Windows İşletim Sistemi Sıkılaştırmalarına Yönelik Temel Kontrol Maddeleri – 6

1
321
views
Kurumsal ortamlarda en çok kullanılan işletim sistemlerinin başında Windows gelmektedir. Bu sebeple, Windows işletim sistemine yönelik gerekli kontrollerin yapılması ve bir takım güvenlik önlemlerinin alınması önemlidir. Bir yazı dizisinin altıncısı olan bu yazıda Windows işletim sistemi sıkılaştırmalarına yönelik temel kontrol maddeleri incelenecektir.

Bu yazı içerisinde belirtilen kontrollerin bir çoğu etki alanı denetleyicisi üzerinden merkezi olarak Grup İlkeleri ile gerçekleştirilmektedir. Böylece hem merkezi bir kontrol sağlanabilmekte hem de hedef bir sistem üzerinde yetki elde edilmiş bile olsa bu ayarlar değiştirilememektedir. Bu sebeple belirtilen sıkılaştırma ayarlarının grup ilkeleri üzerinden gerçekleştirilmesi tavsiye edilmektedir.

Not: Tespit edilen bulgular maddeler halinde aşağıdaki gibi sıralanmıştır. Bulgular giderilirken etkileri iyi analiz edilmeli, etkileri incelenmeli ve işlevsellik testleri gerçekleştirilmelidir. Değişikliklerden sonra sistemlerin yeniden başlatılması da gerekebilmektedir.

 

1) Kurulu Uygulamaların Kontrolleri

İşletim sistemi üzerinden kurulu olan uygulamalar periyodik olarak gözden geçirilmelidir. Gereksiz olarak kurulmuş uygulamalar (ve bu uygulamaların eksik yamaları) saldırı yüzeyini arttırmaktadır.

Yüklü uygulamaları listelemek için aşağıdaki komutlar kullanılabilir.

wmic product get Name, Version, Vendor

Get-ItemProperty HKLM:\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\*, HKLM:\Software\Microsoft\Windows\CurrentVersion\Uninstall\* | Select-Object DisplayName, DisplayVersion, Publisher

 

Kontrol: İşletim sisteminde gereksiz uygulamalar kaldırılmalıdır.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir

  • İşletim sistemine uygulamaların kurulmasına izin verilmemeli, gerekli olması durumunda süreçsel bi
  • r onay mekanizması oluşturulmalıdır.
  • İşletim sisteminde kurulabilecek uygulamalar için beyaz liste hazırlanmalıdır.
  • İşletim sisteminde kurulan uygulamalar periyodik olarak gözden geçirilmelidir.
  • İşletim sisteminde kurulu olan gereksiz uygulamalar kaldırılmalıdır.
  • Gereksiz uygulamaların kaldırılması için gerekli ayarlar Programlar arayüzü ile aşağıda belirtildiği gibi ayarlanabilir:
    • Control Panel –> Programs –> Programs and Features

 

Kontrol: İşletim sisteminde yüklü olarak gelen varsayılan uygulama paketleri kaldırılmalıdır.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • İşletim sisteminde yüklü olarak gelen varsayılan uygulama paketlerinin kaldırılması için gerekli ayarlar Powershell ile aşağıda belirtildiği gibi gerçekleştirilebilir:

Get-AppxPackage *[Uygulama Paketi]* -AllUsers | Remove-AppxPackage

 

Kontrol: İşletim sisteminde yeni açılan oturumlarda varsayılan uygulama paketlerinin kurulması engellenmelidir.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • İşletim sisteminde yeni açılan oturumlarda varsayılan uygulama paketlerinin kurulmasının engellenmesi için gerekli ayarlar Powershell ile aşağıda belirtildiği gibi gerçekleştirilebilir:

Get-AppxProvisionedPackage -Online | Where-Object {$_.DisplayName -eq ‘[Uygulama Paketi]’ | Remove-AppxProvisionedPackage -Online

 

Not: Windows 10 için iligli varsayılan olarak etkin olabilecek uygulama paketleri aşağıdaki gibi sıralanabilir:

  • Microsoft.BingWeather
  • Microsoft.DesktopAppInstaller
  • Microsoft.GetHelp
  • Microsoft.Getstarted
  • Microsoft.Messaging
  • Microsoft.Microsoft3DViewer
  • Microsoft.MicrosoftOfficeHub
  • Microsoft.MicrosoftSolitaireCollection
  • Microsoft.MicrosoftStickyNotes
  • Microsoft.MixedReality.Portal
  • Microsoft.Office.OneNote
  • Microsoft.OneConnect
  • Microsoft.Print3D
  • Microsoft.SkypeApp
  • Microsoft.Wallet
  • Microsoft.WebMediaExtensions
  • Microsoft.WebpImageExtension
  • Microsoft.WindowsAlarms
  • Microsoft.WindowsCamera
  • microsoft.windowscommunicationsapps
  • Microsoft.WindowsFeedbackHub
  • Microsoft.WindowsMaps
  • Microsoft.WindowsSoundRecorder
  • Microsoft.Xbox.TCUI
  • Microsoft.XboxApp
  • Microsoft.XboxGameOverlay
  • Microsoft.XboxGamingOverlay
  • Microsoft.XboxIdentityProvider
  • Microsoft.XboxSpeechToTextOverlay
  • Microsoft.YourPhone
  • Microsoft.ZuneMusic
  • Microsoft.ZuneVideo
  • Microsoft.WindowsFeedback
  • Windows.ContactSupport
  • PandoraMedia
  • AdobeSystemIncorporated. AdobePhotoshop
  • Duolingo
  • Microsoft.BingNews
  • Microsoft.Office.Sway
  • Microsoft.Advertising.Xaml
  • Microsoft.Services.Store.Engagement
  • ActiproSoftware
  • EclipseManager
  • SpotifyAB.SpotifyMusic
  • king.com.
  • Microsoft.NET.Native.Framework.1.

 

2) Internet Explorer Korumalı Mod

Windows Vista ve sonraki işletim sistemi sürümleri üzerinde Internet Explorer 7 ve sonraki sürümlerde bütünleşik olarak Korumalı Mod özelliği gelmiştir. Korumalı Mod özelliği, User Account Control (UAC) mekanizması aktif olduğu durumlarda çalışmaktadır. Korumalı Mod özelliği sayesinde Internet Explorer ile ziyaret edilen ve zararlı kod içeren web sitelerinden işletim sisteminin zarar görmesi engellemeye yardımcı olur. Bunun sebebi, Korumalı Mod ile düşük bütünlük seviyesine sahip olan Internet Explorer üzerinden çalıştırılan zararlı kodun düşük bütünlük seviyesine sahip dosyalara ve klasörlere (Temporary Internet Files klasörü gibi) erişebilmesi, kritik dosya ve klasörlere erişim sağlanmasının engellenmesidir.

 

Kontrol: Internet Explorer (özellikle Internet Zone için) korumalı modda çalışmalıdır.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • Internet Zone içerisinde Korumalı modu etkileştirmek için gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
    • Computer Configuration –> Administrative Template –> Wındows Components –> Internet Explorer –> Internet Control Panel –> Security Page –> Internet Zone
      • Turn on Protected Mode: Enabled
  • Gerekli ayarlar Kayıt Defteri ile aşağıda belirtildiği gibi gerçekleştirilebilir:
    • HKEY_LOCAL_MACHINE \ Software \ Policies \ Microsoft \ Windows \ CurrentVersion \ Internet Settings \ Zones \ 3
      • 2500 (REG_DWORD) –> 0s

 

3) Etkileşimli Oturumlar

Son kullanıcıların işletim sistemlerinde oturumlarını açık olarak unutmasını engellemek için alınabilecek önlemlerden birisi oturumların süresini sınırlamaktır. Bunun yanında oturumların kilitlendikten sonra veya güç modu devreye girdikten sonra kimlik bilgisinin alınması da önemli bir husustur.

 

Kontrol: Fiziksel olarak erişimin sağlanabildiği sistemlerde (sanallaştırma sistemleri dahil) oturumun açık unutulması ve etkileşimli oturum süresünün uzun süre olması durumunda saldırgan (veya sanallaştırma sistemini yöneten kullanıcı) oturumu açan kullanıcı haklarına sahip olabilir.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • Etkileşimli oturumların süresini kısıtlamak için gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
    • Computer Configuration –> Windows Settings –> Security Settings –> Local Policies –> Security Options
      • Interactive logon –> Machine inactivity limit: 900 saniye
  • Gerekli ayarlar Kayıt Defteri ile aşağıda belirtildiği gibi gerçekleştirilebilir:
    • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System
      • InactivityTimeoutSecs (REG_DWORD): 0x00000384 (900)

 

Kontrol: Uzak masaüstü bağlantısı üzerinden açılan oturumun açık unutulması saldırı yüzeyini arttırmaktadır.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • Uzak masaüstü bağlantısı üzerinden açılan oturumların süresini kısıtlamak için gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
    • Computer Configuration –> Policies –> Administrative Templates –> Windows Components –> Remote Desktop Services –> Remote Desktop Session Host –> Session Time Limits
      • Set time limit for disconnected sessions: Enabled –> 1 dakika
  • Gerekli ayarlar Kayıt Defteri ile aşağıda belirtildiği gibi gerçekleştirilebilir:
    • HKEY_LOCAL_MACHINE \ Software \ Policies \ Microsoft \ Windows NT \ Terminal Services
      • MaxDisconnectionTime (REG_DWORD) –> 0x0000ea60 (60000)

 

Kontrol: Uyku modundan sonra açılan oturumlarda parola korumasının sağlanmaması saldırı yüzeyini arttırmaktadır.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • Uyku modundan sonra açılan oturumlarda parola korumasının sağlanmaması için gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
    • Computer Configuration –> Administrative Templates –> System –> Power Management –> Sleep Settings
      • Require a password when a computer wakes (plugged in): Enabled
      • Require a password when a computer wakes (on battery): Enabled
  • Gerekli ayarlar Kayıt Defteri ile aşağıda belirtildiği gibi gerçekleştirilebilir:
    • HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Power \ PowerSettings \ 0e796bdb-100d-47d6-a2d5-f7d2daa51f51
      • ACSettingIndex (REG_DWORD) –> 1
      • DCSettingIndex (REG_DWORD) –> 1

 

4) Denetleme Politikaları

İşletim sistemi üzerinde gerçekleştirilen işlemlere ait olay kayıtlarının tutulması güvenlik olaylarının tespiti ve bu olayların analizi açısından önemlidir.

Denetleme politikalarındaki seçenekler aşağıdaki gibi sıralanabilir.

  • Audit account logon events: Account logon olaylarını denetlemek için
  • Audit account managment: Hesap yönetimini denetlemek için
  • Audit directory services access: Dizin servisi erişimini denetlemek için
  • Audit logon events: Logon olaylarını denetlemek için
  • Audit object access: Nesne erişimini denetlemek için
  • Audit policy change: Policy değişikliklerini denetlemek için
  • Audit privilege use: Ayrıcalık kullanımını denetlemek için
  • Audit process tracking: İşlem izlemeyi denetlemek için
  • Audit system events:Sistem olayalarını denetlemek için denetlemek için

Not: Etki alanı kullanıcıları tarafından yapılan işlemler haricinde, yerel hesaplar ile yapılan işlemlerin de kaydının alınması saldırı tespiti için gereklidir.

Not: İşletim sistemi loglarının hangi seviyede alınacağı konusunda IR ekipleri ile beraber çalışılmalıdır.

Sistem bütünlüğünün denetlenmesi de önemli bir unsurdur. Sistem bütünlüğünün denetlenmesi aşağıdaki gibi olayların denetlenmesine olanak tanır:

  • Denetim sistemindeki bir sorundan dolayı olay günlüğüne yazılamayan olaylar
  • İstemci adresi alanına/alanından yanıtlama, okuma veya yazma yoluyla bir istemcinin özelliklerini alma girişimi sırasında geçerli olmayan bir yerel yordam çağrısı (LPC) bağlantı noktası kullanan işlem
  • Sistem bütünlüğüne zarar veren bir Uzak Yordam Çağrısı (RPC) algılanması
  • Kod Bütünlüğü tarafından belirlendiği şekliyle geçerli olmayan bir yürütülebilir dosya karma değerinin algılanması
  • Sistem bütünlüğüne zarar veren şifreleme işlemleri

 

Kontrol: Denetleme politikaları etkinleştirilmelidir.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • Denetleme politikalarının etkinleştirilmesi için gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
    • Computer Configuration –> Policies –> Windows Settings –> Security Settings –> Local Policies –> Audit Policies
      • * –> Success & Failure
    • Computer Configuration -> Administrative Templates -> System -> Audit Process Creation
      • Include command line in process creation events –> Enabled
  • Gerekli ayarlar Kayıt Defteri ile aşağıda belirtildiği gibi gerçekleştirilebilir:
    • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ Audit
      • ProcessCreationIncludeCmdLine_Enabled (REG_DWORD) –> 1
  • Gerekli ayarlar komut satırı ile aşağıda belirtildiği gibi gerçekleştirilebilir:

Auditpol /set /subcategory:”Security Group Management” /success:enable /failure:enable
Auditpol /set /subcategory:”Process Creation” /success:enable /failure:enable
Auditpol /set /subcategory:”Logoff” /success:enable /failure:disable
Auditpol /set /subcategory:”Logon” /success:enable /failure:enable
Auditpol /set /subcategory:”Filtering Platform Connection” /success:enable /failure:disable
Auditpol /set /subcategory:”Removable Storage” /success:enable /failure:enable
Auditpol /set /subcategory:”SAM” /success:disable /failure:disable
Auditpol /set /subcategory:”Filtering Platform Policy Change” /success:disable /failure:disable
Auditpol /set /subcategory:”IPsec Driver” /success:enable /failure:enable
Auditpol /set /subcategory:”Security State Change” /success:enable /failure:enable
Auditpol /set /subcategory:”Security System Extension” /success:enable /failure:enable
Auditpol /set /subcategory:”System Integrity” /success:enable /failure:enable

 

Kontrol: Windows olay kayıtlarının boyutu uygun şekilde ayarlanmalıdır.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

Windows olay kayıtlarının boyutları için gerekli ayarlar komut satırı ile aşağıda belirtildiği gibi gerçekleştirilebilir:

wevtutil sl Security /ms:1024000 /f
wevtutil sl Application /ms:1024000 /f
wevtutil sl System /ms:1024000 /f
wevtutil sl “Windows Powershell” /ms:1024000 /f
wevtutil sl “Microsoft-Windows-PowerShell/Operational” /ms:1024000 /f

 

Kontrol: Sistem bütünlüğü denetleme politikaları etkinleştirilmelidir.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • Sistem bütünlüğü denetleme politikalarının etkinleştirilmesi için gerekli ayarlar Grup İlkesi Nesnesi ile aşağıda belirtildiği gibi gerçekleştirilebilir:
    • Computer Configuration –> Windows Settings –> Security Settings –> Advanced Audit Policy Configuration –> System Audit Policies –> System
      • Audit System Integrity: Success & Failure

 

5) Geçici Dizinlerin Yetkilendirmesi

Birçok zararlı yazılım geçici dizinlere dosya kaydederek çalıştırabilmektedir. Standart bir kullanıcısının bu dizinlere veri kopyalama ve çalıştırabilme yetkisi olması saldırı yüzeyini arttırmaktadır.

Geçici dizinler aşağıdaki gibi sıralanabilir:

  • %Temp% (C:\Users\[Kullanici Adi]\AppData\Local\Temp)
  • %USERPROFILE%\Local Settings\Temp (Windows XP)
  • C:\Windows\Temp

 

Kontrol: Geçici dizinlere erişimler sınırlandırılmalıdır.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • Geçici dizinlere yazılamamalı ve bu dizindeki dosyalar çalıştırılamamalıdır.
  • Geçici dizinlerde işlem yapılması gerekiyorsa, beyaz liste kuralı ile istisnalar oluşturulmalıdır.

 

6) İşletim Sistemi Sürümü

İşletim sistemlerinin yamalarının gerçekleştirilmesi, ek sıkılaştırma önlemlerinin alınmasının yanında en güncel sürümlerinin kullanılması gelişmiş güvenlik önlemlerini kullanılmasını sağlamaktadır.

Örneğin, mevcut işletim sisteminde yeterli yetkiye sahip olunması durumunda bellek üzerinde kayıtlı olan parolalar elde edilebilmektedir. Bu parolaların elde edilebilmesi sonucunda parola özetini kabul etmeyen oturumlar (web sayfası ile erişim sağlanan oturumlar gibi) açılabilir.

 

Kontrol: İşletim sistemi sürümü güncel olmalıdır.

Önlem: Belirtilen kontrol maddesi için, gerçekleştirilebilecek önlemler aşağıdaki gibi sıralanabilir.

  • Windows 10, Windows Server 2016/2019 gibi güncel işletim sistemi sürümleri kullanılmalıdır.

 

 

1 YORUM

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

This site uses Akismet to reduce spam. Learn how your comment data is processed.