WİNDOWS GÜVENLİK SIKILAŞTIRMALARI

(1)

WİNDOWS HARDENİNG S A Y F A | 0

WİNDOWS GÜVENLİK SIKILAŞTIRMALARI

Yazar: Ramin KARIMKHANI

Tarih: 20.02.2021

(2)

İÇİNDEKİLER

WINDOWS GÜVENLİK SIKILAŞTIRMALARI ... 4

KULLANICI POLİTİKALARI (ACCOUNT POLICIES) ... 4

DENETİM POLİTİKALARI (AUDIT POLICIES) ... 8

OLAY LOGLARI (EVENT LOG) ... 18

WINDOWS FIREWALL ... 19

WINDOWS UPDATE ... 23

KULLANICI HAKLARI (USER RIGHTS ASSIGNMENT) ... 25

GÜVENLİK SEÇENEKLERİ (SECURITY OPTIONS) ... 40

UZAK MASAÜSTÜ SERVİSİ (REMOTE DESKTOP SERVICES)... 55

İNTERNET İLETİŞİMİ (INTERNET COMMUNICATIONS) ... 57

EK ÖZELLİKLER ... 59

(3)

PRİVİA SECURİTY HAKKINDA

Siber güvenlik alanında “Privacy For You” sloganı ile hareket ederek güvenlik ve gizlilik kavramlarına farklı bir bakış açısı getirmeyi planlayan Privia Security, sahip olduğu tecrübesi ve uzman kadrosu ile sektördeki yerini 2018 yılında aldı.

Alanında uzman ve araştırmacı kadrosu ile kurumların siber güvenlik alanındaki tüm ihtiyaçlarına çözüm geliştirmek misyonuyla hareket eden Privia Security, ülkemizin önde gelen siber güvenlik araştırmacılarını kadrosunda barındırmaktadır.

Privia Security, kurumların IT ve OT varlıklarına yönelik sızma (penetrasyon) testleri siber güvenlik eğitimleri, red team ve kurumlara özel geliştirilen yazılımlar gibi çözümlerle siber güvenlik sektöründe fark yaratmayı amaçlamaktadır.

Privia Security olarak İstanbul ve Ankara‘da bulunan ofislerimizin yanı sıra Cumhuriyet Teknopark‘ta bulunan Ar-Ge merkezimizde müşterilerimize ve sektöre fayda üreten çalışmalarımıza devam etmekteyiz.

PriviaSecurity.com | @PriviaSec | info@priviasecurity.com

(4)

GİRİŞ

Kurumsal ortamları etkileyen güvenlik tehditleri sürekli olarak gelişme göstermektedir. Bu nedenle güvenlik uzmanları gelişen tehditleri düzenli olarak takip etmeliler ve bu tehditleri azaltmak için güvenlik önlemleri almalıdırlar.

Kurumlar tarafından en çok kullanılan işletim sistemi, Windows işletim sistemidir. Bu durum, Windows sistemleri etkileyen güvenlik tehditlerine karşı kurum altyapısını tehlikeye maruz bırakabilir.

Microsoft her bir Windows Server sürümünü, varsayılan konfigürasyonları iyileştirerek yayınlar. Ancak bu durum, varsayılan konfigürasyonlara sahip bir Windows Server işletim sisteminin gerekli tüm güvenlik önlemlerine sahip olduğu anlamına gelmez. Her bir kurumun en iyi güvenlik önlemleri anlayışı, ihtiyaçlara göre farklılık göstermektedir. Örneğin; bir banka müşteri hesaplarını korumaya odaklanırken, bir e-ticaret şirketi web uygulamalarını korumaya odaklanabilir. Ancak tüm kurumların ortak noktası, sistemlerini güvenlik tehditlerine karşı güvende tutmaktır. Bu nedenle tüm kurumlar bir güvenlik standartına dayanarak, Windows sunuculara temel güvenlik sıkılaştırmalarını uygulamalıdırlar.

CIS (The Center for Internet Security), siber güvenlik adına en iyi çözümleri belirleyen,

geliştiren, doğrulayan ve tanıtan, kar amacı gütmeyen bir kuruluştur. CIS, güvenlik

çözümleri ve standartlar için; hükumetlerden, iş dünyasından, akademiden ve BT

uzmanlarından yararlanır. CIS, Windows Server işletim sistemi sıkılaştırmaları için

Group Policy nesnelerine dayanan bir sıkılaştırma standardı sunmaktadır. Bu

standart; güvenlik mühendisleri, ürün grupları, iş ortakları ve müşterilerden gelen

geri bildirimlere dayanmaktadır. Bu yazıda, CIS Windows Server sıkılaştırma

standartına ve Windows güvenlik temeline dayanarak hazırlanmış olan, Windows

Server temel sıkılaştırma maddeleri yer almaktadır.

(5)

WINDOWS GÜVENLİK SIKILAŞTIRMALARI

KULLANICI POLİTİKALARI (ACCOUNT POLICIES)

Kullanıcı hesap politikaları, Active Directory ve Windows kimlik doğrulamasını kullanan SQL Server, IIS veya Exchange gibi uygulamalar için kimlik doğrulama denetimlerini içerir. Bu bölüm; Password Policy, Account Lockout Policy ve Kerberos Policy olmak üzere 3 başlığa ayrılır. Kullanıcı hesap politikaları için uygulanması gereken sıkılaştırma ayarları aşağıda yer almaktadır. Bu ayarları Computer Configuration > Policies > Security Settings > Account Policies üzerinden yapılandırabilirsiniz.

Password Policy

Kullanıcı Politikaları Sıkılaştırma Ayarı Açıklama

Enforce password 24 Bu ayar, bir kullanıcı hesabına ait eski bir parolanın, kaç adet yeni parola kullanımından sonra yeniden kullanılabileceğini belirler. (0-24)

Varsayılan:

Domain Controller -> 24 Stand-alone Server -> 0

Maximum password age 30-90 gün Bu ayar, bir kullanıcının belirlediği bir parolayı en fazla ne kadar süre kullanabileceğini belirler. (0-998 gün) Varsayılan:

42 gün

Minimum password age 1 gün veya daha fazla Bu ayar, bir kullanıcının belirlediği bir parolayı en az ne kadar süre kullanabileceğini belirler. (1-998 gün) Varsayılan: Domain Controller -> 1 gün Stand-alone Server -> 0

(6)

WİNDOWS HARDENİNG S A Y F A | 5 Minimum password

length

8 karakter Bu ayar, bir kullanıcı hesabına ait parolanın minimum kaç karakter uzunluğunda olması gerektiğini belirler.

Varsayılan:

Domain Controller -> 7 karakter Stand-alone Server -> 0

Password must meet complexity requirements

Enabled Bir Windows kullanıcı hesabı için tanımlanan karmaşık parolanın aşağıdaki özelliklere sahip olması gerekir:

• Parola, kullanıcının hesap adını veya tam adının iki ardışık karakteri geçen kısımlarını içermemelidir.

• En az 6 karakter uzunluğunda olmalıdır.

• Aşağıdaki dört kategoriden en az üçüne ait karakterleri içermelidir:

o İngilizce Büyük Harf (A-Z) o İngilizce Küçük Harf (a-z) o Rakam (0-9)

o Özel Karakterler (örneğin!, $,

#,%)

Bu ayar, bir parola karmaşıklığının aktif edilmesi veya devre dışı bırakılması için kullanılır.

Varsayılan:

Domain Controller -> Enabled Stand-alone Server -> Disabled

Store passwords using reversible encryption

Disabled Bu ayar, parolaların reversible encryption yöntemi kullanılarak saklanması veya saklanmaması için kullanılır. Reversible encryption yöntemi, parolaları açık metin olarak saklar ve yüksek güvenlik seviyesinin düşürülmesine neden olur.

Varsayılan:

Disabled

(7)

Account Lockout Policy

Kullanıcı Politikaları Sıkılaştırma Ayarı Açıklama

Account lockout duration 15 dakika (minimum) Bu ayar, belirli bir sınıra ulaşan hatalı parola denemesi sonucunda kilitlenen bir kullanıcı hesabının yeniden kullanılabilir hale gelmesi için geçmesi gereken süreyi belirler.

Varsayılan:

None

Account lockout threshold

10 deneme Bu ayar, bir kullanıcı hesabının kilitlenmesi için üst üste girilmesi gereken hatalı parola deneme sayısını belirler.

Varsayılan:

0

Reset account lockout counter after

15 dakika (minimum) Bu ayar, bir kullanıcı hesabının kilitlenmesine neden olacak olan hatalı deneme sayısının, ne kadar süre sonra sıfırlanması gerektiğini belirler. Örneğin; üst üste 5 adet hatalı giriş yapan bir kullanıcı, bu ayar ile belirlenen süre kadar bekledikten sonra yeniden hatalı giriş yaparsa, bu durumda hatalı giriş sayısı 0’dan itibaren sayılacaktır.

Varsayılan:

None

Kerberos Policy

Kullanıcı Politikaları Sıkılaştırma Ayarı Açıklama

Enforce user logon restrictions

Enabled Bu ayar, KDC'nin her oturum bileti talebini kullanıcı hakları politikasına göre doğrulayıp doğrulamadığını belirler. Bir oturum bileti için her talebin doğrulanması isteğe bağlı gerçekleşir. Bunun sebebi

(8)

WİNDOWS HARDENİNG S A Y F A | 7 işlemin fazla zaman alması ve servislere

yapılan ağ erişiminin yavaşlamasına neden olmasıdır.

Varsayılan:

Enabled

Maximum tolerance for

computer clock

synchronization

5 dakika Kerberos V5, Replay saldırılarını önlemek için protokol tanımının bir parçası olarak zaman damgaları kullanır. Zaman damgalarının düzgün çalışması için, istemci ve Domain Controller saatlerinin olabildiğince senkronize olması gerekir.

Dolayısıyla her iki bilgisayarın da aynı saat ve tarihe ayarlanması gerekir.

Bu ayar, istemci saati ile Domain Controller saati arasındaki zaman toleransını belirler.

Varsayılan:

5 dakika

Maximum lifetime for service ticket

600 dakika Bu ayar, bir oturum biletinin belirli bir servise erişmek üzere kullanılabileceği maksimum süreyi belirler.

Varsayılan:

600 dakika

Maximum lifetime for user ticket renewal

7 gün Bu ayar TGT’nin yenilenme süresini belirler.

Varsayılan:

7 gün

Maximum lifetime for user ticket

10 saat Bu ayar TGT’nin maksimum kullanım süresini belirler.

Varsayılan:

10 saat

(9)

DENETİM POLİTİKALARI (AUDIT POLICIES)

Güvenlik denetimlerinin amacı, gerçekleşen olayların loglanmasını sağlamaktır. Tüm olayların loglanması, olay günlüğünün gereksiz bir şekilde dolmasına neden olur.

Denetim ayarları ile hangi olayların loglanacağı belirlenebilir. Bu sayede logların karmaşıklığı giderilir.

Aşağıda denetim politikalarının sıkılaştırma ayarları yer almaktadır. Bu ayarları Computer Configuration > Policies > Security Settings > Local Policies > Audit Policy üzerinden yapılandırabilirsiniz.

Denetim Politikaları Sıkılaştırma Ayarı

Açıklama

Audit Account Logon Events Success and Failure

Bu ayar, kullanıcı hesaplarının gerçekleştirdiği her bir kimlik doğrulama işleminin denetlenip denetlenmeyeceğini belirler.

Bu ayar ile; başarılı, başarısız ve hem başarılı hem de başarısız kimlik doğrulama işlemlerinin denetimi sağlanabilir.

Audit Account Management Success and Failure

Bu ayar, hesap yönetimi olaylarının denetlenip denetlenmeyeceğini belirler.

Örnek hesap yönetimi olayları aşağıda yer almaktadır:

• Bir kullanıcı hesabı veya grup oluşturma, değiştirme veya silme

• Parola oluşturma veya bir hesabın parolasını değiştirme

Bu ayar ile; başarılı, başarısız ve hem başarılı hem de başarısız hesap yönetimi işlemlerinin denetimi sağlanabilir.

Audit Directory Service Access No Auditing Bu ayar, bir kullanıcı hesabının Active Directory nesnelerine yönelik erişim

denemelerinin, denetlenip

denetlenmeyeceğini belirler. Bu denetim yalnızca; belirtilen nesneler, istenen erişim türü (Read, Write, Modify) ve istekte bulunan

(10)

WİNDOWS HARDENİNG S A Y F A | 9 hesap SACL’deki ayarlarla eşleşirse

oluşturulur. Bu ayar ile; başarılı, başarısız ve hem başarılı hem de başarısız erişim denemelerinin denetimi sağlanabilir.

Audit Logon Events Success and

Failure

Bu ayar, kullanıcıların işletim sistemi üzerinde yaptığı oturum açma veya oturum kapatma olaylarının denetlenip denetlenmeyeceğini belirler. Bu ayar ile; başarılı, başarısız ve hem başarılı hem de başarısız oturum açma/kapama işlemlerinin denetimi sağlanabilir.

Audit Object Access Failure (minimum)

Bu ayar, bir kullanıcı hesabının Active Directory’den bağımsız nesnelere yönelik erişim denemelerinin, denetlenip denetlenmeyeceğini belirler. Bu denetim yalnızca; belirtilen nesneler, istenen erişim türü (Read, Write, Modify) ve istekte bulunan hesap SACL’deki ayarlarla eşleşirse oluşturulur. Bu ayar ile; başarılı, başarısız ve hem başarılı hem de başarısız erişim denemelerinin denetimi sağlanabilir.

Audit Policy Change Success (minimum)

Bu ayar; Change user rights assignment policy, Audit policy, Account policy, veya Trust policy üzerinde yapılan her bir değişikliğin denetlenip denetlenmeyeceğini belirler.

“Success” denetimi aktif edilirse, belirtilen politikalar üzerinde yapılan herhangi bir değişiklik işlemi başarılı olduğunda, bir denetim girdisi oluşturulur.

Audit Privilege Use Failure (minimum)

Bu ayar, kullanıcı hesaplarına ait yetkilerin kullanımını denetler. Ancak bu ayar tüm yetkilerin denetimini kapsamamaktadır.

Denetimin aktif edilmesi durumunda denetlenmeyecek olan kullanıcı yetkileri aşağıda yer almaktadır:

• ChangeNotifyPrivilege

• AuditPrivilege

• CreateTokenPrivilege

• AssignPrimaryTokenPrivilege

• BackupPrivilege

• RestorePrivilege

(11)

• DebugPrivilege

Audit Process Tracking No Audit Bu ayar; process oluşturma, process sonlandırma, bir process’i handle etme ve dolaylı nesne erişimi ile ilgili olayların denetlenip denetlenmeyeceğini belirler.

Audit System Events Success (minimum)

Bu ayar, işletim sistemi üzerinde gerçekleşen aşağıdaki olayların denetlenip denetlenmeyeceğini belirler:

• Sistem saati değişikliği

• Güvenlik sistemini başlatma veya kapatma girişiminde bulunulması

• Genişletilebilir kimlik doğrulama bileşenlerinin yüklenmesi

• Denetim sistemi problemi nedeniyle denetlenen olayların kaybı

• Konfigüre edilebilir bir seviyeyi aşan log boyutu

Audit: Shut down system immediately if unable to log security audits

Disabled Bu ayar, güvenlik olaylarının loglanmaması

durumunda sistemin kapanıp

kapanmayacağını belirler. Bu ayar aktif edilirse, herhangi bir nedenle bir güvenlik denetiminin loglanmaması, sistemin durmasına neden olur.

Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings

Enabled Local Security Policy veya geçerli bir GPO üzerinde üst düzey kategoriler için bir değer tanımlanırsa, bu durum alt kategorilerde yapılan tanımlamaları geçersiz kılar. Bu ayar aktif edilirse, alt kategorilerde yapılan tanımlamalar geçerli olur.

Gelişmiş güvenlik denetimi politikaları, olay loglarının gereksiz bilgilerle dolmasını

engellemek için, loglanacak olayların özelleştirilebilmesine olanak verir. Bu sayede

kritik olayların diğer olaylardan ayrıştırılması daha kolay hale gelir. Aşağıda gelişmiş

güvenlik denetimi politikalarının sıkılaştırma ayarları yer almaktadır. Bu ayarları

Computer Configuration > Policies > Security Settings > Advanced Audit Policy

Configuration > Audit Policies üzerinden yapılandırabilirsiniz.

(12)

System

Güvenlik Denetim Politikaları

Sıkılaştırma Ayarı

Açıklama

Audit IPsec Driver Success and

Failure

Bu ayar, IPsec sürücüsü tarafından oluşturulan aşağıdaki olayların denetlenip denetlenmeyeceğini belirler:

• IPsec servislerinin başlatılması ve durdurulması

• Bütünlük denetiminin başarısız olması nedeniyle ağ paketlerinin düşürülmesi

• Tekrarlama denetiminin başarısız olması nedeniyle ağ paketlerinin düşürülmesi

• Açık metin veriler içeren ağ paketlerinin düşürülmesi

• SPI (Security Parameter Index) ile alınan ağ paketleri (Bu olay, ağ kartının düzgün çalışmadığını veya sürücünün güncellenmesi

gerektiğini gösterebilir.)

• IPsec filtrelerinin işlenememesi Varsayılan:

No Auditing

Audit Security State Change Success and Failure

Bu ayar, aşağıda listelenen güvenlik olaylarında gerçekleşen değişikliklerin denetlenip denetlenmeyeceğini belirler:

• Bilgisayarın başlatılması ve kapatılması

• Sistem saatinin değişmesi

• Loglar dolmuş ve CrashOnAuditFail kayıt defteri girdisi yapılandırılmışsa, sistemin yeniden başlatıldıktan CrashOnAuditFail ile belirtilen noktaya döndürülmesi

Varsayılan:

Success

Audit Security System Extension

Success and Failure

Bu ayar, aşağıda listelenen sistem uzantılarının ve servislerle ilgili olayların denetlenmesine olanak tanır:

(13)

• Kimlik doğrulama, bildirim veya güvenlik paketi gibi bir güvenlik sistem uzantısının yüklenmesi ve LSA (Local Security Authority)’e kaydedilmesi

• Service Control Manager’a bir servis kurulması ve kaydedilmesi

Varsayılan:

No Auditing

Audit System Integrity Success and Failure

Bu ayar, aşağıda listelenen güvenlik altyapısının bütünlüğünü ihlal eden olayların denetlenip denetlenmeyeceğini belirler:

• Denetim sistemindeki bir problem nedeniyle olayların loglanamaması

• Bir istemcinin kimliğine bürünmek için geçersiz bir LPC portu

kullanılması

• Sistemin bütünlüğünü tehlikeye atan RPC çağrısının tespit edilmesi

• Code Integrity tarafından

tanımlanamayan bir dosyanın hash değerinin algılanması

• Sistem bütünlüğünü tehlikeye atan kriptografik işlemler

Varsayılan:

Success and Failure

Logon/Logoff

Güvenlik Denetim Politikaları

Sıkılaştırma Ayarı

Açıklama

Audit Logoff Success Bu ayar, bir oturumun kapatılması sonucu oluşan olayların denetlenip denetlenmeyeceğini belirler.

Audit Logon Success and

Failure

Bu ayar, bir kullanıcının oturum açması sonucu oluşan olayların denetlenip denetlenmeyeceğini belirler.

Audit Special Logon Success Bu ayar, aşağıda listelenen oturum açma/kapatma işlemlerinin denetlenip denetlenmeyeceğini belirler:

• RDP oturumunun sonlandırılması

(14)

• RDP oturumu oluşturulması

• Bir workstation’ın kilitlenmesi veya kilidin açılması

• Bir ekran koruyucu çağrılması

• Bir ekran koruyucunun kapatılması

• Bir Kerberos isteğinin aynı bilgilerle iki kez alındığı Kerberos replay saldırısının gerçekleştirilmesi

• Bir kullanıcının veya bir bilgisayar hesabının kablosuz ağa erişmesi

• Bir kullanıcının veya bir bilgisayar hesabının 802.1x ağına erişmesi Varsayılan:

No Auditing

Object Access

Güvenlik Denetim Politikaları

Sıkılaştırma Ayarı

Açıklama

Audit File System Failure Bu ayar, kullanıcıların dosya sistemi nesnelerine yönelik erişim denemelerinin denetlenip denetlenmeyeceğini belirler.

Denetim yalnızca SACL (system access control lists) ile belirtilen nesneler ve istenen erişim türü (Read, Write, Modify) ve istekte bulunan hesap SACL’deki ayarlarla eşleşirse oluşturulur.

Audit Registry Failure Bu ayar, kullanıcıların kayıt defteri nesnelerine yönelik erişim denemelerinin denetlenip denetlenmeyeceğini belirler. Bu denetim yalnızca; belirtilen nesneler, istenen erişim türü (Read, Write, Modify) ve istekte bulunan hesap SACL’deki ayarlarla eşleşirse oluşturulur.

Privilege Use

Güvenlik Denetim Politikaları

Sıkılaştırma Ayarı

Açıklama

Audit Sensitive Privilege Use No auditing Bu ayar, aşağıda listelenen hassas yetkiler kullanıldığında oluşan olayların denetlenmesine olanak tanır:

(15)

• İşletim sisteminin bir parçası olarak hareket etme

• Dosyaların ve dizinlerin yedeklenmesi

• Token oluşturma

• Processlerin debug edilmesi

• Delegasyon için bilgisayar ve kullanıcı hesaplarına güvenin aktif edilmesi

• Güvenlik denetimleri oluşturulması

• Kimlik doğrulama işleminden sonra bir istemcinin kimliğine bürünme

• Aygıt sürücülerinin yüklenmesi veya kaldırılması

• Denetim ve güvenlik olaylarının yönetilmesi

• Firmware çevre değişkenlerinin değiştirilmesi

• Process seviyesinde bir token’ın değiştirilmesi

• Dosya ve dizinlerin geri yüklenmesi

• Dosya ve diğer nesnelerin sahibinin değiştirilmesi

Detailed Tracking

Güvenlik Denetim Politikaları

Sıkılaştırma Ayarı

Açıklama

Audit Process Creation Success Bu ayar, bir process oluşturulduğunda veya başlatıldığında oluşan olayların denetlenip denetlenmeyeceğini belirler.

Policy Change

Güvenlik Denetim Politikaları

Sıkılaştırma Ayarı

Açıklama

Audit Audit Policy Change Success and Failure

Bu ayar, aşağıda listelenen güvenlik denetimi ayarlarında meydana gelen

değişikliklerin denetlenip

denetlenmeyeceğini belirler:

• Audit Policy nesnesinin denetim ayarlarının ve izinlerinin ayarlanması

• Sistem denetim politikasında değişiklik yapılması

• Güvenlik olayı kaynaklarının kaydının silinmesi

• Kullanıcı bazlı denetim ayarlarında yapılan değişiklikler

(16)

• CrashOnAuditFail değerinde değişiklik yapılması

• Special Groups listesinde değişiklik yapılması

Varsayılan:

Success

Audit Authentication Policy Change

Success Bu ayar, aşağıda listelenen kimlik doğrulama politikalarında meydana gelen

değişikliklerin denetlenip

denetlenmeyeceğini belirler:

• Forest ve Domain Trusts yapısının oluşturulması

• Forest ve Domain Trusts yapısının değiştirilmesi

• Forest ve Domain Trusts yapısının kaldırılması

• Kerberos politikasında değişiklik yapılması

• Bir kullanıcıya veya bir gruba aşağıdaki kullanıcı haklarından herhangi birinin verilmesi:

o Access This Computer From the Network.

o Allow Logon Locally.

o Allow Logon Through Terminal Services.

o Logon as a Batch Job.

o Logon a Service.

