Windows İşletim Sistemi Sıkılaştırmalarına Yönelik Temel Kontrol Maddeleri – 1

0
442
views
Kurumsal ortamlarda en çok kullanılan işletim sistemlerinin başında Windows gelmektedir. Bu sebeple, Windows işletim sistemine yönelik gerekli kontrollerin yapılması ve bir takım güvenlik önlemlerinin alınması önemlidir. Bir yazı dizisinin ilki olan bu yazıda Windows işletim sistemi sıkılaştırmalarına yönelik temel kontrol maddeleri incelenecektir.

Bu yazı içerisinde belirtilen kontrollerin bir çoğu etki alanı denetleyicisi üzerinden merkezi olarak Grup İlkeleri ile gerçekleştirilmektedir. Böylece hem merkezi bir kontrol sağlanabilmekte hem de hedef bir sistem üzerinde yetki elde edilmiş bile olsa bu ayarlar değiştirilememektedir. Bu sebeple belirtilen sıkılaştırma ayarlarının grup ilkeleri üzerinden gerçekleştirilmesi tavsiye edilmektedir.

 

1) Yama Yönetimi

Kontrol: (Özellikle iç ağdan gerçekleştirilen) Sunucu taraflı gerçekleştirilen saldırılarda kullanılan en önemli saldırı vektörü sunuculardaki işletim sistemi servislerindeki ve dışarıya açık uygulamalardaki / platformlardaki (web gibi) zafiyetleridir. Bunun yanında istemci taraflı saldırılarda, personelin aldatılarak bilgisayardaki uygulamaların (web tarayıcıları, dosya okuma uygulamaları,… gibi) zafiyeti istismar edilmektedir. Sonuç olarak, işletim sistemi ve işletim sistemi üzerinde koşan uygulamaların zafiyetlerini en aza indirmek için gerekli aksiyonlar alınmalıdır.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • Varlık envanteri hazırlanmalı, risk analizi gerçekleştirilmeli ve kurumsal yama politikasına göre gerekli yamalar sistemlere geçilmelidir. Yama geçişleri için Microsoft’un veya üçüncü parti firmaların uygulamaları kullanılabilir.
  • Kurumsal ortamlarda eksik yamaların ortaya çıkarılması ve analizi, risklerin belirlenmesi ve değerlendirilmesi, alınan aksiyonların takibi ve raporlanması gibi konular oldukça karmaşık bir hal alabilmektedir. Bu ihtiyaçları karşılayabilmek için zafiyet yönetimi araçları kullanılması tavsiye edilmektedir. [1]
  • Kurumsal ortamlarda Microsoft veya diğer üreticiler tarafından çıkarılan yamalar hızlı bir şekilde geçilemeyebilmekte, bir takım testler sonrasında yamalar gerçek ortama yaygınlaştırılabilmektedir. Yamaların hızlı bir şekilde geçilemeyeceği ortamlar – özellikle canlı ortamdaki sunucular – için sanal yama (Virtual Patching) çözümleri kullanılmalıdır.

 

2) Parola Yönetimi

Siber saldırılarda en sık kullanılan saldırı vektörlerinden birisi de hesaplara ait parolaların tahmin edilmesidir.

Kontrol: Kolay kullanılan parolaların kullanılması (ek güvenlik önlemi yoksa) hedef işletim sistemine veya uygulamaya yetkisiz bir şekilde erişim sağlanmasına olanak sağlar.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • Kurum içerisinde kolay tahmin edilemeyen ve güvenlik gerekliliklerini karşılayacak güçlü parola politikaları ile hazırlanmalıdır.
    • Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
      • Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Account Policies –> Password Policy
        • Enforce password history –> 24
        • Maximum password age –> 60 (veya daha az)
        • Minimum password age –> 1 (veya daha fazla)
        • Minimum password length –> 14 (veya daha fazla)
        • Password must meet complexity requirements –> Enabled [Varsayılan]
        • Store passwords using reversible encryption –> Disabled [Varsayılan]
      • Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> Security Options
        • Accounts: Limit local account use of blank passwords to console logon only: Enabled
  • İşletim sistemi oturumlarında kimlik doğrulamak için ikinci bir faktör (SMS veya OTP gibi) kullanılması tavsiye edilmektedir.

