Group Policy

Grup İlkesi İçin En İyi Uygulamalar

Group Policy Best Practices, Group Policy tasarımı için en iyi uygulamalar, Group Policy ayarları için en iyi uygulamalar

Grup ilkesi tasarımı için en iyi uygulamalar

Grup İlkesi, Windows kayıt defterindeki güvenlik, denetim ve diğer işletimsel davranışları denetleyen bir dizi ayardır. Örneğin, Grup İlkesi, kullanıcıların sistemdeki belirli dosyalara veya ayarlara erişmesini engellemenizi, sistem başlatıldığında veya kapatıldığında belirli komut dosyalarını çalıştırmanızı veya belirli bir ana sayfayı ağdaki her kullanıcı için açmaya zorlamanızı sağlar. Sistemlerinizi korumanıza ve Grup İlkesi performansını optimize etmenize yardımcı olacak en iyi Active Directory Group Policy uygulamaları aşağıda verilmiştir. Bizim kurulumlarda kullandığımız işletim sistemi dili İngilizce olduğu için Grup İlkesi kelimesini genelde Group Policy olarak kullanacağız. Group Policy ayarlarının da daha rahat bulunabilmesi için isimleri İngilizce olarak tercih edilecektir.

Default Domain Policy ve Default Domain Controller Policy için değişiklik yapmayın

Default Domain Policy üzerinde değişiklikleri yalnızca hesap, hesap kilitleme, şifre ve Kerberos ayarları için kullanın. Diğer ayarlar için yeni GPO’lar oluşturun. Default Domain Policy, domain düzeyinde geçerlidir ve bu yüzden domain içindeki tüm kullanıcıları ve bilgisayarları etkiler.

Default Domain Controller Policy üzerinde değişiklikleri yalnızca User Rights Assignment Policy ve Audit Policy için kullanın. Diğer ayarları yine ayrı GPO’lara yerleştirin.

Bununla birlikte, yukarıda listelenen politikalar için bile, ayrı GPO’ların kullanılması daha iyidir.

Active Directory’de iyi tasarlanmış bir Organizational Unit (OU) yapısı oluşturma

İyi bir Organizational Unit yapısına sahip olmak Grup İlkesi uygulanmasını ve sorun gidermesini kolaylaştırır. Aynı Organizational Unit içinde farklı türden Active Directory nesneleri bulundurmayın. Bunun yerine, kullanıcıları ve bilgisayarları kendi OU’larına ayırın ve ardından her departman veya işletme işlevi için alt OU’lar oluşturun. Kullanıcıları ve bilgisayarları ayrı OU’lara koymak, bilgisayar ilkelerini tüm bilgisayarlara ve kullanıcı ilkelerini yalnızca kullanıcılara uygulamayı kolaylaştırır. GPO oluşturmak ve birçok OU’ya bağlamak işlemi, bir OU’ya bağlamak ve politikanın etkilememesi gereken bilgisayarlar veya kullanıcıları belirlemekle uğraşmaktan daha kolaydır. Ancak OU mimarinizi yalnızca Grup Politikalarını nasıl bağlayacağınıza bağlı olarak planlamayın.

Grup ilkesi politikaları için açıklayıcı adlar verin

GPO’nun sadece isme bakarak ne yaptığını hızlı bir şekilde tanımlayabilmek, Grup ilkesi yönetimini çok daha kolay hale getirecektir. GPO’ya “pc ayarları” gibi genel bir ad vermek sistem yöneticilerinin kafasını karıştırır.

Örneğin, aşağıdaki adlandırma kalıplarını kullanabilirsiniz:

  • Kullanıcı hesapları için politikalar: K_ <politikanın adı>
  • Bilgisayar hesapları için politikalar: B_ < politikanın adı>
  • Bilgisayar ve kullanıcı hesapları için politikalar: BK_ < politikanın adı>

Kullanım örnekleri:

  • K_UygulamaKisitlamaPolitikasi
  • K_UygulamaYuklemePolitikasi
  • B_MasaustuAyarlari
  • BK_DenetimAyarlari

Her GPO’yu bağlandığınız yerden ziyade amacına göre oluşturun. Örneğin, içinde sunucu güncelleştirme ayarları olan bir GPO’ya sahip olmak istiyorsanız, içine sadece sunucu güncelleştirme ayarlarını koyun ve bu şekilde etiketleyin.

Grup ilkesi objelerine yorumlar ekleyin

İyi adlar oluşturmaya ek olarak, her GPO’ya neden oluşturulduğunu, amacını ve içerdiği ayarları açıklayan yorumlar eklemelisiniz. Bu bilgiler yıllar sonra paha biçilemez olabilir.

Grup ilkesi objelerini domain düzeyinde ayarlama

Domain düzeyinde ayarlanan her Grup ilkesi nesnesi tüm kullanıcı ve bilgisayar nesnelerine uygulanır. Bu, bazı ayarların istemediğiniz nesnelere uygulanmasına neden olabilir. Bu nedenle, domain düzeyinde ayarlanması gereken tek GPO Default Domain Policy’dir. Diğer politikaları daha ayrıntılı bir şekilde uygulamak daha iyidir

Grup ilkesi objelerini Organizational Unit (OU) düzeyinde uygulama

GPO’ların OU düzeyinde uygulanması, alt OU’ların bu politikaları devralmasına izin verecektir; politikayı her bir alt kuruluş birimine bağlamanız gerekmez. Bir ayarı devralmak istemediğiniz kullanıcılarınız veya bilgisayarlarınız varsa, bunları kendi OU’larına koyabilir ve doğrudan bu OU’ya bir politika uygulayabilirsiniz.

Active Directory’de varsayılan Users veya Computers klasörlerini kullanmayın

Bu klasörler OU değildir ve bu nedenle kendilerine bağlı GPO’ları olamaz. Bu klasörlere politika uygulamanın tek yolu, politikayı domain düzeyinden uygulamaktır. Ancak yukarıda belirtildiği gibi, bunu yapmaktan kaçınmalısınız. Bu nedenle, bu klasörlerde yeni bir kullanıcı veya bilgisayar nesnesi görünür görünmez, onu hemen uygun OU’ya taşıyın.

Grup ilkesi objelerini devre dışı bırakmayın

Bir GPO bir OU’ya bağlıysa ve uygulanmasını istemiyorsanız GPO’yu devre dışı bırakmak yerine bağlantısını yani linkini silin. Bağlantıyı bir Organizational Unit düzeyinden silmek GPO’yu silmez; bağlantıyı Organizational Unit seviyesinde kaldırır ve ayarları uygulanmaz. GPO’nun devre dışı bırakılması, alan adına tümüyle uygulanmasını durdurabilir. Bu da bu Grup İlkesi başka bir Organizational Unit düzeyinde kullanılıyorsa, artık orada çalışmasını da durdurmasına neden olur.

Grup ilkesi için değişiklik yönetimi uygulama

Tüm yöneticilerinizin gerektiğinde değişiklik yapmalarına izin verirseniz, Grup İlkesi kontrolden çıkabilir. Ancak Grup İlkesi değişikliklerinin izlenmesi zor olabilir, çünkü güvenlik log kayıtları tam olarak hangi ayarın değiştirildiğini ve nasıl değiştirildiğini tam olarak göstermez.

GPO değişiklikleri anlık olarak kayıt altına alınmalı ve belgelenmelidir. Buna ek olarak, kritik GPO’larda yapılan değişiklikler için e-posta uyarıları gönderilmelidir. Çünkü sistemin çalışmama süresini önlemek için bu değişiklikleri en kısa sürede bilinmesi ve gerektiğinde değişikliklerin geri alınabilmesi gerekir. Bunu PowerShell komut dosyalarını kullanarak veya bir SIEM çözümü kullanarak yapabilirsiniz.

Policy Inheritance ve Policy Enforcement uygulamaktan kaçının

İyi bir OU yapınız varsa, büyük olasılıkla Policy Inheritance ve Policy Enforcement uygulamaktan kaçınabilirsiniz. Bu ayarlar GPO sorun giderme durumunu ve yönetimini zorlaştırabilir. OU yapısı düzgün bir şekilde tasarlanmışsa, Policy Inheritance ve Policy Enforcement ayarları asla gerekli değildir.

Yönetimi basitleştirmek için küçük grup ilkesi objeleri kullanın

Küçük GPO’lara sahip olmak sorun giderme, yönetme, tasarım ve uygulamayı kolaylaştırır. GPO’ları daha küçük politikalara ayırmanın bazı yolları şunlardır:

  • Tarayıcı ayarları
  • Güvenlik ayarları
  • Yazılım Yükleme Ayarları
  • AppLocker Ayarları
  • Ağ ayarları
  • Drive Mappings

Bununla birlikte, daha fazla ayara sahip daha büyük GPO’ların oturum açarken daha az işlem gerektireceğini unutmayın (çünkü sistemlerin GPO bilgileri için daha az istekte bulunması gerekir); çok sayıda küçük GPO yüklemek daha fazla zaman alabilir. Ancak, büyük GPO’larda sorun gidermeniz gereken GPO ayar çakışmaları olabilir ve GPO devralmaya daha fazla dikkat etmeniz gerekir.

