Windows İşletim Sistemi Sıkılaştırmalarına Yönelik Temel Kontrol Maddeleri – 4

0
723
views
Kurumsal ortamlarda en çok kullanılan işletim sistemlerinin başında Windows gelmektedir. Bu sebeple, Windows işletim sistemine yönelik gerekli kontrollerin yapılması ve bir takım güvenlik önlemlerinin alınması önemlidir. Bir yazı dizisinin dördüncüsü olan bu yazıda Windows işletim sistemi sıkılaştırmalarına yönelik temel kontrol maddeleri incelenecektir.

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

Bu yazı içerisinde belirtilen kontrollerin bir çoğu etki alanı denetleyicisi üzerinden merkezi olarak Grup İlkeleri ile gerçekleştirilmektedir. Böylece hem merkezi bir kontrol sağlanabilmekte hem de hedef bir sistem üzerinde yetki elde edilmiş bile olsa bu ayarlar değiştirilememektedir. Bu sebeple belirtilen sıkılaştırma ayarlarının grup ilkeleri üzerinden gerçekleştirilmesi tavsiye edilmektedir.

Not: Tespit edilen bulgular maddeler halinde aşağıdaki gibi sıralanmıştır. Bulgular giderilirken etkileri iyi analiz edilmeli, etkileri incelenmeli ve işlevsellik testleri gerçekleştirilmelidir. Değişikliklerden sonra sistemlerin yeniden başlatılması da gerekebilmektedir.

 

1) Lisans Yönetimi

Kontrol: Kurumsal ortamlarda kullanılan bilgisayarlarda (ve benzer olarak kişisel bilgisayarlarda) lisanslı ürünler yerine lisanssız ürünlerin kullanılması güvenlik seviyesinin düşmesine, kurum itibarının zarar görmesine ve ceza işlemlerine sebep olmaktadır. İşletim sistemi ve işletim sistemi üzerinde koşan uygulamaların zafiyetlerini en aza indirmek için gerekli aksiyonlar alınmalıdır.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • Lisanslı uygulamalar ve işletim sistemi kullanılmalıdır.

 

2) Güvenlik Ürünlerine Ait Uygulamaların Yapılandırmaları

Zararlı yazılım koruma ve tespit ürünleri (Antivirüs, Antimalware, Integrity Monitoring, Application Control, HIPS, EPP, EDR özellikleri olan uygulamalar) sistemlere bir ağ kalkanı ve gerçek zamanlı koruma sunan yazılımlar olup kimlik avı veya sisteme zarar verebilecek yazılımlara karşı güvenlik sağlanmış olur. Bunun yanında veri sızıntısı tespit ve önleme ürünleri kurumların hassas verilerinin, kurum içinde nasıl yer değiştirdiğini gözleyen ve kontrollü bir şekilde; dışarı sızmalarını engelleyen bir teknolojidir.

 

Kontrol: Zararlı yazılım korumasına ve tespitine yönelik ürünler bir bütün olarak güvenilir olarak yönetilmelidir.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • Zararlı yazılım ürünü kurulu olmalıdır.

Get-WmiObject -Namespace root/SecurityCenter2 -Class Antivirusproduct

  • Ürün, merkezi olarak yönetilmeli ve gerçek zamanlı olarak koruma sağlanmalıdır.
  • Ürün ve yönetim merkezi arasındaki trafik güvenilir kanaldan sağlanmalıdır.
  • Ürün ayarlarına ve ilgili dosyalarına ait yapılandırma değişiklikleri anlık ve merkezi olarak izlenmelidir.
  • Ürüne ait ajanlar güncel olmalı ve zafiyeti bulunmamalıdır.
  • Ürün imzaları ve politikaları güncel olmalıdır.
  • Ürüne ait çalıştırılabilir dosyalar, kütüphaneler, log dosyaları yetkisiz kullanıcılar (NT AUTHORITY\SYSTEM dahil) tarafından değiştirilememelidir.
  • Ürüne ait uygulamalar arayüz (görev çubuklarındaki ikonlar gibi) veya komut satırı üzerinden yetkisiz kullanıcılar (NT AUTHORITY\SYSTEM dahil) tarafından devre dışı bırakılamamalıdır. Devre dışı bırakılması için tek kullanımlık parola gibi kontroller sağlanmalıdır.
  • Ürüne ait prosesler durdurulamamalıdır. Belirtilen önlemin geçerliliğinin doğrulaması için, aşağıdaki işlemler gerçekleştirilebilir.

(Get-Process [Proses Adi]).ID
Stop-Process -Name “[Proses Adi]” -Force
Stop-Process -ID [Proses ID] -Force

taskkill /IM [Proses Adi] /F
taskkill /F /PID [Proses ID]

  • Ürüne ait servisler güvenilir olarak yapılandırılmalıdır. Kritik servislerdeki güvenlik önlemleri için kaynaklardaki Siberportal [i] yazısı incelenebilir.
  • Ürüne ait uygulamaların durdurulması veya duraklatılması işlemleri merkezi sunucu üzerinden gerçekleştirilebilmelidir veya yönetilmelidir. Bu işlemler için istemci tarafında tek kullanımlık parola istenmeli veya ikinci bir kimlik doğrulama gerçekleştirilmelidir.
  • Ürüne ait modüller veya kullanılan harici uygulamalar yetkisiz kullanıcılar (NT AUTHORITY\SYSTEM dahil) tarafından devre dışı bırakılamamalıdır.
  • Ürüne ait uygulamalar herhangi bir portu dinlememelidir. Tasarım bu şekildeyse de ilgili uygulamalar localhost olarak çalışmalı, dışarıya hizmet vermemelidir. Belirtilen önlemin geçerliliğinin doğrulaması için, aşağıdaki işlemler gerçekleştirilebilir.

Get-Process [Proses Adi] | Select ID, Name

netstat -anoq | findstr [Proses ID]

  • Ürün ilgili bilgisayardaki tüm kullanıcılar (oturum açan domain kullanıcıları ve yerel kullanıların tamamı) için koruma sağlamalıdır.
  • Ürüne (zararlı yazılım koruma ve tespit ürünleri için) ait karantina listesi yetkisiz kullanıcılar (NT AUTHORITY\SYSTEM dahil) tarafından okunamamalı ve üzerinde değişiklik yapılamamalıdır.
  • Ürün mümkün olan her katmanda (işletim sistemi, ağ,…) seviyesinde koruma sağlamalıdır.

 

3) Kritik Servisler İçin Yapılandırmalar

Zararlı yazılım korumasına ve tespitine yönelik uygulamalar, veri kaçırma uygulamaları, kimlik yönetim uygulaması, uygulama bütünlüğü sağlama gibi kritik ürünlere ait uygulamaların bir çoğu servis tabanlı olarak çalışmaktadır. Bu servisler ilgili ürünün merkezi sunucusu tarafından yönetilecek şekilde ayarlanmalıdır.

Not: Yerel makinelerdeki servislerin tespiti için kaynaklardaki ind-LocalServiceAccounts.ps1 betiği [1] kullanılabilir.

Kritik servisler ile ilgili detaylar için aşağıdaki komutlar kullanılabilir.

Get-Service [Servis Adi] | Select *

sc qc [Servis Adi] reg query “HKLM\System\CurrentControlSet\Services\[Servis Adi]” /s

 

Kontrol: Kritik servisler komut satırından veya hizmetler konsolundan durdurulması sonucunda ürünün çalışması askıya alınabilir.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • İlgili servis, yetkisiz kullanıcılar (NT AUTHORITY\SYSTEM dahil) tarafından durdurulamamalıdır. Belirtilen önlemin geçerliliğinin doğrulaması için, aşağıdaki işlemler gerçekleştirilebilir.

(Hizmetler Konsolu) İlgili Servis: General -> Service Status: Stop
Stop-Service [Servis Adi] -Force -Confirm
net stop [Servis Adi]

  • İlgili servisin başlangıç tipi, yetkisiz kullanıcılar (NT AUTHORITY\SYSTEM dahil) tarafından değiştirilememelidir. Belirtilen önlemin geçerliliğinin doğrulaması için, aşağıdaki işlemler gerçekleştirilebilir.

(Hizmetler Konsolu) İlgili Servis: General -> Startup type: Disabled

Set-Service -Name [Servis Adi] -StartupType “disabled”

sc config [Servis Adi] start= disabled
reg add “HKLM\System\CurrentControlSet\Services\[Servis Adi]” /v “Start” /t REG_DWORD /d “0x4” /f

 

Kontrol: Kritik servislerin çalıştırdığı dosyaların değiştirilebilmesi sonucunda ürünün çalışma akışı değiştirilebilir.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • İlgili servisin çalıştırılabilir dosyasının yolu, tam olarak belirtilmek (Absolute PathName) üzere tırnak içerisine alınmalıdır. Belirtilen önlemin geçerliliğinin doğrulaması için, aşağıdaki işlemler gerçekleştirilebilir.

(Hizmetler Konsolu) İlgili Servis: General -> Path to executable

wmic service where Name=”[Servis Adi]” GET PathName

  • İlgili servisin çalıştırılabilir dosyasının yolu, yetkisiz kullanıcılar (NT AUTHORITY\SYSTEM dahil) tarafından değiştirilememelidir. Belirtilen önlemin geçerliliğinin doğrulaması için, aşağıdaki işlemler gerçekleştirilebilir.

(Hizmetler Konsolu) İlgili Servis: General -> Path to executable: “C:\YeniDosya.exe”

sc config [Servis Adi] binpath= “C:\YeniDosya.exe”
reg add “HKLM\System\CurrentControlSet\Services\[Servis Adi]” /v “ImagePath” /t REG_EXPAND_SZ /d “C:\YeniDosya.exe” /f

  • İlgili servisin çalıştırılabilir dosyası, yetkisiz kullanıcılar (NT AUTHORITY\SYSTEM dahil) tarafından değiştirilememelidir. Belirtilen önlemin geçerliliğinin doğrulaması için, aşağıdaki işlemler gerçekleştirilebilir.

icacls “[Dosya Yolu]”

  • İlgili servisin yetkilendirmesinde tam yetki (SERVICE_ALL_ACCESS), yazma yetkisi (WRITE_DAC, WRITE_OWNER, GENERIC_WRITE veya GENERIC_ALL) veya yapılandırma değiştirme yetkisi (SERVICE_CHANGE_CONFIG) yetkisiz kullanıcılara (Administrators gibi) verilmemelidir. Belirtilen önlemin geçerliliğinin doğrulaması için, aşağıdaki işlemler gerçekleştirilebilir.

accesschk64.exe -ucv [Servis Adi] -nobanner
accesschk64.exe -ucvw [Servis Adi] -nobanner
subinacl.exe /keyreg “HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\[Servis Adi]” /display

 

 

4) Çevrimiçi Yardımlar ve Hizmetler

 

Kontrol: Kritik veri içerebilecek sistemlere ait bilgiler üçüncü taraflarla paylaşılmamalı, iç testleri yapılmamış olan içerikler kullanılmamalıdır.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • Çevrimiçi yardım sıkılaştırması için gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
    • Computer Configuration –> Policies –> Administrative Templates –> Control Panel
      • [Windows 10 ve sonrası için] Enable Font Providers –> Disabled [ControlPanel.admx/adml şablonuna ihtiyaç vardır]
    • Computer Configuration –> Policies –> Administrative Templates –> Network –> Fonts
      • [Windows 10 ve sonrası için] Allow Online Tips –> Disabled [ControlPanel.admx/adml şablonuna ihtiyaç vardır]
    • Computer Configuration –> Policies –> Administrative Templates –> System –> Internet Communication Management –> Internet Communication settings
      • [Windows 7 / WS 2008 R2 ve sonrası için] Turn off handwriting personalization data sharing –> Enabled [ShapeCollector.admx/adml şablonuna ihtiyaç vardır]
      • Turn off the ‘Publish to Web’ task for files and folders –> Enabled [ICM.admx/adml şablonuna ihtiyaç vardır]
  • Gerekli ayarlar Kayıt Defteri ile aşağıda belirtildiği gibi gerçekleştirilebilir:
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
      • AllowOnlineTips (REG_DWORD) –> 0
      • NoPublishingWizard (REG_DWORD) –> 1
      • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System
      • EnableFontProviders (REG_DWORD) –> 0
      • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\TabletPC
      • PreventHandwritingDataSharing (REG_DWORD) –> 1

 

5) Makro ve DDE Kullanımı

Makrolar, tuş ve fare eylemlerinde zaman kazanmak için sık kullanılan görevleri otomatikleştirir. Pek çok makro, Visual Basic for Applications (VBA) kullanılarak oluşturulmuştur ve yazılım geliştiricileri tarafından yazılırlar.

Başka bir uygulama ile dinamik veri değişimi (DDE) konuşma başlatmak, bilgi öğesi istemek ve bu bilgileri bir denetimi, bir form veya raporu görüntülemek için DDE işlevini kullanılabilir. Microsoft Office uygulamaları DDE protokolünü kullanmak için bazı kod parçacıkları bulunmaktadır.

 

Kontrol: Oltalama saldırıları başta olmak üzere, gerçekleştirilebilecek saldırılar ile Microsoft Office ürünlerinde gömülen zararlı makroların çalıştırılabilmesi işletim sisteminde ilgili kullanıcı ile komut çalıştırılmasına sebep olur.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • Makro ve Microsoft Office uygulamaları içerisinden VBA kullanımı için gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
    • Computer Configuration –> Policies –> Administrative Templates –> Microsoft [Outlook, Word, Publisher, Excel, PowerPoint] 20xx > [Outlook, Word, Publisher, Excel, PowerPoint] options > Security Trust Center
      • Block macros from running in Office files from the Internet: “”Disable all macros without notification” veya “Disable all macros except digitally signed macros” [Office 2016 Administrative Template files isimli admx/adml şablonuna ihtiyaç vardır]
      • VBA Macro Notification Settings: Enabled: Disable all without notification
      • Security setting for macros: Enabled (Warn for signed, disable unsigned)
    • Computer Configuration –> Policies –> Administrative Templates –> Microsoft [Outlook, Word, Publisher, Excel, PowerPoint] 20xx –> Security Settings
      • Disable VBA for Office applications: Enabled
  • Gerekli ayarlar Kayıt Defteri ile aşağıda belirtildiği gibi gerçekleştirilebilir:
    • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\[16.0, 15.0, 14.0, 12.0]\[Outlook, Word, Publisher, Excel, PowerPoint]\Security\
      • blockcontentexecutionfrominternet (REG_DWORD) –> 1
      • VBAWarnings (REG_DWORD) –> 2
      • Level (REG_DWORD) –> 3
      • ShowOLEPackageObj (REG_DWORD) –> 0

 

Kontrol: DDE komutlarından faydalanarak uzak sunucudan zararlı bir exe dosyası indirilerek çalıştırılarak işletim sistemi ele geçirilebilir.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • Gerekli ayarlar Kayıt Defteri ile aşağıda belirtildiği gibi gerçekleştirilebilir:
    • HKEY_CURRENT_USER\Software\Microsoft\Office\[16.0, 15.0, 14.0, 12.0]\[Outlook, Word, Publisher, Excel, PowerPoint]\Options
      • DontUpdateLinks (REG_DWORD) –> 1
      • DisableEmbeddedFiles (REG_DWORD) –> 1
      • DDEAllowed (REG_DWORD) –> 0
      • DDECleaned (REG_DWORD) –> 1
      • Options (REG_DWORD) –> 117

 

6) Yerel Kullanıcı ve Yerel Grupların Yapılandırılması

Grup ilkeleri ile yapılan bir takım sıkılaştırmalar veya güvenlik ürünlerindeki bazı kontroller sadece etki alanındaki kullanıcılar ile yapılmakta, yerel kullanıcılar tarafından yapılan bazı işlemler gözden kaçabilmektedir. Bu sebeple gerekli kontroller tüm kullanıcılar için yapılmalıdır. Bunun yanında yerel kullanıcılar ve yerel grup üyelikleri periyodik olarak da gözden geçirilmelidir.

 

Kontrol: İşletim sistemindeki yerel kullanıcılar ve bu kullanıcıların grup üyelikleri gözden geçirilmelidir.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

İşletim sistemindeki gereksiz yerel kullanıcılar ve mevcut kullanıcıların gereksiz grup üyelikleri kaldırılmalıdır. Belirtilen önlemin geçerliliğinin doğrulaması için, aşağıdaki işlemler gerçekleştirilebilir.

 

 

Kontrol: İşletim sistemindeki (özellikle üyesi olan) yerel grup üyelikleri gözden geçirilmelidir.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

İşletim sistemindeki gereksiz yerel gruplar silinmeli ve mevcut grupların (Administrators, Remote Desktop Users ve Power Users başta olmak üzere) üyelikleri incelenerek gerekli değilse üyelikten çıkarılmalıdır. Belirtilen önlemin geçerliliğinin doğrulaması için, aşağıdaki işlemler gerçekleştirilebilir.

 

 

Kaynaklar:

[i] https://www.siberportal.org/blue-team/securing-windows-operating-system/windows-isletim-sistem asasdi-sikilastirmalarina-yonelik-temel-kontrol-maddeleri-4#servis-guvenligi
[1] https://gitlab.com/forestallio/manage-serviceaccount/-/blob/master/Find-LocalServiceAccounts.ps1

 

 

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.