Security Configuration Wizard Kullanarak Windows Sunucuların Sıkılaştırılması

Microsoft ortamının güvenilirliğini sağlamanın yollardan birisi de güvenlik denetimleridir. Security Configuration Wizard, sunucuların güvenilirliğini arttırmak için kullanılan rol tabanlı bir araçtır. Bu yazıda Microsoft ortamında Security Configuration Wizard ayarları ve tarama özellikleri incelenecektir.

1) Yapılabilecek Ayarlar

1.1) Rol Tabanlı Servis Ayarları

  • Sunucu rolleri: File server, Application Server, AD Federation Service, FTP Server, Web Server,… gibi roller listelenir. Gereksiz sunucu rollerin seçimi iptal edilebilir.
  • İstemci Özellikleri: DNS Client, DHCP Client, Domain Member, Microsoft Networking Client,… gibi özellikler listelenir. Gereksiz istemci özelliklerinin seçimi iptal edilebilir.
  • Yönetimsel Seçenekler: Application Installation from Group Policy, Local application installation, Microsoft Fibre Channel Platform Registration Service,… gibi seçenekler listelenir. Gereksiz yönetimsel seçeneklerin seçimi iptal edilebilir.
  • Servisler: LiveUpdate, Symentec Endpoint Protection, Application Identity, Disk Defragmenter, Encrypting File System (EFS),… gibi servisler listelenir. Gereksiz servislerin seçimi iptal edilebilir.

1.2) Ağ Güvenliği Ayarları

  • Windows Güvenlik Duvarı Kuralları: Group Policy Rules, DNS Rules,… gibi rollere ve seçilen özelliklere göre kurallar listelenir. Kurallar üzerinde gerekli değişiklikler gerçekleştirilebilir.

1.3) Kayıt Defteri Ayarları

  • SMB Güvenlik İmza Ayarlamaları: Mevcut makineye bağlanacak sistemlerin minimum işletim sistemi gereksinimleri, trafiğin imzalanmasının sağlanması için gerekli ayarlar belirlenebilir.
  • Uzaktan Kimlik Doğrulama Ayarı: Etki alanındaki kullanıcılar, diğer makinelerdeki yerel kullanıcılar veya eski versiyonlara ait metotlarla uzak makinelerden kimlik doğrulama ayarları gerçekleştirilebilir. Etki alanındaki kullanıcıların kimlik doğrulaması için LANMAN seviyesi ayarlanabilir.

1.4) Denetim Ayarları

  • Denetim Kapsamı: Loglar alınmayabilir, başarılı loglar tutulabilir veya başarılı ve başarılı loglar tutulabilir.

 

2) Tarama Özellikleri

Taramanın gerçekleştirileceği zaman tüm uygulamaların ve servislerin çalışır durumda olması gerekmektedir. Aksi halde devre dışı veya stop durumda olduğu için çalışmayan servis veya uygulama SCW tarafından göz ardı edilir.

Yapılan bu ayarlamalar sonucunda bir xml dosyası elde edilecektir. Elde edilen bu dosya bu makinede daha sonra uygulanmak için kullanılabilir. Bunun yanında başka makinelere de uygulanabilir. Hatta bu dosya grup politikası nesnesi (GPO) olarak Aktif Dizin (AD) ortamında da kullanılabilir.
Dosyanın GPO olarak ayarlanması (Domainde yetkili bir kullanıcı tarafından çalıştırılmalıdır) için aşağıdaki komut kullanılır.

scwcmd transform /p:Sunucu1.xml /g:GPOPolicy

Aktif Dizin üzerinde uygulanacak olan grup ilke nesnesine benzer özellikte olan makine OU’lere atanmalıdır. Aksi halde Exchange sunucular için hazırlanan bir SCW dosyası, SQL sunucularına uygulanmak istenirse problem yaşanabilir. Ayrıca SCW dosyasını başka bilgisayarlara uygularken, makinelerin mimari yapısı (32/64 bit) da gözönünde bulundurulmalıdır.

 

Kaynak:

https://www.bilgiguvenligi.gov.tr/microsoft-sistemleri-guvenligi-dokumanlari/index.php

 

 

Yazarın Bilgileri

Ertuğrul BAŞARANOĞLU
Ertuğrul BAŞARANOĞLU

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kullanabileceğiniz HTLM etiketleri ve özellikleri: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.