Grup İlkesi İçin En İyi Uygulamalar
Group Policy Best Practices, Group Policy tasarımı için en iyi uygulamalar, Group Policy ayarları için en iyi uygulamalar
Grup ilkesi tasarımı için en iyi uygulamalar
Grup İlkesi, Windows kayıt defterindeki güvenlik, denetim ve diğer işletimsel davranışları denetleyen bir dizi ayardır. Örneğin, Grup İlkesi, kullanıcıların sistemdeki belirli dosyalara veya ayarlara erişmesini engellemenizi, sistem başlatıldığında veya kapatıldığında belirli komut dosyalarını çalıştırmanızı veya belirli bir ana sayfayı ağdaki her kullanıcı için açmaya zorlamanızı sağlar. Sistemlerinizi korumanıza ve Grup İlkesi performansını optimize etmenize yardımcı olacak en iyi Active Directory Group Policy uygulamaları aşağıda verilmiştir. Bizim kurulumlarda kullandığımız işletim sistemi dili İngilizce olduğu için Grup İlkesi kelimesini genelde Group Policy olarak kullanacağız. Group Policy ayarlarının da daha rahat bulunabilmesi için isimleri İngilizce olarak tercih edilecektir.
Default Domain Policy ve Default Domain Controller Policy için değişiklik yapmayın
Default Domain Policy üzerinde değişiklikleri yalnızca hesap, hesap kilitleme, şifre ve Kerberos ayarları için kullanın. Diğer ayarlar için yeni GPO’lar oluşturun. Default Domain Policy, domain düzeyinde geçerlidir ve bu yüzden domain içindeki tüm kullanıcıları ve bilgisayarları etkiler.
Default Domain Controller Policy üzerinde değişiklikleri yalnızca User Rights Assignment Policy ve Audit Policy için kullanın. Diğer ayarları yine ayrı GPO’lara yerleştirin.
Bununla birlikte, yukarıda listelenen politikalar için bile, ayrı GPO’ların kullanılması daha iyidir.
Active Directory’de iyi tasarlanmış bir Organizational Unit (OU) yapısı oluşturma
İyi bir Organizational Unit yapısına sahip olmak Grup İlkesi uygulanmasını ve sorun gidermesini kolaylaştırır. Aynı Organizational Unit içinde farklı türden Active Directory nesneleri bulundurmayın. Bunun yerine, kullanıcıları ve bilgisayarları kendi OU’larına ayırın ve ardından her departman veya işletme işlevi için alt OU’lar oluşturun. Kullanıcıları ve bilgisayarları ayrı OU’lara koymak, bilgisayar ilkelerini tüm bilgisayarlara ve kullanıcı ilkelerini yalnızca kullanıcılara uygulamayı kolaylaştırır. GPO oluşturmak ve birçok OU’ya bağlamak işlemi, bir OU’ya bağlamak ve politikanın etkilememesi gereken bilgisayarlar veya kullanıcıları belirlemekle uğraşmaktan daha kolaydır. Ancak OU mimarinizi yalnızca Grup Politikalarını nasıl bağlayacağınıza bağlı olarak planlamayın.
Grup ilkesi politikaları için açıklayıcı adlar verin
GPO’nun sadece isme bakarak ne yaptığını hızlı bir şekilde tanımlayabilmek, Grup ilkesi yönetimini çok daha kolay hale getirecektir. GPO’ya “pc ayarları” gibi genel bir ad vermek sistem yöneticilerinin kafasını karıştırır.
Örneğin, aşağıdaki adlandırma kalıplarını kullanabilirsiniz:
- Kullanıcı hesapları için politikalar: K_ <politikanın adı>
- Bilgisayar hesapları için politikalar: B_ < politikanın adı>
- Bilgisayar ve kullanıcı hesapları için politikalar: BK_ < politikanın adı>
Kullanım örnekleri:
- K_UygulamaKisitlamaPolitikasi
- K_UygulamaYuklemePolitikasi
- B_MasaustuAyarlari
- BK_DenetimAyarlari
Her GPO’yu bağlandığınız yerden ziyade amacına göre oluşturun. Örneğin, içinde sunucu güncelleştirme ayarları olan bir GPO’ya sahip olmak istiyorsanız, içine sadece sunucu güncelleştirme ayarlarını koyun ve bu şekilde etiketleyin.
Grup ilkesi objelerine yorumlar ekleyin
İyi adlar oluşturmaya ek olarak, her GPO’ya neden oluşturulduğunu, amacını ve içerdiği ayarları açıklayan yorumlar eklemelisiniz. Bu bilgiler yıllar sonra paha biçilemez olabilir.
Grup ilkesi objelerini domain düzeyinde ayarlama
Domain düzeyinde ayarlanan her Grup ilkesi nesnesi tüm kullanıcı ve bilgisayar nesnelerine uygulanır. Bu, bazı ayarların istemediğiniz nesnelere uygulanmasına neden olabilir. Bu nedenle, domain düzeyinde ayarlanması gereken tek GPO Default Domain Policy’dir. Diğer politikaları daha ayrıntılı bir şekilde uygulamak daha iyidir
Grup ilkesi objelerini Organizational Unit (OU) düzeyinde uygulama
GPO’ların OU düzeyinde uygulanması, alt OU’ların bu politikaları devralmasına izin verecektir; politikayı her bir alt kuruluş birimine bağlamanız gerekmez. Bir ayarı devralmak istemediğiniz kullanıcılarınız veya bilgisayarlarınız varsa, bunları kendi OU’larına koyabilir ve doğrudan bu OU’ya bir politika uygulayabilirsiniz.
Active Directory’de varsayılan Users veya Computers klasörlerini kullanmayın
Bu klasörler OU değildir ve bu nedenle kendilerine bağlı GPO’ları olamaz. Bu klasörlere politika uygulamanın tek yolu, politikayı domain düzeyinden uygulamaktır. Ancak yukarıda belirtildiği gibi, bunu yapmaktan kaçınmalısınız. Bu nedenle, bu klasörlerde yeni bir kullanıcı veya bilgisayar nesnesi görünür görünmez, onu hemen uygun OU’ya taşıyın.
Grup ilkesi objelerini devre dışı bırakmayın
Bir GPO bir OU’ya bağlıysa ve uygulanmasını istemiyorsanız GPO’yu devre dışı bırakmak yerine bağlantısını yani linkini silin. Bağlantıyı bir Organizational Unit düzeyinden silmek GPO’yu silmez; bağlantıyı Organizational Unit seviyesinde kaldırır ve ayarları uygulanmaz. GPO’nun devre dışı bırakılması, alan adına tümüyle uygulanmasını durdurabilir. Bu da bu Grup İlkesi başka bir Organizational Unit düzeyinde kullanılıyorsa, artık orada çalışmasını da durdurmasına neden olur.
Grup ilkesi için değişiklik yönetimi uygulama
Tüm yöneticilerinizin gerektiğinde değişiklik yapmalarına izin verirseniz, Grup İlkesi kontrolden çıkabilir. Ancak Grup İlkesi değişikliklerinin izlenmesi zor olabilir, çünkü güvenlik log kayıtları tam olarak hangi ayarın değiştirildiğini ve nasıl değiştirildiğini tam olarak göstermez.
GPO değişiklikleri anlık olarak kayıt altına alınmalı ve belgelenmelidir. Buna ek olarak, kritik GPO’larda yapılan değişiklikler için e-posta uyarıları gönderilmelidir. Çünkü sistemin çalışmama süresini önlemek için bu değişiklikleri en kısa sürede bilinmesi ve gerektiğinde değişikliklerin geri alınabilmesi gerekir. Bunu PowerShell komut dosyalarını kullanarak veya bir SIEM çözümü kullanarak yapabilirsiniz.
Policy Inheritance ve Policy Enforcement uygulamaktan kaçının
İyi bir OU yapınız varsa, büyük olasılıkla Policy Inheritance ve Policy Enforcement uygulamaktan kaçınabilirsiniz. Bu ayarlar GPO sorun giderme durumunu ve yönetimini zorlaştırabilir. OU yapısı düzgün bir şekilde tasarlanmışsa, Policy Inheritance ve Policy Enforcement ayarları asla gerekli değildir.
Yönetimi basitleştirmek için küçük grup ilkesi objeleri kullanın
Küçük GPO’lara sahip olmak sorun giderme, yönetme, tasarım ve uygulamayı kolaylaştırır. GPO’ları daha küçük politikalara ayırmanın bazı yolları şunlardır:
- Tarayıcı ayarları
- Güvenlik ayarları
- Yazılım Yükleme Ayarları
- AppLocker Ayarları
- Ağ ayarları
- Drive Mappings
Bununla birlikte, daha fazla ayara sahip daha büyük GPO’ların oturum açarken daha az işlem gerektireceğini unutmayın (çünkü sistemlerin GPO bilgileri için daha az istekte bulunması gerekir); çok sayıda küçük GPO yüklemek daha fazla zaman alabilir. Ancak, büyük GPO’larda sorun gidermeniz gereken GPO ayar çakışmaları olabilir ve GPO devralmaya daha fazla dikkat etmeniz gerekir.
Kullanılmayan bilgisayar ve kullanıcı yapılandırmalarını devre dışı bırakarak GPO işlenmesini hızlandırın
Bilgisayar ayarları olan, ancak kullanıcı ayarları olmayan bir GPO’nuz varsa, sistem oturum açma sırasında Grup ilkesi işleme performansını artırmak için bu GPO için kullanıcı yapılandırmasını devre dışı bırakmalısınız.
Başlama ve oturum açma sürelerinde yavaşlığa neden olabilecek diğer faktörler şunlardır:
- Büyük dosyaları indiren login script dosyaları
- Büyük dosyaları indiren startup script dosyaları
- Uzaktaki disk sürücülerinin map edilmesi
- Çok sayıda yazıcı sürücüsünün grup ilkesi ile yüklenmesi
- Active Directory Grup üyeliğine göre grup ilkesi filtresinin aşırı kullanımı
- Aşırı Windows Yönetim Araçları (Windows Management Instrumentation – WMI) filtrelerini kullanma
- GPO aracılığıyla uygulanan kullanıcı kişisel klasörleri Büyük boyutta indirilen login script dosyaları
- Uzaktaki ev sürücülerini eşleme
- Çok sayıda yazıcı sürücüsünü Grup İlkesi tercihlerine göre dağıtma
- AD Grup üyeliğine göre Grup İlkesi filtresinin aşırı kullanımı
- Aşırı Windows Yönetim Araçları (WMI) filtrelerini kullanma (daha fazla bilgi için bir sonraki bölüme bakın)
- GPO aracılığıyla uygulanan kullanıcı kişisel klasörleri
Çok sayıda WMI filtresi kullanmaktan kaçının
WMI, neredeyse tüm kullanıcı ve bilgisayar ayarlarını tanımlayabileceğiniz çok sayıda sınıf içerir. Ancak, birçok WMI filtresi kullanmak kullanıcı oturumlarını yavaşlatır ve kötü bir kullanıcı deneyimine yol açar. Mümkün olduğunda WMI üzerinden güvenlik filtreleri kullanmaya çalışın, çünkü daha az kaynağa ihtiyaç duyarlar.
GPO sorunlarını gidermek için “gpresult” kullanın
Gpresult komutu, kullanıcı ve bilgisayar için grup ilkesi bilgilerini görüntüler. Gpresult yardımcı programının birçok ayarı vardır; “gpresult /?” komutunu girerek bu ayarları görüntüleyebilirsiniz.
Gelişmiş grup ilkesi yönetimi (Advanced Group Policy Management – AGPM) kullanın
AGPM, sürüm oluşturma ve değişiklik izleme ile GPO düzenleme sağlar. Yazılım Güvencesi için Microsoft Masaüstü Optimizasyon Paketi’nin (Microsoft Desktop Optimization Pack – MDOP) bir parçasıdır.
Grup ilkesi politikalarını yedekleyin
Yapılandırma hataları durumunda, ayarlarınızı her zaman geri yükleyebilmeniz için PowerShell komut dosyası veya üçüncü taraf bir çözüm kullanarak ilkelerin günlük veya haftalık yedeklemesini yapılandırın.
Grup ilkesi ayarları için en iyi uygulamalar
Windows’ta Denetim Masasına erişimi sınırlayın
Kullanıcı Windows makinesinde yönetici olmasa bile, kontrol paneline erişimi sınırlamak önemlidir. Aşağıdaki ilkeleri kullanarak denetim masasına tüm erişimi engelleyebilir veya belirli kullanıcılara sınırlı erişime izin verebilirsiniz:
- Hide specified Control Panel items
- Prohibit access to Control Panel and PC settings
- Show only specified Control Panel items
Çıkarılabilir ortam sürücülerine izin verme
Çıkarılabilir ortam sürücüleri tehlikeli olabilir. Birisi sisteminize virüs bulaşmış bir usb sürücüyü takarsa, tüm ağa kötü amaçlı yazılım bulaştırır. Bir ofis ortamında, “Prevent installation of removable devices” ilkesini kullanarak çıkarılabilir sürücüleri tamamen devre dışı bırakmak en iyisidir. İsterseniz DVD’leri, CD’leri ve hatta disket sürücüleri de devre dışı bırakabilirsiniz, ancak birincil sorun çıkarılabilir usb sürücülerdir.
Sisteminizde otomatik sürücü güncellemelerini devre dışı bırakma
Sürücü güncellemeleri Windows kullanıcıları için ciddi sorunlara neden olabilir: Windows hatalarına, performans düşüşüne ve hatta ölümcül mavi ekranına (Blue Screen of Death – BSOD) neden olabilirler. Normal kullanıcılar, otomatik bir özellik olduğu için güncellemeleri kapatamaz. Windows Grup İlkesi ayarları, “Turn off Windows Update device driver searching” ilkesi kullanılarak otomatik sürücü güncelleştirmelerini devre dışı bırakılabilir.
Komut istemine erişimin kısıtlandığından emin olun
Komut istemi sistem yöneticileri için çok yararlıdır, ancak yanlış ellerde kâbusa dönüşebilir, çünkü kullanıcılara ağınıza zarar verebilecek komutları çalıştırma fırsatı verir. Bu nedenle, normal kullanıcılar için devre dışı bırakmak en iyisidir. Bunu “Prevent access to the command prompt” ilkesini kullanarak yapabilirsiniz.
Sunucularınızda zorunlu yeniden başlatmaları kapatma
Windows Update’iniz açıksa, muhtemelen Windows güncellemelerinin yüklenmesinden sonra sistemi yeniden başlatmaya zorladığını biliyorsunuzdur. Ancak bazı kullanıcılar işten ayrıldıklarında bilgisayarlarını kapatmazlar, bu nedenle masaüstü bilgisayarları Windows Update tarafından zorla yeniden başlatılırsa kaydedilmemiş dosyalarını kaybedebilirler. Bu zorunlu yeniden başlatmaları kalıcı olarak devre dışı bırakmak için grup ilkesi ayarlarını kullanabilirsiniz.
AppLocker ve yazılım kısıtlama ilkesi ile yazılım yüklemelerini devre dışı bırakma
Kullanıcıların sistemlerine yeni yazılım yüklemelerini engellemenin birçok yolu vardır. Bunu yapmak bakım işini azaltır ve kötü bir şey yapıldığında gereken temizliğin önlenmesine yardımcı olur. AppLocker ve Yazılım Kısıtlama Grubu İlkesi (Software Restriction Group Policy) ayarlarını değiştirerek ve belirli uzantıların (“.exe” gibi) çalışmasını devre dışı bırakarak yazılım yüklemesini engelleyebilirsiniz.
Ağ altyapınızda NTLM’yi devre dışı bırakın
NTLM, workgroup ve lokal kimlik doğrulamanın üyesi olan bilgisayarlar için kullanılır. Active Directory ortamında, NTLM yerine Kerberos kimlik doğrulaması kullanılmalıdır, çünkü NTLM sorgulama/yanıt yöntemi yerine karşılıklı kimlik doğrulama kullanan daha güçlü kimlik doğrulama protokolüdür. NTLM, bilinen birçok güvenlik açığına sahiptir ve daha zayıf şifreleme kullanır, bu nedenle kaba kuvvet saldırılarına karşı çok savunmasızdır. Yalnızca Kerberos kimlik doğrulamasına izin vermek için Grup İlkesi kullanarak ağınızdaki NTLM kimlik doğrulamasını devre dışı bırakmalısınız, ancak önce ağınızdaki hem Microsoft hem de üçüncü taraf uygulamalarının NTLM kimlik doğrulaması gerektirmediğinden emin olun.