 

Kontrol: Parola saldırılarına karşı kullanılabilecek önlemlerden biri de hesapların kilitlenmesini sağlamaktır. Bu ayarlar uygun bir şekilde yapılandırılmaması durumunda hizmet dışı bırakma saldırıları gerçekleşebileceği için dikkatli olark ayarlanması gerekmektedir. Kullanıcı hesaplarının kilitlenmesinin temel sebepleri aşağıdaki gibi sıralanabilir.

  • Bağlantısı oluşturulmuş (map edilmiş) ağ paylaşımları
  • “runAs” ile çalışan kısa yollar
  • Service Account tanımları
  • Zamanlanmış görevler (Schedule Task)
  • Farklı sunucu, bilgisayar yada uygulamalar üzerinde çalışan işlemler, servisler
  • Kullanıcı kimlik denetimi yada doğrulaması yapan merkezi programlar (AD doğrulaması,yada uygulama katmanı denetimi,vb)
  • Activesync ile çalışan mobil cihazlar
  • Kullanıcı bilgisayarına bulaşmış zararlı yazılımlar

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
    • Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Account Policies –> Account Lockout Policy
      • Account lockout duration –> 15 (veya daha fazla)
      • Account lockout threshold –> 10 (veya daha az)
      • Reset account lockout counter after –> 15 (veya daha fazla)

 

Kontrol: Pass-The-Hash atak yönteminde, bir işletim sisteminde bir kullanıcıya ait parola özet bilgileri (LM:NTLM Hash) [2] alınarak, aynı kullanıcının uzaktan erişebileceği başka bir işletim sisteminde oturum açılabilir.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • Yönetici onay modu için gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
    • Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options
      • User Account Control: Admin Approval Mode for the Built-in Administrator account –> Enabled
      • User Account Control: Run all administrators in Admin Approval Mode –> Enabled
    • Computer Configuration –> Policies –> Administrative Templates –> SCM: Pass the Hash Mitigations
      • Apply UAC restrictions to local accounts on network logons –> Enabled [PtH.admx/adml şablonuna ihtiyaç vardır]
  • Yönetici onay modu için gerekli ayarlar Kayıt Defteri ile aşağıda belirtildiği gibi gerçekleştirilebilir:
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
      • FilterAdministratorToken (REG_DWORD) –> 1
      • EnableLUA (REG_DWORD) –> 1
  • Yönetimsel paylaşımların kapatılması için gerekli ayarlar Kayıt Defteri ile aşağıda belirtildiği gibi gerçekleştirilebilir:
    • HKEY_LOCAL_MACHINE\CurrentControlSet\services\LanmanServer\Parameters
      • AutoShareWks (REG_DWORD) –> 0
      • AutoShareServer (REG_DWORD) –> 0

 

Kontrol: Kurumsal ortamlarda genellikle son kullanıcı bilgisayarları için Windows işletim sistemi tercih edilmekte olup, her bilgisayarın kurulumunda aynı imaj kullanılmaktadır. Bu imaj ile kurulum gerçekleştirildikten sonra, yerel ve gömülü (Built-in) kullanıcı hesaplarının parolaları genellikle değiştirilmemektedir.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • Windows işletim sistemlerindeki yerel yönetici kullanıcılarının parolalarını yönetmek için Microsoft LAPS veya üçüncü parti entegrasyonlar kullanılabilir.

 

Kontrol: WDigest (Digest Kimlik Doğrulama Protokolü), kimlik doğrulama için açık metin parolaya ihtiyaç duyan Hypertext Transfer Protocol (HTTP) veya Simple Authentication Security Layer (SASL) gibi protokollerde kullanılır. Örneğin; OWA (Outlook Web Access) gibi uygulamalar için LM/NTLM ile ağ üzerinden kimlik doğrulaması yaparken, RDP yaparken parolayı “lsasrv.dll” içerisinde şifreli olarak (secret uzunluğuna ve işletim sistemine göre RC4, DES, AES olabilir) saklarken kullanılır. Wdigest kullanılması durumunda da yetkili kullanıcılar tarafından oturum açan kullanıcıların açık metin parolaları önbellek üzerinden (LSASS prosesinden) elde edilebilir. Bunun yanında LSASS prosesini korumak için Credential Guard’ın aktifleştirilmesi de gerekmektedir.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
    • Computer Configuration –> Policies –> Administrative Templates –> MS Security Guide
      • WDigest Authentication –> Disabled
    • Computer Configuration –> Policies –> Administrative Templates –> System –> Device Guard
      • (Windows 10 ise) Turn On Virtualization Based Security: Enabled –> Select Platform Security Level: Secure Boot and DMA Protection –> Credential Guard Configuration: Enabled with UEFI lock
  • Gerekli ayarlar Kayıt Defteri ile aşağıda belirtildiği gibi gerçekleştirilebilir:
    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest
      • UseLogonCredential (REG_DWORD) –> 0
    • (Windows 10 ise) HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard
      • EnableVirtualizationBasedSecurity (REG_DWORD) –> 1
      • RequirePlatformSecurityFeatures (REG_DWORD) –> 3

 

Kontrol: Yerel kullanıcıların kimlik bilgilerini tutan SAM (Security Accounts Manager) dosyasında, etki alanı kullanıcılarının en son oturum açtıkları kimlik bilgileri de bellekte (cached) saklanır. Böylece etki alanındaki bir bilgisayara oturum açmak isteyen bir kullanıcı, Domain Controller sunucusuna erişemese bile çevrimdışı olarak oturumunu açabilir. Ancak bu bilgilerin çalınması durumunda, daha önceden oturum açan kullanıcılara ait belleğe alınmış hesap bilgileri de ele geçirilmiş olabilir.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
    • Windows Settings –> Security Settings –> Local Policies –> Security Options
      • Interactive logon: Number of previous logons to cache (in case domain controller is not available –> 1 logon(s)
    • Computer Configuration –> Windows Settings –> Security Settings –> Local Policies –> Security Options
      • Network access: Do not allow storage of passwords and credentials for network authentication –> Enabled
  • Gerekli ayarlar Kayıt Defteri ile aşağıda belirtildiği gibi gerçekleştirilebilir:
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
      • CachedLogonsCount (REG_SZ) –> 1

 

 

3) Fiziksel Güvenlik

Fiziksel erişimlerin bulunduğu durumlarda, saldırganlar bilgisayarı Kali Linux gibi NTFS modül paketi olan ancak NTFS ile formatlanmamış bir işletim sistemi ile açılabilir. Sonrasında da sistem için kritik dosyalara (SAM, SYSTEM,…) erişebilir, oturum açma ekranlarındaki araçlar (Utilman.exe, sethc.exe, magnify.exe, osk.exe,…) üzerinde değişiklik yaparak arka kapılar oluşturulabilir. Bu saldırı vektörlerini gerçekleştirebilecek saldırgan, sanallaştırma platformuna erişimi olan ancak yönettiği bazı sistemlerde (Domain Controller, Exchange sunucusu gibi) kullanıcı hesabı olmayan bir sistem yöneticisi de olabilir.

Kontrol: Windows işletim sistemine fiziksel erişimi bulunan yetkisiz bir kullanıcı, ilgili bilgisayarın BIOS ayarlarını değiştirerek bilgisayarın Windows kurulu olan diskten başlamasını değil, harici aygıttan başlamasını sağlayabilir ve böylece saldırgan yönetimsel haklara sahip olabilir.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • Fiziksel olarak erişilebilir sistemlerin (özellikle taşınabilir istemci bilgisayarlar) BIOS ekranına girişler için karmaşık BIOS parolasının oluşturulması gerekmektedir.
  • Fiziksel olarak erişilebilir sistemlerin (özellikle taşınabilir istemci bilgisayarlar) BIOS yapılandırması için karmaşık BIOS parolasının oluşturulması gerekmektedir.

 

Kontrol: Windows işletim sistemine fiziksel erişimi bulunan yetkisiz bir kullanıcı, bir bilgisayarın diskini harici bir aygıta (Dock Station gibi) takarak disk içerisine erişim sağlayabilir ve böylece saldırgan yönetimsel haklara sahip olabilir.

  • Fiziksel olarak erişilebilir sistemlerin (özellikle taşınabilir istemci bilgisayarlar) diskine çevrim dışı erişilememesi için Bitlocker gibi tam disk şifreleme çözümleri kullanılmalıdır [3]. Mevcut durumu görmek için manage-bde aracı kullanılabilir.

manage-bde -status

 

Kontrol: Oturum açma ekranlarındaki araçlarda değişiklik yapılarak arkakapı bırakılabilir ve böylece saldırgan yönetimsel haklara sahip olabilir.

Önlem: Oturum açma ekranlarındaki araçların değiştirilmesi engellenmeli veya bütünlük kontrolleri gerçekleştirilerek bu araçlar üzerindeki değişiklikler izlenmelidir.

