Temel Servis Güvenliği
Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri
![](https://www.siberportal.org/wp-content/uploads/2020/12/pentist.jpg")
Windows işletim sistemlerinde servisler, çeşitli amaçlar için kullanılan ve kullanıcı arayüzü olmayan nesnelerdir. Ancak güvenilir olarak yapılandırılmayan servisler saldırı yüzeyini arttırmaktadır. Bu sebeple, servis sıkılaştırılmasına önem verilmelidir. Servisler söz konusu olduğunda dikkat edilecek hususlar şu şekildedir:
- Bilgisayarda Local System ve Network Services hakları ile çalışan servisler de dahil olmak üzere tüm servisler periyodik olarak kontrol edilmeli ve izlenmelidir. Bir servis “Control Panel > All Control Panel Items > Administrative Tools > Services” ile gelen konsolda yapılandırılabilir.
- Gereksiz servisler devre dışı bırakılmalıdır.
- Devre dışı bırakılmayacak olan servislerin başlangıç tipleri uygun olarak belirlenmelidir.
- Servisler, sistemde yetkili kullanıcıların hakları ile çalıştırılamamalıdır. Local Service veya Network Servis olarak çalışmalıdır. Bu kullanıcıların parolaları güçlü olmalı ve belli aralıklarla güncellenmelidir.
- Servislerin birbirleri ile bağımlılıkları kontrol edilmelidir. Gereksiz bağımlılıkların verilmesi erişilebilirlik problemlerine sebep olabilmektedir.
- Servislerin ağ erişimleri kontrol edilmelidir. Windows güvenlik duvarlarından sadece gerekli servislerin izinleri olmalıdır.
- Servis kullanıcılarının hakları kontrol edilmelidir. Gerek duyulmadıkça, sistemdeki bilgisayarlarda oturum açma yetkileri, yönetici hakları olmamalıdır.
- Kritik servislerin hata vermesi durumunda, geri dönüş (recovery) ayarları birinci ve ikinci hata durumları için yeniden başlat, üçüncü hata durumunda ise uygun bir programın çalıştırılması olarak ayarlanmalıdır.
Parola Güvenliği
Uygulama ve servis kullanıcı profillerine uygun olarak bir veya daha fazla parola politikasının belirlenmesi mümkündür. Uygulama ve servis hesapları için parola politikası oluşturulurken şunlara dikkat edilmelidir.
- Parolalar, 15 karakter gibi belirlenen sayıdan (Sistemden sisteme değişiklik gösterebilir) daha az karakterden oluşmamalıdır.
- Parolalar en az birer büyük/küçük harf, bir rakam ve özel bir işaret/karakter içermelidir.
- Parolalar, bir önceki parola ile aynı olmamalıdır. Belirlenen süre (3 yıl) veya parola değişimi (12 kere) süresince eski parolalar tekrar kullanılmamalıdır.
- Parolalar, hesap ismi ve tersi ile aynı/benzer olacak şekilde tahmin edilebilir olmamalıdır.
- Parolalar, sözlükte yer alan kelimeler olmamalıdır.
- Parolalar, belirli aralıklarla (6 ay gibi) değiştirilmelidir.
- Varsayılan parolalar (üretici parolaları, admin, sa,… gibi) kullanılmamalıdır.
- Hesap adları özelleştirilebiliyorsa, varsayılandan farklı olarak belirlenmelidir.
- Hesaplar sonlanmayacak şekilde (never expires) ayarlanmalıdır.
- Hesaplar, kaba kuvvet ve sözlük saldırılarına karşı kilitlenmesi önlenmelidir. Böylece saldırılar karşısında erişilebilirliğin aksamasının önüne geçilebilir. Saldırı tespiti için alarm oluşturulmalıdır.
- Ayar dosyaları ve bağlantı bilgilerinin tutulduğu ayarlar (açık olarak bulunmamalıdır), servisler, zamanlanmış görevler gibi parolaların kullanıldığı yerler tespit edilmeli ve kayıt altına alınmalıdır.
- Herhangi bir saldırı anında tüm parolaların değiştirilmesi, kritik hesaplarla gerçekleştirilen işlemlerin kontrol edilmesi, bu hesaplar üzerinde gerçekleştirilen işlemlerin kontrol edilmesi gerekmektedir. Bu amaçla gerekli planlar yapılmalı ve dokümante edilmelidir.
Servislerin Devre Dışı Bırakılması
Eski işletim sistemlerine veya özel uygulamalara ait olan, genellikle kullanılmayan ve kapatılması tavsiye edilen servisler aşağıdaki gibidir.
- Computer Browser
- HomeGroup Listener: Ev ağıyla olan bağlantıyı kontrol eder.
- HomeGroup Provider: Ev ağına bağlantıyı sağlar.
- PnP-X IP Bus Enumerator
- Tablet PC Input Service
- Windows Media Center Receiver Service: TV/Radyo yayınının kullanılmasını sağlar.
- Windows Media Center Scheduler Service: TV yayınını kaydedilmesini sağlar.
Genel olarak da aşağıdaki servislerin kapatılması tavsiye edilmektedir.
