Windows İşletim Sisteminde Windows Kaynak Koruma (Windows Resource Protection) Özelliği

0
290
views
Siber Güvenlik ve Bilgi Güvenliği Portali
Bilgi güvenliği ve siber güvenlik, sızma testleri, güvenli sistem kurulumu ve yönetimi ile ilgili makalelerin yayınlandığı siber güvenlik portali...
İşletim sistemi üzerindeki kritik sistem dosyaları ve kayıt değerlerinin zarar görmesi işletim sisteminin beklendiği gibi davranmamasına sebep olur. İşletim sistemi bazı işlevlerini yerine getirmeyebilir veya sistem kilitlenebilir. Bu yazıda Windows işletim sisteminde Windows Kaynak Koruma (Windows Resource Protection) özelliği incelenecektir.

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

Windows işletim sisteminde sistem için kritik olan dosyalara erişimler işletim sistemi tarafından sınırlı tutulmuştur. Kritik dosyalar (“C:\Windows\System32\dllhost.exe” gibi) üzerinde değişiklik yapma hakkı TrustedInstaller adlı yüksek yetkili bir servise aittir. TrustedInstaller servisi, kritik dosyalar üzerinde bazı durumlarda güncelleme yetkisine sahiptir. Bu durumlar şunlardır:

  • Servis paketi (Service Pack) yükleme
  • Hotfix yükleme
  • İşletim sistemi yükleme
  • Windows güncellemelerini yükleme

Windows Kaynak Koruma (Windows Resource Protection) ile bu dosyaların mevcut özetleri ile en son çalışan sürümlerine ait özetleri karşılaştıran bir servistir. Eğer değişikliğe uğramış bir kritik dosya varsa, WRP servisi, bu dosyaları bilinen en son sağlam sürümlerine geri döndürür. Böylece sistem dosyalarının bütünlüğü korunmuş olur.

Kritik dosyaların en son sürümlerine ait özetleri “%SystemRoot%\System32\CatRoot” dizininde tutulmaktadır. Bu dizindeki özet değerleri SHA-1 ile elde edilmiş olup, Microsoft tarafından sayısal olarak imzalanmıştır.

“%SystemRoot%\winsxs\Backup” dizini içerisinde değişikliğe uğramış olan dosyaların yedekleri bulunmaktadır ve WRP ile değişikliğe uğramış dosyalar bu dizindeki halleri ile değiştirilir. Değişiklik sonrasında Olay Kayıtları’na güvenlik kaydı düşer. Olay ile ilgili özet kayıt “%SystemRoot%\Logs\CBS\CBS.log” içerisinde bulunmaktadır.

Kritik dosyaların üzerindeki değişiklik bilgilerini elde etmek için kullanılabilecek bazı araçlar şunlardır:

  • System File Checker (SFC.exe)
  • File Signature Verification Tool (SIGVERIF.exe)
  • Signature Check Tool (SIGCHECK.exe)

Periyodik olarak bu araçlar kullanılarak kritik sistem dosyaları bütünlük kontrolünden geçirilmelidir. Ayrıca Olay Kayıtları 64001 ve 64002 ID’li kayıtları takip edecek betikler oluşturulmalı veya HIDS gibi araçlar ile bu kayıtlar izlenmelidir.

 

Kaynak:

http://msdn.microsoft.com/en-us/library/windows/desktop/cc185681(v=vs.85).aspx

 

 

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.