Windows İşletim Sisteminde Windows Kaynak Koruma (Windows Resource Protection) Özelliği

İşletim sistemi üzerindeki kritik sistem dosyaları ve kayıt değerlerinin zarar görmesi işletim sisteminin beklendiği gibi davranmamasına sebep olur. İşletim sistemi bazı işlevlerini yerine getirmeyebilir veya sistem kilitlenebilir. Bu yazıda Windows işletim sisteminde Windows Kaynak Koruma (Windows Resource Protection) özelliği incelenecektir.

Windows işletim sisteminde sistem için kritik olan dosyalara erişimler işletim sistemi tarafından sınırlı tutulmuştur. Kritik dosyalar (“C:\Windows\System32\dllhost.exe” gibi) üzerinde değişiklik yapma hakkı TrustedInstaller adlı yüksek yetkili bir servise aittir. TrustedInstaller servisi, kritik dosyalar üzerinde bazı durumlarda güncelleme yetkisine sahiptir. Bu durumlar şunlardır:

  • Servis paketi (Service Pack) yükleme
  • Hotfix yükleme
  • İşletim sistemi yükleme
  • Windows güncellemelerini yükleme

Windows Kaynak Koruma (Windows Resource Protection) ile bu dosyaların mevcut özetleri ile en son çalışan sürümlerine ait özetleri karşılaştıran bir servistir. Eğer değişikliğe uğramış bir kritik dosya varsa, WRP servisi, bu dosyaları bilinen en son sağlam sürümlerine geri döndürür. Böylece sistem dosyalarının bütünlüğü korunmuş olur.

Kritik dosyaların en son sürümlerine ait özetleri “%SystemRoot%\System32\CatRoot” dizininde tutulmaktadır. Bu dizindeki özet değerleri SHA-1 ile elde edilmiş olup, Microsoft tarafından sayısal olarak imzalanmıştır.

“%SystemRoot%\winsxs\Backup” dizini içerisinde değişikliğe uğramış olan dosyaların yedekleri bulunmaktadır ve WRP ile değişikliğe uğramış dosyalar bu dizindeki halleri ile değiştirilir. Değişiklik sonrasında Olay Kayıtları’na güvenlik kaydı düşer. Olay ile ilgili özet kayıt “%SystemRoot%\Logs\CBS\CBS.log” içerisinde bulunmaktadır.

Kritik dosyaların üzerindeki değişiklik bilgilerini elde etmek için kullanılabilecek bazı araçlar şunlardır:

  • System File Checker (SFC.exe)
  • File Signature Verification Tool (SIGVERIF.exe)
  • Signature Check Tool (SIGCHECK.exe)

Periyodik olarak bu araçlar kullanılarak kritik sistem dosyaları bütünlük kontrolünden geçirilmelidir. Ayrıca Olay Kayıtları 64001 ve 64002 ID’li kayıtları takip edecek betikler oluşturulmalı veya HIDS gibi araçlar ile bu kayıtlar izlenmelidir.

 

Kaynak:

http://msdn.microsoft.com/en-us/library/windows/desktop/cc185681(v=vs.85).aspx

 

 

Yazarın Bilgileri

Ertuğrul BAŞARANOĞLU
Ertuğrul BAŞARANOĞLU

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kullanabileceğiniz HTLM etiketleri ve özellikleri: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.