 

Kontrol: Fiziksel olarak erişimin sağlanabildiği sistemlerde (sanallaştırma sistemleri dahil) oturumun açık unutulması ve etkileşimli oturum süresünün uzun süre olması durumunda saldırgan (veya sanallaştırma sistemini yöneten kullanıcı) oturumu açan kullanıcı haklarına sahip olabilir.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

    • Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
      • Computer Configuration –> Windows Settings –> Security Settings –> Local Policies –> Security Options
        • Interactive logon –> Machine inactivity limit: (en az) 600 saniye

 

4) Kullanıcı Hakları ve Ayrıcalıklar

Microsoft ortamında kullanıcı hakları genel olarak oturum açma hakları ve ayrıcalıklar olmak üzere iki farklı kategoride toplanır. Bunlardan oturum açma hakları sisteme kimin hangi şekilde oturum açabileceğini tanımlarken, ayrıcalıklar bilgisayardaki sistem kaynaklarına olan erişimleri kontrol eder [4].

Kontrol: “Act as part of the operating system (SeTcbPrivilege)” ayrıcalığına sahip olan bir kullanıcı, başka bir kullanıcı gibi işlem (CreateProcessAsUser) yapılabilmektedir.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • İşletim sistemi üzerinde verilen ayrıcalığın istismarı ile yetkisiz işlemler gerçekleştirilebilir.
    • Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
      • Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
        • Act as part of the operating system –> Boş

 

Kontrol: “Replace a process level token (SeAssignPrimaryTokenPrivilege)” ayrıcalığına sahip olan bir kullanıcı, ana proses ile çocuk prosesin jetonunu (security token) değiştirme hakkı vardır.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • İşletim sistemi üzerinde verilen ayrıcalığın istismarı ile yetkisiz işlemler gerçekleştirilebilir.
    • Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
      • Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
        • Replace a process level token –> LOCAL SERVICE, NETWORK SERVICE

 

Kontrol: “Impersonate a client after authentication (SeImpersonatePrivilege)” ayrıcalığına sahip olan bir kullanıcı, bir başka kullanıcı gibi program çalıştırmaya hakkı vardır.Bu amaçla SetThreadToken(), ImpersonateLoggedOnUser(), CreateProcessWithToken() metodları çağırılabilir.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • İşletim sistemi üzerinde verilen ayrıcalığın istismarı ile yetkisiz işlemler gerçekleştirilebilir.
    • Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
      • Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
        • (İstemci ve sunucu ise) Impersonate a client after authentication –> Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE
        • (IIS rolünde ise) Impersonate a client after authentication –> Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE, IIS_IUSRS

 

Kontrol: “Create a token object (SeCreateTokenPrivilege)” ayrıcalığı tanımlandığı kullanıcıya herhangi bir kullanıcı ya da grup için jeton (security token) oluşturma hakkı tanır. Bu ayrıcalığın tanımladığı kullanıcı o bilgisayar üzerinde kendisini herhangi bir kullanıcıymış gibi gösterebilir.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • İşletim sistemi üzerinde verilen ayrıcalığın istismarı ile yetkisiz işlemler gerçekleştirilebilir.
    • Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
      • Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
        • Create a token object –> (Boş)

 

Kontrol: “Debug programs (SeDebugPrivilege)”, işletim sistemi için en hassas ayrıcalıklardan biridir. Bu ayrıcalık başka bir kullanıcıya ait de olsa istenilen proses’i debug etme izni verir. Bu ayrıcalık tanımlanan kullanıcının istediği prosessi okuma/yazma, özelliklerini değiştirme veya kod enjekte etme hakkı vardır. Bu amaçla VirtualAlloc(), WriteProcessMemory(), CreateRemoteThread() gibi metodlar çağırılabilir. Kod enjekte edilen prosess, prosesi başlatan kullanıcının hakları ile çalışır. Parola özet değerlerini çalan programların çoğu bu ayrıcalığa ihtiyaç duyarlar.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • İşletim sistemi üzerinde verilen ayrıcalığın istismarı ile yetkisiz işlemler gerçekleştirilebilir.
    • Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
      • Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
        • Debug programs –> Administrators

 

Kontrol: “Take ownership of files or other objects (SeTakeOwnershipPrivilege)” DACL ayarlarına bakmazsızın; dosya, yazıcı, paylaşım, servis, kayıt değeri, çekirdek nesnesi gibi herhangi bir nesnenin (securable objects) sahiplenilebilmesine izin verir. Bu amaçla SetSecurityInfo(), SetNamedSecurityInfo() metodları çağırılabilir.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • İşletim sistemi üzerinde verilen ayrıcalığın istismarı ile yetkisiz işlemler gerçekleştirilebilir.
    • Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
      • Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
        • Take ownership of files or other objects –> Administrators

 

Kontrol: “Back up files and directories” (SeBackupPrivilege) ayrıcalığına sahip olan kullanıcı tüm dosya ve dizinleri yedekleyebilme ve dolayısı ile tüm nesne ve dosyalara erişme hakkı vardır. Erişilmeye çalışılan dosyanın ACL izinlerinin ne olduğu göz önünde bulundurulmaz. Bu ayrıcalığın tanındığı kullanıcının tüm dosyaları okuma hakkı vardır denilebilir.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • İşletim sistemi üzerinde verilen ayrıcalığın istismarı ile yetkisiz işlemler gerçekleştirilebilir.
    • Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
      • Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
        • Back up files and directories –> Administrators

 

Kontrol: “Restore files and directories” (SeRestorePrivilege) ayrıcalığı da benzer olarak herhangi bir dizin, dosya ya da kayıt anahtarına yazma izni verir.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • İşletim sistemi üzerinde verilen ayrıcalığın istismarı ile yetkisiz işlemler gerçekleştirilebilir.
    • Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
      • Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
        • Restore files and directories –> Administrators

 

Kontrol: “Load and unload device drivers” hakkı, hangi kullanıcıların aygıt sürücüsü yükleyebileceğini belirtir. Plug and Play donanımları yüklemek için kullanılır. Bir saldırgan, bir aygıt sürücüsü gibi görünen kötü amaçlı kod yüklemek için bu özelliği kullanabilir. Bu kullanıcı hakkı, kullanıcıların Windows Vista’da yerel yazıcıları veya yazıcı sürücülerini eklemesi için gereklidir.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • İşletim sistemi üzerinde verilen ayrıcalığın istismarı ile yetkisiz işlemler gerçekleştirilebilir.
    • Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
      • Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
        • Load and unload device drivers –> Administrators
    • Gerekli ayarlar Kayıt Defteri ile aşağıda belirtildiği gibi gerçekleştirilebilir:
      • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers
        • AddPrinterDrivers (REG_DWORD) –> 1

 

Kontrol: “Devices: Prevent Users From Installing Printer Drivers” hakkı, bu yetkinin sadece Administrators ve Power Users grubu kullanıcılarının yazıcı yüklemesini sağlar. Devre dışı bırakılması, tüm kullanıcıların yazıcı yüklemesini sağlar.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • İşletim sistemi üzerinde verilen ayrıcalığın istismarı ile yetkisiz işlemler gerçekleştirilebilir.
    • Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
      • Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
        • Devices: Prevent Users From Installing Printer Drivers –> Etkin (Enabled)

 

Kontrol: “Create permanent shared object” hakkı, nesne ad alanını (object namespace) kullanan çekirdek modu bileşenleri için kullanışlıdır. Ancak, çekirdek modunda çalışan bileşenler bu hakka sahiptir.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • İşletim sistemi üzerinde verilen ayrıcalığın istismarı ile yetkisiz işlemler gerçekleştirilebilir.
    • Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
      • Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
        • Create permanent shared object: Kimse (No one)

 

Kontrol: “Access this computer from the network (SeNetworkLogonRight)” politikası, hangi kullanıcıların ve grupların bilgisayara ağ üzerinden bağlanabileceğini belirler. Terminal Hizmetleri bu kullanıcı hakkından etkilenmez. Aynı (ve farklı) ağdaki makineler arasında oturum açmanın en iyi kontrol noktalarından biri etki alanı politikaları tarafından erişimlerin engellenmesidir.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • İşletim sistemi üzerinde verilen ayrıcalığın istismarı ile yetkisiz işlemler gerçekleştirilebilir.
    • Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
      • Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
        • (İstemci ise) Access this computer from the network: Administrators & Remote Desktop Users
        • (Sunucu ise) Access this computer from the network: Administrators & Authenticated Users
        • (Etki alanı denetleyicisi rolünde ise) Access this computer from the network: Administrators & Authenticated Users & Enterprise Domain Controller

 

Kontrol: “Deny access to this computer from the network (SeDenyNetworkLogonRight)” politikası ise, hangi kullanıcıların ve grupların bilgisayara ağ üzerinden bağlanılmasının engelleneceğini belirler.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • İşletim sistemi üzerinde verilen ayrıcalığın istismarı ile yetkisiz işlemler gerçekleştirilebilir.
    • Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
      • Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
        • (İstemci ve sunucu ise) Deny access to this computer from the network –> Guests & Local account
        • (Etki alanı denetleyicisi rolünde ise) Deny access to this computer from the network –> Guests & Local account && Administrators grubu üyeleri

 

Kontrol: “Allow log on through Remote Desktop Services” politikası, hangi kullanıcıların ve grupların bilgisayara Terminal Services üzerinden bağlanılabileceğini belirler.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • İşletim sistemi üzerinde verilen ayrıcalığın istismarı ile yetkisiz işlemler gerçekleştirilebilir.
    • Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
      • Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
        • Allow log on through Remote Desktop Services –> Administrators & Remote Desktop Users

 

Kontrol: “Deny log on through Remote Desktop Services” politikası, hangi kullanıcıların ve grupların bilgisayara Terminal Services üzerinden bağlanılmasının engelleneceğini belirler.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • İşletim sistemi üzerinde verilen ayrıcalığın istismarı ile yetkisiz işlemler gerçekleştirilebilir.
    • Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
      • Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
        • Deny log on through Remote Desktop Services –> Guests & Local Account

 

Kontrol: “Allow log on locally” oturum açma hakkı, hangi kullanıcıların bu bilgisayarda etkileşimli oturum açabileceğini belirler. Klavyeden CTRL+ALT+DEL tuş bileşimine basarak oturum açabilmek için kullanıcının bu oturum hakkına sahip olması gerekmektedir. Ayrıca bu oturum açma hakkı, kullanıcılar için oturum açabilen bazı hizmetler veya yönetim uygulamaları için de gerekebilmektedir. Sistemi tavsiye edilen şekilde yapılandırmak sisteme yetkisiz kullanıcıların konsol erişimi elde etmesinin önüne geçecektir.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • İşletim sistemi üzerinde verilen ayrıcalığın istismarı ile yetkisiz işlemler gerçekleştirilebilir.
    • Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
      • Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
        • (İstemci ise) Allow log on locally –> Administrators & Users
        • (Sunucu ise) Allow log on locally –> Administrators & Users
        • (Etki alanı denetleyicisi rolünde ise) Allow log on locally –> Administrators & Enterprise Domain Controllers

 

Kontrol: “Deny log on locally” oturum açma hakkı, hangi kullanıcıların bu bilgisayarda etkileşimli oturum açabileceğini belirler.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • İşletim sistemi üzerinde verilen ayrıcalığın istismarı ile yetkisiz işlemler gerçekleştirilebilir.
    • Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
      • Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
        • Deny log on locally –> Guests

 

 

Kontrol: “Deny log on as a service” erişim hakkı, hangi kullanıcıların servis olarak bir proses başlatyamayacağını belirtir.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • İşletim sistemi üzerinde verilen ayrıcalığın istismarı ile yetkisiz işlemler gerçekleştirilebilir.
    • Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
      • Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
        • Deny log on as a service –> Guests

 

Kontrol: “Deny log on as a batch job” erişim hakkı, hangi kullanıcıların servis olarak bir proses başlatyamayacağını belirtir.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • İşletim sistemi üzerinde verilen ayrıcalığın istismarı ile yetkisiz işlemler gerçekleştirilebilir.
    • Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
      • Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
        • Deny log on as a batch job –> Guests

 

Kaynaklar:

[1] http://www.siberportal.org/blue-team/securing-information/kurumsal-ortamlarda-zafiyet-yonetim-sistemi-icin-uygulama-secimi/
[2] http://www.siberportal.org/blue-team/securing-windows-operating-system/local-windows-authentication-via-sam-and-system-files-and-lm-ntlm-hashes/
[3] http://www.siberportal.org/blue-team/securing-windows-operating-system/bitlocker-technology-on-windows-environment/
[4] http://www.siberportal.org/blue-team/securing-microsoft-domain-environment/user-right-management-in-microsoft-environment/

Securing Windows Workstations: Developing a Secure Baseline

CIS Benchmarks


https://social.technet.microsoft.com/wiki/contents/articles/35052.active-directoryde-kullanc-hesabnn-surekli-kilitlenmesi-tr-tr.aspx

 

 

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz