Windows İşletim Sistemi Sıkılaştırmalarına Yönelik Temel Kontrol Maddeleri – 1

0
3615
views
Kurumsal ortamlarda en çok kullanılan işletim sistemlerinin başında Windows gelmektedir. Bu sebeple, Windows işletim sistemine yönelik gerekli kontrollerin yapılması ve bir takım güvenlik önlemlerinin alınması önemlidir. Bir yazı dizisinin ilki olan bu yazıda Windows işletim sistemi sıkılaştırmalarına yönelik temel kontrol maddeleri incelenecektir.

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

Bu yazı içerisinde belirtilen kontrollerin bir çoğu etki alanı denetleyicisi üzerinden merkezi olarak Grup İlkeleri ile gerçekleştirilmektedir. Böylece hem merkezi bir kontrol sağlanabilmekte hem de hedef bir sistem üzerinde yetki elde edilmiş bile olsa bu ayarlar değiştirilememektedir. Bu sebeple belirtilen sıkılaştırma ayarlarının grup ilkeleri üzerinden gerçekleştirilmesi tavsiye edilmektedir.

Not: Tespit edilen bulgular maddeler halinde aşağıdaki gibi sıralanmıştır. Bulgular giderilirken etkileri iyi analiz edilmeli, etkileri incelenmeli ve işlevsellik testleri gerçekleştirilmelidir. Değişikliklerden sonra sistemlerin yeniden başlatılması da gerekebilmektedir.

 

1) Yama Yönetimi

Kontrol: (Özellikle iç ağdan gerçekleştirilen) Sunucu taraflı gerçekleştirilen saldırılarda kullanılan en önemli saldırı vektörü sunuculardaki işletim sistemi servislerindeki ve dışarıya açık uygulamalardaki / platformlardaki (web gibi) zafiyetleridir. Bunun yanında istemci taraflı saldırılarda, personelin aldatılarak bilgisayardaki uygulamaların (web tarayıcıları, dosya okuma uygulamaları,… gibi) zafiyeti istismar edilmektedir. Sonuç olarak, işletim sistemi ve işletim sistemi üzerinde koşan uygulamaların zafiyetlerini en aza indirmek için gerekli aksiyonlar alınmalıdır.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • Varlık envanteri hazırlanmalı, risk analizi gerçekleştirilmeli ve kurumsal yama politikasına göre gerekli yamalar sistemlere geçilmelidir. Yama geçişleri için Microsoft’un veya üçüncü parti firmaların uygulamaları kullanılabilir.
  • Kurumsal ortamlarda eksik yamaların ortaya çıkarılması ve analizi, risklerin belirlenmesi ve değerlendirilmesi, alınan aksiyonların takibi ve raporlanması gibi konular oldukça karmaşık bir hal alabilmektedir. Bu ihtiyaçları karşılayabilmek için zafiyet yönetimi araçları kullanılması tavsiye edilmektedir. [1]
  • Kurumsal ortamlarda Microsoft veya diğer üreticiler tarafından çıkarılan yamalar hızlı bir şekilde geçilemeyebilmekte, bir takım testler sonrasında yamalar gerçek ortama yaygınlaştırılabilmektedir. Yamaların hızlı bir şekilde geçilemeyeceği ortamlar – özellikle canlı ortamdaki sunucular – için sanal yama (Virtual Patching) çözümleri kullanılmalıdır.

 

2) Parola Yönetimi

Siber saldırılarda en sık kullanılan saldırı vektörlerinden birisi de hesaplara ait parolaların tahmin edilmesidir.

 

Kontrol: Kolay kullanılan parolaların kullanılması (ek güvenlik önlemi yoksa) hedef işletim sistemine veya uygulamaya yetkisiz bir şekilde erişim sağlanmasına olanak sağlar.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • Kurum içerisinde kolay tahmin edilemeyen ve güvenlik gerekliliklerini karşılayacak güçlü parola politikaları ile hazırlanmalıdır.
    • Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
      • Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Account Policies –> Password Policy
        • Enforce password history –> 24
        • Maximum password age –> 60 (veya daha az)
        • Minimum password age –> 1 (veya daha fazla)
        • Minimum password length –> 14 (veya daha fazla)
        • Password must meet complexity requirements –> Enabled [Varsayılan]
        • Store passwords using reversible encryption –> Disabled [Varsayılan]
      • Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> Security Options
        • Accounts: Limit local account use of blank passwords to console logon only: Enabled
  • İşletim sistemi oturumlarında kimlik doğrulamak için ikinci bir faktör (SMS veya OTP gibi) kullanılması tavsiye edilmektedir.

 

Kontrol: Parola saldırılarına karşı kullanılabilecek önlemlerden biri de hesapların kilitlenmesini sağlamaktır. Bu ayarlar uygun bir şekilde yapılandırılmaması durumunda hizmet dışı bırakma saldırıları gerçekleşebileceği için dikkatli olark ayarlanması gerekmektedir. Kullanıcı hesaplarının kilitlenmesinin temel sebepleri aşağıdaki gibi sıralanabilir.

  • Bağlantısı oluşturulmuş (map edilmiş) ağ paylaşımları
  • “runAs” ile çalışan kısa yollar
  • Service Account tanımları
  • Zamanlanmış görevler (Schedule Task)
  • Farklı sunucu, bilgisayar yada uygulamalar üzerinde çalışan işlemler, servisler
  • Kullanıcı kimlik denetimi yada doğrulaması yapan merkezi programlar (AD doğrulaması,yada uygulama katmanı denetimi,vb)
  • Activesync ile çalışan mobil cihazlar
  • Kullanıcı bilgisayarına bulaşmış zararlı yazılımlar

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
    • Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Account Policies –> Account Lockout Policy
      • Account lockout duration –> 15 (veya daha fazla)
      • Account lockout threshold –> 10 (veya daha az)
      • Reset account lockout counter after –> 15 (veya daha fazla)

 

Kontrol: Pass-The-Hash atak yönteminde, bir işletim sisteminde bir kullanıcıya ait parola özet bilgileri (LM:NTLM Hash) [2] alınarak, aynı kullanıcının uzaktan erişebileceği başka bir işletim sisteminde oturum açılabilir.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • Yönetici onay modu için gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
    • Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options
      • User Account Control: Admin Approval Mode for the Built-in Administrator account –> Enabled
      • User Account Control: Run all administrators in Admin Approval Mode –> Enabled
    • Computer Configuration –> Policies –> Administrative Templates –> SCM: Pass the Hash Mitigations
      • Apply UAC restrictions to local accounts on network logons –> Enabled [PtH.admx/adml şablonuna ihtiyaç vardır]
  • Yönetici onay modu için gerekli ayarlar Kayıt Defteri ile aşağıda belirtildiği gibi gerçekleştirilebilir:
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
      • FilterAdministratorToken (REG_DWORD) –> 1
      • EnableLUA (REG_DWORD) –> 1
  • Yönetimsel paylaşımların kapatılması için gerekli ayarlar Kayıt Defteri ile aşağıda belirtildiği gibi gerçekleştirilebilir:
    • HKEY_LOCAL_MACHINE\CurrentControlSet\services\LanmanServer\Parameters
      • AutoShareWks (REG_DWORD) –> 0
      • AutoShareServer (REG_DWORD) –> 0

 

Kontrol: Kurumsal ortamlarda genellikle son kullanıcı bilgisayarları için Windows işletim sistemi tercih edilmekte olup, her bilgisayarın kurulumunda aynı imaj kullanılmaktadır. Bu imaj ile kurulum gerçekleştirildikten sonra, yerel ve gömülü (Built-in) kullanıcı hesaplarının parolaları genellikle değiştirilmemektedir.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • Windows işletim sistemlerindeki yerel yönetici kullanıcılarının parolalarını yönetmek için Microsoft LAPS veya üçüncü parti entegrasyonlar kullanılabilir.

 

Kontrol: WDigest (Digest Kimlik Doğrulama Protokolü), kimlik doğrulama için açık metin parolaya ihtiyaç duyan Hypertext Transfer Protocol (HTTP) veya Simple Authentication Security Layer (SASL) gibi protokollerde kullanılır. Örneğin; OWA (Outlook Web Access) gibi uygulamalar için LM/NTLM ile ağ üzerinden kimlik doğrulaması yaparken, RDP yaparken parolayı “lsasrv.dll” içerisinde şifreli olarak (secret uzunluğuna ve işletim sistemine göre RC4, DES, AES olabilir) saklarken kullanılır. Wdigest kullanılması durumunda da yetkili kullanıcılar tarafından oturum açan kullanıcıların açık metin parolaları önbellek üzerinden (LSASS prosesinden) elde edilebilir. Bunun yanında LSASS prosesini korumak için Credential Guard’ın aktifleştirilmesi de gerekmektedir.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
    • Computer Configuration –> Policies –> Administrative Templates –> MS Security Guide
      • WDigest Authentication –> Disabled
    • Computer Configuration –> Policies –> Administrative Templates –> System –> Device Guard
      • (Windows 10 ise) Turn On Virtualization Based Security: Enabled –> Select Platform Security Level: Secure Boot and DMA Protection –> Credential Guard Configuration: Enabled with UEFI lock
  • Gerekli ayarlar Kayıt Defteri ile aşağıda belirtildiği gibi gerçekleştirilebilir:
    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest
      • UseLogonCredential (REG_DWORD) –> 0
    • (Windows 10 ise) HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard
      • EnableVirtualizationBasedSecurity (REG_DWORD) –> 1
      • RequirePlatformSecurityFeatures (REG_DWORD) –> 3

 

Kontrol: Yerel kullanıcıların kimlik bilgilerini tutan SAM (Security Accounts Manager) dosyasında, etki alanı kullanıcılarının en son oturum açtıkları kimlik bilgileri de bellekte (cached) saklanır. Böylece etki alanındaki bir bilgisayara oturum açmak isteyen bir kullanıcı, Domain Controller sunucusuna erişemese bile çevrimdışı olarak oturumunu açabilir. Ancak bu bilgilerin çalınması durumunda, daha önceden oturum açan kullanıcılara ait belleğe alınmış hesap bilgileri de ele geçirilmiş olabilir.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
    • Computer Configuration –> Windows Settings –> Security Settings –> Local Policies –> Security Options
      • Interactive logon: Number of previous logons to cache (in case domain controller is not available –> 1 logon(s)
      • Network access: Do not allow storage of passwords and credentials for network authentication –> Enabled
  • Gerekli ayarlar Kayıt Defteri ile aşağıda belirtildiği gibi gerçekleştirilebilir:
    • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
      • CachedLogonsCount (REG_SZ) –> 1
    • HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa
      • DisableDomainCreds (REG_DWORD) –> 1

 

Kontrol: Recovery Console’una erişim sağlandığında parola sorgulamasının yapılmaması işletim sisteminin ele geçirilmesine sebep olabilir.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
    • Computer Configuration –> Windows Settings –> Security Settings –> Local Policies –> Security Options
      • Recovery console: Allow automatic administrative logon -> Disabled
  • Gerekli ayarlar Kayıt Defteri ile aşağıda belirtildiği gibi gerçekleştirilebilir:
    • HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Setup \ RecoveryConsole\
      • SecurityLevel (REG_SZ) –> 0

 

3) Fiziksel Güvenlik

Fiziksel erişimlerin bulunduğu durumlarda, saldırganlar bilgisayarı Kali Linux gibi NTFS modül paketi olan ancak NTFS ile formatlanmamış bir işletim sistemi ile açılabilir. Sonrasında da sistem için kritik dosyalara (SAM, SYSTEM,…) erişebilir, oturum açma ekranlarındaki araçlar (Utilman.exe, sethc.exe, magnify.exe, osk.exe, narrator.exe…) üzerinde değişiklik yaparak arka kapılar oluşturulabilir. Bu saldırı vektörlerini gerçekleştirebilecek saldırgan, sanallaştırma platformuna erişimi olan ancak yönettiği bazı sistemlerde (Domain Controller, Exchange sunucusu gibi) kullanıcı hesabı olmayan bir sistem yöneticisi de olabilir.

 

Kontrol: Windows işletim sistemine fiziksel erişimi bulunan yetkisiz bir kullanıcı, ilgili bilgisayarın BIOS ayarlarını değiştirerek bilgisayarın Windows kurulu olan diskten başlamasını değil, harici aygıttan başlamasını sağlayabilir ve böylece saldırgan yönetimsel haklara sahip olabilir.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • Fiziksel olarak erişilebilir sistemlerin (özellikle taşınabilir istemci bilgisayarlar) BIOS ekranına girişler için karmaşık BIOS parolasının oluşturulması gerekmektedir.
  • Fiziksel olarak erişilebilir sistemlerin (özellikle taşınabilir istemci bilgisayarlar) BIOS yapılandırması için karmaşık BIOS parolasının oluşturulması gerekmektedir.

 

Kontrol: Windows işletim sistemine fiziksel erişimi bulunan yetkisiz bir kullanıcı, bir bilgisayarın diskini harici bir aygıta (Dock Station gibi) takarak disk içerisine erişim sağlayabilir ve böylece saldırgan yönetimsel haklara sahip olabilir.

  • Fiziksel olarak erişilebilir sistemlerin (özellikle taşınabilir istemci bilgisayarlar) diskine çevrim dışı erişilememesi için Bitlocker gibi tam disk şifreleme çözümleri kullanılmalıdır [3]. Mevcut durumu görmek için manage-bde aracı kullanılabilir.

manage-bde -status

 

Kontrol: Oturum açma ekranlarındaki araçlarda değişiklik yapılarak arkakapı bırakılabilir ve böylece saldırgan yönetimsel haklara sahip olabilir.

Önlem: Oturum açma ekranlarındaki araçların değiştirilmesi engellenmeli veya bütünlük kontrolleri gerçekleştirilerek bu araçlar üzerindeki değişiklikler izlenmelidir.

 

4) Kullanıcı Hakları ve Ayrıcalıklar

Microsoft ortamında kullanıcı hakları genel olarak oturum açma hakları ve ayrıcalıklar olmak üzere iki farklı kategoride toplanır. Bunlardan oturum açma hakları sisteme kimin hangi şekilde oturum açabileceğini tanımlarken, ayrıcalıklar bilgisayardaki sistem kaynaklarına olan erişimleri kontrol eder [4].

 

Kontrol: “Act as part of the operating system (SeTcbPrivilege)” ayrıcalığına sahip olan bir kullanıcı, başka bir kullanıcı gibi işlem (CreateProcessAsUser) yapılabilmekte, başka bir kullanıcı hesabı gibi bu kullanıcının kaynaklarına erişebilmekte veya başka bir kullanıcının jetonu üzerinde (LsaLogonUser() fonksiyonunun PTOKEN_GROUPS parametresinde) değişiklik yapabilmektedir.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • İşletim sistemi üzerinde verilen ayrıcalığın istismarı ile yetkisiz işlemler gerçekleştirilebilir.
    • Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
      • Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
        • Act as part of the operating system –> Boş

 

Kontrol: “Replace a process level token (SeAssignPrimaryTokenPrivilege)” ayrıcalığına sahip olan bir kullanıcı, ana proses ile çocuk prosesin jetonunu (security token) değiştirme hakkı vardır.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • İşletim sistemi üzerinde verilen ayrıcalığın istismarı ile yetkisiz işlemler gerçekleştirilebilir.
    • Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
      • Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
        • Replace a process level token –> LOCAL SERVICE, NETWORK SERVICE

 

Kontrol: “Impersonate a client after authentication (SeImpersonatePrivilege)” ayrıcalığına sahip olan bir kullanıcı, bir başka kullanıcı gibi program çalıştırmaya hakkı vardır.Bu amaçla SetThreadToken(), ImpersonateLoggedOnUser(), CreateProcessWithToken() metodları çağırılabilir.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • İşletim sistemi üzerinde verilen ayrıcalığın istismarı ile yetkisiz işlemler gerçekleştirilebilir.
    • Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
      • Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
        • (İstemci ve sunucu ise) Impersonate a client after authentication –> Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE
        • (IIS rolünde ise) Impersonate a client after authentication –> Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE, IIS_IUSRS

 