- ActiveX Installer (AxInstSV)
- AllJoyn Router Service
- App Readiness (**)
- Application Identity
- Application Layer Gateway Service
- Application Management
- AppX Deployment Service (AppXSVC)
- ASP.NET State Service
- AssignedAccessManager Service
- Auto Time Zone Updater
- AVCTP service (*)
- Background Intelligent Transfer Service
- Block Level Backup Engine Service
- Bluetooth Audio Gateway Service
- Bluetooth Support Service
- BranchCache
- Cellular Time
- Certificate Propagation (*)
- Client License Service (ClipSVC)
- COM+ System Application
- ConfigMgr Task Sequence Agent
- Configuration Manager Remote Control
- Connected User Experiences and Telemetry (*)
- Data Sharing Service
- Device Install Service
- Device Management Enrollment Service
- Device Management Wireless Application Protocol (WAP) Push message Routing Service
- Device Setup Manager
- DevQuery Background Discovery Broker
- Diagnostic Execution Service
- DialogBlockingService
- Distributed Link Tracking Client (*)
- Distributed Transaction Coordinator
- Downloaded Maps Manager
- Embedded Mode
- Encrypting File System (EFS)
- Enterprise App Management Service
- Fax
- File History Service
- GameDVR and Broadcast User Service
- Geolocation Service
- Google Chrome Elevation Service
- Google Update Service
- GraphicsPerfSvc
- Human Interface Device Service
- HV Host Service (**)
- Hyper-V Data Exchange Service (**)
- Hyper-V Guest Service Interface (**)
- Hyper-V Guest Shutdown Service (**)
- Hyper-V Heartbeat Service (**)
- Hyper-V PowerShell Direct Service (**)
- Hyper-V Remote Desktop Virtualization Service (**)
- Hyper-V Time Synchronization Service (**)
- Hyper-V Volume Shadow Copy Requestor (**)
- Internet Connection Sharing (ICS)
- IP Helper (*)
- IP Translation Configuration Service
- KtmRm for Distributed Transaction Coordinator
- Language Experience Service
- Link-Layer Topology Discovery Mapper
- Local Profile Assistant Service
- Microsoft (R) Diagnostics Hub Standard Collector Service
- Microsoft Account Sign-in Assistant
- Microsoft App-V Client
- Microsoft Cloud Identity Service
- Microsoft Defender Antivirus Network Inspection Service
- Microsoft Defender Antivirus Service
- Microsoft Edge Elevation Service
- Microsoft Edge Update Service
- Microsoft iSCSI Initiator Service (**)
- Microsoft Keyboard Filter
- Microsoft Passport
- Microsoft Passport Container
- Microsoft Policy Platform Local Authority
- Microsoft Policy Platform Processor
- Microsoft Software Shadow Copy Provider
- Microsoft Storage Spaces SMP (**)
- Microsoft Store Install Service
- Natural Authentication
- Net.Tcp Port Sharing Service
- Network Connections
- Network Connectivity Assistant
- Office 64 Source Engine
- Office Source Engine
- Offline Files
- OpenSSH Authentication Agent
- Optimize drives
- Parental Controls
- Payments and NFC/SE Manager
- Peer Name Resolution Protocol
- Peer Networking Grouping
- Peer Networking Identity Manager
- Performance Counter DLL Host
- Performance Logs & Alerts
- Phone Service
- Plug and Play (**)
- PNRP Machine Name Publication Service
- Portable Device Enumerator Service
- Print Spooler (*)
- Printer Extensions and Notifications
- Problem Reports Control Panel Support
- Program Compatibility Assistant Service (*)
- Quality Windows Audio Video Experience
- Recommended Troubleshooting Service
- Remote Access Auto Connection Manager
- Remote Desktop Configuration (*)
- Remote Desktop Services (*)
- Remote Procedure Call (RPC) Locator
- Remote Registry (**)
- Retail Demo Service
- Routing and Remote Access
- Secondary Logon
- Security Center (*)
- Sensor Data Service
- Sensor Monitoring Service
- Sensor Service
- Shared PC Account Manager
- Smart Card (*)
- Smart Card Device Enumeration Service
- Smart Card Removal Policy
- SNMP Trap
- Software Protection
- Spatial Data Service
- Spot Verifier
- Still Image Acquisition Events
- SSDP Discovery
- Storage Tiers Management
- Symantec Endpoint Protection Local Proxy Service
- Symantec Network Access Control
- System Event Notification Service
- TCP/IP NetBIOS Helper (*)
- Touch Keyboard and Handwriting Panel Service
- User Experience Virtualization Service
- Virtual Disk
- Volume Shadow Copy
- Volumetric Audio Compositor Service
- WalletService
- WebClient
- Wi-Fi Direct Services Connection Manager Service
- Windows App Certification Kit Fast User Switching Utility Service
- Windows Backup
- Windows Biometric Service (*)
- Windows Camera Frame Server
- Windows Connect Now
- Windows Defender (*)
- Windows Defender Advanced Threat Protection Service
- Windows Encryption Provider Host Service
- Windows Error Reporting Service (**)
- Windows Event Collector (**)
- Windows Image Acquisition
- Windows Insider Service
- Windows Installer
- Windows Management Service
- Windows Media Player Network Sharing Service
- Windows Mixed Reality OpenXR Service
- Windows Mobile Hotspot Service
- Windows Modules Installer
- Windows Perception Service
- Windows Perception Simulation Service
- Windows PushToInstall Service
- Windows Search (*)
- Windows Update Medic Service
- WMI Performance Adapter
- Work Folders
- Xbox Accessory Management Service
- Xbox Live Auth Manager
- Xbox Live Game Save
- Xbox Live Networking Service
Kaynak:
https://www.bilgiguvenligi.gov.tr/microsoft-sistemleri-guvenligi-dokumanlari/index.php
https://docs.microsoft.com/en-us/windows-server/security/windows-services/security-guidelines-for-disabling-system-services-in-windows-server
http://help.notify.net/TechDocs/enterprise/Install/NetHelp/default.htm?turl=WordDocuments%2Fdisableunnecessarywindowsservices.htm
http://www.marksanborn.net/howto/turn-off-unnecessary-windows-services/
http://www.blackviper.com/service-configurations/black-vipers-windows-server-2008-r2-service-configurations/
Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri
