Windows İşletim Sistemi Sıkılaştırmalarına Yönelik Temel Kontrol Maddeleri – 3

0
285
views
Kurumsal ortamlarda en çok kullanılan işletim sistemlerinin başında Windows gelmektedir. Bu sebeple, Windows işletim sistemine yönelik gerekli kontrollerin yapılması ve bir takım güvenlik önlemlerinin alınması önemlidir. Bir yazı dizisinin üçüncüsü olan bu yazıda Windows işletim sistemi sıkılaştırmalarına yönelik temel kontrol maddeleri incelenecektir.

Bu yazı içerisinde belirtilen kontrollerin bir çoğu etki alanı denetleyicisi üzerinden merkezi olarak Grup İlkeleri ile gerçekleştirilmektedir. Böylece hem merkezi bir kontrol sağlanabilmekte hem de hedef bir sistem üzerinde yetki elde edilmiş bile olsa bu ayarlar değiştirilememektedir. Bu sebeple belirtilen sıkılaştırma ayarlarının grup ilkeleri üzerinden gerçekleştirilmesi tavsiye edilmektedir.

 

1) Kullanıcı Hesap Denetimi

Windows ortamında yetkilendirme işlemleri için kullanılan özelliklerden birisi Kullanıcı Hesap Denetimi (User Account Control – UAC) korumasıdır [1]. UAC, kullanıcı tarafından yapılan bazı işlemlerin kontrolü için kullanılmaktadır.

Kontrol: Kullanıcı hesap denetimi ile yetkili kullanıcıların işlemleri için onay mekanizması işletilmelidir.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • Kullanıcı hesap denetimi için gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
    • Gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
      • Computer Configuration –> Windows Settings –> Security Settings –> Local Policies –> Security Options
        • User Account Control: Admin Approval Mode for the Built-in Administrator account –> Enabled
        • User Account Control: Allow UIAccess applications to prompt for elevation without using the secure desktop –> Disabled
        • User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode –> Prompt for consent on the secure desktop
        • User Account Control: Behavior of the elevation prompt for standard users –> Automatically deny elevation requests
        • User Account Control: Detect application installations and prompt for elevation –> Enabled
        • User Account Control: Only elevate UIAccess applications that are installed in secure locations –> Enabled
        • User Account Control: Run all administrators in Admin Approval Mode –> Enabled
        • User Account Control: Switch to the secure desktop when prompting for elevation –> Enabled
        • User Account Control: Virtualize file and registry write failures to per-user locations –> Enabled
  • Gerekli ayarlar Kayıt Defteri ile aşağıda belirtildiği gibi gerçekleştirilebilir:
    • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
      • FilterAdministratorToken (REG_DWORD) –> 1
      • EnableUIADesktopToggle (REG_DWORD) –> 0
      • ConsentPromptBehaviorAdmin (REG_DWORD) –> 2
      • ConsentPromptBehaviorUser (REG_DWORD) –> 0
      • EnableInstallerDetection (REG_DWORD) –> 1
      • EnableSecureUIAPaths (REG_DWORD) –> 1
      • EnableLUA (REG_DWORD) –> 1
      • PromptOnSecureDesktop (REG_DWORD) –> 1
      • EnableVirtualization (REG_DWORD) –> 1

 

2) Yerleşik Kullanıcılar

Windows işletim sistemlerinde Administrator ve Guest kullanıcıları yerleşik olarak gelmektedir. Yerleşik Administrator (RID: 500) kullanıcısı ile kaba kuvvet saldırılarının yapılması ve hesabın kilitlenmiyor olması saldırı yüzeyini arttırmaktadır. Ayrıca, yerleşik Administrator kullanıcısı UAC gibi bir takım kontrollerden muaf olabilmektedir. Buna ek olarak yerleşik Guest (RID: 501) kullanıcısı ile yetkisiz olarak işletim sistemi hakkında bilgi toplanabilmesi saldırı yüzeyini arttırmaktadır.

Kontrol: Yerleşik Administrator ve Guest hesapları devre dışı bırakılmalıdır.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • İki kullanıcı için gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
    • Computer Configuration –> Windows Settings –> Security Settings –> Local Policies –> Security Options
      • Accounts: Administrator account status –> Disabled
      • Accounts: Guest account status –> Disabled

 

Kontrol: Yerleşik Administrator ve Guest hesaplarının isimleri saldırganın bu kullanıcıların keşfini bir nebze olsa zorlaştırmak amacı ile değiştirilmelidir.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • İki kullanıcı için gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
    • Computer Configuration –> Windows Settings –> Security Settings –> Local Policies –> Security Options
      • Accounts: Rename administrator account –> Yeni Bir İsim. Örnek: Ziyaretci
      • Accounts: Rename guest account –> Yeni Bir İsim. Örnek: Yonetici

 

3) Etkileşimli Oturumlar

Kontrol: Bilgisayarlarda oturum açan son kullanıcının adı gözükmemelidir

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • Oturum açan veya açılabilecek kullanıcıların gizlenmesi için gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
    • Computer Configuration –> Windows Settings –> Security Settings –> Local Policies –> Security Options
      • Interactive logon: Do not display last user name –> Enabled
  • Oturum açan veya açılabilecek kullanıcıların gizlenmesi için gerekli ayarlar Kayıt Defteri ile aşağıda belirtildiği gibi gerçekleştirilebilir:
    • HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
      • DontDisplayLastUserName (REG_DWORD) –> 1

Kontrol: Oturum açan kullanıcılara, kendilerine verilen bilgisayarları kendi şahsi bilgisayarları gibi kullanamayacakları, temin edilen bilgisayar ve yazılımların yasal olarak korunduğu gibi konular farkındalığı arttırmak için oturum açma öncesinde hatırlatılmalıdır.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • Oturum öncesi bilgilendirmeler için gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
    • Computer Configuration –> Windows Settings –> Security Settings –> Local Policies –> Security Options
      • Interactive logon: Message title for users attempting to log on –> Kurum Politikasına Göre Belirlenmelidir
      • Interactive logon: Message text for users attempting to log on –> Kurum Politikasına Göre Belirlenmelidir
  • Oturum öncesi bilgilendirmeler için gerekli ayarlar Kayıt Defteri ile aşağıda belirtildiği gibi gerçekleştirilebilir:
    • HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
      • LegalNoticeCaption (REG_SZ) –> Kurum Politikasına Göre Belirlenmelidir
      • LegalNoticeText (REG_SZ) –> Kurum Politikasına Göre Belirlenmelidir

 

Kontrol: Bir takım zararlı yazılımlar ikonlar kullanılarak kullanıcıları yanlış yönlendirebilmekte ve çalıştırmasını sağlayabilmektedir.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • Dosya ve klasör seçeneklerinden bilinen dosya uzantıları ve gizli dosyaların listelenebilmesi sağlanmalıdır.

 

4) Harici Aygıt Kullanımı

Kontrol: Harici aygıtların kullanımı ile zararlı yazılımlar bilgisayarlara bulaşabilir veya veri kaçırılmasına sebep olunabilir.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • Bilgisayarlarda harici aygıtlar için sürücüler bulunmamalıdır.
  • İhtiyaç bulunmaması durumunda harici aygıta ait fiziksel kartlar kullanılmamalıdır.
  • Harici aygıtlar içerisindeki dosyaların çalıştırılabilmesini yasaklamak için gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
    • Computer Configuration –> Administrative Templates –> System –> Removable Storage Access
      • Removable Disks: Deny execute access –> Enabled
      • CD and DVD: Deny execute access –> Enabled
      • Custom Classes: Deny execute access –> Enabled
      • Floppy Drives: Deny execute access –> Enabled
      • Tape Drives: Deny execute access –> Enabled
      • WPD Devices: Deny execute access –> Enabled
  • Harici aygıtlara veri aktarılabilmesini yasaklamak için gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
    • Computer Configuration –> Administrative Templates –> System –> Removable Storage Access
      • Removable Disks: Deny write access –> Enabled
      • CD and DVD: Deny write access –> Enabled
      • Custom Classes: Deny write access –> Enabled
      • Floppy Drives: Deny write access –> Enabled
      • Tape Drives: Deny write access –> Enabled
      • WPD Devices: Deny write access –> Enabled
  • Harici aygıtlardaki dosyaları okumayı yasaklamak için gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
    • Computer Configuration –> Administrative Templates –> System –> Removable Storage Access
      • Removable Disks: Deny read access –> Enabled
      • CD and DVD: Deny read access –> Enabled
      • Custom Classes: Deny read access –> Enabled
      • Floppy Drives: Deny read access –> Enabled
      • Tape Drives: Deny read access –> Enabled
      • WPD Devices: Deny read access –> Enabled
  • Harici aygıtlardaki dosyalar üzerinde her işlemi yasaklamak için gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
    • Computer Configuration –> Administrative Templates –> System –> Removable Storage Access
      • All Removable Storage classes: Deny all access –> Enabled
  • Veri sızıntısının önlenmesi için (özellikle son kullanıcı bilgisayarlarında) DLP ürünlerinin kullanılması gerekmektedir.

 

Kontrol: Otomatik çalıştır özelliği sürücüye bir medya eklenir eklenmez sürücüden okuma yapmaya başlar. Sonuç olarak, programların kur dosyaları ve ses medyalarındaki müzik hemen başlar. Böylece kullanıcı farkında olmadan zararlı bir dosyayı çalıştırıp sisteme zarar verebilir.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • Otomatik çalıştır özelliğini yasaklamak için gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
    • Computer Configuration –> Administrative Templates –> Windows Components –> AutoPlay Policies
      • Turn off Autoplay –> Enabled: All Drives
      • Set the default behavior for AutoRun –> Enabled: Do not execute any autorun commands
  • Otomatik çalıştır özelliğini yasaklamak için gerekli ayarlar Kayıt Defteri ile aşağıda belirtildiği gibi gerçekleştirilebilir:
    • HKEY_LOCAL_MACHINE\ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer
      • NoDriveTypeAutoRun (REG_DWORD) –> 0x000000ff (255)
      • NoAutorun (REG_DWORD) –> 1

 

5) Zararlı Yazılım Koruması

Kontrol: Kimlik avı saldırılarını gerçekleştirebilecek veya sisteme zarar verebilecek yazılımlara karşı gerekli güvenlik önlemleri alınmalıdır.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • İstemcilerde ve sunucularda zararlı yazılımlardan koruma ve tespit ürünleri ile merkezi olarak gerçek zamanlı koruma sağlanmalıdır.
  • Zararlı yazılım koruma uygulamalarına ait ajanların ve imzalarının güncel olduğundan emin olunmalıdır.
  • Zararlı yazılım koruma uygulamalarına ait çalıştırılabilir dosyalar, kütüphaneler, log dosyaları yetkisiz kullanıcılar (NT AUTHORITY\SYSTEM dahil) tarafından değiştirilememeli veya değiştirildiğinde haberdar olunabilmelidir.
  • Zararlı yazılım koruma uygulamalarına ait uygulamalar görev çubuklarındaki ikonlar üzerinden yetkisiz kullanıcılar (NT AUTHORITY\SYSTEM dahil) tarafından devre dışı bırakılamamalıdır. Devre dışı bırakılması için tek kullanımlık parola gibi kontroller sağlanmalıdır.
  • Zararlı yazılım koruma uygulamalarına ait modüller (Antimalware, IPS vs) yetkisiz kullanıcılar (NT AUTHORITY\SYSTEM dahil) tarafından devre dışı bırakılamamalıdır.
  • Zararlı yazılım koruma uygulamalarına ait karantina listesi yetkisiz kullanıcılar (NT AUTHORITY\SYSTEM dahil) tarafından okunamamalı ve güncellenememelidir.
  • Zararlı yazılım koruma uygulamalarına ait servisler yetkisiz kullanıcılar (NT AUTHORITY\SYSTEM dahil) tarafından yönetilememelidir. Örneğin, servisin çalıştırdığı uygulamanın dosya yolu, başlangıç tipi, statüsü değiştirilememelidir.

 

6) Yönetimsel Konsollara Erişim

Windows işletim sistemindeki bir çok yönetimsel araç, son kullanıcılar tarafından erişilmesine gerek yoktur.

Kontrol: Windows komut satırı istemcisine erişim devre dışı bırakılmalıdır.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • Windows komut satırı erişimini ve betikleri devre dışı bırakmak için gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
    • User Computer Configuration –> Administrative Templates –> System
      • Prevent access to the command prompt –> Enabled
  • Windows komut satırı erişimini ve betikleri devre dışı bırakmak için gerekli ayarlar Kayıt Defteri ile aşağıda belirtildiği gibi gerçekleştirilebilir:
    • HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System
      • DisableCMD (REG_DWORD) –> 1

 

Kontrol: Çalıştır (Run) arayüzünü erişim devre dışı bırakılmalıdır.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • Çalıştır arayüzüne erişimi devre bırakmak için gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
    • User Computer Configuration –> Administrative Templates –> Start Menu and Taskbar
      • Remove Run Menu from Start Menu –> Enabled
  • Windows komut satırı erişimini devre dışı bırakmak için gerekli ayarlar Kayıt Defteri ile aşağıda belirtildiği gibi gerçekleştirilebilir:
    • HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer
      • NoRun (REG_DWORD) –> 1

 

Kontrol: Windows ikonu kısayollarına (Windows + D, Windows + R, Windows + S, Windows + A,… gibi) erişim devre dışı bırakılmalıdır.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • Windows ikonu kısayollarına erişimi devre bırakmak için gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
    • User Computer Configuration –> Administrative Templates –> Windows Components –> File Explorer
      • Turn off Windows + X hotkeys –> Enabled
  • Windows ikonu kısayollarına erişimi devre dışı bırakmak için gerekli ayarlar Kayıt Defteri ile aşağıda belirtildiği gibi gerçekleştirilebilir:
    • HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer
      • NoWinKeys (REG_DWORD) –> 1

 

Kontrol: “Turn off Windows + X hotkeys” ayarı ile Windows + X, Windows + L, Windows + PrntScr veya Windows + Tab gibi kısa yollar devre dışı kalmaz. Bu sebeple, Windows ikonu kısayollarının tamamına erişim devre dışı bırakılmalıdır.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • Tüm Windows ikonu kısayollarına erişimi devre dışı bırakmak için gerekli ayarlar Kayıt Defteri ile aşağıda belirtildiği gibi gerçekleştirilebilir:
    • HKEY_LOCAL_ MACHINE \ System \ CurrentControlSet \ Control \ Keyboard Layout
      • Scancode Map (BINARY) –> 00 00 00 00 00 00 00 00 && 03 00 00 00 00 00 5B E0 && 00 00 5C E0 00 00 00 00 (3 satır halinde)

 

Kontrol: Kayıt Defteri’ne erişim devre dışı bırakılmalıdır.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • Kayıt Defteri’ne erişimi devre dışı bırakmak için gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
    • User Computer Configuration –> Administrative Templates –> System
      • Prevent access to registry editing tools –> Enabled
  • Kayıt Defteri’ne erişimi devre dışı bırakmak için gerekli ayarlar Kayıt Defteri ile aşağıda belirtildiği gibi gerçekleştirilebilir:
    • HKEY_CURRENT_USER \ Software \ Policies \ Microsoft \ Windows \ System
      • DisableRegistryTools (REG_DWORD) –> 1

 

Kontrol: Disk sürücülerine erişim devre dışı bırakılmalıdır.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • Disk sürücülerine erişimi devre dışı bırakmak için gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
    • User Computer Configuration –> Administrative Templates –> Windows Components –> File Explorer
      • Prevent access to drives from My Computer –> Enabled: Restrict all drives
  • Disk sürücülerine erişimi devre dışı bırakmak için gerekli ayarlar Kayıt Defteri ile aşağıda belirtildiği gibi gerçekleştirilebilir:
    • HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer
      • NoViewOnDrive (REG_DWORD) –> 67108863

 

Kaynaklar:

[1] http://www.siberportal.org/blue-team/securing-windows-operating-system/windows-ortaminda-kullanici-hesap-denetimi-uac/

 

 

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

This site uses Akismet to reduce spam. Learn how your comment data is processed.