Network security: Minimum session security for NTLM SSP based (including secure RPC) servers
Require NTLMv2 session security
Require 128-bit encryption.
Bu ayar, NTLM SSP kullanan uygulamalar için hangi davranışlara izin verileceğini belirler.
Network access: Remotely accessible registry paths and sub-paths
Domain Controller:
Not Defined
Bu ayar, bir uygulamanın veya process’in erişim izinlerini belirlemek için WinReg anahtarına başvurduğunda, hangi kayıt defteri anahtarlarına erişebileceğini belirler.
Accounts: Rename
administrator account
Administrator
hesabının yeni adı
"admin" metnini içermeyen bir değer almalıdır.
Bu ayar, yerel Administrator hesabının kullanıcı adını değiştirmek amacıyla kullanılır.
Accounts: Rename guest account
Guest hesabının yeni adı "guest" metnini içermeyen bir değer almalıdır.
Bu ayar, Guest hesabının kullanıcı adını değiştirmek amacıyla kullanılır.
Accounts: Guest account status
Disabled Bu ayar, Guest hesabını aktif etmek veya devre dışı bırakmak için kullanılır.
Network access: Allow anonymous SID/Name translation
Disabled Bu ayar, anonim bir kullanıcının başka bir kullanıcı için SID özelliklerini talep etme yetkisini aktif eder veya devre dışı bırakır.
Accounts: Limit local account use of blank passwords to console logon only
Enabled Bu ayar, parolası olmayan yerel hesaplarla, fiziksel bilgisayar dışında uzak bir noktadan oturum açılıp açılamayacağını belirler.
WİNDOWS HARDENİNG S A Y F A | 41 Devices: Allowed to format
and eject removable media
Administrators Bu ayar, hangi kullanıcıların format atabileceğini ve çıkarılabilir aygıtları çıkarabileceğini belirler.
Devices: Prevent users from installing printer drivers
Enabled Bu ayar, kullanıcıların yazıcı yükleme yetkilerini devre dışı bırakır.
Devices: Restrict CD-ROM access to locally logged-on user only
Enterprise Member Server/ Enterprise Domain Controller:
Not Defined
Bu ayar, bir CD-ROM'un aynı anda hem yerel hem de uzak kullanıcılar tarafından erişilebilir olup olmadığını belirler.
Devices: Restrict floppy access to locally logged-on user only
Enterprise Member Server/ Enterprise Domain Controller:
Not Defined
Bu ayar, bir floppy diskin aynı anda hem yerel hem de uzak kullanıcılar tarafından erişilebilir olup olmadığını belirler.
Domain member: Digitally encrypt or sign secure channel data (always)
Enabled Bu ayar, bir Domain üyesi tarafından başlatılan tüm güvenli kanal trafiğinin imzalanması veya şifrelenmesi gerekip gerekmediğini belirler.
Domain member: Digitally encrypt secure channel data (when possible)
Enabled Bu ayar, bir Domain üyesi tarafından başlatılan tüm güvenli kanal trafiğinin şifrelenmesi gerekip gerekmediğini belirler.
Domain member: Digitally sign secure channel data (when possible)
Enabled Bu ayar, bir Domain üyesi tarafından başlatılan tüm güvenli kanal trafiğinin imzalanması gerekip gerekmediğini belirler.
Domain member: Disable machine account password changes
Disabled Bu ayar, bir Domain kullanıcısının parolasının düzenli aralıklarla değiştirilip değiştirilmeyeceğini belirler. Bu ayar devre dışı bırakılırsa, kullanıcılar parolalarını
“Domain member: Maximum machine account password age” seçeneği ile belirtilen süre aralığında değiştirmek zorundadırlar.
WİNDOWS HARDENİNG S A Y F A | 42 Domain member: Maximum
machine account password age
30 gün Bu ayar, bir Domain kullanıcısına atanan parolanın maksimum süresini belirler.
Domain member: Require strong (Windows 2000 or later) session key
Enabled Bu ayarın aktif edilmesi durumunda, Domain ortamında bulunan Windows Server 2000 veya üzeri işletim sistemi sürümüne sahip sunucular, güvenli bir kanal üzerinden şifreli veri iletişimi gerçekleştirebilirler. Domain Controller sunucularının Windows Server 2000 tabanlı olmaması durumunda bu ayar devre dışı bırakılmalıdır.
Domain controller: Allow server operators to schedule tasks
Enterprise Domain Controller:
Disabled
Enterprise Member Server:
Not Defined
Bu ayar, Server Operators grubunda yer alan üyelerin AT zamanlama özelliği aracılığıyla işleri göndermesine izin verilip verilmediğini belirler.
Varsayılan:
Disabled
Domain controller: LDAP server signing requirements
Enterprise Member Server/Enterprise Domain Controller:
Not Defined
Bu ayar, LDAP sunucusu ile LDAP istemcileri arasında, verilerin imzalanıp imzalanmaması gerektiği konusunda anlaşma yapmalarına izin verir.
Varsayılan:
None
Domain controller: Refuse machine account password changes
Enterprise Domain Controller:
Disabled
Enterprise Member:
Not Defined
Bu ayar, Domain ortamına bağlı bilgisayarlar üzerinden gelen parola değişikliği isteklerinin Domain Controller tarafından reddedilip reddedilmeyeceğini belirler.
WİNDOWS HARDENİNG S A Y F A | 43 Interactive logon: Do not
display last user name
Enabled Bu ayar, istemci bilgisayarlarda oturum açan kullanıcıların hesap adlarının Windows oturum açma ekranında görüntülenip görüntülenmeyeceğini belirler. Yabancı kişilerin kurumsal ortamdaki bilgisayarlarda hesap adlarını görmelerini önlemek için bu ayar aktif edilmelidir.
Interactive logon: Do not require CTRL+ALT+DEL
Disabled Bu ayar, kullanıcıların oturum açmadan önce CTRL + ALT + DEL tuşlarına basması gerekip gerekmediğini belirler. Bu ayar devre dışı bırakılırsa, kullanıcıların oturum açmadan önce CTRL + ALT + DEL tuşlarına basmaları gerekir.
Interactive logon: Number of previous logons to cache (in case domain controller is not available)
1 kez Bu ayar, bir kullanıcının önbellekte saklanan hesap bilgilerini kullanarak Domain ortamında kaç kez oturup açabileceğini belirler.
Varsayılan:
Windows Server 2008-> 25 Diğer versiyonlar-> 10
Interactive logon: Prompt user to change password before expiration
14 gün Bu ayar, kullanıcıların parola süreleri dolmadan kaç gün önce uyarılmaya başlanacağını belirler.
Varsayılan:
5 gün
Interactive logon: Require
Domain Controller
authentication to unlock workstation
Enabled Kilitli bir sistemin kilidinin açılması için oturum açılması gerekir. Bu ayar, bir sistemin kilidinin kaldırılması için Domain authentication gerekip gerekmediğini belirler.
WİNDOWS HARDENİNG S A Y F A | 44 Varsayılan:
Disabled
Interactive logon: Smart card removal behavior
Lock Workstation Bu ayar, oturum açmış bir kullanıcıya ait smart kartın çıkarılması durumunda sistemin davranışını belirler.
Seçenekler:
No Action
Lock Workstation Force Logoff
Disconnect if a Remote Desktop Services session
Varsayılan:
No Action
Interactive logon: Require smart card
Enterprise Member Server/Enterprise Domain Controller:
Not Defined
Bu ayar, kullanıcıların oturum açması için smart kart gerekip gerekmediğini belirler.
Varsayılan:
Disabled
Microsoft network client:
Digitally sign
communications (always)
Enabled SMB protokolü; dosya ve yazıcı paylaşımı, uzaktan Windows yönetimi gibi birçok ağ işlemi için temel oluşturur. SMB paketlerini değiştiren MITM saldırılarını önlemek için SMB protokolü, SMB paketlerinin dijital olarak imzalanmasını destekler. Yüksek güvenlikli ağlarda dijital imzaların uygulanması, “session hijacking”
saldırılarını önlemeye yardımcı olur.
WİNDOWS HARDENİNG S A Y F A | 45 Bu ayar, paketlerin SMB istemci bileşeni
tarafından imzalanıp imzalanmaması gerektiğini belirler. Bu ayarın aktif edilmesi durumunda istemci, sunucu SMB paketlerini imzalamayı kabul etmediği sürece iletişim kurmayı reddeder.
Varsayılan:
Disabled
Microsoft network client:
Digitally sign
communications (if server agrees)
Enabled Bu ayar, paketlerin SMB istemci bileşeni tarafından imzalanıp imzalanmaması konusunda anlaşma yapılıp yapılmayacağını belirler. Bu ayarın aktif edilmesi durumunda, sunucu SMB paketlerinin imzalandığı bir iletişimi kabul ediyorsa, istemci paketleri imzalamayı kabul eder.
Varsayılan:
Enabled
Microsoft network client:
Send unencrypted password to third-party SMB servers
Disabled Bu ayar, kimlik doğrulama sırasında parola şifrelemeyi desteklemeyen 3rd party SMB sunucularına açık metin parolalar gönderilip gönderilmeyeceğini belirler.
Parolaların açık metin olarak aktarılmaması için bu ayar devre dışı bırakılmalıdır.
Varsayılan:
Disabled
Microsoft network server:
Amount of idle time required before suspending session
15 dakika Bu ayar, bir SMB oturumunun askıya alınması için hiçbir işlemin yapılmadan ne kadar süre geçmesi gerektiğini belirler.
WİNDOWS HARDENİNG S A Y F A | 46 Varsayılan:
15 dakika
Microsoft network server:
Digitally sign
communications (always)
Enabled Bu ayar, sunucu taraflı SMB servisinin SMB paketlerini imzalaması gerekip gerekmediğini belirler.
Varsayılan:
Server-> Disabled
Domain Controller->Enabled
Microsoft network server:
Digitally sign
communications (if client agrees)
Enabled Bu ayar, paketlerin SMB sunucu bileşeni tarafından imzalanıp imzalanmaması konusunda anlaşma yapılıp yapılmayacağını belirler. Bu ayarın aktif edilmesi durumunda, istemci SMB paketlerinin imzalandığı bir iletişimi kabul ediyorsa, sunucu paketleri imzalamayı kabul eder.
Microsoft network server:
Disconnect clients when logon hours expire
Disabled Bu ayar, geçerli oturum saatlari dışında sisteme bağlanan kullanıcıların bağlantılarının kesilip kesilmeyeceğini belirler. Bu ayarın devre dışı bırakılması durumunda, açılan bir SMB oturum süresi geçtikten sonra bile devam eder.
Varsayılan:
Windows XP-> Disabled
Windows Vista ve üzeri->Enabled
Network access: Do not allow anonymous enumeration of SAM accounts
Enabled Bu ayar, SAM veritabanında kayıtlı olan kullanıcıların anonim kullanıcılar tarafından listelenip listelenemeyeceğini belirler.
WİNDOWS HARDENİNG S A Y F A | 47 Varsayılan:
Enabled
Network access: Do not allow anonymous enumeration of SAM accounts and shares
Enabled Bu ayar, SAM veritabanında kayıtlı olan kullanıcıların ve paylaşımların, anonim kullanıcılar tarafından listelenip listelenemeyeceğini belirler.
Varsayılan:
Enabled
Network access: Do not allow storage of credentials or .NET Passports for network authentication
Enterprise Member Server/Enterprise Domain Controller:
Not Defined
Bu ayar, Stored User Names and Passwords özelliğinin bir Domain authentication işleminin ardından kimlik bilgilerini saklayıp saklamayacağını belirler.
Varsayılan:
Disabled
Network access: Let Everyone permissions apply to anonymous users
Disabled Bu ayar, bir sisteme erişen anonim kullanıcılara hangi ek izinlerin atanacağını belirler. Bu ayarın aktif edilmesi durumunda, anonim kullanıcılar Domain hesaplarının bilgilerini listeleyebilirler.
Varsayılan:
Disabled
Network access: Named Pipes that can be accessed anonymously
Enterprise Member Server/Enterprise Domain Controller:
Not Defined
Bu ayar, hangi iletişim kanallarının anonim erişime izin veren özelliklere sahip olacağının belirlenmesini sağlar.
Varsayılan:
WİNDOWS HARDENİNG S A Y F A | 48 None
Network access: Remotely accessible registry paths
Enterprise Member Server/Enterprise Domain Controller:
Not Defined
Bu ayar, bir uygulama veya bir process’in hangi kayıt defteri anahtarlarına erişim sağlayabileceğini belirler.
Varsayılan:
• System \CurrentControlSet
\Control \ ProductOptions
• System \CurrentControlSet
\Control \Server Applications
• Software \Microsoft \Windows NT
\CurrentVersion Network access: Restrict
anonymous access to Named Pipes and Shares
Enabled Bu ayar, anonim kullanıcıların
adlandırılmış kanallara veya dosya paylaşımlarına erişimlerini kısıtlar. Bu ayarın aktif edilmesi durumunda aşağıdaki seçenekler kontrol edilir:
• Network access: Named pipes that can be accessed anonymously
• Network access: Shares that can be accessed anonymously paylaşımlarına erişilebileceğini belirler.
Varsayılan: authenticate as themselves
Bu ayar, ağ oturumlarının kimlik doğrulama seçeneğini belirler. “Classic”
seçeneği, aynı kaynak için farklı kullanıcılara farklı erişim türleri atar ve kaynak erişimi konusunda hassas kontrol sağlar.
WİNDOWS HARDENİNG S A Y F A | 49 Varsayılan:
Server-> Guest only
Domain Controller->Classic değerinin saklanıp saklanmayacağını belirler.
Varsayılan:
Windows XP->Disabled
Windows Vista ve üzeri->Enabled
Network security: LAN Manager authentication level
Enterprise Member Server/Enterprise Domain Controller:
Send NTLMv2
response only
LAN Manager (LM), kullanıcıların kişisel bilgisayarlarının tek bir ağda birbirine bağlamasına olanak tanıyan bir Microsoft yazılımıdır. LAN Manager; LM, NTLM ve NTLMv2 kimlik doğrulama protokollerini içerir. LAN Manager aşağıdaki işlemlerin gerçekleştirilmesi için kullanıcıların kimlik doğrulama işlemi yapmalarını destekler:
• Bir cihazı Domain ortamına dahil etme
• Active Directory Forest’lar arasında kimlik doğrulama
• Windows 2000, Windows Server 2003 veya Windows XP
çalıştırmayan sistemlerde kimlik doğrulama
• Domain ortamına bağlı olmayan cihazlarda kimlik doğrulama
•
Bu ayar aşağıdaki değerleri alabilir:
• Send LM & NTLM responses
• Send LM & NTLM — use NTLMv2 session security if negotiated
• Send NTLM responses only
• Send NTLMv2 responses only
• Send NTLMv2 responses only\refuse LM
• Send NTLMv2 responses only\refuse LM & NTLM
• Not Defined
WİNDOWS HARDENİNG S A Y F A | 50 Varsayılan:
Windows 2000 ve Windows XP-> Send LM
& NTLM responses
Windows Server 2003->Send NTLM response only
Windows Vista, Windows Server 2008, Windows 7, and Windows Server 2008
R2->Send NTLMv2 response only
Network security: LDAP client signing requirements
Require signing Bu ayar, LDAP BIND isteklerini işleyen istemciler için veri imzalama düzeyini belirler. Bu ayar aşağıdaki değerleri alabilir:
• None
• Negotiate signing
• Require signature
• Not Defined
Varsayılan:
Negotiate signing
Network security: Minimum session security for NTLM SSP based (including secure RPC) clients
Require NTLMv2 session security, Require 128-bit encryption
Bu ayar NTLM SSP kullanan cihazlar için hangi davranışlara izin verileceğini belirler.
Varsayılan:
Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003 ve Windows Server 2008 -> No requirements
WİNDOWS HARDENİNG S A Y F A | 51 Windows 7 ve Windows Server 2008 R2 ->
Require 128-bit encryption
Recovery console: Allow automatic administrative logon
Disabled Recovery console, sistem sorunlarını çözmek için kullanılan bir komut satırı ortamıdır. Bu ayarın etkinleştirilmesi durumunda, yönetici hesapları recovery console üzerinde otomatik kimlik doğrulama işlemi gerçekleştirir. Bu durum güvenlik riski oluşturabilir.
Varsayılan:
Not Allowed
Recovery console: Allow floppy copy and access to all drives and all folders
Enterprise Member Server/Enterprise Domain Controller:
Not Defined
Bu ayar, recovery console çevre değişkenlerinin ayarlanmasına olanak tanıyan Recovery Console SET komutunu kullanılabilir hale getirir. Çevre değişkenleri aşağıda yer almaktadır:
• AllowWildCards
• AllowAllPaths
• AllowRemovableMedia
• NoCopyPrompt Shutdown: Clear virtual
memory pagefile
Disabled Bu ayar, sistem kapatıldığında sanal belleğin page dosyasının temizlenip temizlenmeyeceğini belirler.
Varsayılan:
Disabled
Shutdown: Allow system to be shut down without having to log on
Disabled Bu ayar, sistem üzerinde oturum açmadan sistemin kapatılıp kapatılamayacağının belirlenmesini sağlar.
Varsayılan:
Workstation->Enabled
WİNDOWS HARDENİNG S A Y F A | 52 Server->Disabled
System objects: Require case insensitivity for non-Windows subsystems
Enabled Bu ayar, alt sistemler için büyük/küçük harf
duyarlılığının uygulanıp
uygulanmayacağını belirler. Windows sistemler büyük/küçük harfe duyarlı değildir. Ancak UNIX (POSIX) sistemler büyük/küçük harfe duyarlıdır. Bu ayarın aktifleştirilememesi durumunda, POSIX sistem kullanıcıları başka bir dosya ile aynı ada sahip olan, ancak büyük/küçük harfleri farklı olan bir dosya oluşturabilir. Bu durum Windows sistem üzerinden dosyalara erişmek isteyen bir kullanıcının aynı ada sahip 2 dosyadan sadece 1 dosyayı kullanabilmesine neden olur.
Varsayılan:
Enabled
System objects: Strengthen default permissions of internal system objects (e.g.
Symbolic Links)
Enabled Bu ayar, nesneler için varsayılan DACL ayarlarının gücünü belirler. Bu ayar işlemler arasında konumlandırılabilen ve paylaşılabilen nesnelerin güvenliğini sağlamaya yardımcı olur.
Varsayılan:
Enabled
System cryptography: Force strong key protection for user keys stored on the computer
Enterprise Member Server/Enterprise Domain Controller:
User must enter a password each time they use a key
Bu ayar, kullanıcıların S/MIME anahtarı gibi private anahtarlarını kullanabilmeleri için bir parola belirlemelerini sağlar. Böyle bir durumda bu anahtarlara erişim sağlayabilen bir saldırgan, kullanıcıya ait anahtarları kullanamayacaktır.
System settings: Optional subsystems
None Bu ayar, uygulamaları desteklemek için isteğe bağlı olarak hangi alt sistemlerin başlatılabileceğini belirler. Bu ayar ile
WİNDOWS HARDENİNG S A Y F A | 53 uygulamaları destekleyecek olan birçok alt
sistem belirtilebilir.
Varsayılan:
POSIX
System settings: Use Certificate Rules on Windows Executables for Software Restriction Policies
Enterprise Member Server/Enterprise Domain Controller:
Not Defined
Bu ayar, .exe uzantılı dosyalar çalıştırıldığında dijital sertifikaların işlenip işlenmeyeceğini belirler. Bu ayar yazılım kısıtlamaları için sertifika kurallarının etkinleştirilmesi veya devre dışı bırakılması için kullanılır.
Varsayılan:
Disabled
User Account Control: Use Admin Approval Mode for the built-in Administrator account
Enabled Bu ayar Administrator hesabı için Admin Approval Mode özelliğinin aktif olup olmayacağını belirler. Bu özelliğin aktif edilmesi durumunda, Administrator hesabı standart bir kullanıcı gibi çalışır, ancak gerekli durumlarda yüksek yetkilerle işlemler yapabilir.
User Account Control:
Behavior of the elevation prompt for administrators in Admin Approval Mode
Elevate without prompting seçeneği seçilmemelidir.
Bu ayar, yönetici kimlik bilgilerine sahip hesapların yüksek yetkilerle işlem yapmak
istemesi durumunda UAC
mekanizmasının davranışını belirler.
User Account Control:
Behavior of the elevation prompt for standard users
Automatically deny elevation requests,
Prompt for
credentials
Bu ayar, standart hesapların yüksek yetkilerle işlem yapmak istemesi durumunda UAC mekanizmasının davranışını belirler.
User Account Control: Detect application installations and prompt for elevation
Enabled Bu ayar, bir kurulum işlemi sırasında farklı programların çalıştırılması durumunda UAC mekanizmasının davranışını belirler.
Bu ayar aktif edilirse, kurulum sırasında yetki yükseltilmesi gereken durumlarda kullanıcıdan yönetici haklarına sahip bir kullanıcının kimlik bilgileri istenir.
WİNDOWS HARDENİNG S A Y F A | 54 User Account Control: Only
elevate executables that are signed and validated
Enabled Bu ayar, sadece imzalanmış ve
doğrulanmış dosyaların çalıştırılması durumunda UAC mekanizmasının yüksek yetkilerle işlemler yapmasına olanak verir.
User Account Control: Run all administrators in Admin Approval Mode
Enabled Bu ayar tüm yönetici hesapları için Admin Approval Mode özelliğinin aktif olup olmayacağını belirler. Bu özelliğin aktif edilmesi durumunda, yönetici hesapları standart bir kullanıcı gibi çalışır, ancak gerekli durumlarda yüksek yetkilerle işlemler yapabilir.
User Account Control: Switch to the secure desktop when prompting for elevation
Enabled Bu ayar, yüksek yetkilerle işlem yapmak istenmesi durumunda UAC davranışının kullanıcı masaüstünde ya da güvenli masaüstünde görüntülenmesini sağlar.
User Account Control:
Virtualize file and registry write failures to per-user locations
Enabled Bu ayar, uygulamaların yazma hatalarının kayıt defterinde ve dosya sisteminde tanımlanan konumlara yeniden yönlendirilmesini etkinleştirir veya devre dışı bırakır.
User Account Control: Allow UIAccess applications to prompt for elevation without using the secure desktop
Disabled Bu ayar, standart bir kullanıcı tarafından yapılan yüksek yetkili bir işlem yapma talebi için güvenli masaüstünün devre dışı bırakılıp bırakılmayacağını belirler.
User Account Control: Only elevate UIAccess applications that are installed in secure locations
Enabled Bu ayar, uygulamaların UIAccess bütünlük düzeyinde çalıştırılmasının talep edilmesi durumunda, bu uygulamaların dosya sistemi içerisinde güvenli bir konumda yer alıp almaması gerektiğini kontrol eder.
Güvenli konumlar aşağıda yer almaktadır:
• \Program Files\*
• \Windows\system32\
• \Program Files (x86)\*
WİNDOWS HARDENİNG S A Y F A | 55