• Namespace değerlerinin çakışması

Varsayılan:

Success

Account Management

Güvenlik Denetim Politikaları

Sıkılaştırma Ayarı

Açıklama

Audit Security Group Management

Success and Failure

Bu ayar, güvenlik gruplarında yapılan değişiklikler sonucunda meydana gelen aşağıdaki olayların denetlenip denetlenmeyeceğini belirler:

(17)

• Güvenlik grubu oluşturma, değiştirme veya silme

• Bir gruba üye ekleme veya silme

• Grup türünü değiştirme

Varsayılan:

Success

Audit User Account Management

Success and Failure

Bu ayar, kullanıcı hesaplarındaki değişiklikler sonucunda meydana gelen aşağıdaki olayların denetlenip denetlenmeyeceğini belirler:

• Bir kullanıcı hesabının;

oluşturulması, değiştirilmesi, silinmesi, yeniden adlandırılması, devre dışı bırakılması,

etkinleştirilmesi, kilitlenmesi veya kilidinin açılması

• Bir kullanıcı hesabına parola atanması veya bir kullanıcısının parolasının değiştirilmesi

• Bir kullanıcı hesabının SID geçmişine SID değeri eklenmesi

• Directory Services Restore Mode parolasının yapılandırılması

• Yönetici kullanıcıların parolalarının değiştirilmesi

• Credential Manager kimlik

bilgilerinin yedeklenmesi veya geri yüklenmesi

Varsayılan:

Success

DS Access

Güvenlik Denetim Politikaları

Sıkılaştırma Ayarı

Açıklama

Audit Directory Service Access No Auditing Bu ayar, Active Directory Domain Services nesnesine erişilmesi sonucunda meydana gelen olayların denetimini sağlar. Yalnızca SACL ile eşleşen AD DS nesneleri loglanır.

(18)

WİNDOWS HARDENİNG S A Y F A | 17 Varsayılan:

Server-> Success Client -> No Auditing

Audit Directory Service Changes No Auditing Bu ayar, Active Directory Domain Services nesnelerinde yapılan değişiklikler sonucunda meydana gelen olayların denetimini sağlar. Bu olaylar yalnızca Domain Controller sunucularında loglanır ve yalnızca SACL ile eşleşen AD DS nesneleri loglanır.

Varsayılan:

No Auditing

Account Logon

Güvenlik Denetim Politikaları

Sıkılaştırma Ayarı

Açıklama

Audit Credential Validation Success and Failure

Bu ayar, kullanıcı hesabı kimlik bilgilerinde yapılan doğrulama testleri sırasında meydana gelen olayların denetlenmesine olanak verir. Bu olaylar yalnızca kimlik bilgileri üzerinde yetkili olan cihazda gerçekleşir. Domain hesapları için Domain Controller ve yerel hesaplar için yerel bilgisayar yetkilidir.

Varsayılan:

Server-> Success Client -> No Auditing

(19)

OLAY LOGLARI (EVENT LOG)

Group Policy ile olay loglarının boyutu ve logların saklanma ayarları yapılandırılabilir.

Ayrıca bu ayarlar bir GPO aracılığıyla tüm hedef sistemlere dağıtılabilir.

Aşağıda olay logları için sıkılaştırma ayarları yer almaktadır. Bu ayarları Computer Configuration > Policies > Security Settings > Event Log üzerinden yapılandırabilirsiniz.

Event Log Politikaları Sıkılaştırma Ayarı

Açıklama

Maximum Application Log Size

32768 KB veya daha fazla

Bu ayar, uygulama loglarının boyutunun maksimum boyutunu belirler. Bu değer 64KB’ın katları olmalıdır. Eğer bu özelliğe sahip bir değer belirlenmezse, girilen değer 64KB’ın katı olan bir değere yuvarlanır.

Retain application log Disabled Bu ayar, eğer uygulama logları için saklama yöntemi “By Days” olarak belirlenmişse, tutulacak logların gün sayısını belirler.

Maximum Security Log Size (KB)

Bu ayar, güvenlik loglarının boyutunun maksimum boyutunu belirler. Bu değer 64KB’ın katları olmalıdır. Eğer bu özelliğe sahip bir değer belirlenmezse, girilen değer 64KB’ın katı olan bir değere yuvarlanır.

Retain security log Disabled Bu ayar, eğer güvenlik logları için saklama yöntemi “By Days” olarak belirlenmişse, tutulacak logların gün sayısını belirler.

Maximum System Log Size (KB)

Bu ayar, sistem loglarının boyutunun maksimum boyutunu belirler. Bu değer 64KB’ın katları olmalıdır. Eğer bu özelliğe sahip bir değer belirlenmezse, girilen değer 64KB’ın katı olan bir değere yuvarlanır.

Retain system log Disabled Bu ayar, eğer sistem logları için saklama yöntemi “By Days” olarak belirlenmişse, tutulacak logların gün sayısını belirler.

(20)

WINDOWS FIREWALL

Tüm Windows işletim sistemi sürümleri zararlı işlemlere karşı temel koruma sağlamak amacıyla, varsayılan olarak yerel bir güvenlik duvarı içerir. Windows Firewall ile belirlenen kriterlere göre sisteme gelen ve sistemden giden trafik kontrol edilebilir. Group Policy ile Windows Firewall kuralları Active Directory Domain ortamında merkezi bir noktadan yapılandırılarak diğer sistemlere dağıtılabilir. Ayrıca bu kurallar stand-alone bir sunucu için de yapılandırılabilir.

Aşağıda Windows Firewall için sıkılaştırma ayarları yer almaktadır. Bu ayarları Computer Configuration > Administrative Templates > Network > Network Connections > Windows Firewall üzerinden yapılandırabilirsiniz.

Windows Firewall Politikaları

Sıkılaştırma Ayarı Açıklama

Windows Firewall: Allow ICMP exceptions (Domain)

Disabled Bazı yardımcı programlar, bir

sistemin durumunu belirlemek için ICMP paketleri gönderebilirler. Bu özelliğin devre dışı bırakılması durumunda, diğer cihazlar tarafından gönderilen PING istekleri güvenlik duvarı tarafından engellenir. Ancak 445/TCP numaralı porta erişim izni verilirse, bu ayar devre dışı bırakılsa bile sistem ICMP paketlerine cevap verir.

Windows Firewall: Allow ICMP exceptions (Standard)

Disabled Bazı yardımcı programlar, bir

sistemin durumunu belirlemek için ICMP paketleri gönderebilirler. Bu özelliğin devre dışı bırakılması durumunda, diğer cihazlar tarafından gönderilen PING isterkleri güvenlik duvarı tarafından engellenir. Ancak 445/TCP numaralı porta erişim izni verilirse, bu ayar devre dışı bırakılsa bile sistem ICMP paketlerine cevap verir.

(21)

WİNDOWS HARDENİNG S A Y F A | 20 Windows Firewall: Apply

local connection security rules (Domain)

No Bu ayar, yerel yöneticilerin bağlantı

güvenliği kuralları oluşturmalarına izin verilip verilmediğini kontrol eder. Bu ayar Group Policy tarafından yapılandırılan bağlantı güvenliği kurallarıyla birlikte uygulanır.

Windows Firewall: Apply local connection security rules (Private)

Windows Firewall: Apply local connection security rules (Public)

Windows Firewall: Apply local firewall rules (Domain)

Not Configured Bu ayar, yerel yöneticilerin firewall kuralları oluşturmalarına izin verilip verilmediğini kontrol eder. Bu ayar Group Policy tarafından yapılandırılan firewall kurallarıyla birlikte uygulanır.

Windows Firewall: Apply local firewall rules (Private)

Not Configured Bu ayar, yerel yöneticilerin firewall kuralları oluşturmalarına izin verilip verilmediğini kontrol eder. Bu ayar Group Policy tarafından yapılandırılan firewall kurallarıyla birlikte uygulanır

Windows Firewall: Apply local firewall rules (Public)

No Bu ayar, yerel yöneticilerin firewall kuralları oluşturmalarına izin verilip verilmediğini kontrol eder. Bu ayar Group Policy tarafından yapılandırılan firewall kurallarıyla birlikte uygulanır

(22)

WİNDOWS HARDENİNG S A Y F A | 21 Windows Firewall: Display a

notification (Domain)

Yes Bu ayar, Windows Firewall bir

programı exception listesine eklediğinde, Windows Firewall’un kullanıcılara bildirim göstermesine olanak verir.

Windows Firewall: Display a notification (Private)

Yes Bu ayar, Windows Firewall bir

Windows Firewall: Display a notification (Public)

No Bu ayar, Windows Firewall bir

Windows Firewall: Firewall state (Domain)

On Bu ayar, Domain ortamına bağlı

cihazların erişimi için firewall durumunu belirler.

Windows Firewall: Firewall state (Private)

On Bu ayar, private ağda bulunan

cihazların erişimi için firewall durumunu belirler.

Windows Firewall: Firewall state (Public)

On Bu ayar, public ağ üzerinden gelen

erişim istekleri için firewall durumunu belirler.

Windows Firewall: Inbound connections (Domain)

Block Bu ayar, Domain ortamına bağlı

cihazlardan gelen bağlantı isteklerine karşı güvenlik duvarının tepkisini belirler.

Windows Firewall: Inbound connections (Private)

Block Bu ayar, private ağda bulunan

cihazlardan gelen bağlantı isteklerine karşı güvenlik duvarının tepkisini belirler.

Windows Firewall: Inbound connections (Public)

Block Bu ayar, public ağ üzerinden gelen bağlantı isteklerine karşı güvenlik duvarının tepkisini belirler.

(23)

WİNDOWS HARDENİNG S A Y F A | 22 Windows Firewall: Prohibit

notifications (Domain)

Disabled Bu ayar, Windows Firewall bir

programı exception listesine eklediğinde, Windows Firewall’un kullanıcılara bildirim göstermesini engeller.

Windows Firewall: Prohibit notifications (Standard)

Disabled Bu ayar, Windows Firewall bir

programı exception listesine eklediğinde, Windows Firewall’un kullanıcılara bildirim göstermesini engeller.

Windows Firewall: Protect all network connections (Domain)

Enabled Bu ayar, Windows Firewall’u

etkinleştirir.

Windows Firewall: Protect all network connections (Standard)

Enabled Bu ayar, Windows Firewall’u

etkinleştirir.

(24)

WINDOWS UPDATE

Windows Update, tüm Windows sistemlerin güncellenmesini sağlamak için Microsoft’un sunduğu bir özelliktir. Bu güncellemeler; özellik geliştirmelerini, sürücü güncellemelerini, servis paketlerini, güvenlik güncellemelerini, kritik güncellemeleri ve diğer güncellemeleri içerebilir.

Group Policy ile Windows Update ayarlarında değişiklik yapılabilir. Aşağıda Windows Update için sıkılaştırma ayarları yer almaktadır. Bu ayarları Computer Configuration

> Administrative Templates > Windows Components > Windows Update üzerinden yapılandırabilirsiniz.

Windows Update Politikaları

Sıkılaştırma Ayarı Açıklama

Configure Automatic Updates

Enabled: 3 - Auto download and notify for install

Bu ayar, bilgisayarların Windows Update veya WSUS'tan güvenlik güncellemeleri alıp almayacağını belirler. Bu ayar aktif edilirse, işletim sistemi ağ bağlantısı üzerinden yeni güncellemeleri algılar ve ardından Windows Update veya intranet ağında bulunan bir siteden güncelleştirmeleri alır.

Bu ayar etkinleştirilirse, servisin nasıl çalışacağının belirlenmesi için

“Configure Automatic Updates Properties” kutusunda yer alan 3 seçenekten biri seçilir:

• Güncellemeleri indirmeden önce haber verin ve

yüklemeden önce tekrar bilgilendirin.

• Güncellemeleri otomatik olarak indirin ve kurulmaya hazır olduklarında haber verin.

• Güncellemeleri otomatik olarak indirin ve aşağıda belirtilen programa göre yükleyin.

(25)

WİNDOWS HARDENİNG S A Y F A | 24 Do not display 'Install

Updates and Shut Down' option in Shut Down Windows dialog box

Disabled Bu ayar “Shut Down Windows”

iletişim kutusunda ‘Install Updates and Shut Down’ seçeneğinin görüntülenip

görüntülenmeyeceğinin belirlenmesini sağlar.

Reschedule Automatic Updates scheduled installations

Enabled Bu ayar, önceden planlanan

Automatic Update

güncellemelerinin, sistem başlatıldıktan sonra devam edeceği süreyi belirler. Bu ayar aktif edilirse, önceden planlanan bir güncelleme işlemi, bilgisayar yeniden başlatıldıktan birkaç dakika sonra başlar.

(26)

KULLANICI HAKLARI (USER RIGHTS ASSIGNMENT)

Kullanıcı hakları, bir kullanıcının sistem üzerinde sahip olacağı yetkileri belirler. Bu haklar kullanıcıların bir sistem üzerinde veya Active Directory Domain ortamında gerçekleştirebileceği davranışları yönetir. Windows sistemlerde her grubun varsayılan hakları ve izinleri vardır. Bir kullanıcı bir grubun üyesi olduğunda, kullanıcıya o grubun hakları ve izinleri atanır.

Group Policy ile kullanıcı haklarının yönetimi sağlanabilir. Aşağıda kullanıcı hakları için sıkılaştırma ayarları yer almaktadır. Bu ayarları Computer Configuration >

Policies > Security Settings > Local Policies > User Rights Assignment üzerinden yapılandırabilirsiniz.

Kullanıcı Hakları Sıkılaştırma Ayarı Açıklama

Access this computer from the network (SeTrustedCredManAccessPrivilege)

Server:

Administrators,

Authenticated Users

Domain Controller:

Administrators,

Authenticated Users, ENTERPRISE DOMAIN CONTROLLERS

Bu ayar, hangi kullanıcıların veya hangi gruplarda bulunan kullanıcıların ağ üzerinden

sisteme bağlanıp

bağlanamayacağını belirler. Bu ayar, RDP servisini etkilemez.

Act as part of the operating system (SeTcbPrivilege)

No one Bu ayarın aktif edilmesi

durumunda, processler herhangi bir kullanıcının kimliğine bürünebilir ve o kullanıcının yetkilerini kullanarak makine üzerinde herhangi bir kaynağa erişim sağlayabilir.

Adjust memory quotas for a process (SeIncreaseQuotaPrivilege)

Enterprise Member Server/Enterprise Domain Controller:

Not Defined

Bu ayar, bir process tarafından tüketilebilecek olan maksimum bellek boyutunu, kimin değiştirebileceğini belirler.

(27)

Administrators Local Service Network Service

Back up files and directories (SeBackupPrivilege)

Not Defined

Bu ayar, sistemin yedeklenmesi için hangi kullanıcıların bütün dosya, dizin, kayıt defteri ayarları ve diğer nesnelere erişim sağlayabileceğini belirtir.

Varsayılan:

Server-> Administrators, Backup Operators

Domain Controller->

Administrators, Backup Operators, Server Operators

Bypass traverse checking (SeChangeNotifyPrivilege)

Enterprise Member Server:

Administrators,

Authenticated Users, Backup Operators, Local Service, Network Service

Enterprise Domain Controller: Not Defined

Bu ayar, bir kullanıcının erişim yetkisi olmasa dahi dizinler arasında gezinebilmesini sağlar. Bu yetkiye sahip bir kullanıcı sadece dizinleri gezebilir, ancak yetkisi olmadığı bir dizinin içeriğini listeleyemez.

Varsayılan:

Server-> Administrators

(28)

WİNDOWS HARDENİNG S A Y F A | 27 Backup Operators

Users Everyone Local Service Network Service

Domain Controller->

Administrators Authenticated Users Everyone

Local Service

Change the system time (SeSystemtimePrivilege)

LOCAL SERVICE, Administrators

Bu ayar, hangi kullanıcıların ve hangi grupların sistem saatini değiştirebileceğini belirler. Bu yetkiye sahip kullanıcılar, logların görünümünü etkileyebilir. Sistem saati değiştirilirse, loglar olayların meydana geldiği gerçek zamanı değil, yeni zamanı yansıtır.

Varsayılan:

Server->

Administrators Local Service

Domain Controller->

Administrators

(29)

WİNDOWS HARDENİNG S A Y F A | 28 Server Operators

Local Service

Create a pagefile

(SeCreatePagefilePrivilege)

Enterprise Domain Controller:

Not Defined

Windows, sabit sürücünün bir bölümünü, pagefile (sayfa dosyası) olarak bilinen sanal bellek olarak veya pagefile.sys olarak atar. Bu ayar, hangi kullanıcıların bir sayfa dosyası oluşturabileceğini veya değiştirebileceğini belirler.

Varsayılan:

Administrators

Create a token object

(SeCreateTokenPrivilege)

No One Bu ayar, bir process’in hassas verilere erişim sağlayabilmesi için yüksek yetkilere erişebileceği bir access token oluşturmasına izin verir. Bu yetki, gerekli olmadığı sürece SYSTEM hesabı dışında hiçbir

kullanıcı hesabına

atanmamalıdır. Bu yetkinin bir kullanıcı hesabına atanması güvenlik riski oluşturabilir.

Varsayılan:

None

Create global objects

(SeCreateGlobalPrivilege)

Enterprise Member Server/ Enterprise Domain Controller:

Not Defined

Bu ayar, kullanıcıların tüm kullanıcı oturumlarında kullanılabilen genel nesneler oluşturup oluşturamayacağını belirler. Bir kullanıcı bu yetkiye sahip değilse, yalnızca kendi oturumuna özgü nesnelere oluşturabilir. Ancak bu yetkinin bir kullanıcıya atanması durumunda, kullanıcı tüm

(30)

WİNDOWS HARDENİNG S A Y F A | 29 oturumlara müdahele edebilir

ve bu durum güvenlik riski oluşturabilir.

Varsayılan:

Administrators Local Service Network Service Service

Create permanent shared objects (SeCreatePermanentPrivilege)

No One Bu ayar, processlerin nesne yöneticisini kullanarak bir dizin nesnesi oluşturmak için hangi hesapları kullanılabileceğini belirler.

Varsayılan:

None

Debug programs (SeDebugPrivilege) Enterprise Member Server/ Enterprise Domain Controller:

Administrators

Bu ayar, kullanıcılara tüm processler için debug yetkisi verir. Bu yetkiye sahip olan bir kullanıcı yüksek yetkilere sahip kullanıcı processlerine erişim sağlayarak, sistem üzerindeki hassas ve kritik verilere erişim sağlayabilir.

Varsayılan:

Administrators

Deny access to this computer from the network (SeDenyNetworkLogonRight)

Guests Bu ayar, kullanıcıların sisteme ağ üzerinden erişimlerini engeller.

(31)

Guest

Enable computer and user accounts to be trusted for delegation (SeEnableDelegationPrivilege)

No One Bu ayar, kullanıcıların Active Directory ortamında “Trusted for Delegation” özelliğini değiştirebilmelerine olanak verir. Bu yetkiyi kötüye kullanan kullanıcılar, diğer kullanıcıların kimliğine bürünerek yetkisiz işlemler gerçekleştirebilirler.

Varsayılan:

Domain Controller->

Administrators

Force shutdown from a remote system (SeRemoteShutdownPrivilege)

Not Defined

Bu ayar, kullanıcıların sistemi ağ üzerinde uzak bir noktadan kapatabilmelerine olanak verir.

Bu yetkiyi kötüye kullanan kullanıcılar, sistem üzerinde DoS etkisi oluşturabilirler.

Varsayılan:

Domain Controller->

Administrators Server Operators

Impersonate a client after authentication

(SeImpersonatePrivilege)

Administrators,

SERVICE, Local Service, Network Service

Bu ayar, çalışan programların belirtilen kullanıcıların kimliğine bürünerek o kullanıcıların adına hareket etmesine izin verir.

(32)

Administrators Local Service Network Service Service

Increase scheduling priority (SeIncreaseBasePriorityPrivilege)

Not Defined

Bu ayar, bir process’e atanan önceliği artırmak için, başka bir process üzerinde “Write” yetkisi olan bir process’i hangi kullanıcıların kullanabileceğini belirler.

Varsayılan:

Administrators

Load and unload device drivers (SeLoadDriverPrivilege)

Administrators Bu ayar, hangi kullanıcıların aygıt sürücülerini çekirdek

modunda yükleyip

kaldırabileceğini belirler. Bu yetkinin düşük yetkili bir kullanıcı hesabına atanması güvenlik riski oluşturabilir.

Varsayılan:

Domain Controller->

Administrators

(33)

WİNDOWS HARDENİNG S A Y F A | 32 Print Operators

Lock pages in memory

(SeLockMemoryPrivilege)

Not Defined

Bu ayar, verileri fiziksel bellekte tutmak için hangi hesapların bir process’i kullanabileceğini belirler ve bu da sistemin verileri diskteki sanal belleğe sayfalandırmasını engeller. Bu ayrıcalığın kullanılması, mevcut RAM miktarını azaltarak sistem performansını önemli ölçüde etkileyebilir.

Varsayılan:

None

Manage auditing and security log SeSecurityPrivilege ()

Not Defined

Bu ayar, hangi kullanıcıların dosya ve dizinler için denetim seçeneklerini

değiştirebileceğini ve güvenlik loglarını temizleyebileceğini belirler.

Varsayılan:

Administrators

Modify firmware environment values (SeSystemEnvironmentPrivilege)

Not Defined

Bu ayar, kullanıcıların donanım konfigürasyonlarını etkileyen çevre değişkenlerini yapılandırmasına olanak tanır.

Bu değerlerin değiştirilmesi donanım arızasına neden olabilir.

Varsayılan:

Administrators

(34)

WİNDOWS HARDENİNG S A Y F A | 33 Perform volume maintenance tasks

(SeManageVolumePrivilege)

Not Defined.

Bu ayar, kullanıcıların sistem

birimleri ve disk

konfigürasyonlarını

yönetmelerine izin verir. Bu yetkinin kötüye kullanılması durumunda, kullanıcılar bir sistem birimini silebilir ve veri kaybına neden olabilir.

Varsayılan:

Administrators

Profile single process

(SeProfileSingleProcessPrivilege)

Administrators Bu ayar, hangi kullanıcıların sistem process’i olmayan processlerin performasını izlemek için, performans izleme araçlarını kullanabileceğini belirler.

Varsayılan:

Administrators Power users

Profile system performance (SeSystemProfilePrivilege)

Administrators Bu ayar, hangi kullanıcıların sistem processlerinin performasını izlemek için, performans izleme araçlarını kullanabileceğini belirler.

Varsayılan:

Administrators

Remove computer from docking station (SeUndockPrivilege)

Administrators Bu ayar, bir kullanıcının taşınabilir bir bilgisayarı ayırabilmesi için Start menüsünde “Eject PC”

(35)

WİNDOWS HARDENİNG S A Y F A | 34 seçeneğini tıklayabilmesine

olanak verir.

Varsayılan:

Administrators Power Users Users

Replace a process level token (SeAssignPrimaryTokenPrivilege)

LOCAL SERVICE, NETWORK SERVICE

Bu ayar, bir servisin veya bir process’in başka bir process veya servisi farklı bir access token ile başlatabilmesi için, kullanıcıların

CreateProcessAsUser() API’sini çağırabilmelerine olanak verir.

Varsayılan:

LOCAL SERVICE NETWORK SERVICE

Shut down the system

(SeShutdownPrivilege)

Administrators Bu ayar, hangi kullanıcıların sistemi kapatabileceğini belirler.

Varsayılan:

Workstation->

Administrators, Backup Operators, Users

Server->

Administrators, Backup Operators

(36)

WİNDOWS HARDENİNG S A Y F A | 35 Domain Controller->

Administrators, Backup Operators, Server Operators, Print Operators

Add workstations to domain (SeMachineAccountPrivilege)

Administrators Bu ayar, hangi kullanıcıların Active Directory Domain

ortamına cihaz

ekleyebileceğini belirler. Bu ayar yalnızca Domain Controller sunucular için geçerlidir. Varsayılan olarak bu yetkiye, kimliği doğrulanmış herhangi bir kullanıcı sahiptir ve bu kullanıcılar Domain ortamına en fazla 10 cihaz ekleyebilirler.

Allow log on locally

(SeInteractiveLogonRight)

Administrators Bu ayar, hangi kullanıcıların sunucu üzerinde oturum açabileceğini belirler.

Varsayılan:

Workstation-> Administrators, Backup Operators, Power Users, Users, and Guest

Server-> Administrators, Backup Operators, Power Users, Users, and Guest

Domain Controller-> Account Operators, Administrators, Backup Operators, and Print Operators

(37)

Change the time zone

(SeTimeZonePrivilege)

LOCAL SERVICE, Administrators

Bu ayar, hangi kullanıcıların saat dilimini değiştirebileceğini belirler.

Varsayılan:

Administrators Users

Create symbolic links

(SeCreateSymbolicLinkPrivilege)

Not Defined

Bu ayar, hangi kullanıcıların sembolik bağlantılar oluşturabileceğini belirler.

Varsayılan:

Administrator

Deny log on locally

(SeDenyInteractiveLogonRight)

Guests Bu ayar, hangi kullanıcıların sistem üzerinde oturum açmalarına izin verilmeyeceğini belirler.

Varsayılan:

None

Deny log on through Remote Desktop Services

(SeDenyRemoteInteractiveLogonRight)

Guests Bu ayar, hangi kullanıcıların sistem üzerinde RDP oturumu açmalarına izin verilmeyeceğini belirler.

Varsayılan:

None

Generate security audits (SeAuditPrivilege)

Enterprise Domain Controller: Not Defined.

Bu ayar, hangi kullanıcıların veya processlerin güvenlik loglarında denetim kayıtları oluşturabileceğini belirler.

(38)

WİNDOWS HARDENİNG S A Y F A | 37 Increase a process working set

(SeIncreaseWorkingSetPrivilege)

Not Defined

Bu ayar, hangi kullanıcıların bir process için RAM miktarını artırıp azaltabileceğini belirler.

Varsayılan:

Users

Log on as a batch job (SeBatchLogonRight)

No one

Not Defined

Bu ayar, kullanıcıların “Task Scheduler” servisini kullanarak oturum açmalarına izin verir.

Task Scheduler genellikle yönetimsel amaçlarla kullanıldığından dolayı, kurumsal ortamlarda gerekli olabilir. Ancak sistem kaynaklarının kötüye kullanımını önlemek veya saldırganların bir bilgisayara kullanıcı düzeyinde erişim sağladıktan sonra zararlı kod çalıştırmalarını engellemek için bu ayar yüksek güvenlikli ortamlarda kısıtlanmalıdır.

Varsayılan:

Administrators Backup Operators

Restore files and directories (SeRestorePrivilege)

Administrators, Backup Operators.

Bu ayar, yedeklenen dosyaların geri yüklenmesi sırasında hangi kullanıcıların dosya, dizin, kayıt defteri ve diğer nesneler üzerinde erişim kısıtlamalarını atlatabileceğini belirler.

Varsayılan:

(39)

WİNDOWS HARDENİNG S A Y F A | 38 Workstation-> Administrators,

Backup Operators

Domain Controller->

Take ownership of files or other objects (SeTakeOwnershipPrivilege)

Administrators Bu ayar, kullanıcıların; dosya, dizin, kayıt defteri anahtarları, processler veya threadlerin kullanıcısını

değiştirebilmelerine olanak verir.

Varsayılan:

Workstation-> Administrators, Backup Operators

Domain Controller->

Access credential Manager as a trusted caller

(SeTrustedCredManAccessPrivilege)

No One Bu ayar, yedekleme ve geri yükleme işlemi sırasında Credential Manager tarafından kullanılır. Bu yetki Winlogon'a atandığından dolayı, hiçbir hesap bu kullanıcı hakkına sahip olmamalıdır. Bu yetki

(40)

WİNDOWS HARDENİNG S A Y F A | 39 diğer varlıklara atanırsa,

kullanıcıların kimlik bilgileri tehlikeye girebilir.

Synchronize directory service data (SeSyncAgentPrivilege)

No One Bu ayar, hangi kullanıcıların

Active Directory

senkronizasyonu yetkisine sahip olduğunu belirler.

(41)

GÜVENLİK SEÇENEKLERİ (SECURITY OPTIONS)

Güvenlik seçenekleri, bir sistemin sergileyeceği davranışların belirlenmesi için güvenlik politikalarının konfigüre edilmesini sağlar. Bu ayarları Computer

Configuration > Policies > Security Settings > Local Policies > Security Options üzerinden yapılandırabilirsiniz.

Güvenlik Seçenekleri Sıkılaştırma Ayarı

Açıklama

Network security: Minimum session security for NTLM SSP based (including secure RPC) servers

Require NTLMv2 session security

Require 128-bit encryption.

Bu ayar, NTLM SSP kullanan uygulamalar için hangi davranışlara izin verileceğini belirler.

Network access: Remotely accessible registry paths and sub-paths

Domain Controller:

Not Defined

Bu ayar, bir uygulamanın veya process’in erişim izinlerini belirlemek için WinReg anahtarına başvurduğunda, hangi kayıt defteri anahtarlarına erişebileceğini belirler.

Accounts: Rename

administrator account

Administrator

hesabının yeni adı

"admin" metnini içermeyen bir değer almalıdır.

Bu ayar, yerel Administrator hesabının kullanıcı adını değiştirmek amacıyla kullanılır.

Accounts: Rename guest account

Guest hesabının yeni adı "guest" metnini içermeyen bir değer almalıdır.

Bu ayar, Guest hesabının kullanıcı adını değiştirmek amacıyla kullanılır.

Accounts: Guest account status

Disabled Bu ayar, Guest hesabını aktif etmek veya devre dışı bırakmak için kullanılır.

Network access: Allow anonymous SID/Name translation

Disabled Bu ayar, anonim bir kullanıcının başka bir kullanıcı için SID özelliklerini talep etme yetkisini aktif eder veya devre dışı bırakır.

Accounts: Limit local account use of blank passwords to console logon only

Enabled Bu ayar, parolası olmayan yerel hesaplarla, fiziksel bilgisayar dışında uzak bir noktadan oturum açılıp açılamayacağını belirler.

(42)

WİNDOWS HARDENİNG S A Y F A | 41 Devices: Allowed to format

and eject removable media

Administrators Bu ayar, hangi kullanıcıların format atabileceğini ve çıkarılabilir aygıtları çıkarabileceğini belirler.

Devices: Prevent users from installing printer drivers

Enabled Bu ayar, kullanıcıların yazıcı yükleme yetkilerini devre dışı bırakır.

Devices: Restrict CD-ROM access to locally logged-on user only

Not Defined

Bu ayar, bir CD-ROM'un aynı anda hem yerel hem de uzak kullanıcılar tarafından erişilebilir olup olmadığını belirler.

Devices: Restrict floppy access to locally logged-on user only

Not Defined

Bu ayar, bir floppy diskin aynı anda hem yerel hem de uzak kullanıcılar tarafından erişilebilir olup olmadığını belirler.

Domain member: Digitally encrypt or sign secure channel data (always)

Enabled Bu ayar, bir Domain üyesi tarafından başlatılan tüm güvenli kanal trafiğinin imzalanması veya şifrelenmesi gerekip gerekmediğini belirler.

Domain member: Digitally encrypt secure channel data (when possible)

Enabled Bu ayar, bir Domain üyesi tarafından başlatılan tüm güvenli kanal trafiğinin şifrelenmesi gerekip gerekmediğini belirler.

Domain member: Digitally sign secure channel data (when possible)

Enabled Bu ayar, bir Domain üyesi tarafından başlatılan tüm güvenli kanal trafiğinin imzalanması gerekip gerekmediğini belirler.

Domain member: Disable machine account password changes

Disabled Bu ayar, bir Domain kullanıcısının parolasının düzenli aralıklarla değiştirilip değiştirilmeyeceğini belirler. Bu ayar devre dışı bırakılırsa, kullanıcılar parolalarını

“Domain member: Maximum machine account password age” seçeneği ile belirtilen süre aralığında değiştirmek zorundadırlar.

