Group Policy

En Önemli 10 Grup İlkesi Ayarı İle Güvenlik İhlallerinin Önlenmesi

Güvenlik İhlallerini Önlemek İçin En Önemli 10 Grup İlkesi Ayarı

Güvenlik İhlallerini Önlemek İçin En Önemli 10 Grup İlkesi Ayarı

Uygun şekilde yapılandırılırsa, veri ihlallerini önlemeye yardımcı olabilecek bazı basit Grup İlkesi ayarları vardır. Grup İlkesi (bilgisayar kayıt defterindeki bir grup ayar) aracılığıyla bilgisayarların güvenliğini ve çalışma davranışını yapılandırarak kuruluş ağınızı daha güvenli hale getirebilirsiniz. Grup İlkesi aracılığıyla, kullanıcıların belirli kaynaklara erişmesini engelleyebilir, komut dosyaları çalıştırabilir ve ağdaki her kullanıcı için tarayıcı açılışlarında belirli bir ana sayfayı açmaya zorlamak gibi basit görevleri gerçekleştirebilirsiniz. En Önemli 10 Grup İlkesi Ayarı İle Güvenlik İhlallerinin Önlenmesi” makalesinde, göz ardı edilemeyecek bazı önemli Grup İlkesi ayarları hakkında bilgi edineceksiniz. Grup İlkesi hakkında daha fazla bilgi için “Grup İlkesi Nedir?” isimli makalemiz ilginizi çekebilir.

En Önemli 10 Grup İlkesi Ayarı İle Güvenlik İhlallerinin Önlenmesi

1. Kontrol Paneli Erişimlerinin Kısıtlanması

Bilgisayarların kontrol paneli için sınırlar koymak daha güvenli bir iş ortamı yaratır. Kontrol Panel (Denetim Masası) ile bilgisayarınızın tüm yönlerini kontrol edebilirsiniz. Böylece, kimin bilgisayara erişimi olduğunu denetleyerek bilgisayar üzerindeki veri ve diğer kaynakları güvende tutabilirsiniz. Denetim Masası erişimini kısıtlamak için aşağıdaki adımları uygulayın:

  1. Group Policy Management Console üzerinden sırasıyla, “User Configuration”, “Policies”, “Administrative Templates” altındaki “Control Panel” açılır,
  2. Sağdaki bölmeden, özelliklerini açmak için “Prohibit access to Control Panel and PC settings” grup ilkesi açılır,
  3. Üç seçenekten “Enabled” seçilir,
  4. “Apply” ve “OK” butonları ile grup ilkesi uygulanır.
Prohibit access to Control Panel and PC settings - En Önemli 10 Grup İlkesi Ayarı İle Güvenlik İhlallerinin Önlenmesi
Prohibit access to Control Panel and PC settings – Denetim Masasına Girişi Engellemek

2. LAN Manager Hash (LM Hash)

Windows kullanıcı hesabı parolalarını “hash” olarak oluşturur ve saklar. Windows hem LAN Manager Hash (LM Hash) hem de Windows NT Hash (NT Hash) parolaları üretir. Bunları lokal yani yerel Security Accounts Manager (SAM) veritabanında veya Active Directory’de depolar.

LM Hash algoritması zayıftır ve bilgisayar korsanları için hedeftir. Bu nedenle, Windows’un LM Hash ile parolaları depolamasını engellemelisiniz. Bunu yapmak için aşağıdaki adımları uygulayabilirsiniz:

  1. Group Policy Management Console üzerinden sırasıyla, “Computer Configuration”, “Policies”, “Windows Settings”, “Security Settings”, “Local Policies” altından “Security Options” açılır,
  2. Sağdaki bölmeden, özelliklerini açmak için “Network security: Do not store LAN Manager hash value on next password change” grup ilkesi açılır,
  3. “Define this policy setting” seçeneği seçilir ve “Enabled” işaretlenir,
  4. Ardından “Apply” ve “OK” seçenekleri ile Grup İlkesi etkinleştirilir.
Network security: Do not store LAN Manager hash value on next password change - En Önemli 10 Grup İlkesi Ayarı İle Güvenlik İhlallerinin Önlenmesi
Network security: Do not store LAN Manager hash value on next password change – LM Hash Tutmayı Engellemek

3. Komut Satırı Erişimlerinin Sınırlanması

Komut İstemleri (Command Prompts), kullanıcılara üst düzey erişim sağlayabilir ve sistemdeki diğer kısıtlamalardan kaçan komutları çalıştırmak için kullanılabilir. Bu nedenle, sistem kaynaklarının güvenliğini sağlamak için komut istemi’ni devre dışı bırakmak akıllıca olacaktır.

