Bu yazı içerisinde belirtilen kontrollerin bir çoğu etki alanı denetleyicisi üzerinden merkezi olarak Grup İlkeleri ile gerçekleştirilmektedir. Böylece hem merkezi bir kontrol sağlanabilmekte hem de hedef bir sistem üzerinde yetki elde edilmiş bile olsa bu ayarlar değiştirilememektedir. Bu sebeple belirtilen sıkılaştırma ayarlarının grup ilkeleri üzerinden gerçekleştirilmesi tavsiye edilmektedir.
Not: Tespit edilen bulgular maddeler halinde aşağıdaki gibi sıralanmıştır. Bulgular giderilirken etkileri iyi analiz edilmeli, etkileri incelenmeli ve işlevsellik testleri gerçekleştirilmelidir. Değişikliklerden sonra sistemlerin yeniden başlatılması da gerekebilmektedir.
1) Yama Yönetimi
Kontrol: (Özellikle iç ağdan gerçekleştirilen) Sunucu taraflı gerçekleştirilen saldırılarda kullanılan en önemli saldırı vektörü sunuculardaki işletim sistemi servislerindeki ve dışarıya açık uygulamalardaki / platformlardaki (web gibi) zafiyetleridir. Bunun yanında istemci taraflı saldırılarda, personelin aldatılarak bilgisayardaki uygulamaların (web tarayıcıları, dosya okuma uygulamaları,… gibi) zafiyeti istismar edilmektedir. Sonuç olarak, işletim sistemi ve işletim sistemi üzerinde koşan uygulamaların zafiyetlerini en aza indirmek için gerekli aksiyonlar alınmalıdır.
Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.
- Varlık envanteri hazırlanmalı, risk analizi gerçekleştirilmeli ve kurumsal yama politikasına göre gerekli yamalar sistemlere geçilmelidir. Yama geçişleri için Microsoft’un veya üçüncü parti firmaların uygulamaları kullanılabilir.
- Kurumsal ortamlarda eksik yamaların ortaya çıkarılması ve analizi, risklerin belirlenmesi ve değerlendirilmesi, alınan aksiyonların takibi ve raporlanması gibi konular oldukça karmaşık bir hal alabilmektedir. Bu ihtiyaçları karşılayabilmek için zafiyet yönetimi araçları kullanılması tavsiye edilmektedir. [1]
- Kurumsal ortamlarda Microsoft veya diğer üreticiler tarafından çıkarılan yamalar hızlı bir şekilde geçilemeyebilmekte, bir takım testler sonrasında yamalar gerçek ortama yaygınlaştırılabilmektedir. Yamaların hızlı bir şekilde geçilemeyeceği ortamlar – özellikle canlı ortamdaki sunucular – için sanal yama (Virtual Patching) çözümleri kullanılmalıdır.
2) Parola Yönetimi
Siber saldırılarda en sık kullanılan saldırı vektörlerinden birisi de hesaplara ait parolaların tahmin edilmesidir.
Kontrol: Kolay kullanılan parolaların kullanılması (ek güvenlik önlemi yoksa) hedef işletim sistemine veya uygulamaya yetkisiz bir şekilde erişim sağlanmasına olanak sağlar.
Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.
- Kurum içerisinde kolay tahmin edilemeyen ve güvenlik gerekliliklerini karşılayacak güçlü parola politikaları ile hazırlanmalıdır.
- Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
- Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Account Policies –> Password Policy
- Enforce password history –> 24
- Maximum password age –> 60 (veya daha az)
- Minimum password age –> 1 (veya daha fazla)
- Minimum password length –> 14 (veya daha fazla)
- Password must meet complexity requirements –> Enabled [Varsayılan]
- Store passwords using reversible encryption –> Disabled [Varsayılan]
- Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> Security Options
- Accounts: Limit local account use of blank passwords to console logon only: Enabled
- Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Account Policies –> Password Policy
- Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
- İşletim sistemi oturumlarında kimlik doğrulamak için ikinci bir faktör (SMS veya OTP gibi) kullanılması tavsiye edilmektedir.
Kontrol: Parola saldırılarına karşı kullanılabilecek önlemlerden biri de hesapların kilitlenmesini sağlamaktır. Bu ayarlar uygun bir şekilde yapılandırılmaması durumunda hizmet dışı bırakma saldırıları gerçekleşebileceği için dikkatli olark ayarlanması gerekmektedir. Kullanıcı hesaplarının kilitlenmesinin temel sebepleri aşağıdaki gibi sıralanabilir.
- Bağlantısı oluşturulmuş (map edilmiş) ağ paylaşımları
- “runAs” ile çalışan kısa yollar
- Service Account tanımları
- Zamanlanmış görevler (Schedule Task)
- Farklı sunucu, bilgisayar yada uygulamalar üzerinde çalışan işlemler, servisler
- Kullanıcı kimlik denetimi yada doğrulaması yapan merkezi programlar (AD doğrulaması,yada uygulama katmanı denetimi,vb)
- Activesync ile çalışan mobil cihazlar
- Kullanıcı bilgisayarına bulaşmış zararlı yazılımlar
Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.
- Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
- Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Account Policies –> Account Lockout Policy
- Account lockout duration –> 15 (veya daha fazla)
- Account lockout threshold –> 10 (veya daha az)
- Reset account lockout counter after –> 15 (veya daha fazla)
- Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Account Policies –> Account Lockout Policy
Kontrol: Pass-The-Hash atak yönteminde, bir işletim sisteminde bir kullanıcıya ait parola özet bilgileri (LM:NTLM Hash) [2] alınarak, aynı kullanıcının uzaktan erişebileceği başka bir işletim sisteminde oturum açılabilir.
Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.
- Yönetici onay modu için gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
- Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options
- User Account Control: Admin Approval Mode for the Built-in Administrator account –> Enabled
- User Account Control: Run all administrators in Admin Approval Mode –> Enabled
- Computer Configuration –> Policies –> Administrative Templates –> SCM: Pass the Hash Mitigations
- Apply UAC restrictions to local accounts on network logons –> Enabled [PtH.admx/adml şablonuna ihtiyaç vardır]
- Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options
- Yönetici onay modu için gerekli ayarlar Kayıt Defteri ile aşağıda belirtildiği gibi gerçekleştirilebilir:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
- FilterAdministratorToken (REG_DWORD) –> 1
- EnableLUA (REG_DWORD) –> 1
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
- Yönetimsel paylaşımların kapatılması için gerekli ayarlar Kayıt Defteri ile aşağıda belirtildiği gibi gerçekleştirilebilir:
- HKEY_LOCAL_MACHINE\CurrentControlSet\services\LanmanServer\Parameters
- AutoShareWks (REG_DWORD) –> 0
- AutoShareServer (REG_DWORD) –> 0
- HKEY_LOCAL_MACHINE\CurrentControlSet\services\LanmanServer\Parameters
Kontrol: Kurumsal ortamlarda genellikle son kullanıcı bilgisayarları için Windows işletim sistemi tercih edilmekte olup, her bilgisayarın kurulumunda aynı imaj kullanılmaktadır. Bu imaj ile kurulum gerçekleştirildikten sonra, yerel ve gömülü (Built-in) kullanıcı hesaplarının parolaları genellikle değiştirilmemektedir.
Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.
- Windows işletim sistemlerindeki yerel yönetici kullanıcılarının parolalarını yönetmek için Microsoft LAPS veya üçüncü parti entegrasyonlar kullanılabilir.
Kontrol: WDigest (Digest Kimlik Doğrulama Protokolü), kimlik doğrulama için açık metin parolaya ihtiyaç duyan Hypertext Transfer Protocol (HTTP) veya Simple Authentication Security Layer (SASL) gibi protokollerde kullanılır. Örneğin; OWA (Outlook Web Access) gibi uygulamalar için LM/NTLM ile ağ üzerinden kimlik doğrulaması yaparken, RDP yaparken parolayı “lsasrv.dll” içerisinde şifreli olarak (secret uzunluğuna ve işletim sistemine göre RC4, DES, AES olabilir) saklarken kullanılır. Wdigest kullanılması durumunda da yetkili kullanıcılar tarafından oturum açan kullanıcıların açık metin parolaları önbellek üzerinden (LSASS prosesinden) elde edilebilir. Bunun yanında LSASS prosesini korumak için Credential Guard’ın aktifleştirilmesi de gerekmektedir.
Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.
- Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
- Computer Configuration –> Policies –> Administrative Templates –> MS Security Guide
- WDigest Authentication –> Disabled
- Computer Configuration –> Policies –> Administrative Templates –> System –> Device Guard
- (Windows 10 ise) Turn On Virtualization Based Security: Enabled –> Select Platform Security Level: Secure Boot and DMA Protection –> Credential Guard Configuration: Enabled with UEFI lock
- Computer Configuration –> Policies –> Administrative Templates –> MS Security Guide
- Gerekli ayarlar Kayıt Defteri ile aşağıda belirtildiği gibi gerçekleştirilebilir:
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest
- UseLogonCredential (REG_DWORD) –> 0
- (Windows 10 ise) HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard
- EnableVirtualizationBasedSecurity (REG_DWORD) –> 1
- RequirePlatformSecurityFeatures (REG_DWORD) –> 3
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest
Kontrol: Yerel kullanıcıların kimlik bilgilerini tutan SAM (Security Accounts Manager) dosyasında, etki alanı kullanıcılarının en son oturum açtıkları kimlik bilgileri de bellekte (cached) saklanır. Böylece etki alanındaki bir bilgisayara oturum açmak isteyen bir kullanıcı, Domain Controller sunucusuna erişemese bile çevrimdışı olarak oturumunu açabilir. Ancak bu bilgilerin çalınması durumunda, daha önceden oturum açan kullanıcılara ait belleğe alınmış hesap bilgileri de ele geçirilmiş olabilir.
Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.
- Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
- Computer Configuration –> Windows Settings –> Security Settings –> Local Policies –> Security Options
- Interactive logon: Number of previous logons to cache (in case domain controller is not available –> 1 logon(s)
- Network access: Do not allow storage of passwords and credentials for network authentication –> Enabled
- Computer Configuration –> Windows Settings –> Security Settings –> Local Policies –> Security Options
- Gerekli ayarlar Kayıt Defteri ile aşağıda belirtildiği gibi gerçekleştirilebilir:
- HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
- CachedLogonsCount (REG_SZ) –> 1
- HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa
- DisableDomainCreds (REG_DWORD) –> 1
- HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
Kontrol: Recovery Console’una erişim sağlandığında parola sorgulamasının yapılmaması işletim sisteminin ele geçirilmesine sebep olabilir.
Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.
- Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
- Computer Configuration –> Windows Settings –> Security Settings –> Local Policies –> Security Options
- Recovery console: Allow automatic administrative logon -> Disabled
- Computer Configuration –> Windows Settings –> Security Settings –> Local Policies –> Security Options
- Gerekli ayarlar Kayıt Defteri ile aşağıda belirtildiği gibi gerçekleştirilebilir:
- HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Setup \ RecoveryConsole\
- SecurityLevel (REG_SZ) –> 0
- HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Setup \ RecoveryConsole\
3) Fiziksel Güvenlik
Fiziksel erişimlerin bulunduğu durumlarda, saldırganlar bilgisayarı Kali Linux gibi NTFS modül paketi olan ancak NTFS ile formatlanmamış bir işletim sistemi ile açılabilir. Sonrasında da sistem için kritik dosyalara (SAM, SYSTEM,…) erişebilir, oturum açma ekranlarındaki araçlar (Utilman.exe, sethc.exe, magnify.exe, osk.exe, narrator.exe…) üzerinde değişiklik yaparak arka kapılar oluşturulabilir. Bu saldırı vektörlerini gerçekleştirebilecek saldırgan, sanallaştırma platformuna erişimi olan ancak yönettiği bazı sistemlerde (Domain Controller, Exchange sunucusu gibi) kullanıcı hesabı olmayan bir sistem yöneticisi de olabilir.
Kontrol: Windows işletim sistemine fiziksel erişimi bulunan yetkisiz bir kullanıcı, ilgili bilgisayarın BIOS ayarlarını değiştirerek bilgisayarın Windows kurulu olan diskten başlamasını değil, harici aygıttan başlamasını sağlayabilir ve böylece saldırgan yönetimsel haklara sahip olabilir.
Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.
- Fiziksel olarak erişilebilir sistemlerin (özellikle taşınabilir istemci bilgisayarlar) BIOS ekranına girişler için karmaşık BIOS parolasının oluşturulması gerekmektedir.
- Fiziksel olarak erişilebilir sistemlerin (özellikle taşınabilir istemci bilgisayarlar) BIOS yapılandırması için karmaşık BIOS parolasının oluşturulması gerekmektedir.
Kontrol: Windows işletim sistemine fiziksel erişimi bulunan yetkisiz bir kullanıcı, bir bilgisayarın diskini harici bir aygıta (Dock Station gibi) takarak disk içerisine erişim sağlayabilir ve böylece saldırgan yönetimsel haklara sahip olabilir.
- Fiziksel olarak erişilebilir sistemlerin (özellikle taşınabilir istemci bilgisayarlar) diskine çevrim dışı erişilememesi için Bitlocker gibi tam disk şifreleme çözümleri kullanılmalıdır [3]. Mevcut durumu görmek için manage-bde aracı kullanılabilir.
manage-bde -status
Kontrol: Oturum açma ekranlarındaki araçlarda değişiklik yapılarak arkakapı bırakılabilir ve böylece saldırgan yönetimsel haklara sahip olabilir.
Önlem: Oturum açma ekranlarındaki araçların değiştirilmesi engellenmeli veya bütünlük kontrolleri gerçekleştirilerek bu araçlar üzerindeki değişiklikler izlenmelidir.
4) Kullanıcı Hakları ve Ayrıcalıklar
Microsoft ortamında kullanıcı hakları genel olarak oturum açma hakları ve ayrıcalıklar olmak üzere iki farklı kategoride toplanır. Bunlardan oturum açma hakları sisteme kimin hangi şekilde oturum açabileceğini tanımlarken, ayrıcalıklar bilgisayardaki sistem kaynaklarına olan erişimleri kontrol eder [4].
Kontrol: “Act as part of the operating system (SeTcbPrivilege)” ayrıcalığına sahip olan bir kullanıcı, başka bir kullanıcı gibi işlem (CreateProcessAsUser) yapılabilmekte, başka bir kullanıcı hesabı gibi bu kullanıcının kaynaklarına erişebilmekte veya başka bir kullanıcının jetonu üzerinde (LsaLogonUser() fonksiyonunun PTOKEN_GROUPS parametresinde) değişiklik yapabilmektedir.
Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.
- İşletim sistemi üzerinde verilen ayrıcalığın istismarı ile yetkisiz işlemler gerçekleştirilebilir.
- Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
- Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
- Act as part of the operating system –> Boş
- Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
- Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
Kontrol: “Replace a process level token (SeAssignPrimaryTokenPrivilege)” ayrıcalığına sahip olan bir kullanıcı, ana proses ile çocuk prosesin jetonunu (security token) değiştirme hakkı vardır.
Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.
- İşletim sistemi üzerinde verilen ayrıcalığın istismarı ile yetkisiz işlemler gerçekleştirilebilir.
- Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
- Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
- Replace a process level token –> LOCAL SERVICE, NETWORK SERVICE
- Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
- Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
Kontrol: “Impersonate a client after authentication (SeImpersonatePrivilege)” ayrıcalığına sahip olan bir kullanıcı, bir başka kullanıcı gibi program çalıştırmaya hakkı vardır.Bu amaçla SetThreadToken(), ImpersonateLoggedOnUser(), CreateProcessWithToken() metodları çağırılabilir.
Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.
- İşletim sistemi üzerinde verilen ayrıcalığın istismarı ile yetkisiz işlemler gerçekleştirilebilir.
- Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
- Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
- (İstemci ve sunucu ise) Impersonate a client after authentication –> Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE
- (IIS rolünde ise) Impersonate a client after authentication –> Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE, IIS_IUSRS
- Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
- Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
Kontrol: “Create a token object (SeCreateTokenPrivilege)” ayrıcalığı tanımlandığı kullanıcıya herhangi bir kullanıcı ya da grup için jeton (security token) oluşturma hakkı tanır. Bu ayrıcalığın tanımladığı kullanıcı o bilgisayar üzerinde kendisini herhangi bir kullanıcıymış gibi gösterebilir.
Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.
- İşletim sistemi üzerinde verilen ayrıcalığın istismarı ile yetkisiz işlemler gerçekleştirilebilir.
- Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
- Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
- Create a token object –> (Boş)
- Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
- Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
Kontrol: “Debug programs (SeDebugPrivilege)”, işletim sistemi için en hassas ayrıcalıklardan biridir. Bu ayrıcalık başka bir kullanıcıya ait de olsa istenilen proses’i debug etme izni verir. Bu ayrıcalık tanımlanan kullanıcının istediği prosessi okuma/yazma, özelliklerini değiştirme veya kod enjekte etme hakkı vardır. Bu amaçla VirtualAlloc(), WriteProcessMemory(), CreateRemoteThread() gibi metodlar çağırılabilir. Kod enjekte edilen prosess, prosesi başlatan kullanıcının hakları ile çalışır. Parola özet değerlerini çalan programların çoğu bu ayrıcalığa ihtiyaç duyarlar.
Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.
- İşletim sistemi üzerinde verilen ayrıcalığın istismarı ile yetkisiz işlemler gerçekleştirilebilir.
- Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
- Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
- Debug programs –> Administrators
- Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
- Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
Kontrol: “Take ownership of files or other objects (SeTakeOwnershipPrivilege)” DACL ayarlarına bakmazsızın; dosya, yazıcı, paylaşım, servis, kayıt değeri, çekirdek nesnesi gibi herhangi bir güvenilebilir nesnenin (securable objects – SE_OBJECT_TYPE) sahiplenilebilmesine izin verir. Bu amaçla SetSecurityInfo(), SetNamedSecurityInfo() metodları çağırılabilir. Bu yetki ile SeRestorePrivilege yetkilendirmesine de sahip olunur ve kayıt değerleri üzerinde de değişiklik yapılabilir.
Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.
- İşletim sistemi üzerinde verilen ayrıcalığın istismarı ile yetkisiz işlemler gerçekleştirilebilir.
- Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
- Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
- Take ownership of files or other objects –> Administrators
- Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
- Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
Kontrol: “Back up files and directories” (SeBackupPrivilege) ayrıcalığına sahip olan kullanıcı tüm dosya ve dizinleri yedekleyebilme ve dolayısı ile tüm nesne ve dosyalara erişme hakkı vardır. Erişilmeye çalışılan dosyanın ACL izinlerinin ne olduğu göz önünde bulundurulmaz. Bu ayrıcalığın tanındığı kullanıcının tüm dosyaları okuma hakkı vardır denilebilir. Bunun yanında, bu yetkiye sahip kullanıcı dosya ve dizinlerin yetkilendirmesini de değiştirebilir.
Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.
- İşletim sistemi üzerinde verilen ayrıcalığın istismarı ile yetkisiz işlemler gerçekleştirilebilir.
- Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
- Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
- Back up files and directories –> Administrators
- (Etki alanı denetleyicisi rolünde ise) Back up files and directories –> Administrators, Backup Operators
- Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
- Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
Kontrol: “Restore files and directories” (SeRestorePrivilege) ayrıcalığı da benzer olarak herhangi bir dizin, dosya, kayıt anahtarına ve sistem tarafından korunan dosyalara (TrustedInstaller, registry girdileri ile korunsa bile) yazma izni verir. Bunun yanında, bu yetkiye sahip kullanıcı dosya / dizinlerin yetkilendirmesini de değiştirebilir. Ayrıca kayıt defterindeki servis yapılandırmasını değiştirerek, servis DLL’i oluşturabilir.
Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.
- İşletim sistemi üzerinde verilen ayrıcalığın istismarı ile yetkisiz işlemler gerçekleştirilebilir.
- Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
- Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
- Restore files and directories –> Administrators
- (Etki alanı denetleyicisi rolünde ise) Restore files and directories –> Administrators, Backup Operators
- Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
- Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
Kontrol: “Load and unload device drivers (SeLoadDriverPrivilege)” hakkı, hangi kullanıcıların aygıt sürücüsünü çekirdek modda yükleyebileceğini ve kaldırabileceğini belirtir. Plug and Play donanımları yüklemek için kullanılır. Bir saldırgan, bir aygıt sürücüsü gibi görünen kötü amaçlı kod yüklemek için bu özelliği kullanabilir. Bu kullanıcı hakkı, kullanıcıların Windows Vista’da yerel yazıcıları veya yazıcı sürücülerini eklemesi için gereklidir.
Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.
- İşletim sistemi üzerinde verilen ayrıcalığın istismarı ile yetkisiz işlemler gerçekleştirilebilir.
- Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
- Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
- Load and unload device drivers –> Administrators
- Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
- Gerekli ayarlar Kayıt Defteri ile aşağıda belirtildiği gibi gerçekleştirilebilir:
- HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers
- AddPrinterDrivers (REG_DWORD) –> 1
- HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers
- Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
Kontrol: “Devices: Prevent Users From Installing Printer Drivers” hakkı, bu yetkinin sadece Administrators ve Power Users grubu kullanıcılarının yazıcı yüklemesini sağlar. Devre dışı bırakılması, tüm kullanıcıların yazıcı yüklemesini sağlar.
Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.
- İşletim sistemi üzerinde verilen ayrıcalığın istismarı ile yetkisiz işlemler gerçekleştirilebilir.
- Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
- Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> Security Options
- Devices: Prevent Users From Installing Printer Drivers –> Etkin (Enabled)
- Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> Security Options
- Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
Kontrol: “Create permanent shared object” hakkı, nesne ad alanını (object namespace) kullanan çekirdek modu bileşenleri için kullanışlıdır. Ancak, çekirdek modunda çalışan bileşenler bu hakka sahiptir.
Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.
- İşletim sistemi üzerinde verilen ayrıcalığın istismarı ile yetkisiz işlemler gerçekleştirilebilir.
- Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
- Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
- Create permanent shared object: Kimse (No one)
- Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
- Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
Kontrol: “Create global objects (SeCreateGlobalPrivilege)” ayrıcalığı tanımlandığı kullanıcıya herhangi bir oturum (session) için nesne oluşturma hakkı tanır. İstisnai durum olarak, Integration Services bileşeni yüklü olan Microsoft SQL sunucu üzerindeki ilgili servis hesabına da bu yetki verilebilir.
Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.
- İşletim sistemi üzerinde verilen ayrıcalığın istismarı ile yetkisiz işlemler gerçekleştirilebilir.
- Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
- Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
- Create global objects –> Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE
- Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
- Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
Kontrol: “Access this computer from the network (SeNetworkLogonRight)” politikası, hangi kullanıcıların ve grupların bilgisayara ağ üzerinden bağlanabileceğini belirler. Terminal Hizmetleri bu kullanıcı hakkından etkilenmez. Aynı (ve farklı) ağdaki makineler arasında oturum açmanın en iyi kontrol noktalarından biri etki alanı politikaları tarafından erişimlerin engellenmesidir.
Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.
- İşletim sistemi üzerinde verilen ayrıcalığın istismarı ile yetkisiz işlemler gerçekleştirilebilir.
- Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
- Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
- (İstemci ise) Access this computer from the network: Administrators & Remote Desktop Users
- (Sunucu ise) Access this computer from the network: Administrators & Authenticated Users
- (Etki alanı denetleyicisi rolünde ise) Access this computer from the network: Administrators & Authenticated Users & Enterprise Domain Controllers
- Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
- Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
Kontrol: “Deny access to this computer from the network (SeDenyNetworkLogonRight)” politikası ise, hangi kullanıcıların ve grupların bilgisayara ağ üzerinden bağlanılmasının engelleneceğini belirler.
Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.
- İşletim sistemi üzerinde verilen ayrıcalığın istismarı ile yetkisiz işlemler gerçekleştirilebilir.
- Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
- Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
- (İstemci ve sunucu ise) Deny access to this computer from the network –> Guests & Local account
- (Etki alanı denetleyicisi rolünde ise) Deny access to this computer from the network –> Guests
- Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
- Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
Kontrol: “Allow log on through Remote Desktop Services” politikası, hangi kullanıcıların ve grupların bilgisayara Terminal Services üzerinden bağlanılabileceğini belirler.
Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.
- İşletim sistemi üzerinde verilen ayrıcalığın istismarı ile yetkisiz işlemler gerçekleştirilebilir.
- Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
- Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
- Allow log on through Remote Desktop Services –> Administrators & Remote Desktop Users
- Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
- Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
Kontrol: “Deny log on through Remote Desktop Services (SeDenyRemoteInteractiveLogonRight)” politikası, hangi kullanıcıların ve grupların bilgisayara Terminal Services üzerinden bağlanılmasının engelleneceğini belirler.
Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.
- İşletim sistemi üzerinde verilen ayrıcalığın istismarı ile yetkisiz işlemler gerçekleştirilebilir.
- Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
- Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
- Deny log on through Remote Desktop Services –> Guests & Local Account
- (Etki alanı denetleyicisi rolünde ise) Deny log on through Remote Desktop Services –> Guests
- Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
- Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
Kontrol: “Allow log on locally (SeInteractiveLogonRight)” oturum açma hakkı, hangi kullanıcıların bu bilgisayarda etkileşimli oturum açabileceğini belirler. Klavyeden CTRL+ALT+DEL tuş bileşimine basarak oturum açabilmek için kullanıcının bu oturum hakkına sahip olması gerekmektedir. Ayrıca bu oturum açma hakkı, kullanıcılar için oturum açabilen bazı hizmetler veya yönetim uygulamaları için de gerekebilmektedir. Sistemi tavsiye edilen şekilde yapılandırmak sisteme yetkisiz kullanıcıların konsol erişimi elde etmesinin önüne geçecektir.
Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.
- İşletim sistemi üzerinde verilen ayrıcalığın istismarı ile yetkisiz işlemler gerçekleştirilebilir.
- Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
- Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
- (İstemci ise) Allow log on locally –> Administrators & Users
- (Sunucu ise) Allow log on locally –> Administrators
- (Etki alanı denetleyicisi rolünde ise) Allow log on locally –> Administrators, Backup Operators
- Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> Security Options
- [Windows 10 ve sonrası için] Accounts: Block Microsoft accounts –> Users can’t add or log on with Microsoft accounts
- Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
- Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
Kontrol: “Deny log on locally (SeDenyInteractiveLogonRight)” oturum açma hakkı, hangi kullanıcıların bu bilgisayarda etkileşimli oturum açabileceğini belirler.
Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.
- İşletim sistemi üzerinde verilen ayrıcalığın istismarı ile yetkisiz işlemler gerçekleştirilebilir.
- Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
- Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
- Deny log on locally –> Guests
- Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
- Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
Kontrol: “Deny log on as a service” erişim hakkı, hangi kullanıcıların servis olarak bir proses başlatyamayacağını belirtir.
Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.
- İşletim sistemi üzerinde verilen ayrıcalığın istismarı ile yetkisiz işlemler gerçekleştirilebilir.
- Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
- Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
- Deny log on as a service –> Guests
- Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
- Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
Kontrol: “Deny log on as a batch job” erişim hakkı, hangi kullanıcıların servis olarak bir proses başlatyamayacağını belirtir.
Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.
- İşletim sistemi üzerinde verilen ayrıcalığın istismarı ile yetkisiz işlemler gerçekleştirilebilir.
- Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
- Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
- Deny log on as a batch job –> Guests
- Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
- Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
Kaynaklar:
[1] https://www.siberportal.org/blue-team/securing-information/kurumsal-ortamlarda-zafiyet-yonetim-sistemi-icin-uygulama-secimi/
[2] https://www.siberportal.org/blue-team/securing-windows-operating-system/local-windows-authentication-via-sam-and-system-files-and-lm-ntlm-hashes/
[3] https://www.siberportal.org/blue-team/securing-windows-operating-system/bitlocker-technology-on-windows-environment/
[4] https://www.siberportal.org/blue-team/securing-microsoft-domain-environment/user-right-management-in-microsoft-environment/
https://social.technet.microsoft.com/wiki/contents/articles/35052.active-directoryde-kullanc-hesabnn-surekli-kilitlenmesi-tr-tr.aspx