Kullanılmayan bilgisayar ve kullanıcı yapılandırmalarını devre dışı bırakarak GPO işlenmesini hızlandırın

Bilgisayar ayarları olan, ancak kullanıcı ayarları olmayan bir GPO’nuz varsa, sistem oturum açma sırasında Grup ilkesi işleme performansını artırmak için bu GPO için kullanıcı yapılandırmasını devre dışı bırakmalısınız.

Başlama ve oturum açma sürelerinde yavaşlığa neden olabilecek diğer faktörler şunlardır:

  • Büyük dosyaları indiren login script dosyaları
  • Büyük dosyaları indiren startup script dosyaları
  • Uzaktaki disk sürücülerinin map edilmesi
  • Çok sayıda yazıcı sürücüsünün grup ilkesi ile yüklenmesi
  • Active Directory Grup üyeliğine göre grup ilkesi filtresinin aşırı kullanımı
  • Aşırı Windows Yönetim Araçları (Windows Management Instrumentation – WMI) filtrelerini kullanma
  • GPO aracılığıyla uygulanan kullanıcı kişisel klasörleri Büyük boyutta indirilen login script dosyaları
  • Uzaktaki ev sürücülerini eşleme
  • Çok sayıda yazıcı sürücüsünü Grup İlkesi tercihlerine göre dağıtma
  • AD Grup üyeliğine göre Grup İlkesi filtresinin aşırı kullanımı
  • Aşırı Windows Yönetim Araçları (WMI) filtrelerini kullanma (daha fazla bilgi için bir sonraki bölüme bakın)
  • GPO aracılığıyla uygulanan kullanıcı kişisel klasörleri

Çok sayıda WMI filtresi kullanmaktan kaçının

WMI, neredeyse tüm kullanıcı ve bilgisayar ayarlarını tanımlayabileceğiniz çok sayıda sınıf içerir. Ancak, birçok WMI filtresi kullanmak kullanıcı oturumlarını yavaşlatır ve kötü bir kullanıcı deneyimine yol açar. Mümkün olduğunda WMI üzerinden güvenlik filtreleri kullanmaya çalışın, çünkü daha az kaynağa ihtiyaç duyarlar.

GPO sorunlarını gidermek için “gpresult” kullanın

Gpresult komutu, kullanıcı ve bilgisayar için grup ilkesi bilgilerini görüntüler. Gpresult yardımcı programının birçok ayarı vardır; “gpresult /?” komutunu girerek bu ayarları görüntüleyebilirsiniz.

Gelişmiş grup ilkesi yönetimi (Advanced Group Policy Management – AGPM) kullanın

AGPM, sürüm oluşturma ve değişiklik izleme ile GPO düzenleme sağlar. Yazılım Güvencesi için Microsoft Masaüstü Optimizasyon Paketi’nin (Microsoft Desktop Optimization Pack – MDOP) bir parçasıdır.

Grup ilkesi politikalarını yedekleyin

Yapılandırma hataları durumunda, ayarlarınızı her zaman geri yükleyebilmeniz için PowerShell komut dosyası veya üçüncü taraf bir çözüm kullanarak ilkelerin günlük veya haftalık yedeklemesini yapılandırın.

Grup ilkesi ayarları için en iyi uygulamalar

Windows’ta Denetim Masasına erişimi sınırlayın

Kullanıcı Windows makinesinde yönetici olmasa bile, kontrol paneline erişimi sınırlamak önemlidir. Aşağıdaki ilkeleri kullanarak denetim masasına tüm erişimi engelleyebilir veya belirli kullanıcılara sınırlı erişime izin verebilirsiniz:

  • Hide specified Control Panel items
  • Prohibit access to Control Panel and PC settings
  • Show only specified Control Panel items

Çıkarılabilir ortam sürücülerine izin verme

Çıkarılabilir ortam sürücüleri tehlikeli olabilir. Birisi sisteminize virüs bulaşmış bir usb sürücüyü takarsa, tüm ağa kötü amaçlı yazılım bulaştırır. Bir ofis ortamında, “Prevent installation of removable devices” ilkesini kullanarak çıkarılabilir sürücüleri tamamen devre dışı bırakmak en iyisidir. İsterseniz DVD’leri, CD’leri ve hatta disket sürücüleri de devre dışı bırakabilirsiniz, ancak birincil sorun çıkarılabilir usb sürücülerdir.

Sisteminizde otomatik sürücü güncellemelerini devre dışı bırakma

Sürücü güncellemeleri Windows kullanıcıları için ciddi sorunlara neden olabilir: Windows hatalarına, performans düşüşüne ve hatta ölümcül mavi ekranına (Blue Screen of Death – BSOD) neden olabilirler. Normal kullanıcılar, otomatik bir özellik olduğu için güncellemeleri kapatamaz. Windows Grup İlkesi ayarları, “Turn off Windows Update device driver searching” ilkesi kullanılarak otomatik sürücü güncelleştirmelerini devre dışı bırakılabilir.

Komut istemine erişimin kısıtlandığından emin olun

Komut istemi sistem yöneticileri için çok yararlıdır, ancak yanlış ellerde kâbusa dönüşebilir, çünkü kullanıcılara ağınıza zarar verebilecek komutları çalıştırma fırsatı verir. Bu nedenle, normal kullanıcılar için devre dışı bırakmak en iyisidir. Bunu “Prevent access to the command prompt” ilkesini kullanarak yapabilirsiniz.

Sunucularınızda zorunlu yeniden başlatmaları kapatma

Windows Update’iniz açıksa, muhtemelen Windows güncellemelerinin yüklenmesinden sonra sistemi yeniden başlatmaya zorladığını biliyorsunuzdur. Ancak bazı kullanıcılar işten ayrıldıklarında bilgisayarlarını kapatmazlar, bu nedenle masaüstü bilgisayarları Windows Update tarafından zorla yeniden başlatılırsa kaydedilmemiş dosyalarını kaybedebilirler. Bu zorunlu yeniden başlatmaları kalıcı olarak devre dışı bırakmak için grup ilkesi ayarlarını kullanabilirsiniz.

AppLocker ve yazılım kısıtlama ilkesi ile yazılım yüklemelerini devre dışı bırakma

Kullanıcıların sistemlerine yeni yazılım yüklemelerini engellemenin birçok yolu vardır. Bunu yapmak bakım işini azaltır ve kötü bir şey yapıldığında gereken temizliğin önlenmesine yardımcı olur. AppLocker ve Yazılım Kısıtlama Grubu İlkesi (Software Restriction Group Policy) ayarlarını değiştirerek ve belirli uzantıların (“.exe” gibi) çalışmasını devre dışı bırakarak yazılım yüklemesini engelleyebilirsiniz.

Ağ altyapınızda NTLM’yi devre dışı bırakın

NTLM, workgroup ve lokal kimlik doğrulamanın üyesi olan bilgisayarlar için kullanılır. Active Directory ortamında, NTLM yerine Kerberos kimlik doğrulaması kullanılmalıdır, çünkü NTLM sorgulama/yanıt yöntemi yerine karşılıklı kimlik doğrulama kullanan daha güçlü kimlik doğrulama protokolüdür. NTLM, bilinen birçok güvenlik açığına sahiptir ve daha zayıf şifreleme kullanır, bu nedenle kaba kuvvet saldırılarına karşı çok savunmasızdır. Yalnızca Kerberos kimlik doğrulamasına izin vermek için Grup İlkesi kullanarak ağınızdaki NTLM kimlik doğrulamasını devre dışı bırakmalısınız, ancak önce ağınızdaki hem Microsoft hem de üçüncü taraf uygulamalarının NTLM kimlik doğrulaması gerektirmediğinden emin olun.

Etiketler
Daha Fazla Göster

Ahmet Elibol

Üniversite eğitimini Kimya ve İşletme bölümlerinde tamamlayan Ahmet Elibol, yüksek lisans eğitimini de İşletme (Master of Business Administration - MBA) üzerinde tamamlamıştır. 1999 yılından bu yana bilişim sektöründe bulunmaktadır ve şu anda Rönesans Holding şirketinde CIO (Chief Information Officer) pozisyonunda görev yapmaktadır.  Ahmet Elibol, profesyonel kariyerine aldığı pascal ve delphi ile yazılım mühendisliği eğitimiyle başlamıştır. 2004 yılından sonra ilgi ve uzmanlık alanlarını Microsoft Sunucu Sistemleri, Sistem Programlama ve Bilgi Güvenliği konularında güncellemiştir. Yazar 4 yıl kadar bir akademide Sistem Mühendisliği eğitimleri vermiştir. Yazar hobi amaçlı programlama, yapay zeka, makine öğrenmesi, yapay sinir ağları, görüntü işleme ve nesnelerin interneti konularında çalışmaktadır. İngilizce, Rusça dillerini bilen Ahmet Elibol MCT, MCITP, MCTS, MCSE, MCSA vb. uzmanlık sertifikalarına sahiptir ve Bilgisayar Mühendisliği yüksek lisansına devam etmektedir.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu
Kapalı
Kapalı