Komut İstemi (Command Prompts) devre dışı bırakıldıktan sonra, birisi bir komut penceresi açmaya çalıştığında, sistem bazı ayarların bu işlemi engellediğini belirten bir mesaj görüntüler. Komut istemi engellemek için aşağıdaki adımları uygulayın:

  1. Group Policy Management Console üzerinden sırasıyla, “User Configuration”, “Policies”, “Administrative Templates” altından “System” açılır,
  2. Sağdaki bölmeden, özelliklerini açmak için “Prevent access to the command prompt” grup ilkesi açılır,
  3. “Enabled” seçeneği seçilir,
  4. Ardından “Apply” ve “OK” seçenekleri ile Grup İlkesi etkinleştirilir.
Prevent access to the command prompt - En Önemli 10 Grup İlkesi Ayarı İle Güvenlik İhlallerinin Önlenmesi
Prevent access to the command prompt – Komut İstemi Engellemek

4. Sistemin Yeniden Başlatılmak İçin Zorlanmasını Devre Dışı Bırakmak

Zorunlu sistem yeniden başlatma iletisi ile bir çok kez karşılaşabilirsiniz.  Örneğin, bilgisayarınızda önemli bir çalışma yaptığınız anda Windows, güvenlik güncelleştirmeleri nedeniyle sisteminizin yeniden başlatılması gerektiğini bildiren bir ileti görüntüler.

Çoğu zaman iletiyi fark edemezseniz veya yanıt vermek için biraz geç kalırsanız. Bilgisayar otomatik olarak yeniden başlatılır ve önemli, kaydedilmemiş çalışmalarınızı kaybedersiniz. Grup İlkesi – GPO aracılığıyla zorunlu yeniden başlatmayı devre dışı bırakmak için aşağıdaki adımları uygulayın:

  1. Group Policy Management Console üzerinden sırasıyla, “Computer Configuration”, “Policies”, “Administrative Templates”, “Windows Component” altından “Windows Update” açılır,
  2. Sağdaki bölmeden, özelliklerini açmak için “No auto-restart with logged on users for scheduled automatic updates installations” grup ilkesi açılır,
  3. “Enabled” seçeneği seçilir,
  4. Ardından “Apply” ve “OK” seçenekleri ile Grup İlkesi etkinleştirilir.
No auto-restart with logged on users for scheduled automatic updates installations
No auto-restart with logged on users for scheduled automatic updates installations – Otomatik System Restart Engellemek

5. Çıkarılabilir Disk (USB Disk, Flash Disk vb.), DVD, CD ve Floppy Sürücülerinin Devre Dışı Bırakılması

Çıkarılabilir ortam sürücülerinden zararlı yazılım bulaşma olasılığı çok yüksektir. Kullanıcı virüslü bir sürücüyü bir ağ bilgisayarına takarsa, tüm ağı etkileyebilir. Benzer şekilde, DVD’ler, CD’ler ve Disket sürücülerden de zararlı yazılım bulaşması muhtemeldir.

Bu nedenle, tüm bu sürücüleri tamamen devre dışı bırakmak en iyisidir. Bunu yapmak için aşağıdaki adımları uygulayın:

  1. Group Policy Management Console üzerinden sırasıyla, “User Configuration”, “Policies”, “Administrative Templates”, “System” altından “Removable Storage Access” açılır,
  2. Sağdaki bölmeden, özelliklerini açmak için “All removable storage classes: Deny all accesses” grup ilkesi açılır,
  3. “Enabled” seçeneği seçilir,
  4. Ardından “Apply” ve “OK” seçenekleri ile Grup İlkesi etkinleştirilir.
All removable storage classes: Deny all accesses - USB Disk ve Flash Disk Yasaklama
All removable storage classes: Deny all accesses – USB Disk ve Flash Disk Yasaklamak

6. Yazılım Yükleme Engellenme

Kullanıcılara yazılım yükleme özgürlüğü tanıdığınızda, sisteminizin güvenliğini aşan istenmeyen uygulamalar yükleyebilirler. Sistem yöneticilerinin genellikle bu tür sistemlerin bakım ve temizliğini rutin olarak yapması gerekecektir. Güvenli tarafta kalabilmek için, grup ilkesi aracılığıyla yazılım yüklemelerini engellemeniz önerilir:

  1. Group Policy Management Console üzerinden sırasıyla, “Computer Configuration”, “Policies”, “Administrative Templates”, “Windows Component” altından “Windows Installer” açılır,
  2. Sağdaki bölmeden, özelliklerini açmak için “Prohibit User Install” grup ilkesi açılır,
  3. “Enabled” seçeneği seçilir,
  4. Ardından “Apply” ve “OK” seçenekleri ile Grup İlkesi etkinleştirilir.
Prohibit User Install - Yazılım Yüklemeyi Engellenmek
Prohibit User Install – Yazılım Yüklemeyi Engellenmek

7. Guest Hesabını Devre Dışı Bırakmak

Bir Guest yani Misafir hesabı aracılığıyla kullanıcılar hassas verilere erişebilir. Bu tür hesaplar bir Windows bilgisayarına erişim izni verir ve şifre gerektirmez. Bu hesabın etkinleştirilmesi, herkesin sistemlerinize erişimi kötüye kullanabileceği ve kötüye kullanabileceği anlamına gelir.

Neyse ki, bu hesaplar varsayılan olarak devre dışıdır. Domain içinde bu hesap etkinleştirildiyse, devre dışı bırakmak kişilerin erişimi kötüye kullanmasını engelleyeceği için, ortamınızda durumun böyle olup olmadığını kontrol etmek en iyisidir:

  1. Group Policy Management Console üzerinden sırasıyla, “Computer Configuration”, “Policies”, “Windows Settings”, “Security Settings”, “Local Policies” altından “Security Options” açılır,
  2. Sağdaki bölmeden, özelliklerini açmak için “Accounts: Guest Account Status” grup ilkesi açılır,
  3. “Define this policy setting” seçeneği seçilir ve “Disabled” işaretlenir,
  4. Ardından “Apply” ve “OK” seçenekleri ile Grup İlkesi etkinleştirilir.
Accounts: Guest Account Status - Guest (Misafir) Hesabını Devre Dışı Bırakmak
Accounts: Guest Account Status – Guest (Misafir) Hesabını Devre Dışı Bırakmak
Group Policy ile Administrator hesabının adını değiştirmek yada Administrator hesabını group policy ile devre dışı bırakmak

Yukarıdaki ayarlar ile aynı bölümde bulunan “Accounts: Rename administrator account” grup ilkesi ile Administrator hesabının adı değiştirilebilir yada yine aynı alanda bulunan “Accounts: Administrator account status” ile Administrator hesabı devre dışı bırakılabilir.

8. Minimum Şifre Uzunluğu (En Önemli 10 Grup İlkesi Ayarı)

Minimum şifre uzunluğunu daha yüksek limitlere ayarlayın. Örneğin, yönetici haklarına sahip hesaplar için şifreler en az 15 karaktere, normal hesaplar için en az 12 karaktere ayarlanmalıdır. Minimum şifre uzunluğu için daha düşük bir değer ayarlamak gereksiz risk oluşturur. Varsayılan ayar “sıfır” karakteridir, bu nedenle bir sayı belirtmeniz gerekir:

  1. Group Policy Management Console üzerinden sırasıyla, “Computer Configuration”, “Policies”, “Windows Settings”, “Security Settings”, “Account Policies” altından “Password Policy” açılır,
  2. Sağdaki bölmeden, özelliklerini açmak için “Minimum password length” grup ilkesi açılır,
  3. “Define this policy setting” seçeneği seçilir ve şifre uzunluğu için minimum değer yazılır,
  4. Ardından “Apply” ve “OK” seçenekleri ile Grup İlkesi etkinleştirilir.
Minimum password length - Minimum Şifre Uzunluğu
Minimum password length – Minimum Şifre Uzunluğu

9. Maksimum Şifre Yaşını Alt Sınırlara Çekmek

Parola geçerlilik süresini uzun bir süreye ayarlarsanız, kullanıcılar bu parolayı çok sık değiştirmek zorunda kalmazlar. Bu da bir parolanın çalınmasının daha olası olduğu anlamına gelir. Her zaman daha kısa parola geçerlilik süresi tercih edilir.

Windows varsayılan maksimum şifre yaşı 42 gün olarak ayarlanmıştır. Aşağıdaki ekran görüntüsü, “Maximum Password Age” yapılandırmak için kullanılan grup ilkesi ayarını göstermektedir. Ayarlara ulaşmak için aşağıdaki adımlar uygulanır:

  1. Group Policy Management Console üzerinden sırasıyla, “Computer Configuration”, “Policies”, “Windows Settings”, “Security Settings”, “Account Policies” altından “Password Policy” açılır,
  2. Sağdaki bölmeden, özelliklerini açmak için “Maximum password age” grup ilkesi açılır,
  3. “Define this policy setting” seçeneği seçilir ve maksimum  parola geçerlilik süresi için değer yazılır,
  4. Ardından “Apply” ve “OK” seçenekleri ile Grup İlkesi etkinleştirilir.
Maximum password age - Parola geçerlilik süresi
Maximum password age – Parola geçerlilik süresi

10. Anonymous SID Numaralandırmasını Devre Dışı Bırakmak

Active Directory, kullanıcılar, gruplar vs. tüm güvenlik nesnelerine Security Identifiers (SID) denilen benzersiz bir kimlik atar. Eski Windows sürümlerinde, kullanıcıları ve grupları tanımlayabilmek için SID’ler sorgulanabilir. Bu durum, verilere yetkisiz erişim elde etmek için bilgisayar korsanları tarafından da suistimal edilebilir. Varsayılan olarak, bu ayar devre dışıdır, bu şekilde kaldığından aşağıdaki adımları uygulayarak emin olun:

  1. Group Policy Management Console üzerinden sırasıyla, “Computer Configuration”, “Policies”, “Windows Settings”, “Security Settings”, “Local Policies” altından “Security Options” açılır,
  2. Sağdaki bölmeden, özelliklerini açmak için ““Network Access: Do not allow anonymous enumeration of SAM accounts and shares” grup ilkesi açılır,
  3. “Enabled” seçeneği seçilir,
  4. Ardından “Apply” ve “OK” seçenekleri ile Grup İlkesi etkinleştirilir.

Güvenlik İhlallerini Önlemek İçin En Önemli 10 Grup İlkesi Ayarı

En önemli 10 grup ilkesi ayarı doğru yapılırsa, kuruluşunuzun güvenliği otomatik olarak daha iyi durumda olacaktır. Lütfen oluşturduğunuz Grup İlkesi nesnelerinin herkese uygulandığından ve Grup İlkelerini ortamınızdaki tüm domain controller sunucularına gidecek şekilde güncellediğinizden emin olun.


En Önemli 10 Grup İlkesi Ayarı İle Güvenlik İhlallerinin Önlenmesi

En Önemli 10 Grup İlkesi Ayarı İle Güvenlik İhlallerinin Önlenmesi” makalesini okuduğunuz için teşekkür ederiz. Soru ve görüşlerinizi aşağıdaki formu kullanarak bize iletebilirsiniz.

Etiketler
Daha Fazla Göster

Ahmet Elibol

Üniversite eğitimini Kimya ve İşletme bölümlerinde tamamlayan Ahmet Elibol, yüksek lisans eğitimini de İşletme (Master of Business Administration - MBA) üzerinde tamamlamıştır. 1999 yılından bu yana bilişim sektöründe bulunmaktadır ve şu anda Rönesans Holding şirketinde CIO (Chief Information Officer) pozisyonunda görev yapmaktadır.  Ahmet Elibol, profesyonel kariyerine aldığı pascal ve delphi ile yazılım mühendisliği eğitimiyle başlamıştır. 2004 yılından sonra ilgi ve uzmanlık alanlarını Microsoft Sunucu Sistemleri, Sistem Programlama ve Bilgi Güvenliği konularında güncellemiştir. Yazar 4 yıl kadar bir akademide Sistem Mühendisliği eğitimleri vermiştir. Yazar hobi amaçlı programlama, yapay zeka, makine öğrenmesi, yapay sinir ağları, görüntü işleme ve nesnelerin interneti konularında çalışmaktadır. İngilizce, Rusça dillerini bilen Ahmet Elibol MCT, MCITP, MCTS, MCSE, MCSA vb. uzmanlık sertifikalarına sahiptir ve Bilgisayar Mühendisliği yüksek lisansına devam etmektedir.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu
Kapalı
Kapalı