Kontrol: “Create a token object (SeCreateTokenPrivilege)” ayrıcalığı tanımlandığı kullanıcıya herhangi bir kullanıcı ya da grup için jeton (security token) oluşturma hakkı tanır. Bu ayrıcalığın tanımladığı kullanıcı o bilgisayar üzerinde kendisini herhangi bir kullanıcıymış gibi gösterebilir.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • İşletim sistemi üzerinde verilen ayrıcalığın istismarı ile yetkisiz işlemler gerçekleştirilebilir.
    • Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
      • Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
        • Create a token object –> (Boş)

 

Kontrol: “Debug programs (SeDebugPrivilege)”, işletim sistemi için en hassas ayrıcalıklardan biridir. Bu ayrıcalık başka bir kullanıcıya ait de olsa istenilen proses’i debug etme izni verir. Bu ayrıcalık tanımlanan kullanıcının istediği prosessi okuma/yazma, özelliklerini değiştirme veya kod enjekte etme hakkı vardır. Bu amaçla VirtualAlloc(), WriteProcessMemory(), CreateRemoteThread() gibi metodlar çağırılabilir. Kod enjekte edilen prosess, prosesi başlatan kullanıcının hakları ile çalışır. Parola özet değerlerini çalan programların çoğu bu ayrıcalığa ihtiyaç duyarlar.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • İşletim sistemi üzerinde verilen ayrıcalığın istismarı ile yetkisiz işlemler gerçekleştirilebilir.
    • Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
      • Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
        • Debug programs –> Administrators

 

Kontrol: “Take ownership of files or other objects (SeTakeOwnershipPrivilege)” DACL ayarlarına bakmazsızın; dosya, yazıcı, paylaşım, servis, kayıt değeri, çekirdek nesnesi gibi herhangi bir güvenilebilir nesnenin (securable objects – SE_OBJECT_TYPE) sahiplenilebilmesine izin verir. Bu amaçla SetSecurityInfo(), SetNamedSecurityInfo() metodları çağırılabilir. Bu yetki ile SeRestorePrivilege yetkilendirmesine de sahip olunur ve kayıt değerleri üzerinde de değişiklik yapılabilir.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • İşletim sistemi üzerinde verilen ayrıcalığın istismarı ile yetkisiz işlemler gerçekleştirilebilir.
    • Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
      • Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
        • Take ownership of files or other objects –> Administrators

 

Kontrol: “Back up files and directories” (SeBackupPrivilege) ayrıcalığına sahip olan kullanıcı tüm dosya ve dizinleri yedekleyebilme ve dolayısı ile tüm nesne ve dosyalara erişme hakkı vardır. Erişilmeye çalışılan dosyanın ACL izinlerinin ne olduğu göz önünde bulundurulmaz. Bu ayrıcalığın tanındığı kullanıcının tüm dosyaları okuma hakkı vardır denilebilir. Bunun yanında, bu yetkiye sahip kullanıcı dosya ve dizinlerin yetkilendirmesini de değiştirebilir.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • İşletim sistemi üzerinde verilen ayrıcalığın istismarı ile yetkisiz işlemler gerçekleştirilebilir.
    • Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
      • Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
        • Back up files and directories –> Administrators
        • (Etki alanı denetleyicisi rolünde ise) Back up files and directories –> Administrators, Backup Operators

 

Kontrol: “Restore files and directories” (SeRestorePrivilege) ayrıcalığı da benzer olarak herhangi bir dizin, dosya, kayıt anahtarına ve sistem tarafından korunan dosyalara (TrustedInstaller, registry girdileri ile korunsa bile) yazma izni verir. Bunun yanında, bu yetkiye sahip kullanıcı dosya / dizinlerin yetkilendirmesini de değiştirebilir. Ayrıca kayıt defterindeki servis yapılandırmasını değiştirerek, servis DLL’i oluşturabilir.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • İşletim sistemi üzerinde verilen ayrıcalığın istismarı ile yetkisiz işlemler gerçekleştirilebilir.
    • Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
      • Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
        • Restore files and directories –> Administrators
        • (Etki alanı denetleyicisi rolünde ise) Restore files and directories –> Administrators, Backup Operators

 

Kontrol: “Load and unload device drivers (SeLoadDriverPrivilege)” hakkı, hangi kullanıcıların aygıt sürücüsünü çekirdek modda yükleyebileceğini ve kaldırabileceğini belirtir. Plug and Play donanımları yüklemek için kullanılır. Bir saldırgan, bir aygıt sürücüsü gibi görünen kötü amaçlı kod yüklemek için bu özelliği kullanabilir. Bu kullanıcı hakkı, kullanıcıların Windows Vista’da yerel yazıcıları veya yazıcı sürücülerini eklemesi için gereklidir.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • İşletim sistemi üzerinde verilen ayrıcalığın istismarı ile yetkisiz işlemler gerçekleştirilebilir.
    • Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
      • Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
        • Load and unload device drivers –> Administrators
    • Gerekli ayarlar Kayıt Defteri ile aşağıda belirtildiği gibi gerçekleştirilebilir:
      • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers
        • AddPrinterDrivers (REG_DWORD) –> 1

 

Kontrol: “Devices: Prevent Users From Installing Printer Drivers” hakkı, bu yetkinin sadece Administrators ve Power Users grubu kullanıcılarının yazıcı yüklemesini sağlar. Devre dışı bırakılması, tüm kullanıcıların yazıcı yüklemesini sağlar.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • İşletim sistemi üzerinde verilen ayrıcalığın istismarı ile yetkisiz işlemler gerçekleştirilebilir.
    • Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
      • Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> Security Options
        • Devices: Prevent Users From Installing Printer Drivers –> Etkin (Enabled)

 

Kontrol: “Create permanent shared object” hakkı, nesne ad alanını (object namespace) kullanan çekirdek modu bileşenleri için kullanışlıdır. Ancak, çekirdek modunda çalışan bileşenler bu hakka sahiptir.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • İşletim sistemi üzerinde verilen ayrıcalığın istismarı ile yetkisiz işlemler gerçekleştirilebilir.
    • Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
      • Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
        • Create permanent shared object: Kimse (No one)

 

Kontrol: “Create global objects (SeCreateGlobalPrivilege)” ayrıcalığı tanımlandığı kullanıcıya herhangi bir oturum (session) için nesne oluşturma hakkı tanır. İstisnai durum olarak, Integration Services bileşeni yüklü olan Microsoft SQL sunucu üzerindeki ilgili servis hesabına da bu yetki verilebilir.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • İşletim sistemi üzerinde verilen ayrıcalığın istismarı ile yetkisiz işlemler gerçekleştirilebilir.
    • Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
      • Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
        • Create global objects –> Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE

 

Kontrol: “Access this computer from the network (SeNetworkLogonRight)” politikası, hangi kullanıcıların ve grupların bilgisayara ağ üzerinden bağlanabileceğini belirler. Terminal Hizmetleri bu kullanıcı hakkından etkilenmez. Aynı (ve farklı) ağdaki makineler arasında oturum açmanın en iyi kontrol noktalarından biri etki alanı politikaları tarafından erişimlerin engellenmesidir.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • İşletim sistemi üzerinde verilen ayrıcalığın istismarı ile yetkisiz işlemler gerçekleştirilebilir.
    • Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
      • Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
        • (İstemci ise) Access this computer from the network: Administrators & Remote Desktop Users
        • (Sunucu ise) Access this computer from the network: Administrators & Authenticated Users
        • (Etki alanı denetleyicisi rolünde ise) Access this computer from the network: Administrators & Authenticated Users & Enterprise Domain Controllers

 

Kontrol: “Deny access to this computer from the network (SeDenyNetworkLogonRight)” politikası ise, hangi kullanıcıların ve grupların bilgisayara ağ üzerinden bağlanılmasının engelleneceğini belirler.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • İşletim sistemi üzerinde verilen ayrıcalığın istismarı ile yetkisiz işlemler gerçekleştirilebilir.
    • Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
      • Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
        • (İstemci ve sunucu ise) Deny access to this computer from the network –> Guests & Local account
        • (Etki alanı denetleyicisi rolünde ise) Deny access to this computer from the network –> Guests

 

Kontrol: “Allow log on through Remote Desktop Services” politikası, hangi kullanıcıların ve grupların bilgisayara Terminal Services üzerinden bağlanılabileceğini belirler.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • İşletim sistemi üzerinde verilen ayrıcalığın istismarı ile yetkisiz işlemler gerçekleştirilebilir.
    • Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
      • Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
        • Allow log on through Remote Desktop Services –> Administrators & Remote Desktop Users

 

Kontrol: “Deny log on through Remote Desktop Services (SeDenyRemoteInteractiveLogonRight)” politikası, hangi kullanıcıların ve grupların bilgisayara Terminal Services üzerinden bağlanılmasının engelleneceğini belirler.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • İşletim sistemi üzerinde verilen ayrıcalığın istismarı ile yetkisiz işlemler gerçekleştirilebilir.
    • Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
      • Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
        • Deny log on through Remote Desktop Services –> Guests & Local Account
        • (Etki alanı denetleyicisi rolünde ise) Deny log on through Remote Desktop Services –> Guests

 

Kontrol: “Allow log on locally (SeInteractiveLogonRight)” oturum açma hakkı, hangi kullanıcıların bu bilgisayarda etkileşimli oturum açabileceğini belirler. Klavyeden CTRL+ALT+DEL tuş bileşimine basarak oturum açabilmek için kullanıcının bu oturum hakkına sahip olması gerekmektedir. Ayrıca bu oturum açma hakkı, kullanıcılar için oturum açabilen bazı hizmetler veya yönetim uygulamaları için de gerekebilmektedir. Sistemi tavsiye edilen şekilde yapılandırmak sisteme yetkisiz kullanıcıların konsol erişimi elde etmesinin önüne geçecektir.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • İşletim sistemi üzerinde verilen ayrıcalığın istismarı ile yetkisiz işlemler gerçekleştirilebilir.
    • Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
      • Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
        • (İstemci ise) Allow log on locally –> Administrators & Users
        • (Sunucu ise) Allow log on locally –> Administrators
        • (Etki alanı denetleyicisi rolünde ise) Allow log on locally –> Administrators, Backup Operators
      • Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> Security Options
        • [Windows 10 ve sonrası için] Accounts: Block Microsoft accounts –> Users can’t add or log on with Microsoft accounts

 

Kontrol: “Deny log on locally (SeDenyInteractiveLogonRight)” oturum açma hakkı, hangi kullanıcıların bu bilgisayarda etkileşimli oturum açabileceğini belirler.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • İşletim sistemi üzerinde verilen ayrıcalığın istismarı ile yetkisiz işlemler gerçekleştirilebilir.
    • Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
      • Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
        • Deny log on locally –> Guests

 

 

Kontrol: “Deny log on as a service” erişim hakkı, hangi kullanıcıların servis olarak bir proses başlatyamayacağını belirtir.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • İşletim sistemi üzerinde verilen ayrıcalığın istismarı ile yetkisiz işlemler gerçekleştirilebilir.
    • Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
      • Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
        • Deny log on as a service –> Guests

 

Kontrol: “Deny log on as a batch job” erişim hakkı, hangi kullanıcıların servis olarak bir proses başlatyamayacağını belirtir.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • İşletim sistemi üzerinde verilen ayrıcalığın istismarı ile yetkisiz işlemler gerçekleştirilebilir.
    • Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
      • Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> User Rights Assignment
        • Deny log on as a batch job –> Guests

 

Kaynaklar:

[1] https://www.siberportal.org/blue-team/securing-information/kurumsal-ortamlarda-zafiyet-yonetim-sistemi-icin-uygulama-secimi/
[2] https://www.siberportal.org/blue-team/securing-windows-operating-system/local-windows-authentication-via-sam-and-system-files-and-lm-ntlm-hashes/
[3] https://www.siberportal.org/blue-team/securing-windows-operating-system/bitlocker-technology-on-windows-environment/
[4] https://www.siberportal.org/blue-team/securing-microsoft-domain-environment/user-right-management-in-microsoft-environment/

Securing Windows Workstations: Developing a Secure Baseline

CIS Benchmarks


https://social.technet.microsoft.com/wiki/contents/articles/35052.active-directoryde-kullanc-hesabnn-surekli-kilitlenmesi-tr-tr.aspx

 

 

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.