En Önemli 10 Grup İlkesi Ayarı İle Güvenlik İhlallerinin Önlenmesi
Güvenlik İhlallerini Önlemek İçin En Önemli 10 Grup İlkesi Ayarı
Güvenlik İhlallerini Önlemek İçin En Önemli 10 Grup İlkesi Ayarı
Uygun şekilde yapılandırılırsa, veri ihlallerini önlemeye yardımcı olabilecek bazı basit Grup İlkesi ayarları vardır. Grup İlkesi (bilgisayar kayıt defterindeki bir grup ayar) aracılığıyla bilgisayarların güvenliğini ve çalışma davranışını yapılandırarak kuruluş ağınızı daha güvenli hale getirebilirsiniz. Grup İlkesi aracılığıyla, kullanıcıların belirli kaynaklara erişmesini engelleyebilir, komut dosyaları çalıştırabilir ve ağdaki her kullanıcı için tarayıcı açılışlarında belirli bir ana sayfayı açmaya zorlamak gibi basit görevleri gerçekleştirebilirsiniz. “En Önemli 10 Grup İlkesi Ayarı İle Güvenlik İhlallerinin Önlenmesi” makalesinde, göz ardı edilemeyecek bazı önemli Grup İlkesi ayarları hakkında bilgi edineceksiniz. Grup İlkesi hakkında daha fazla bilgi için “Grup İlkesi Nedir?” isimli makalemiz ilginizi çekebilir.
En Önemli 10 Grup İlkesi Ayarı İle Güvenlik İhlallerinin Önlenmesi
1. Kontrol Paneli Erişimlerinin Kısıtlanması
Bilgisayarların kontrol paneli için sınırlar koymak daha güvenli bir iş ortamı yaratır. Kontrol Panel (Denetim Masası) ile bilgisayarınızın tüm yönlerini kontrol edebilirsiniz. Böylece, kimin bilgisayara erişimi olduğunu denetleyerek bilgisayar üzerindeki veri ve diğer kaynakları güvende tutabilirsiniz. Denetim Masası erişimini kısıtlamak için aşağıdaki adımları uygulayın:
- Group Policy Management Console üzerinden sırasıyla, “User Configuration”, “Policies”, “Administrative Templates” altındaki “Control Panel” açılır,
- Sağdaki bölmeden, özelliklerini açmak için “Prohibit access to Control Panel and PC settings” grup ilkesi açılır,
- Üç seçenekten “Enabled” seçilir,
- “Apply” ve “OK” butonları ile grup ilkesi uygulanır.
2. LAN Manager Hash (LM Hash)
Windows kullanıcı hesabı parolalarını “hash” olarak oluşturur ve saklar. Windows hem LAN Manager Hash (LM Hash) hem de Windows NT Hash (NT Hash) parolaları üretir. Bunları lokal yani yerel Security Accounts Manager (SAM) veritabanında veya Active Directory’de depolar.
LM Hash algoritması zayıftır ve bilgisayar korsanları için hedeftir. Bu nedenle, Windows’un LM Hash ile parolaları depolamasını engellemelisiniz. Bunu yapmak için aşağıdaki adımları uygulayabilirsiniz:
- Group Policy Management Console üzerinden sırasıyla, “Computer Configuration”, “Policies”, “Windows Settings”, “Security Settings”, “Local Policies” altından “Security Options” açılır,
- Sağdaki bölmeden, özelliklerini açmak için “Network security: Do not store LAN Manager hash value on next password change” grup ilkesi açılır,
- “Define this policy setting” seçeneği seçilir ve “Enabled” işaretlenir,
- Ardından “Apply” ve “OK” seçenekleri ile Grup İlkesi etkinleştirilir.
3. Komut Satırı Erişimlerinin Sınırlanması
Komut İstemleri (Command Prompts), kullanıcılara üst düzey erişim sağlayabilir ve sistemdeki diğer kısıtlamalardan kaçan komutları çalıştırmak için kullanılabilir. Bu nedenle, sistem kaynaklarının güvenliğini sağlamak için komut istemi’ni devre dışı bırakmak akıllıca olacaktır.
Komut İstemi (Command Prompts) devre dışı bırakıldıktan sonra, birisi bir komut penceresi açmaya çalıştığında, sistem bazı ayarların bu işlemi engellediğini belirten bir mesaj görüntüler. Komut istemi engellemek için aşağıdaki adımları uygulayın:
- Group Policy Management Console üzerinden sırasıyla, “User Configuration”, “Policies”, “Administrative Templates” altından “System” açılır,
- Sağdaki bölmeden, özelliklerini açmak için “Prevent access to the command prompt” grup ilkesi açılır,
- “Enabled” seçeneği seçilir,
- Ardından “Apply” ve “OK” seçenekleri ile Grup İlkesi etkinleştirilir.
4. Sistemin Yeniden Başlatılmak İçin Zorlanmasını Devre Dışı Bırakmak
Zorunlu sistem yeniden başlatma iletisi ile bir çok kez karşılaşabilirsiniz. Örneğin, bilgisayarınızda önemli bir çalışma yaptığınız anda Windows, güvenlik güncelleştirmeleri nedeniyle sisteminizin yeniden başlatılması gerektiğini bildiren bir ileti görüntüler.
Çoğu zaman iletiyi fark edemezseniz veya yanıt vermek için biraz geç kalırsanız. Bilgisayar otomatik olarak yeniden başlatılır ve önemli, kaydedilmemiş çalışmalarınızı kaybedersiniz. Grup İlkesi – GPO aracılığıyla zorunlu yeniden başlatmayı devre dışı bırakmak için aşağıdaki adımları uygulayın:
- Group Policy Management Console üzerinden sırasıyla, “Computer Configuration”, “Policies”, “Administrative Templates”, “Windows Component” altından “Windows Update” açılır,
- Sağdaki bölmeden, özelliklerini açmak için “No auto-restart with logged on users for scheduled automatic updates installations” grup ilkesi açılır,
- “Enabled” seçeneği seçilir,
- Ardından “Apply” ve “OK” seçenekleri ile Grup İlkesi etkinleştirilir.
5. Çıkarılabilir Disk (USB Disk, Flash Disk vb.), DVD, CD ve Floppy Sürücülerinin Devre Dışı Bırakılması
Çıkarılabilir ortam sürücülerinden zararlı yazılım bulaşma olasılığı çok yüksektir. Kullanıcı virüslü bir sürücüyü bir ağ bilgisayarına takarsa, tüm ağı etkileyebilir. Benzer şekilde, DVD’ler, CD’ler ve Disket sürücülerden de zararlı yazılım bulaşması muhtemeldir.
Bu nedenle, tüm bu sürücüleri tamamen devre dışı bırakmak en iyisidir. Bunu yapmak için aşağıdaki adımları uygulayın:
- Group Policy Management Console üzerinden sırasıyla, “User Configuration”, “Policies”, “Administrative Templates”, “System” altından “Removable Storage Access” açılır,
- Sağdaki bölmeden, özelliklerini açmak için “All removable storage classes: Deny all accesses” grup ilkesi açılır,
- “Enabled” seçeneği seçilir,
- Ardından “Apply” ve “OK” seçenekleri ile Grup İlkesi etkinleştirilir.
6. Yazılım Yükleme Engellenme
Kullanıcılara yazılım yükleme özgürlüğü tanıdığınızda, sisteminizin güvenliğini aşan istenmeyen uygulamalar yükleyebilirler. Sistem yöneticilerinin genellikle bu tür sistemlerin bakım ve temizliğini rutin olarak yapması gerekecektir. Güvenli tarafta kalabilmek için, grup ilkesi aracılığıyla yazılım yüklemelerini engellemeniz önerilir:
- Group Policy Management Console üzerinden sırasıyla, “Computer Configuration”, “Policies”, “Administrative Templates”, “Windows Component” altından “Windows Installer” açılır,
- Sağdaki bölmeden, özelliklerini açmak için “Prohibit User Install” grup ilkesi açılır,
- “Enabled” seçeneği seçilir,
- Ardından “Apply” ve “OK” seçenekleri ile Grup İlkesi etkinleştirilir.
7. Guest Hesabını Devre Dışı Bırakmak
Bir Guest yani Misafir hesabı aracılığıyla kullanıcılar hassas verilere erişebilir. Bu tür hesaplar bir Windows bilgisayarına erişim izni verir ve şifre gerektirmez. Bu hesabın etkinleştirilmesi, herkesin sistemlerinize erişimi kötüye kullanabileceği ve kötüye kullanabileceği anlamına gelir.
Neyse ki, bu hesaplar varsayılan olarak devre dışıdır. Domain içinde bu hesap etkinleştirildiyse, devre dışı bırakmak kişilerin erişimi kötüye kullanmasını engelleyeceği için, ortamınızda durumun böyle olup olmadığını kontrol etmek en iyisidir:
- Group Policy Management Console üzerinden sırasıyla, “Computer Configuration”, “Policies”, “Windows Settings”, “Security Settings”, “Local Policies” altından “Security Options” açılır,
- Sağdaki bölmeden, özelliklerini açmak için “Accounts: Guest Account Status” grup ilkesi açılır,
- “Define this policy setting” seçeneği seçilir ve “Disabled” işaretlenir,
- Ardından “Apply” ve “OK” seçenekleri ile Grup İlkesi etkinleştirilir.
Group Policy ile Administrator hesabının adını değiştirmek yada Administrator hesabını group policy ile devre dışı bırakmak
Yukarıdaki ayarlar ile aynı bölümde bulunan “Accounts: Rename administrator account” grup ilkesi ile Administrator hesabının adı değiştirilebilir yada yine aynı alanda bulunan “Accounts: Administrator account status” ile Administrator hesabı devre dışı bırakılabilir.
8. Minimum Şifre Uzunluğu (En Önemli 10 Grup İlkesi Ayarı)
Minimum şifre uzunluğunu daha yüksek limitlere ayarlayın. Örneğin, yönetici haklarına sahip hesaplar için şifreler en az 15 karaktere, normal hesaplar için en az 12 karaktere ayarlanmalıdır. Minimum şifre uzunluğu için daha düşük bir değer ayarlamak gereksiz risk oluşturur. Varsayılan ayar “sıfır” karakteridir, bu nedenle bir sayı belirtmeniz gerekir:
- Group Policy Management Console üzerinden sırasıyla, “Computer Configuration”, “Policies”, “Windows Settings”, “Security Settings”, “Account Policies” altından “Password Policy” açılır,
- Sağdaki bölmeden, özelliklerini açmak için “Minimum password length” grup ilkesi açılır,
- “Define this policy setting” seçeneği seçilir ve şifre uzunluğu için minimum değer yazılır,
- Ardından “Apply” ve “OK” seçenekleri ile Grup İlkesi etkinleştirilir.
9. Maksimum Şifre Yaşını Alt Sınırlara Çekmek
Parola geçerlilik süresini uzun bir süreye ayarlarsanız, kullanıcılar bu parolayı çok sık değiştirmek zorunda kalmazlar. Bu da bir parolanın çalınmasının daha olası olduğu anlamına gelir. Her zaman daha kısa parola geçerlilik süresi tercih edilir.
Windows varsayılan maksimum şifre yaşı 42 gün olarak ayarlanmıştır. Aşağıdaki ekran görüntüsü, “Maximum Password Age” yapılandırmak için kullanılan grup ilkesi ayarını göstermektedir. Ayarlara ulaşmak için aşağıdaki adımlar uygulanır:
- Group Policy Management Console üzerinden sırasıyla, “Computer Configuration”, “Policies”, “Windows Settings”, “Security Settings”, “Account Policies” altından “Password Policy” açılır,
- Sağdaki bölmeden, özelliklerini açmak için “Maximum password age” grup ilkesi açılır,
- “Define this policy setting” seçeneği seçilir ve maksimum parola geçerlilik süresi için değer yazılır,
- Ardından “Apply” ve “OK” seçenekleri ile Grup İlkesi etkinleştirilir.
10. Anonymous SID Numaralandırmasını Devre Dışı Bırakmak
Active Directory, kullanıcılar, gruplar vs. tüm güvenlik nesnelerine Security Identifiers (SID) denilen benzersiz bir kimlik atar. Eski Windows sürümlerinde, kullanıcıları ve grupları tanımlayabilmek için SID’ler sorgulanabilir. Bu durum, verilere yetkisiz erişim elde etmek için bilgisayar korsanları tarafından da suistimal edilebilir. Varsayılan olarak, bu ayar devre dışıdır, bu şekilde kaldığından aşağıdaki adımları uygulayarak emin olun:
- Group Policy Management Console üzerinden sırasıyla, “Computer Configuration”, “Policies”, “Windows Settings”, “Security Settings”, “Local Policies” altından “Security Options” açılır,
- Sağdaki bölmeden, özelliklerini açmak için ““Network Access: Do not allow anonymous enumeration of SAM accounts and shares” grup ilkesi açılır,
- “Enabled” seçeneği seçilir,
- Ardından “Apply” ve “OK” seçenekleri ile Grup İlkesi etkinleştirilir.
Güvenlik İhlallerini Önlemek İçin En Önemli 10 Grup İlkesi Ayarı
En önemli 10 grup ilkesi ayarı doğru yapılırsa, kuruluşunuzun güvenliği otomatik olarak daha iyi durumda olacaktır. Lütfen oluşturduğunuz Grup İlkesi nesnelerinin herkese uygulandığından ve Grup İlkelerini ortamınızdaki tüm domain controller sunucularına gidecek şekilde güncellediğinizden emin olun.
En Önemli 10 Grup İlkesi Ayarı İle Güvenlik İhlallerinin Önlenmesi
“En Önemli 10 Grup İlkesi Ayarı İle Güvenlik İhlallerinin Önlenmesi” makalesini okuduğunuz için teşekkür ederiz. Soru ve görüşlerinizi aşağıdaki formu kullanarak bize iletebilirsiniz.