Microsoft Ortamında Servis Güvenliğinin Sağlanması

Microsoft sistemlerinin genelinde dikkat edilmesi gereken bir konu da servislerin güvenliğidir. Bu yazıda Microsoft ortamında servis sıkılaştırma konusu incelenecektir.

Temel Servis Güvenliği

Windows işletim sistemlerinde servisler, çeşitli amaçlar için kullanılan ve kullanıcı arayüzü olmayan nesnelerdir. Ancak güvenilir olarak yapılandırılmayan servisler saldırı yüzeyini arttırmaktadır. Bu sebeple, servis sıkılaştırılmasına önem verilmelidir. Servisler söz konusu olduğunda dikkat edilecek hususlar şu şekildedir:

  • Bilgisayarda Local System ve Network Services hakları ile çalışan servisler de dahil olmak üzere tüm servisler periyodik olarak kontrol edilmeli ve izlenmelidir. Bir servis “Control Panel > All Control Panel Items > Administrative Tools > Services” ile gelen konsolda yapılandırılabilir.
  • Gereksiz servisler devre dışı bırakılmalıdır.
  • Devre dışı bırakılmayacak olan servislerin başlangıç tipleri uygun olarak belirlenmelidir.
  • Servisler, sistemde yetkili kullanıcıların hakları ile çalıştırılamamalıdır. Local Service veya Network Servis olarak çalışmalıdır. Bu kullanıcıların parolaları güçlü olmalı ve belli aralıklarla güncellenmelidir.
  • Servislerin birbirleri ile bağımlılıkları kontrol edilmelidir. Gereksiz bağımlılıkların verilmesi erişilebilirlik problemlerine sebep olabilmektedir.
  • Servislerin ağ erişimleri kontrol edilmelidir. Windows güvenlik duvarlarından sadece gerekli servislerin izinleri olmalıdır.
  • Servis kullanıcılarının hakları kontrol edilmelidir. Gerek duyulmadıkça, sistemdeki bilgisayarlarda oturum açma yetkileri, yönetici hakları olmamalıdır.
  • Kritik servislerin hata vermesi durumunda, geri dönüş (recovery) ayarları birinci ve ikinci hata durumları için yeniden başlat, üçüncü hata durumunda ise uygun bir programın çalıştırılması olarak ayarlanmalıdır.

 

Parola Güvenliği

Uygulama ve servis kullanıcı profillerine uygun olarak bir veya daha fazla parola politikasının belirlenmesi mümkündür. Uygulama ve servis hesapları için parola politikası oluşturulurken şunlara dikkat edilmelidir.

  • Parolalar, 15 karakter gibi belirlenen sayıdan (Sistemden sisteme değişiklik gösterebilir) daha az karakterden oluşmamalıdır.
  • Parolalar en az birer büyük/küçük harf, bir rakam ve özel bir işaret/karakter içermelidir.
  • Parolalar, bir önceki parola ile aynı olmamalıdır. Belirlenen süre (3 yıl) veya parola değişimi (12 kere) süresince eski parolalar tekrar kullanılmamalıdır.
  • Parolalar, hesap ismi ve tersi ile aynı/benzer olacak şekilde tahmin edilebilir olmamalıdır.
  • Parolalar, sözlükte yer alan kelimeler olmamalıdır.
  • Parolalar, belirli aralıklarla (6 ay gibi) değiştirilmelidir.
  • Varsayılan parolalar (üretici parolaları, admin, sa,… gibi) kullanılmamalıdır.
  • Hesap adları özelleştirilebiliyorsa, varsayılandan farklı olarak belirlenmelidir.
  • Hesaplar sonlanmayacak şekilde (never expires) ayarlanmalıdır.
  • Hesaplar, kaba kuvvet ve sözlük saldırılarına karşı kilitlenmesi önlenmelidir. Böylece saldırılar karşısında erişilebilirliğin aksamasının önüne geçilebilir. Saldırı tespiti için alarm oluşturulmalıdır.
  • Ayar dosyaları ve bağlantı bilgilerinin tutulduğu ayarlar (açık olarak bulunmamalıdır), servisler, zamanlanmış görevler gibi parolaların kullanıldığı yerler tespit edilmeli ve kayıt altına alınmalıdır.
  • Herhangi bir saldırı anında tüm parolaların değiştirilmesi, kritik hesaplarla gerçekleştirilen işlemlerin kontrol edilmesi, bu hesaplar üzerinde gerçekleştirilen işlemlerin kontrol edilmesi gerekmektedir. Bu amaçla gerekli planlar yapılmalı ve dokümante edilmelidir.

 

Servislerin Devre Dışı Bırakılması

Genellikle kullanılmayan ve kapatılması tavsiye edilen servisler aşağıdaki gibidir.

  • Application Management: Etki alanından gelen uygulamaları algılamayı, yüklemeyi, kaldırmayı sağlar.
  • Certificate Propagation: Akıllı karttaki sertifikaları, makinenin sertifika deposuna kopyalar.
  • Computer Browser
  • DHCP Client
  • Diagnostic Policy Service
  • Diagnostic Service Host
  • Diagnostic System Host
  • Distributed Link Tracking Client: Uzaktaki makinede link yapılan bir dosyadaki yer değişikliğinde güncellemeyi sağlar.
  • Fax: Fax alınmasını/gönderilmesini sağlar.
  • HomeGroup Listener: Ev ağıyla olan bağlantıyı kontrol eder.
  • HomeGroup Provider: Ev ağına bağlantıyı sağlar.
  • Internet Connection Sharing (ICS)
  • IP Helper: IPv6 ile tünel bağlantısı kurar.
  • Microsoft iSCSI Initiator Service: İSCSI aygıtıyla bağlantı oluşturulmasını sağlar.
  • Netlogon: Etki alanındaki kullanıcı ve servislerin kimlik kontrolünü gerçekleştirir. (Etki alanında kapatılması sıkıntı oluşturabilir.)
  • Plug and Play
  • PnP-X IP Bus Enumerator
  • Portable Device Enumerator Service: Çıkarılabilir aygıtların içeriğini ağdakiler ile senkronize eder.
  • Print spooler
  • Problem Reports and Solutions Control Panel Support
  • Remote Access Connection Manager
  • Remote Procedure Call (RPC) Locator
  • Remote Registry: Uzaktan bağlanan kullanıcıların Kayıt Defterini güncellemesini sağlar.
  • Routing and Remote Access
  • Smart Card Removal Policy: Akıllı kart çıktığında makineyi kilitler.
  • Smart Card: Akıllı kart ile kimlik doğrulaması sağlar.
  • SNMP Trap: Ağı dinleyen SNMP ajanları trap mesajlarını almasını sağlar.
  • SSDP Discovery
  • Tablet PC Input Service
  • Tablet PC Input Service: Dokunmatik tablet makinelerde girdileri alır.
  • Telephony
  • Telnet
  • TPM Base Services
  • UPnP Device Host
  • Windows Audio
  • Windows Color System
  • Windows Error Reporting Service
  • Windows Font Cache Service
  • Windows Media Center Receiver Service: TV/Radyo yayınının kullanılmasını sağlar.
  • Windows Media Center Scheduler Service: TV yayınını kaydedilmesini sağlar.
  • Windows Media Player Network Sharing Service: Başka makinelerle media kütüphanesini paylaştırır.
  • Windows Remote Management (WS-Management)
  • Wireless Configuration

 

Kaynak:

https://www.bilgiguvenligi.gov.tr/microsoft-sistemleri-guvenligi-dokumanlari/index.php
http://help.notify.net/TechDocs/enterprise/Install/NetHelp/default.htm?turl=WordDocuments%2Fdisableunnecessarywindowsservices.htm
http://www.marksanborn.net/howto/turn-off-unnecessary-windows-services/
http://www.blackviper.com/service-configurations/black-vipers-windows-server-2008-r2-service-configurations/

 

 

Yazarın Bilgileri

Ertuğrul BAŞARANOĞLU
Ertuğrul BAŞARANOĞLU

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kullanabileceğiniz HTLM etiketleri ve özellikleri: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.