(43)

WİNDOWS HARDENİNG S A Y F A | 42 Domain member: Maximum

machine account password age

30 gün Bu ayar, bir Domain kullanıcısına atanan parolanın maksimum süresini belirler.

Domain member: Require strong (Windows 2000 or later) session key

Enabled Bu ayarın aktif edilmesi durumunda, Domain ortamında bulunan Windows Server 2000 veya üzeri işletim sistemi sürümüne sahip sunucular, güvenli bir kanal üzerinden şifreli veri iletişimi gerçekleştirebilirler. Domain Controller sunucularının Windows Server 2000 tabanlı olmaması durumunda bu ayar devre dışı bırakılmalıdır.

Domain controller: Allow server operators to schedule tasks

Disabled

Not Defined

Bu ayar, Server Operators grubunda yer alan üyelerin AT zamanlama özelliği aracılığıyla işleri göndermesine izin verilip verilmediğini belirler.

Varsayılan:

Disabled

Domain controller: LDAP server signing requirements

Not Defined

Bu ayar, LDAP sunucusu ile LDAP istemcileri arasında, verilerin imzalanıp imzalanmaması gerektiği konusunda anlaşma yapmalarına izin verir.

Varsayılan:

None

Domain controller: Refuse machine account password changes

Disabled

Enterprise Member:

Not Defined

Bu ayar, Domain ortamına bağlı bilgisayarlar üzerinden gelen parola değişikliği isteklerinin Domain Controller tarafından reddedilip reddedilmeyeceğini belirler.

(44)

WİNDOWS HARDENİNG S A Y F A | 43 Interactive logon: Do not

display last user name

Enabled Bu ayar, istemci bilgisayarlarda oturum açan kullanıcıların hesap adlarının Windows oturum açma ekranında görüntülenip görüntülenmeyeceğini belirler. Yabancı kişilerin kurumsal ortamdaki bilgisayarlarda hesap adlarını görmelerini önlemek için bu ayar aktif edilmelidir.

Interactive logon: Do not require CTRL+ALT+DEL

Disabled Bu ayar, kullanıcıların oturum açmadan önce CTRL + ALT + DEL tuşlarına basması gerekip gerekmediğini belirler. Bu ayar devre dışı bırakılırsa, kullanıcıların oturum açmadan önce CTRL + ALT + DEL tuşlarına basmaları gerekir.

Interactive logon: Number of previous logons to cache (in case domain controller is not available)

1 kez Bu ayar, bir kullanıcının önbellekte saklanan hesap bilgilerini kullanarak Domain ortamında kaç kez oturup açabileceğini belirler.

Varsayılan:

Windows Server 2008-> 25 Diğer versiyonlar-> 10

Interactive logon: Prompt user to change password before expiration

14 gün Bu ayar, kullanıcıların parola süreleri dolmadan kaç gün önce uyarılmaya başlanacağını belirler.

Varsayılan:

5 gün

Interactive logon: Require

Domain Controller

authentication to unlock workstation

Enabled Kilitli bir sistemin kilidinin açılması için oturum açılması gerekir. Bu ayar, bir sistemin kilidinin kaldırılması için Domain authentication gerekip gerekmediğini belirler.

(45)

Disabled

Interactive logon: Smart card removal behavior

Lock Workstation Bu ayar, oturum açmış bir kullanıcıya ait smart kartın çıkarılması durumunda sistemin davranışını belirler.

Seçenekler:

No Action

Lock Workstation Force Logoff

Disconnect if a Remote Desktop Services session

Varsayılan:

No Action

Interactive logon: Require smart card

Not Defined

Bu ayar, kullanıcıların oturum açması için smart kart gerekip gerekmediğini belirler.

Varsayılan:

Disabled

Microsoft network client:

Digitally sign

communications (always)

Enabled SMB protokolü; dosya ve yazıcı paylaşımı, uzaktan Windows yönetimi gibi birçok ağ işlemi için temel oluşturur. SMB paketlerini değiştiren MITM saldırılarını önlemek için SMB protokolü, SMB paketlerinin dijital olarak imzalanmasını destekler. Yüksek güvenlikli ağlarda dijital imzaların uygulanması, “session hijacking”

saldırılarını önlemeye yardımcı olur.

(46)

WİNDOWS HARDENİNG S A Y F A | 45 Bu ayar, paketlerin SMB istemci bileşeni

tarafından imzalanıp imzalanmaması gerektiğini belirler. Bu ayarın aktif edilmesi durumunda istemci, sunucu SMB paketlerini imzalamayı kabul etmediği sürece iletişim kurmayı reddeder.

Varsayılan:

Disabled

Digitally sign

communications (if server agrees)

Enabled Bu ayar, paketlerin SMB istemci bileşeni tarafından imzalanıp imzalanmaması konusunda anlaşma yapılıp yapılmayacağını belirler. Bu ayarın aktif edilmesi durumunda, sunucu SMB paketlerinin imzalandığı bir iletişimi kabul ediyorsa, istemci paketleri imzalamayı kabul eder.

Varsayılan:

Enabled

Send unencrypted password to third-party SMB servers

Disabled Bu ayar, kimlik doğrulama sırasında parola şifrelemeyi desteklemeyen 3rd party SMB sunucularına açık metin parolalar gönderilip gönderilmeyeceğini belirler.

Parolaların açık metin olarak aktarılmaması için bu ayar devre dışı bırakılmalıdır.

Varsayılan:

Disabled

Microsoft network server:

Amount of idle time required before suspending session

15 dakika Bu ayar, bir SMB oturumunun askıya alınması için hiçbir işlemin yapılmadan ne kadar süre geçmesi gerektiğini belirler.

(47)

15 dakika

Digitally sign

communications (always)

Enabled Bu ayar, sunucu taraflı SMB servisinin SMB paketlerini imzalaması gerekip gerekmediğini belirler.

Varsayılan:

Server-> Disabled

Domain Controller->Enabled

Digitally sign

communications (if client agrees)

Enabled Bu ayar, paketlerin SMB sunucu bileşeni tarafından imzalanıp imzalanmaması konusunda anlaşma yapılıp yapılmayacağını belirler. Bu ayarın aktif edilmesi durumunda, istemci SMB paketlerinin imzalandığı bir iletişimi kabul ediyorsa, sunucu paketleri imzalamayı kabul eder.

Disconnect clients when logon hours expire

Disabled Bu ayar, geçerli oturum saatlari dışında sisteme bağlanan kullanıcıların bağlantılarının kesilip kesilmeyeceğini belirler. Bu ayarın devre dışı bırakılması durumunda, açılan bir SMB oturum süresi geçtikten sonra bile devam eder.

Varsayılan:

Windows XP-> Disabled

Windows Vista ve üzeri->Enabled

Network access: Do not allow anonymous enumeration of SAM accounts

Enabled Bu ayar, SAM veritabanında kayıtlı olan kullanıcıların anonim kullanıcılar tarafından listelenip listelenemeyeceğini belirler.

(48)

Enabled

Network access: Do not allow anonymous enumeration of SAM accounts and shares

Enabled Bu ayar, SAM veritabanında kayıtlı olan kullanıcıların ve paylaşımların, anonim kullanıcılar tarafından listelenip listelenemeyeceğini belirler.

Varsayılan:

Enabled

Network access: Do not allow storage of credentials or .NET Passports for network authentication

Not Defined

Bu ayar, Stored User Names and Passwords özelliğinin bir Domain authentication işleminin ardından kimlik bilgilerini saklayıp saklamayacağını belirler.

Varsayılan:

Disabled

Network access: Let Everyone permissions apply to anonymous users

Disabled Bu ayar, bir sisteme erişen anonim kullanıcılara hangi ek izinlerin atanacağını belirler. Bu ayarın aktif edilmesi durumunda, anonim kullanıcılar Domain hesaplarının bilgilerini listeleyebilirler.

Varsayılan:

Disabled

Network access: Named Pipes that can be accessed anonymously

Not Defined

Bu ayar, hangi iletişim kanallarının anonim erişime izin veren özelliklere sahip olacağının belirlenmesini sağlar.

Varsayılan: