özellikleri temsil eder.  Bu ayarın uygulanması için, istemci taraflarında UAC’ nin devre dışı bırakılması gerekir.

• Windows Firewall with Advanced Security         : İstemcilerde normalde açık olması gereken fakat kapalı olan portları açmaya yarayan ayardır. Örneğin, bir sunucuya SQL kurdunuz, ve SQL ‘ e uzaktan erişim isteniyor. Bunu yapmak için outbound 1433 portunu açmalısınız. İşte bunu bu policy sayesinde yapabiliyoruz.

• Network List Manager Policy                    : Şunu duymuşsunuzdur. Neden benim bilgisayarımda sağ alt köşede Undefined yazıyor? Bazen bilgisayarlar böyle bilinçsiz hareket edebilir. Elektronik alettir sonuçta gibi cümleler kurmayacağım merak etmeyin. Her şeyin bir sebebi vardır. Bir domain ortamında çalıştığınızda, istemci taraflarında ağ iconlarının nasıl gözükmesini istediğinizi, isimlerini buradn belirliyoruz.

• Wireless Network Policies                          : Kablosuz ağların nasıl hareket edeceğini belirleriz.
• Public Key Policies                                         : Şirketinizde SSL üzerinden bir web sitesi yayınlayabilirsiniz. Ya da bir mail sunucusunu SSL ile şifreleyebilirsiniz. Elinizde bir SSL sertifikası vardır ve bunu bütün bilgisayarlara yüklemek için, bu policy’ i kullanıyoruz. Tabi ki doğru class’ ı seçmek kaydıyla. İstemci tarafında MMC ‘ yi kullanarak nasıl import yapıyor isek, aşağıdaki ekranda da aynı şekilde import yaparak, sertifikayı istemci tarafına gönderiyoruz.

• Software Restriction Policy                        : Tahmin ediyorum ki, takıntılı yöneticilerin en sevdiği alanlardan biridir. İstemciye hangi programları yasaklayalım ? sorusunun cevabı burada yatar. Eskiden MSN kullanmasın derlerdi. Yaygın olarak point-to-point uygulamaları yasaklamak amacıyla kullanılır. Bunu bir registry path belirleyerek, ya da istemci tarafındaki local path bilgisini girerek ( exe’ si ile birlikte ) yapabiliriz. Böylelikle, istemci programı açtığında, bu program yasaklanmıştır, lütfen sistem yöneticinize başvurun gibi bir mesajla karşılaşır.

• Application Control Policies                       : Applocker teknolojisini içerisinde barındırır. Software Restriction policynin biraz daha gelişmiş ve güzel versiyonu olarak bakabilirsiniz. Çünkü burada scriptler, app uzantılı dosyalar, msi dosyaları, executable bütün dosyalar, aklınıza ne gelirse bulunur. Ayrıca buradaki en büyük fark, policy objesinin OU dışında, AD grubu seviysine uygulanabilmesidir.

• IPSec on Active Directory                           : IPSec, adından da anlaşılacağı üzere, TCP/IP paketlerinin çözümlenememesi için geliştirilmiş bir teknolojidir.  Bir katmandır desek daha doğru olur.  Detaylı bilgiyi BURADAN edinebilirsiniz. Bu policy objesi ile birlikte, istemci ve sunucular arasındaki iletişimi şifreleyip hareket ettiriyoruz ve böylece şirketimizden IP alan herkes, local kaynaklarımıza erişemiyor. Yalnızca bizim istediğimiz kişiler ve bu policyi uyguladığımız bilgisayarlar networkümüze dahil olabiliyor.  Bu bir mail erişimi olabilir, RDP session olabilir, web erişmi olabilir. Tek tek özel erişimler olabileceği gibi, tüm trafiği de IPSEC üzerinde koşturabiliriz fakat çok uğraşırız. Güvenlik delisi şirketler dışında kullanan yoktur. Ben şahsen, RDP trafiğini bu şekilde kullanmaktan yanayım.

• Advanced Audit Policy Configuration                    : Yazımızın ilk bölümlerinde, auditten bahsetmiştik. Sistemimizde olanı biteni izlemek. Hem bizlerin hem de üst yönetimin hem fikir olduğumuz konulardan biridir. Şifre expire durumları, UAC erişimleri, AD Security grup erişimleri, biraz daha detaya girersek, process (servis, .exe gibi ) başlangıçlarını dahi monitor edebiliyoruz. Active Directory’ e gelen oturum açma talepleri, replikasyon durumları, logon ve logofflar, IPSec ile kimlerin nerelere eriştiği, erişemediyse neden erişemedikleri, kernel’e erişim, sertifika otoritesine erişim, sertifika enroll durumları, regedit’ e erişim, file sharing’lere erişim, gpo objelerinn değişimleri, kimler tarafından ne değişiklik yapıldığı, izinlerle oynamalar, rcp events. A’ dan Z’ ye neredeyse tüm olayları buradan izleyip, istemci tarafında da aynı ayarları uygulatabiliyoruz.

Güvenlik ayarlarından o kadar bahsettim ki, asıl noktayı az kalsın unutuyordum. Yukarıda anlatılan ve önerilen tüm yöntemleri uygulasak bile, kötü niyetli ya da bilinçsiz bir kullanıcı tüm bu sistemi bir anda tersine çevirebilir. Nasıl mı ? Çok basit; şifresini biriyle paylaşır olur biter. Makalemin sonuna geldiğimde, teknik bilgilerin dışında vermek istediğim yegane mesaj, her şirketin öncelikle kullanıcı bilinçlenmesini sağlaması gerektiğidir.

Güvenli günler dileğiyle...