WİNDOWS HARDENİNG S A Y F A | 0
WİNDOWS GÜVENLİK SIKILAŞTIRMALARI
Yazar: Ramin KARIMKHANI
Tarih: 20.02.2021
WİNDOWS HARDENİNG S A Y F A | 1
İÇİNDEKİLER
WINDOWS GÜVENLİK SIKILAŞTIRMALARI ... 4
KULLANICI POLİTİKALARI (ACCOUNT POLICIES) ... 4
DENETİM POLİTİKALARI (AUDIT POLICIES) ... 8
OLAY LOGLARI (EVENT LOG) ... 18
WINDOWS FIREWALL ... 19
WINDOWS UPDATE ... 23
KULLANICI HAKLARI (USER RIGHTS ASSIGNMENT) ... 25
GÜVENLİK SEÇENEKLERİ (SECURITY OPTIONS) ... 40
UZAK MASAÜSTÜ SERVİSİ (REMOTE DESKTOP SERVICES)... 55
İNTERNET İLETİŞİMİ (INTERNET COMMUNICATIONS) ... 57
EK ÖZELLİKLER ... 59
WİNDOWS HARDENİNG S A Y F A | 2
PRİVİA SECURİTY HAKKINDA
Siber güvenlik alanında “Privacy For You” sloganı ile hareket ederek güvenlik ve gizlilik kavramlarına farklı bir bakış açısı getirmeyi planlayan Privia Security, sahip olduğu tecrübesi ve uzman kadrosu ile sektördeki yerini 2018 yılında aldı.
Alanında uzman ve araştırmacı kadrosu ile kurumların siber güvenlik alanındaki tüm ihtiyaçlarına çözüm geliştirmek misyonuyla hareket eden Privia Security, ülkemizin önde gelen siber güvenlik araştırmacılarını kadrosunda barındırmaktadır.
Privia Security, kurumların IT ve OT varlıklarına yönelik sızma (penetrasyon) testleri siber güvenlik eğitimleri, red team ve kurumlara özel geliştirilen yazılımlar gibi çözümlerle siber güvenlik sektöründe fark yaratmayı amaçlamaktadır.
Privia Security olarak İstanbul ve Ankara‘da bulunan ofislerimizin yanı sıra Cumhuriyet Teknopark‘ta bulunan Ar-Ge merkezimizde müşterilerimize ve sektöre fayda üreten çalışmalarımıza devam etmekteyiz.
PriviaSecurity.com | @PriviaSec | info@priviasecurity.com
WİNDOWS HARDENİNG S A Y F A | 3
GİRİŞ
Kurumsal ortamları etkileyen güvenlik tehditleri sürekli olarak gelişme göstermektedir. Bu nedenle güvenlik uzmanları gelişen tehditleri düzenli olarak takip etmeliler ve bu tehditleri azaltmak için güvenlik önlemleri almalıdırlar.
Kurumlar tarafından en çok kullanılan işletim sistemi, Windows işletim sistemidir. Bu durum, Windows sistemleri etkileyen güvenlik tehditlerine karşı kurum altyapısını tehlikeye maruz bırakabilir.
Microsoft her bir Windows Server sürümünü, varsayılan konfigürasyonları iyileştirerek yayınlar. Ancak bu durum, varsayılan konfigürasyonlara sahip bir Windows Server işletim sisteminin gerekli tüm güvenlik önlemlerine sahip olduğu anlamına gelmez. Her bir kurumun en iyi güvenlik önlemleri anlayışı, ihtiyaçlara göre farklılık göstermektedir. Örneğin; bir banka müşteri hesaplarını korumaya odaklanırken, bir e-ticaret şirketi web uygulamalarını korumaya odaklanabilir. Ancak tüm kurumların ortak noktası, sistemlerini güvenlik tehditlerine karşı güvende tutmaktır. Bu nedenle tüm kurumlar bir güvenlik standartına dayanarak, Windows sunuculara temel güvenlik sıkılaştırmalarını uygulamalıdırlar.
CIS (The Center for Internet Security), siber güvenlik adına en iyi çözümleri belirleyen,
geliştiren, doğrulayan ve tanıtan, kar amacı gütmeyen bir kuruluştur. CIS, güvenlik
çözümleri ve standartlar için; hükumetlerden, iş dünyasından, akademiden ve BT
uzmanlarından yararlanır. CIS, Windows Server işletim sistemi sıkılaştırmaları için
Group Policy nesnelerine dayanan bir sıkılaştırma standardı sunmaktadır. Bu
standart; güvenlik mühendisleri, ürün grupları, iş ortakları ve müşterilerden gelen
geri bildirimlere dayanmaktadır. Bu yazıda, CIS Windows Server sıkılaştırma
standartına ve Windows güvenlik temeline dayanarak hazırlanmış olan, Windows
Server temel sıkılaştırma maddeleri yer almaktadır.
WİNDOWS HARDENİNG S A Y F A | 4
WINDOWS GÜVENLİK SIKILAŞTIRMALARI
KULLANICI POLİTİKALARI (ACCOUNT POLICIES)
Kullanıcı hesap politikaları, Active Directory ve Windows kimlik doğrulamasını kullanan SQL Server, IIS veya Exchange gibi uygulamalar için kimlik doğrulama denetimlerini içerir. Bu bölüm; Password Policy, Account Lockout Policy ve Kerberos Policy olmak üzere 3 başlığa ayrılır. Kullanıcı hesap politikaları için uygulanması gereken sıkılaştırma ayarları aşağıda yer almaktadır. Bu ayarları Computer Configuration > Policies > Security Settings > Account Policies üzerinden yapılandırabilirsiniz.
Password Policy
Kullanıcı Politikaları Sıkılaştırma Ayarı Açıklama
Enforce password 24 Bu ayar, bir kullanıcı hesabına ait eski bir parolanın, kaç adet yeni parola kullanımından sonra yeniden kullanılabileceğini belirler. (0-24)
Varsayılan:
Domain Controller -> 24 Stand-alone Server -> 0
Maximum password age 30-90 gün Bu ayar, bir kullanıcının belirlediği bir parolayı en fazla ne kadar süre kullanabileceğini belirler. (0-998 gün) Varsayılan:
42 gün
Minimum password age 1 gün veya daha fazla Bu ayar, bir kullanıcının belirlediği bir parolayı en az ne kadar süre kullanabileceğini belirler. (1-998 gün) Varsayılan: Domain Controller -> 1 gün Stand-alone Server -> 0
WİNDOWS HARDENİNG S A Y F A | 5 Minimum password
length
8 karakter Bu ayar, bir kullanıcı hesabına ait parolanın minimum kaç karakter uzunluğunda olması gerektiğini belirler.
Varsayılan:
Domain Controller -> 7 karakter Stand-alone Server -> 0
Password must meet complexity requirements
Enabled Bir Windows kullanıcı hesabı için tanımlanan karmaşık parolanın aşağıdaki özelliklere sahip olması gerekir:
• Parola, kullanıcının hesap adını veya tam adının iki ardışık karakteri geçen kısımlarını içermemelidir.
• En az 6 karakter uzunluğunda olmalıdır.
• Aşağıdaki dört kategoriden en az üçüne ait karakterleri içermelidir:
o İngilizce Büyük Harf (A-Z) o İngilizce Küçük Harf (a-z) o Rakam (0-9)
o Özel Karakterler (örneğin!, $,
#,%)
Bu ayar, bir parola karmaşıklığının aktif edilmesi veya devre dışı bırakılması için kullanılır.
Varsayılan:
Domain Controller -> Enabled Stand-alone Server -> Disabled
Store passwords using reversible encryption
Disabled Bu ayar, parolaların reversible encryption yöntemi kullanılarak saklanması veya saklanmaması için kullanılır. Reversible encryption yöntemi, parolaları açık metin olarak saklar ve yüksek güvenlik seviyesinin düşürülmesine neden olur.
Varsayılan:
Disabled
WİNDOWS HARDENİNG S A Y F A | 6
Account Lockout Policy
Kullanıcı Politikaları Sıkılaştırma Ayarı Açıklama
Account lockout duration 15 dakika (minimum) Bu ayar, belirli bir sınıra ulaşan hatalı parola denemesi sonucunda kilitlenen bir kullanıcı hesabının yeniden kullanılabilir hale gelmesi için geçmesi gereken süreyi belirler.
Varsayılan:
None
Account lockout threshold
10 deneme Bu ayar, bir kullanıcı hesabının kilitlenmesi için üst üste girilmesi gereken hatalı parola deneme sayısını belirler.
Varsayılan:
0
Reset account lockout counter after
15 dakika (minimum) Bu ayar, bir kullanıcı hesabının kilitlenmesine neden olacak olan hatalı deneme sayısının, ne kadar süre sonra sıfırlanması gerektiğini belirler. Örneğin; üst üste 5 adet hatalı giriş yapan bir kullanıcı, bu ayar ile belirlenen süre kadar bekledikten sonra yeniden hatalı giriş yaparsa, bu durumda hatalı giriş sayısı 0’dan itibaren sayılacaktır.
Varsayılan:
None
Kerberos Policy
Kullanıcı Politikaları Sıkılaştırma Ayarı Açıklama
Enforce user logon restrictions
Enabled Bu ayar, KDC'nin her oturum bileti talebini kullanıcı hakları politikasına göre doğrulayıp doğrulamadığını belirler. Bir oturum bileti için her talebin doğrulanması isteğe bağlı gerçekleşir. Bunun sebebi
WİNDOWS HARDENİNG S A Y F A | 7 işlemin fazla zaman alması ve servislere
yapılan ağ erişiminin yavaşlamasına neden olmasıdır.
Varsayılan:
Enabled
Maximum tolerance for
computer clock
synchronization
5 dakika Kerberos V5, Replay saldırılarını önlemek için protokol tanımının bir parçası olarak zaman damgaları kullanır. Zaman damgalarının düzgün çalışması için, istemci ve Domain Controller saatlerinin olabildiğince senkronize olması gerekir.
Dolayısıyla her iki bilgisayarın da aynı saat ve tarihe ayarlanması gerekir.
Bu ayar, istemci saati ile Domain Controller saati arasındaki zaman toleransını belirler.
Varsayılan:
5 dakika
Maximum lifetime for service ticket
600 dakika Bu ayar, bir oturum biletinin belirli bir servise erişmek üzere kullanılabileceği maksimum süreyi belirler.
Varsayılan:
600 dakika
Maximum lifetime for user ticket renewal
7 gün Bu ayar TGT’nin yenilenme süresini belirler.
Varsayılan:
7 gün
Maximum lifetime for user ticket
10 saat Bu ayar TGT’nin maksimum kullanım süresini belirler.
Varsayılan:
10 saat
WİNDOWS HARDENİNG S A Y F A | 8
DENETİM POLİTİKALARI (AUDIT POLICIES)
Güvenlik denetimlerinin amacı, gerçekleşen olayların loglanmasını sağlamaktır. Tüm olayların loglanması, olay günlüğünün gereksiz bir şekilde dolmasına neden olur.
Denetim ayarları ile hangi olayların loglanacağı belirlenebilir. Bu sayede logların karmaşıklığı giderilir.
Aşağıda denetim politikalarının sıkılaştırma ayarları yer almaktadır. Bu ayarları Computer Configuration > Policies > Security Settings > Local Policies > Audit Policy üzerinden yapılandırabilirsiniz.
Denetim Politikaları Sıkılaştırma Ayarı
Açıklama
Audit Account Logon Events Success and Failure
Bu ayar, kullanıcı hesaplarının gerçekleştirdiği her bir kimlik doğrulama işleminin denetlenip denetlenmeyeceğini belirler.
Bu ayar ile; başarılı, başarısız ve hem başarılı hem de başarısız kimlik doğrulama işlemlerinin denetimi sağlanabilir.
Audit Account Management Success and Failure
Bu ayar, hesap yönetimi olaylarının denetlenip denetlenmeyeceğini belirler.
Örnek hesap yönetimi olayları aşağıda yer almaktadır:
• Bir kullanıcı hesabı veya grup oluşturma, değiştirme veya silme
• Parola oluşturma veya bir hesabın parolasını değiştirme
Bu ayar ile; başarılı, başarısız ve hem başarılı hem de başarısız hesap yönetimi işlemlerinin denetimi sağlanabilir.
Audit Directory Service Access No Auditing Bu ayar, bir kullanıcı hesabının Active Directory nesnelerine yönelik erişim
denemelerinin, denetlenip
denetlenmeyeceğini belirler. Bu denetim yalnızca; belirtilen nesneler, istenen erişim türü (Read, Write, Modify) ve istekte bulunan
WİNDOWS HARDENİNG S A Y F A | 9 hesap SACL’deki ayarlarla eşleşirse
oluşturulur. Bu ayar ile; başarılı, başarısız ve hem başarılı hem de başarısız erişim denemelerinin denetimi sağlanabilir.
Audit Logon Events Success and
Failure
Bu ayar, kullanıcıların işletim sistemi üzerinde yaptığı oturum açma veya oturum kapatma olaylarının denetlenip denetlenmeyeceğini belirler. Bu ayar ile; başarılı, başarısız ve hem başarılı hem de başarısız oturum açma/kapama işlemlerinin denetimi sağlanabilir.
Audit Object Access Failure (minimum)
Bu ayar, bir kullanıcı hesabının Active Directory’den bağımsız nesnelere yönelik erişim denemelerinin, denetlenip denetlenmeyeceğini belirler. Bu denetim yalnızca; belirtilen nesneler, istenen erişim türü (Read, Write, Modify) ve istekte bulunan hesap SACL’deki ayarlarla eşleşirse oluşturulur. Bu ayar ile; başarılı, başarısız ve hem başarılı hem de başarısız erişim denemelerinin denetimi sağlanabilir.
Audit Policy Change Success (minimum)
Bu ayar; Change user rights assignment policy, Audit policy, Account policy, veya Trust policy üzerinde yapılan her bir değişikliğin denetlenip denetlenmeyeceğini belirler.
“Success” denetimi aktif edilirse, belirtilen politikalar üzerinde yapılan herhangi bir değişiklik işlemi başarılı olduğunda, bir denetim girdisi oluşturulur.
Audit Privilege Use Failure (minimum)
Bu ayar, kullanıcı hesaplarına ait yetkilerin kullanımını denetler. Ancak bu ayar tüm yetkilerin denetimini kapsamamaktadır.
Denetimin aktif edilmesi durumunda denetlenmeyecek olan kullanıcı yetkileri aşağıda yer almaktadır:
• ChangeNotifyPrivilege
• AuditPrivilege
• CreateTokenPrivilege
• AssignPrimaryTokenPrivilege
• BackupPrivilege
• RestorePrivilege
WİNDOWS HARDENİNG S A Y F A | 10
• DebugPrivilege
Audit Process Tracking No Audit Bu ayar; process oluşturma, process sonlandırma, bir process’i handle etme ve dolaylı nesne erişimi ile ilgili olayların denetlenip denetlenmeyeceğini belirler.
Audit System Events Success (minimum)
Bu ayar, işletim sistemi üzerinde gerçekleşen aşağıdaki olayların denetlenip denetlenmeyeceğini belirler:
• Sistem saati değişikliği
• Güvenlik sistemini başlatma veya kapatma girişiminde bulunulması
• Genişletilebilir kimlik doğrulama bileşenlerinin yüklenmesi
• Denetim sistemi problemi nedeniyle denetlenen olayların kaybı
• Konfigüre edilebilir bir seviyeyi aşan log boyutu
Audit: Shut down system immediately if unable to log security audits
Disabled Bu ayar, güvenlik olaylarının loglanmaması
durumunda sistemin kapanıp
kapanmayacağını belirler. Bu ayar aktif edilirse, herhangi bir nedenle bir güvenlik denetiminin loglanmaması, sistemin durmasına neden olur.
Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings
Enabled Local Security Policy veya geçerli bir GPO üzerinde üst düzey kategoriler için bir değer tanımlanırsa, bu durum alt kategorilerde yapılan tanımlamaları geçersiz kılar. Bu ayar aktif edilirse, alt kategorilerde yapılan tanımlamalar geçerli olur.
Gelişmiş güvenlik denetimi politikaları, olay loglarının gereksiz bilgilerle dolmasını
engellemek için, loglanacak olayların özelleştirilebilmesine olanak verir. Bu sayede
kritik olayların diğer olaylardan ayrıştırılması daha kolay hale gelir. Aşağıda gelişmiş
güvenlik denetimi politikalarının sıkılaştırma ayarları yer almaktadır. Bu ayarları
Computer Configuration > Policies > Security Settings > Advanced Audit Policy
Configuration > Audit Policies üzerinden yapılandırabilirsiniz.
WİNDOWS HARDENİNG S A Y F A | 11
System
Güvenlik Denetim Politikaları
Sıkılaştırma Ayarı
Açıklama
Audit IPsec Driver Success and
Failure
Bu ayar, IPsec sürücüsü tarafından oluşturulan aşağıdaki olayların denetlenip denetlenmeyeceğini belirler:
• IPsec servislerinin başlatılması ve durdurulması
• Bütünlük denetiminin başarısız olması nedeniyle ağ paketlerinin düşürülmesi
• Tekrarlama denetiminin başarısız olması nedeniyle ağ paketlerinin düşürülmesi
• Açık metin veriler içeren ağ paketlerinin düşürülmesi
• SPI (Security Parameter Index) ile alınan ağ paketleri (Bu olay, ağ kartının düzgün çalışmadığını veya sürücünün güncellenmesi
gerektiğini gösterebilir.)
• IPsec filtrelerinin işlenememesi Varsayılan:
No Auditing
Audit Security State Change Success and Failure
Bu ayar, aşağıda listelenen güvenlik olaylarında gerçekleşen değişikliklerin denetlenip denetlenmeyeceğini belirler:
• Bilgisayarın başlatılması ve kapatılması
• Sistem saatinin değişmesi
• Loglar dolmuş ve CrashOnAuditFail kayıt defteri girdisi yapılandırılmışsa, sistemin yeniden başlatıldıktan CrashOnAuditFail ile belirtilen noktaya döndürülmesi
Varsayılan:
Success
Audit Security System Extension
Success and Failure
Bu ayar, aşağıda listelenen sistem uzantılarının ve servislerle ilgili olayların denetlenmesine olanak tanır:
WİNDOWS HARDENİNG S A Y F A | 12
• Kimlik doğrulama, bildirim veya güvenlik paketi gibi bir güvenlik sistem uzantısının yüklenmesi ve LSA (Local Security Authority)’e kaydedilmesi
• Service Control Manager’a bir servis kurulması ve kaydedilmesi
Varsayılan:
No Auditing
Audit System Integrity Success and Failure
Bu ayar, aşağıda listelenen güvenlik altyapısının bütünlüğünü ihlal eden olayların denetlenip denetlenmeyeceğini belirler:
• Denetim sistemindeki bir problem nedeniyle olayların loglanamaması
• Bir istemcinin kimliğine bürünmek için geçersiz bir LPC portu
kullanılması
• Sistemin bütünlüğünü tehlikeye atan RPC çağrısının tespit edilmesi
• Code Integrity tarafından
tanımlanamayan bir dosyanın hash değerinin algılanması
• Sistem bütünlüğünü tehlikeye atan kriptografik işlemler
Varsayılan:
Success and Failure
Logon/Logoff
Güvenlik Denetim Politikaları
Sıkılaştırma Ayarı
Açıklama
Audit Logoff Success Bu ayar, bir oturumun kapatılması sonucu oluşan olayların denetlenip denetlenmeyeceğini belirler.
Audit Logon Success and
Failure
Bu ayar, bir kullanıcının oturum açması sonucu oluşan olayların denetlenip denetlenmeyeceğini belirler.
Audit Special Logon Success Bu ayar, aşağıda listelenen oturum açma/kapatma işlemlerinin denetlenip denetlenmeyeceğini belirler:
• RDP oturumunun sonlandırılması
WİNDOWS HARDENİNG S A Y F A | 13
• RDP oturumu oluşturulması
• Bir workstation’ın kilitlenmesi veya kilidin açılması
• Bir ekran koruyucu çağrılması
• Bir ekran koruyucunun kapatılması
• Bir Kerberos isteğinin aynı bilgilerle iki kez alındığı Kerberos replay saldırısının gerçekleştirilmesi
• Bir kullanıcının veya bir bilgisayar hesabının kablosuz ağa erişmesi
• Bir kullanıcının veya bir bilgisayar hesabının 802.1x ağına erişmesi Varsayılan:
No Auditing
Object Access
Güvenlik Denetim Politikaları
Sıkılaştırma Ayarı
Açıklama
Audit File System Failure Bu ayar, kullanıcıların dosya sistemi nesnelerine yönelik erişim denemelerinin denetlenip denetlenmeyeceğini belirler.
Denetim yalnızca SACL (system access control lists) ile belirtilen nesneler ve istenen erişim türü (Read, Write, Modify) ve istekte bulunan hesap SACL’deki ayarlarla eşleşirse oluşturulur.
Audit Registry Failure Bu ayar, kullanıcıların kayıt defteri nesnelerine yönelik erişim denemelerinin denetlenip denetlenmeyeceğini belirler. Bu denetim yalnızca; belirtilen nesneler, istenen erişim türü (Read, Write, Modify) ve istekte bulunan hesap SACL’deki ayarlarla eşleşirse oluşturulur.
Privilege Use
Güvenlik Denetim Politikaları
Sıkılaştırma Ayarı
Açıklama
Audit Sensitive Privilege Use No auditing Bu ayar, aşağıda listelenen hassas yetkiler kullanıldığında oluşan olayların denetlenmesine olanak tanır:
WİNDOWS HARDENİNG S A Y F A | 14
• İşletim sisteminin bir parçası olarak hareket etme
• Dosyaların ve dizinlerin yedeklenmesi
• Token oluşturma
• Processlerin debug edilmesi
• Delegasyon için bilgisayar ve kullanıcı hesaplarına güvenin aktif edilmesi
• Güvenlik denetimleri oluşturulması
• Kimlik doğrulama işleminden sonra bir istemcinin kimliğine bürünme
• Aygıt sürücülerinin yüklenmesi veya kaldırılması
• Denetim ve güvenlik olaylarının yönetilmesi
• Firmware çevre değişkenlerinin değiştirilmesi
• Process seviyesinde bir token’ın değiştirilmesi
• Dosya ve dizinlerin geri yüklenmesi
• Dosya ve diğer nesnelerin sahibinin değiştirilmesi
Detailed Tracking
Güvenlik Denetim Politikaları
Sıkılaştırma Ayarı
Açıklama
Audit Process Creation Success Bu ayar, bir process oluşturulduğunda veya başlatıldığında oluşan olayların denetlenip denetlenmeyeceğini belirler.
Policy Change
Güvenlik Denetim Politikaları
Sıkılaştırma Ayarı
Açıklama
Audit Audit Policy Change Success and Failure
Bu ayar, aşağıda listelenen güvenlik denetimi ayarlarında meydana gelen
değişikliklerin denetlenip
denetlenmeyeceğini belirler:
• Audit Policy nesnesinin denetim ayarlarının ve izinlerinin ayarlanması
• Sistem denetim politikasında değişiklik yapılması
• Güvenlik olayı kaynaklarının kaydının silinmesi
• Kullanıcı bazlı denetim ayarlarında yapılan değişiklikler
WİNDOWS HARDENİNG S A Y F A | 15
• CrashOnAuditFail değerinde değişiklik yapılması
• Special Groups listesinde değişiklik yapılması
Varsayılan:
Success
Audit Authentication Policy Change
Success Bu ayar, aşağıda listelenen kimlik doğrulama politikalarında meydana gelen
değişikliklerin denetlenip
denetlenmeyeceğini belirler:
• Forest ve Domain Trusts yapısının oluşturulması
• Forest ve Domain Trusts yapısının değiştirilmesi
• Forest ve Domain Trusts yapısının kaldırılması
• Kerberos politikasında değişiklik yapılması
• Bir kullanıcıya veya bir gruba aşağıdaki kullanıcı haklarından herhangi birinin verilmesi:
o Access This Computer From the Network.
o Allow Logon Locally.
o Allow Logon Through Terminal Services.
o Logon as a Batch Job.
o Logon a Service.
• Namespace değerlerinin çakışması
Varsayılan:
Success
Account Management
Güvenlik Denetim Politikaları
Sıkılaştırma Ayarı
Açıklama
Audit Security Group Management
Success and Failure
Bu ayar, güvenlik gruplarında yapılan değişiklikler sonucunda meydana gelen aşağıdaki olayların denetlenip denetlenmeyeceğini belirler:
WİNDOWS HARDENİNG S A Y F A | 16
• Güvenlik grubu oluşturma, değiştirme veya silme
• Bir gruba üye ekleme veya silme
• Grup türünü değiştirme
Varsayılan:
Success
Audit User Account Management
Success and Failure
Bu ayar, kullanıcı hesaplarındaki değişiklikler sonucunda meydana gelen aşağıdaki olayların denetlenip denetlenmeyeceğini belirler:
• Bir kullanıcı hesabının;
oluşturulması, değiştirilmesi, silinmesi, yeniden adlandırılması, devre dışı bırakılması,
etkinleştirilmesi, kilitlenmesi veya kilidinin açılması
• Bir kullanıcı hesabına parola atanması veya bir kullanıcısının parolasının değiştirilmesi
• Bir kullanıcı hesabının SID geçmişine SID değeri eklenmesi
• Directory Services Restore Mode parolasının yapılandırılması
• Yönetici kullanıcıların parolalarının değiştirilmesi
• Credential Manager kimlik
bilgilerinin yedeklenmesi veya geri yüklenmesi
Varsayılan:
Success
DS Access
Güvenlik Denetim Politikaları
Sıkılaştırma Ayarı
Açıklama
Audit Directory Service Access No Auditing Bu ayar, Active Directory Domain Services nesnesine erişilmesi sonucunda meydana gelen olayların denetimini sağlar. Yalnızca SACL ile eşleşen AD DS nesneleri loglanır.
WİNDOWS HARDENİNG S A Y F A | 17 Varsayılan:
Server-> Success Client -> No Auditing
Audit Directory Service Changes No Auditing Bu ayar, Active Directory Domain Services nesnelerinde yapılan değişiklikler sonucunda meydana gelen olayların denetimini sağlar. Bu olaylar yalnızca Domain Controller sunucularında loglanır ve yalnızca SACL ile eşleşen AD DS nesneleri loglanır.
Varsayılan:
No Auditing
Account Logon
Güvenlik Denetim Politikaları
Sıkılaştırma Ayarı
Açıklama
Audit Credential Validation Success and Failure
Bu ayar, kullanıcı hesabı kimlik bilgilerinde yapılan doğrulama testleri sırasında meydana gelen olayların denetlenmesine olanak verir. Bu olaylar yalnızca kimlik bilgileri üzerinde yetkili olan cihazda gerçekleşir. Domain hesapları için Domain Controller ve yerel hesaplar için yerel bilgisayar yetkilidir.
Varsayılan:
Server-> Success Client -> No Auditing
WİNDOWS HARDENİNG S A Y F A | 18
OLAY LOGLARI (EVENT LOG)
Group Policy ile olay loglarının boyutu ve logların saklanma ayarları yapılandırılabilir.
Ayrıca bu ayarlar bir GPO aracılığıyla tüm hedef sistemlere dağıtılabilir.
Aşağıda olay logları için sıkılaştırma ayarları yer almaktadır. Bu ayarları Computer Configuration > Policies > Security Settings > Event Log üzerinden yapılandırabilirsiniz.
Event Log Politikaları Sıkılaştırma Ayarı
Açıklama
Maximum Application Log Size
32768 KB veya daha fazla
Bu ayar, uygulama loglarının boyutunun maksimum boyutunu belirler. Bu değer 64KB’ın katları olmalıdır. Eğer bu özelliğe sahip bir değer belirlenmezse, girilen değer 64KB’ın katı olan bir değere yuvarlanır.
Retain application log Disabled Bu ayar, eğer uygulama logları için saklama yöntemi “By Days” olarak belirlenmişse, tutulacak logların gün sayısını belirler.
Maximum Security Log Size (KB)
81920 KB veya daha fazla
Bu ayar, güvenlik loglarının boyutunun maksimum boyutunu belirler. Bu değer 64KB’ın katları olmalıdır. Eğer bu özelliğe sahip bir değer belirlenmezse, girilen değer 64KB’ın katı olan bir değere yuvarlanır.
Retain security log Disabled Bu ayar, eğer güvenlik logları için saklama yöntemi “By Days” olarak belirlenmişse, tutulacak logların gün sayısını belirler.
Maximum System Log Size (KB)
32768 KB veya daha fazla
Bu ayar, sistem loglarının boyutunun maksimum boyutunu belirler. Bu değer 64KB’ın katları olmalıdır. Eğer bu özelliğe sahip bir değer belirlenmezse, girilen değer 64KB’ın katı olan bir değere yuvarlanır.
Retain system log Disabled Bu ayar, eğer sistem logları için saklama yöntemi “By Days” olarak belirlenmişse, tutulacak logların gün sayısını belirler.
WİNDOWS HARDENİNG S A Y F A | 19
WINDOWS FIREWALL
Tüm Windows işletim sistemi sürümleri zararlı işlemlere karşı temel koruma sağlamak amacıyla, varsayılan olarak yerel bir güvenlik duvarı içerir. Windows Firewall ile belirlenen kriterlere göre sisteme gelen ve sistemden giden trafik kontrol edilebilir. Group Policy ile Windows Firewall kuralları Active Directory Domain ortamında merkezi bir noktadan yapılandırılarak diğer sistemlere dağıtılabilir. Ayrıca bu kurallar stand-alone bir sunucu için de yapılandırılabilir.
Aşağıda Windows Firewall için sıkılaştırma ayarları yer almaktadır. Bu ayarları Computer Configuration > Administrative Templates > Network > Network Connections > Windows Firewall üzerinden yapılandırabilirsiniz.
Windows Firewall Politikaları
Sıkılaştırma Ayarı Açıklama
Windows Firewall: Allow ICMP exceptions (Domain)
Disabled Bazı yardımcı programlar, bir
sistemin durumunu belirlemek için ICMP paketleri gönderebilirler. Bu özelliğin devre dışı bırakılması durumunda, diğer cihazlar tarafından gönderilen PING istekleri güvenlik duvarı tarafından engellenir. Ancak 445/TCP numaralı porta erişim izni verilirse, bu ayar devre dışı bırakılsa bile sistem ICMP paketlerine cevap verir.
Windows Firewall: Allow ICMP exceptions (Standard)
Disabled Bazı yardımcı programlar, bir
sistemin durumunu belirlemek için ICMP paketleri gönderebilirler. Bu özelliğin devre dışı bırakılması durumunda, diğer cihazlar tarafından gönderilen PING isterkleri güvenlik duvarı tarafından engellenir. Ancak 445/TCP numaralı porta erişim izni verilirse, bu ayar devre dışı bırakılsa bile sistem ICMP paketlerine cevap verir.
WİNDOWS HARDENİNG S A Y F A | 20 Windows Firewall: Apply
local connection security rules (Domain)
No Bu ayar, yerel yöneticilerin bağlantı
güvenliği kuralları oluşturmalarına izin verilip verilmediğini kontrol eder. Bu ayar Group Policy tarafından yapılandırılan bağlantı güvenliği kurallarıyla birlikte uygulanır.
Windows Firewall: Apply local connection security rules (Private)
No Bu ayar, yerel yöneticilerin bağlantı
güvenliği kuralları oluşturmalarına izin verilip verilmediğini kontrol eder. Bu ayar Group Policy tarafından yapılandırılan bağlantı güvenliği kurallarıyla birlikte uygulanır.
Windows Firewall: Apply local connection security rules (Public)
No Bu ayar, yerel yöneticilerin bağlantı
güvenliği kuralları oluşturmalarına izin verilip verilmediğini kontrol eder. Bu ayar Group Policy tarafından yapılandırılan bağlantı güvenliği kurallarıyla birlikte uygulanır.
Windows Firewall: Apply local firewall rules (Domain)
Not Configured Bu ayar, yerel yöneticilerin firewall kuralları oluşturmalarına izin verilip verilmediğini kontrol eder. Bu ayar Group Policy tarafından yapılandırılan firewall kurallarıyla birlikte uygulanır.
Windows Firewall: Apply local firewall rules (Private)
Not Configured Bu ayar, yerel yöneticilerin firewall kuralları oluşturmalarına izin verilip verilmediğini kontrol eder. Bu ayar Group Policy tarafından yapılandırılan firewall kurallarıyla birlikte uygulanır
Windows Firewall: Apply local firewall rules (Public)
No Bu ayar, yerel yöneticilerin firewall kuralları oluşturmalarına izin verilip verilmediğini kontrol eder. Bu ayar Group Policy tarafından yapılandırılan firewall kurallarıyla birlikte uygulanır
WİNDOWS HARDENİNG S A Y F A | 21 Windows Firewall: Display a
notification (Domain)
Yes Bu ayar, Windows Firewall bir
programı exception listesine eklediğinde, Windows Firewall’un kullanıcılara bildirim göstermesine olanak verir.
Windows Firewall: Display a notification (Private)
Yes Bu ayar, Windows Firewall bir
programı exception listesine eklediğinde, Windows Firewall’un kullanıcılara bildirim göstermesine olanak verir.
Windows Firewall: Display a notification (Public)
No Bu ayar, Windows Firewall bir
programı exception listesine eklediğinde, Windows Firewall’un kullanıcılara bildirim göstermesine olanak verir.
Windows Firewall: Firewall state (Domain)
On Bu ayar, Domain ortamına bağlı
cihazların erişimi için firewall durumunu belirler.
Windows Firewall: Firewall state (Private)
On Bu ayar, private ağda bulunan
cihazların erişimi için firewall durumunu belirler.
Windows Firewall: Firewall state (Public)
On Bu ayar, public ağ üzerinden gelen
erişim istekleri için firewall durumunu belirler.
Windows Firewall: Inbound connections (Domain)
Block Bu ayar, Domain ortamına bağlı
cihazlardan gelen bağlantı isteklerine karşı güvenlik duvarının tepkisini belirler.
Windows Firewall: Inbound connections (Private)
Block Bu ayar, private ağda bulunan
cihazlardan gelen bağlantı isteklerine karşı güvenlik duvarının tepkisini belirler.
Windows Firewall: Inbound connections (Public)
Block Bu ayar, public ağ üzerinden gelen bağlantı isteklerine karşı güvenlik duvarının tepkisini belirler.
WİNDOWS HARDENİNG S A Y F A | 22 Windows Firewall: Prohibit
notifications (Domain)
Disabled Bu ayar, Windows Firewall bir
programı exception listesine eklediğinde, Windows Firewall’un kullanıcılara bildirim göstermesini engeller.
Windows Firewall: Prohibit notifications (Standard)
Disabled Bu ayar, Windows Firewall bir
programı exception listesine eklediğinde, Windows Firewall’un kullanıcılara bildirim göstermesini engeller.
Windows Firewall: Protect all network connections (Domain)
Enabled Bu ayar, Windows Firewall’u
etkinleştirir.
Windows Firewall: Protect all network connections (Standard)
Enabled Bu ayar, Windows Firewall’u
etkinleştirir.
WİNDOWS HARDENİNG S A Y F A | 23
WINDOWS UPDATE
Windows Update, tüm Windows sistemlerin güncellenmesini sağlamak için Microsoft’un sunduğu bir özelliktir. Bu güncellemeler; özellik geliştirmelerini, sürücü güncellemelerini, servis paketlerini, güvenlik güncellemelerini, kritik güncellemeleri ve diğer güncellemeleri içerebilir.
Group Policy ile Windows Update ayarlarında değişiklik yapılabilir. Aşağıda Windows Update için sıkılaştırma ayarları yer almaktadır. Bu ayarları Computer Configuration
> Administrative Templates > Windows Components > Windows Update üzerinden yapılandırabilirsiniz.
Windows Update Politikaları
Sıkılaştırma Ayarı Açıklama
Configure Automatic Updates
Enabled: 3 - Auto download and notify for install
Bu ayar, bilgisayarların Windows Update veya WSUS'tan güvenlik güncellemeleri alıp almayacağını belirler. Bu ayar aktif edilirse, işletim sistemi ağ bağlantısı üzerinden yeni güncellemeleri algılar ve ardından Windows Update veya intranet ağında bulunan bir siteden güncelleştirmeleri alır.
Bu ayar etkinleştirilirse, servisin nasıl çalışacağının belirlenmesi için
“Configure Automatic Updates Properties” kutusunda yer alan 3 seçenekten biri seçilir:
• Güncellemeleri indirmeden önce haber verin ve
yüklemeden önce tekrar bilgilendirin.
• Güncellemeleri otomatik olarak indirin ve kurulmaya hazır olduklarında haber verin.
• Güncellemeleri otomatik olarak indirin ve aşağıda belirtilen programa göre yükleyin.
WİNDOWS HARDENİNG S A Y F A | 24 Do not display 'Install
Updates and Shut Down' option in Shut Down Windows dialog box
Disabled Bu ayar “Shut Down Windows”
iletişim kutusunda ‘Install Updates and Shut Down’ seçeneğinin görüntülenip
görüntülenmeyeceğinin belirlenmesini sağlar.
Reschedule Automatic Updates scheduled installations
Enabled Bu ayar, önceden planlanan
Automatic Update
güncellemelerinin, sistem başlatıldıktan sonra devam edeceği süreyi belirler. Bu ayar aktif edilirse, önceden planlanan bir güncelleme işlemi, bilgisayar yeniden başlatıldıktan birkaç dakika sonra başlar.
WİNDOWS HARDENİNG S A Y F A | 25
KULLANICI HAKLARI (USER RIGHTS ASSIGNMENT)
Kullanıcı hakları, bir kullanıcının sistem üzerinde sahip olacağı yetkileri belirler. Bu haklar kullanıcıların bir sistem üzerinde veya Active Directory Domain ortamında gerçekleştirebileceği davranışları yönetir. Windows sistemlerde her grubun varsayılan hakları ve izinleri vardır. Bir kullanıcı bir grubun üyesi olduğunda, kullanıcıya o grubun hakları ve izinleri atanır.
Group Policy ile kullanıcı haklarının yönetimi sağlanabilir. Aşağıda kullanıcı hakları için sıkılaştırma ayarları yer almaktadır. Bu ayarları Computer Configuration >
Policies > Security Settings > Local Policies > User Rights Assignment üzerinden yapılandırabilirsiniz.
Kullanıcı Hakları Sıkılaştırma Ayarı Açıklama
Access this computer from the network (SeTrustedCredManAccessPrivilege)
Server:
Administrators,
Authenticated Users
Domain Controller:
Administrators,
Authenticated Users, ENTERPRISE DOMAIN CONTROLLERS
Bu ayar, hangi kullanıcıların veya hangi gruplarda bulunan kullanıcıların ağ üzerinden
sisteme bağlanıp
bağlanamayacağını belirler. Bu ayar, RDP servisini etkilemez.
Act as part of the operating system (SeTcbPrivilege)
No one Bu ayarın aktif edilmesi
durumunda, processler herhangi bir kullanıcının kimliğine bürünebilir ve o kullanıcının yetkilerini kullanarak makine üzerinde herhangi bir kaynağa erişim sağlayabilir.
Adjust memory quotas for a process (SeIncreaseQuotaPrivilege)
Enterprise Member Server/Enterprise Domain Controller:
Not Defined
Bu ayar, bir process tarafından tüketilebilecek olan maksimum bellek boyutunu, kimin değiştirebileceğini belirler.
WİNDOWS HARDENİNG S A Y F A | 26 Varsayılan:
Administrators Local Service Network Service
Back up files and directories (SeBackupPrivilege)
Enterprise Member Server/Enterprise Domain Controller:
Not Defined
Bu ayar, sistemin yedeklenmesi için hangi kullanıcıların bütün dosya, dizin, kayıt defteri ayarları ve diğer nesnelere erişim sağlayabileceğini belirtir.
Varsayılan:
Server-> Administrators, Backup Operators
Domain Controller->
Administrators, Backup Operators, Server Operators
Bypass traverse checking (SeChangeNotifyPrivilege)
Enterprise Member Server:
Administrators,
Authenticated Users, Backup Operators, Local Service, Network Service
Enterprise Domain Controller: Not Defined
Bu ayar, bir kullanıcının erişim yetkisi olmasa dahi dizinler arasında gezinebilmesini sağlar. Bu yetkiye sahip bir kullanıcı sadece dizinleri gezebilir, ancak yetkisi olmadığı bir dizinin içeriğini listeleyemez.
Varsayılan:
Server-> Administrators
WİNDOWS HARDENİNG S A Y F A | 27 Backup Operators
Users Everyone Local Service Network Service
Domain Controller->
Administrators Authenticated Users Everyone
Local Service
Change the system time (SeSystemtimePrivilege)
LOCAL SERVICE, Administrators
Bu ayar, hangi kullanıcıların ve hangi grupların sistem saatini değiştirebileceğini belirler. Bu yetkiye sahip kullanıcılar, logların görünümünü etkileyebilir. Sistem saati değiştirilirse, loglar olayların meydana geldiği gerçek zamanı değil, yeni zamanı yansıtır.
Varsayılan:
Server->
Administrators Local Service
Domain Controller->
Administrators
WİNDOWS HARDENİNG S A Y F A | 28 Server Operators
Local Service
Create a pagefile
(SeCreatePagefilePrivilege)
Enterprise Domain Controller:
Not Defined
Windows, sabit sürücünün bir bölümünü, pagefile (sayfa dosyası) olarak bilinen sanal bellek olarak veya pagefile.sys olarak atar. Bu ayar, hangi kullanıcıların bir sayfa dosyası oluşturabileceğini veya değiştirebileceğini belirler.
Varsayılan:
Administrators
Create a token object
(SeCreateTokenPrivilege)
No One Bu ayar, bir process’in hassas verilere erişim sağlayabilmesi için yüksek yetkilere erişebileceği bir access token oluşturmasına izin verir. Bu yetki, gerekli olmadığı sürece SYSTEM hesabı dışında hiçbir
kullanıcı hesabına
atanmamalıdır. Bu yetkinin bir kullanıcı hesabına atanması güvenlik riski oluşturabilir.
Varsayılan:
None
Create global objects
(SeCreateGlobalPrivilege)
Enterprise Member Server/ Enterprise Domain Controller:
Not Defined
Bu ayar, kullanıcıların tüm kullanıcı oturumlarında kullanılabilen genel nesneler oluşturup oluşturamayacağını belirler. Bir kullanıcı bu yetkiye sahip değilse, yalnızca kendi oturumuna özgü nesnelere oluşturabilir. Ancak bu yetkinin bir kullanıcıya atanması durumunda, kullanıcı tüm
WİNDOWS HARDENİNG S A Y F A | 29 oturumlara müdahele edebilir
ve bu durum güvenlik riski oluşturabilir.
Varsayılan:
Administrators Local Service Network Service Service
Create permanent shared objects (SeCreatePermanentPrivilege)
No One Bu ayar, processlerin nesne yöneticisini kullanarak bir dizin nesnesi oluşturmak için hangi hesapları kullanılabileceğini belirler.
Varsayılan:
None
Debug programs (SeDebugPrivilege) Enterprise Member Server/ Enterprise Domain Controller:
Administrators
Bu ayar, kullanıcılara tüm processler için debug yetkisi verir. Bu yetkiye sahip olan bir kullanıcı yüksek yetkilere sahip kullanıcı processlerine erişim sağlayarak, sistem üzerindeki hassas ve kritik verilere erişim sağlayabilir.
Varsayılan:
Administrators
Deny access to this computer from the network (SeDenyNetworkLogonRight)
Guests Bu ayar, kullanıcıların sisteme ağ üzerinden erişimlerini engeller.
WİNDOWS HARDENİNG S A Y F A | 30 Varsayılan:
Guest
Enable computer and user accounts to be trusted for delegation (SeEnableDelegationPrivilege)
No One Bu ayar, kullanıcıların Active Directory ortamında “Trusted for Delegation” özelliğini değiştirebilmelerine olanak verir. Bu yetkiyi kötüye kullanan kullanıcılar, diğer kullanıcıların kimliğine bürünerek yetkisiz işlemler gerçekleştirebilirler.
Varsayılan:
Domain Controller->
Administrators
Force shutdown from a remote system (SeRemoteShutdownPrivilege)
Enterprise Member Server/ Enterprise Domain Controller:
Not Defined
Bu ayar, kullanıcıların sistemi ağ üzerinde uzak bir noktadan kapatabilmelerine olanak verir.
Bu yetkiyi kötüye kullanan kullanıcılar, sistem üzerinde DoS etkisi oluşturabilirler.
Varsayılan:
Server-> Administrators
Domain Controller->
Administrators Server Operators
Impersonate a client after authentication
(SeImpersonatePrivilege)
Administrators,
SERVICE, Local Service, Network Service
Bu ayar, çalışan programların belirtilen kullanıcıların kimliğine bürünerek o kullanıcıların adına hareket etmesine izin verir.
WİNDOWS HARDENİNG S A Y F A | 31 Varsayılan:
Administrators Local Service Network Service Service
Increase scheduling priority (SeIncreaseBasePriorityPrivilege)
Enterprise Member Server/ Enterprise Domain Controller:
Not Defined
Bu ayar, bir process’e atanan önceliği artırmak için, başka bir process üzerinde “Write” yetkisi olan bir process’i hangi kullanıcıların kullanabileceğini belirler.
Varsayılan:
Administrators
Load and unload device drivers (SeLoadDriverPrivilege)
Administrators Bu ayar, hangi kullanıcıların aygıt sürücülerini çekirdek
modunda yükleyip
kaldırabileceğini belirler. Bu yetkinin düşük yetkili bir kullanıcı hesabına atanması güvenlik riski oluşturabilir.
Varsayılan:
Server-> Administrators
Domain Controller->
Administrators
WİNDOWS HARDENİNG S A Y F A | 32 Print Operators
Lock pages in memory
(SeLockMemoryPrivilege)
Enterprise Member Server/ Enterprise Domain Controller:
Not Defined
Bu ayar, verileri fiziksel bellekte tutmak için hangi hesapların bir process’i kullanabileceğini belirler ve bu da sistemin verileri diskteki sanal belleğe sayfalandırmasını engeller. Bu ayrıcalığın kullanılması, mevcut RAM miktarını azaltarak sistem performansını önemli ölçüde etkileyebilir.
Varsayılan:
None
Manage auditing and security log SeSecurityPrivilege ()
Enterprise Member Server/ Enterprise Domain Controller:
Not Defined
Bu ayar, hangi kullanıcıların dosya ve dizinler için denetim seçeneklerini
değiştirebileceğini ve güvenlik loglarını temizleyebileceğini belirler.
Varsayılan:
Administrators
Modify firmware environment values (SeSystemEnvironmentPrivilege)
Enterprise Member Server/ Enterprise Domain Controller:
Not Defined
Bu ayar, kullanıcıların donanım konfigürasyonlarını etkileyen çevre değişkenlerini yapılandırmasına olanak tanır.
Bu değerlerin değiştirilmesi donanım arızasına neden olabilir.
Varsayılan:
Administrators
WİNDOWS HARDENİNG S A Y F A | 33 Perform volume maintenance tasks
(SeManageVolumePrivilege)
Enterprise Member Server/ Enterprise Domain Controller:
Not Defined.
Bu ayar, kullanıcıların sistem
birimleri ve disk
konfigürasyonlarını
yönetmelerine izin verir. Bu yetkinin kötüye kullanılması durumunda, kullanıcılar bir sistem birimini silebilir ve veri kaybına neden olabilir.
Varsayılan:
Administrators
Profile single process
(SeProfileSingleProcessPrivilege)
Administrators Bu ayar, hangi kullanıcıların sistem process’i olmayan processlerin performasını izlemek için, performans izleme araçlarını kullanabileceğini belirler.
Varsayılan:
Administrators Power users
Profile system performance (SeSystemProfilePrivilege)
Administrators Bu ayar, hangi kullanıcıların sistem processlerinin performasını izlemek için, performans izleme araçlarını kullanabileceğini belirler.
Varsayılan:
Administrators
Remove computer from docking station (SeUndockPrivilege)
Administrators Bu ayar, bir kullanıcının taşınabilir bir bilgisayarı ayırabilmesi için Start menüsünde “Eject PC”
WİNDOWS HARDENİNG S A Y F A | 34 seçeneğini tıklayabilmesine
olanak verir.
Varsayılan:
Administrators Power Users Users
Replace a process level token (SeAssignPrimaryTokenPrivilege)
LOCAL SERVICE, NETWORK SERVICE
Bu ayar, bir servisin veya bir process’in başka bir process veya servisi farklı bir access token ile başlatabilmesi için, kullanıcıların
CreateProcessAsUser() API’sini çağırabilmelerine olanak verir.
Varsayılan:
LOCAL SERVICE NETWORK SERVICE
Shut down the system
(SeShutdownPrivilege)
Administrators Bu ayar, hangi kullanıcıların sistemi kapatabileceğini belirler.
Varsayılan:
Workstation->
Administrators, Backup Operators, Users
Server->
Administrators, Backup Operators
WİNDOWS HARDENİNG S A Y F A | 35 Domain Controller->
Administrators, Backup Operators, Server Operators, Print Operators
Add workstations to domain (SeMachineAccountPrivilege)
Administrators Bu ayar, hangi kullanıcıların Active Directory Domain
ortamına cihaz
ekleyebileceğini belirler. Bu ayar yalnızca Domain Controller sunucular için geçerlidir. Varsayılan olarak bu yetkiye, kimliği doğrulanmış herhangi bir kullanıcı sahiptir ve bu kullanıcılar Domain ortamına en fazla 10 cihaz ekleyebilirler.
Allow log on locally
(SeInteractiveLogonRight)
Administrators Bu ayar, hangi kullanıcıların sunucu üzerinde oturum açabileceğini belirler.
Varsayılan:
Workstation-> Administrators, Backup Operators, Power Users, Users, and Guest
Server-> Administrators, Backup Operators, Power Users, Users, and Guest
Domain Controller-> Account Operators, Administrators, Backup Operators, and Print Operators
WİNDOWS HARDENİNG S A Y F A | 36
Change the time zone
(SeTimeZonePrivilege)
LOCAL SERVICE, Administrators
Bu ayar, hangi kullanıcıların saat dilimini değiştirebileceğini belirler.
Varsayılan:
Administrators Users
Create symbolic links
(SeCreateSymbolicLinkPrivilege)
Enterprise Member Server/ Enterprise Domain Controller:
Not Defined
Bu ayar, hangi kullanıcıların sembolik bağlantılar oluşturabileceğini belirler.
Varsayılan:
Administrator
Deny log on locally
(SeDenyInteractiveLogonRight)
Guests Bu ayar, hangi kullanıcıların sistem üzerinde oturum açmalarına izin verilmeyeceğini belirler.
Varsayılan:
None
Deny log on through Remote Desktop Services
(SeDenyRemoteInteractiveLogonRight)
Guests Bu ayar, hangi kullanıcıların sistem üzerinde RDP oturumu açmalarına izin verilmeyeceğini belirler.
Varsayılan:
None
Generate security audits (SeAuditPrivilege)
Enterprise Domain Controller: Not Defined.
Bu ayar, hangi kullanıcıların veya processlerin güvenlik loglarında denetim kayıtları oluşturabileceğini belirler.
WİNDOWS HARDENİNG S A Y F A | 37 Increase a process working set
(SeIncreaseWorkingSetPrivilege)
Enterprise Member Server/ Enterprise Domain Controller:
Not Defined
Bu ayar, hangi kullanıcıların bir process için RAM miktarını artırıp azaltabileceğini belirler.
Varsayılan:
Users
Log on as a batch job (SeBatchLogonRight)
Enterprise Domain Controller:
No one
Enterprise Member Server:
Not Defined
Bu ayar, kullanıcıların “Task Scheduler” servisini kullanarak oturum açmalarına izin verir.
Task Scheduler genellikle yönetimsel amaçlarla kullanıldığından dolayı, kurumsal ortamlarda gerekli olabilir. Ancak sistem kaynaklarının kötüye kullanımını önlemek veya saldırganların bir bilgisayara kullanıcı düzeyinde erişim sağladıktan sonra zararlı kod çalıştırmalarını engellemek için bu ayar yüksek güvenlikli ortamlarda kısıtlanmalıdır.
Varsayılan:
Administrators Backup Operators
Restore files and directories (SeRestorePrivilege)
Enterprise Member Server/ Enterprise Domain Controller:
Administrators, Backup Operators.
Bu ayar, yedeklenen dosyaların geri yüklenmesi sırasında hangi kullanıcıların dosya, dizin, kayıt defteri ve diğer nesneler üzerinde erişim kısıtlamalarını atlatabileceğini belirler.
Varsayılan:
WİNDOWS HARDENİNG S A Y F A | 38 Workstation-> Administrators,
Backup Operators
Server-> Administrators, Backup Operators
Domain Controller->
Administrators, Backup Operators, Server Operators
Take ownership of files or other objects (SeTakeOwnershipPrivilege)
Administrators Bu ayar, kullanıcıların; dosya, dizin, kayıt defteri anahtarları, processler veya threadlerin kullanıcısını
değiştirebilmelerine olanak verir.
Varsayılan:
Workstation-> Administrators, Backup Operators
Server-> Administrators, Backup Operators
Domain Controller->
Administrators, Backup Operators, Server Operators
Access credential Manager as a trusted caller
(SeTrustedCredManAccessPrivilege)
No One Bu ayar, yedekleme ve geri yükleme işlemi sırasında Credential Manager tarafından kullanılır. Bu yetki Winlogon'a atandığından dolayı, hiçbir hesap bu kullanıcı hakkına sahip olmamalıdır. Bu yetki
WİNDOWS HARDENİNG S A Y F A | 39 diğer varlıklara atanırsa,
kullanıcıların kimlik bilgileri tehlikeye girebilir.
Synchronize directory service data (SeSyncAgentPrivilege)
No One Bu ayar, hangi kullanıcıların
Active Directory
senkronizasyonu yetkisine sahip olduğunu belirler.
WİNDOWS HARDENİNG S A Y F A | 40
GÜVENLİK SEÇENEKLERİ (SECURITY OPTIONS)
Güvenlik seçenekleri, bir sistemin sergileyeceği davranışların belirlenmesi için güvenlik politikalarının konfigüre edilmesini sağlar. Bu ayarları Computer
Configuration > Policies > Security Settings > Local Policies > Security Options üzerinden yapılandırabilirsiniz.
Güvenlik Seçenekleri Sıkılaştırma Ayarı
Açıklama
Network security: Minimum session security for NTLM SSP based (including secure RPC) servers
Require NTLMv2 session security
Require 128-bit encryption.
Bu ayar, NTLM SSP kullanan uygulamalar için hangi davranışlara izin verileceğini belirler.
Network access: Remotely accessible registry paths and sub-paths
Domain Controller:
Not Defined
Bu ayar, bir uygulamanın veya process’in erişim izinlerini belirlemek için WinReg anahtarına başvurduğunda, hangi kayıt defteri anahtarlarına erişebileceğini belirler.
Accounts: Rename
administrator account
Administrator
hesabının yeni adı
"admin" metnini içermeyen bir değer almalıdır.
Bu ayar, yerel Administrator hesabının kullanıcı adını değiştirmek amacıyla kullanılır.
Accounts: Rename guest account
Guest hesabının yeni adı "guest" metnini içermeyen bir değer almalıdır.
Bu ayar, Guest hesabının kullanıcı adını değiştirmek amacıyla kullanılır.
Accounts: Guest account status
Disabled Bu ayar, Guest hesabını aktif etmek veya devre dışı bırakmak için kullanılır.
Network access: Allow anonymous SID/Name translation
Disabled Bu ayar, anonim bir kullanıcının başka bir kullanıcı için SID özelliklerini talep etme yetkisini aktif eder veya devre dışı bırakır.
Accounts: Limit local account use of blank passwords to console logon only
Enabled Bu ayar, parolası olmayan yerel hesaplarla, fiziksel bilgisayar dışında uzak bir noktadan oturum açılıp açılamayacağını belirler.
WİNDOWS HARDENİNG S A Y F A | 41 Devices: Allowed to format
and eject removable media
Administrators Bu ayar, hangi kullanıcıların format atabileceğini ve çıkarılabilir aygıtları çıkarabileceğini belirler.
Devices: Prevent users from installing printer drivers
Enabled Bu ayar, kullanıcıların yazıcı yükleme yetkilerini devre dışı bırakır.
Devices: Restrict CD-ROM access to locally logged-on user only
Enterprise Member Server/ Enterprise Domain Controller:
Not Defined
Bu ayar, bir CD-ROM'un aynı anda hem yerel hem de uzak kullanıcılar tarafından erişilebilir olup olmadığını belirler.
Devices: Restrict floppy access to locally logged-on user only
Enterprise Member Server/ Enterprise Domain Controller:
Not Defined
Bu ayar, bir floppy diskin aynı anda hem yerel hem de uzak kullanıcılar tarafından erişilebilir olup olmadığını belirler.
Domain member: Digitally encrypt or sign secure channel data (always)
Enabled Bu ayar, bir Domain üyesi tarafından başlatılan tüm güvenli kanal trafiğinin imzalanması veya şifrelenmesi gerekip gerekmediğini belirler.
Domain member: Digitally encrypt secure channel data (when possible)
Enabled Bu ayar, bir Domain üyesi tarafından başlatılan tüm güvenli kanal trafiğinin şifrelenmesi gerekip gerekmediğini belirler.
Domain member: Digitally sign secure channel data (when possible)
Enabled Bu ayar, bir Domain üyesi tarafından başlatılan tüm güvenli kanal trafiğinin imzalanması gerekip gerekmediğini belirler.
Domain member: Disable machine account password changes
Disabled Bu ayar, bir Domain kullanıcısının parolasının düzenli aralıklarla değiştirilip değiştirilmeyeceğini belirler. Bu ayar devre dışı bırakılırsa, kullanıcılar parolalarını
“Domain member: Maximum machine account password age” seçeneği ile belirtilen süre aralığında değiştirmek zorundadırlar.
WİNDOWS HARDENİNG S A Y F A | 42 Domain member: Maximum
machine account password age
30 gün Bu ayar, bir Domain kullanıcısına atanan parolanın maksimum süresini belirler.
Domain member: Require strong (Windows 2000 or later) session key
Enabled Bu ayarın aktif edilmesi durumunda, Domain ortamında bulunan Windows Server 2000 veya üzeri işletim sistemi sürümüne sahip sunucular, güvenli bir kanal üzerinden şifreli veri iletişimi gerçekleştirebilirler. Domain Controller sunucularının Windows Server 2000 tabanlı olmaması durumunda bu ayar devre dışı bırakılmalıdır.
Domain controller: Allow server operators to schedule tasks
Enterprise Domain Controller:
Disabled
Enterprise Member Server:
Not Defined
Bu ayar, Server Operators grubunda yer alan üyelerin AT zamanlama özelliği aracılığıyla işleri göndermesine izin verilip verilmediğini belirler.
Varsayılan:
Disabled
Domain controller: LDAP server signing requirements
Enterprise Member Server/Enterprise Domain Controller:
Not Defined
Bu ayar, LDAP sunucusu ile LDAP istemcileri arasında, verilerin imzalanıp imzalanmaması gerektiği konusunda anlaşma yapmalarına izin verir.
Varsayılan:
None
Domain controller: Refuse machine account password changes
Enterprise Domain Controller:
Disabled
Enterprise Member:
Not Defined
Bu ayar, Domain ortamına bağlı bilgisayarlar üzerinden gelen parola değişikliği isteklerinin Domain Controller tarafından reddedilip reddedilmeyeceğini belirler.
WİNDOWS HARDENİNG S A Y F A | 43 Interactive logon: Do not
display last user name
Enabled Bu ayar, istemci bilgisayarlarda oturum açan kullanıcıların hesap adlarının Windows oturum açma ekranında görüntülenip görüntülenmeyeceğini belirler. Yabancı kişilerin kurumsal ortamdaki bilgisayarlarda hesap adlarını görmelerini önlemek için bu ayar aktif edilmelidir.
Interactive logon: Do not require CTRL+ALT+DEL
Disabled Bu ayar, kullanıcıların oturum açmadan önce CTRL + ALT + DEL tuşlarına basması gerekip gerekmediğini belirler. Bu ayar devre dışı bırakılırsa, kullanıcıların oturum açmadan önce CTRL + ALT + DEL tuşlarına basmaları gerekir.
Interactive logon: Number of previous logons to cache (in case domain controller is not available)
1 kez Bu ayar, bir kullanıcının önbellekte saklanan hesap bilgilerini kullanarak Domain ortamında kaç kez oturup açabileceğini belirler.
Varsayılan:
Windows Server 2008-> 25 Diğer versiyonlar-> 10
Interactive logon: Prompt user to change password before expiration
14 gün Bu ayar, kullanıcıların parola süreleri dolmadan kaç gün önce uyarılmaya başlanacağını belirler.
Varsayılan:
5 gün
Interactive logon: Require
Domain Controller
authentication to unlock workstation
Enabled Kilitli bir sistemin kilidinin açılması için oturum açılması gerekir. Bu ayar, bir sistemin kilidinin kaldırılması için Domain authentication gerekip gerekmediğini belirler.
WİNDOWS HARDENİNG S A Y F A | 44 Varsayılan:
Disabled
Interactive logon: Smart card removal behavior
Lock Workstation Bu ayar, oturum açmış bir kullanıcıya ait smart kartın çıkarılması durumunda sistemin davranışını belirler.
Seçenekler:
No Action
Lock Workstation Force Logoff
Disconnect if a Remote Desktop Services session
Varsayılan:
No Action
Interactive logon: Require smart card
Enterprise Member Server/Enterprise Domain Controller:
Not Defined
Bu ayar, kullanıcıların oturum açması için smart kart gerekip gerekmediğini belirler.
Varsayılan:
Disabled
Microsoft network client:
Digitally sign
communications (always)
Enabled SMB protokolü; dosya ve yazıcı paylaşımı, uzaktan Windows yönetimi gibi birçok ağ işlemi için temel oluşturur. SMB paketlerini değiştiren MITM saldırılarını önlemek için SMB protokolü, SMB paketlerinin dijital olarak imzalanmasını destekler. Yüksek güvenlikli ağlarda dijital imzaların uygulanması, “session hijacking”
saldırılarını önlemeye yardımcı olur.
WİNDOWS HARDENİNG S A Y F A | 45 Bu ayar, paketlerin SMB istemci bileşeni
tarafından imzalanıp imzalanmaması gerektiğini belirler. Bu ayarın aktif edilmesi durumunda istemci, sunucu SMB paketlerini imzalamayı kabul etmediği sürece iletişim kurmayı reddeder.
Varsayılan:
Disabled
Microsoft network client:
Digitally sign
communications (if server agrees)
Enabled Bu ayar, paketlerin SMB istemci bileşeni tarafından imzalanıp imzalanmaması konusunda anlaşma yapılıp yapılmayacağını belirler. Bu ayarın aktif edilmesi durumunda, sunucu SMB paketlerinin imzalandığı bir iletişimi kabul ediyorsa, istemci paketleri imzalamayı kabul eder.
Varsayılan:
Enabled
Microsoft network client:
Send unencrypted password to third-party SMB servers
Disabled Bu ayar, kimlik doğrulama sırasında parola şifrelemeyi desteklemeyen 3rd party SMB sunucularına açık metin parolalar gönderilip gönderilmeyeceğini belirler.
Parolaların açık metin olarak aktarılmaması için bu ayar devre dışı bırakılmalıdır.
Varsayılan:
Disabled
Microsoft network server:
Amount of idle time required before suspending session
15 dakika Bu ayar, bir SMB oturumunun askıya alınması için hiçbir işlemin yapılmadan ne kadar süre geçmesi gerektiğini belirler.
WİNDOWS HARDENİNG S A Y F A | 46 Varsayılan:
15 dakika
Microsoft network server:
Digitally sign
communications (always)
Enabled Bu ayar, sunucu taraflı SMB servisinin SMB paketlerini imzalaması gerekip gerekmediğini belirler.
Varsayılan:
Server-> Disabled
Domain Controller->Enabled
Microsoft network server:
Digitally sign
communications (if client agrees)
Enabled Bu ayar, paketlerin SMB sunucu bileşeni tarafından imzalanıp imzalanmaması konusunda anlaşma yapılıp yapılmayacağını belirler. Bu ayarın aktif edilmesi durumunda, istemci SMB paketlerinin imzalandığı bir iletişimi kabul ediyorsa, sunucu paketleri imzalamayı kabul eder.
Microsoft network server:
Disconnect clients when logon hours expire
Disabled Bu ayar, geçerli oturum saatlari dışında sisteme bağlanan kullanıcıların bağlantılarının kesilip kesilmeyeceğini belirler. Bu ayarın devre dışı bırakılması durumunda, açılan bir SMB oturum süresi geçtikten sonra bile devam eder.
Varsayılan:
Windows XP-> Disabled
Windows Vista ve üzeri->Enabled
Network access: Do not allow anonymous enumeration of SAM accounts
Enabled Bu ayar, SAM veritabanında kayıtlı olan kullanıcıların anonim kullanıcılar tarafından listelenip listelenemeyeceğini belirler.
WİNDOWS HARDENİNG S A Y F A | 47 Varsayılan:
Enabled
Network access: Do not allow anonymous enumeration of SAM accounts and shares
Enabled Bu ayar, SAM veritabanında kayıtlı olan kullanıcıların ve paylaşımların, anonim kullanıcılar tarafından listelenip listelenemeyeceğini belirler.
Varsayılan:
Enabled
Network access: Do not allow storage of credentials or .NET Passports for network authentication
Enterprise Member Server/Enterprise Domain Controller:
Not Defined
Bu ayar, Stored User Names and Passwords özelliğinin bir Domain authentication işleminin ardından kimlik bilgilerini saklayıp saklamayacağını belirler.
Varsayılan:
Disabled
Network access: Let Everyone permissions apply to anonymous users
Disabled Bu ayar, bir sisteme erişen anonim kullanıcılara hangi ek izinlerin atanacağını belirler. Bu ayarın aktif edilmesi durumunda, anonim kullanıcılar Domain hesaplarının bilgilerini listeleyebilirler.
Varsayılan:
Disabled
Network access: Named Pipes that can be accessed anonymously
Enterprise Member Server/Enterprise Domain Controller:
Not Defined
Bu ayar, hangi iletişim kanallarının anonim erişime izin veren özelliklere sahip olacağının belirlenmesini sağlar.
Varsayılan: