Windows Sistem Güvenliği - ufak tefek notlar

Windows Sistem Güvenliği Temelleri

İşletmeler ve bireyler, verilerini işlemek, depolamak ve bunlara erişmek için platformlara ve işletim sistemlerine giderek daha fazla bağımlı hale geliyor. Ancak bu bağımlılık, sistemlerin güvenliğinin önemli ölçüde artırılması ihtiyacını da beraberinde getiriyor.

Windows İşletim sistemi yaygın olarak kullanılan platformlardan biridir ve sistem güvenliği bilgi güvenliğinin temel taşıdır. Veri ihlalleri ve siber saldırılar, tüm sektörlerdeki işletmeler için giderek daha önemli bir tehdit haline geliyor. Bu tehditler finansal kayıplara, iş süreçlerinde aksamalara, veri kayıplarına ve itibar kayıplarına neden olabilir.

Windows sisteminin güvenliği, bireylerin ve kuruluşların özel ve hassas bilgilerini güvende tutan veri ve süreçlerin korunmasını sağlar. Güvenli bir sistem hizmet kesintilerini önler ve kullanıcıları siber suçlara karşı korur. Ayrıca güvenli Windows sistemleri işletmelerin müşterilerine ve çalışanlarına güvenli bir dijital ortam sunmasını sağlar.

Windows sistem güvenliği, bir dizi bileşen ve hizmetin birleşimiyle sağlanır. Bu bileşenlerin her biri sistemlerin ve verilerin güvenliğinin arttırılmasında önemli bir rol oynar. Windows sistem güvenliği temel olarak aşağıdaki konulardan oluşur:

User and Group Management
Active Directory Security
Windows DNS Security
Windows DHCP Security
Windows Local Security Policy, Group Policy, and UAC
Authentication and Authorization on Windows
Windows Update and Patch Management
Antivirus, Malware and Threat Protection
Windows Log Engine

User and Group Management

Windows kullanıcı ve grup yönetimi, Windows sistemlerinin güvenli ve verimli çalışmasını sağlamada kritik bir rol oynar. Bu ders, hem Yönetici hem de Standart kullanıcı hesaplarının nasıl çalıştığını, nasıl yönetildiklerini ve ayrıcalıkların nasıl atanabileceğini anlamanıza yardımcı olacaktır. Ayrıca grup yönetiminin birden fazla kullanıcının ayrıcalıklarını toplu olarak nasıl yönetebileceğini de öğreneceksiniz.

Kullanıcı Hesapları ve Yönetimi

Kullanıcı hesabı, bir kişi veya hizmet için Windows’ta tanımlanan bir kimliktir. Her kullanıcı hesabı genellikle bir kullanıcı adı ve parolayla ilişkilendirilir.

Yönetici Hesapları

Bu hesaplar tüm sistem kaynaklarına ve ayarlarına tam erişim sağlar. Yönetici hesapları ayrıca diğer kullanıcı hesaplarını oluşturma, değiştirme veya silme olanağına da sahiptir.

Standart Kullanıcı Hesapları

Bu hesaplar kullanıcılara belirli programları çalıştırma ve kişisel dosya ve ayarları yönetme olanağı sağlar. Ancak sistem genelindeki ayarları değiştirme yeteneği genellikle sınırlıdır.

Windows Server’da kullanıcı yönetimi için;

Başlat -> Bilgisayar Yönetimi -> Yerel Kullanıcılar ve Gruplar -> Kullanıcılar ekranı açılır:

Windows Server ile birlikte gelen ana varsayılan kullanıcılar aşağıdaki gibidir:

Yeni bir yerel kullanıcı oluşturmak için Kullanıcılar ekranına sağ tıklayıp “Yeni Kullanıcı” seçeneğini seçin, kullanıcı bilgilerini yazın ve “Oluştur” butonuna tıklayın.

Aynı ekranda kullanıcı hesabına sağ tıklayıp “Sil” butonuna tıklayarak sistemden bir kullanıcı hesabını silebiliriz.

Şu ana kadar Windows Server’da kullanıcı yönetimi ekranı, varsayılan kullanıcılar ve bu kullanıcıların özellikleri, kullanıcı oluşturma ve silme gibi işlemlerin nasıl yapıldığı gibi konuları ele aldık.

Windows sistem güvenliği açısından “Kullanıcı Hesapları ve Yönetimi” konusunda dikkat edilmesi gereken önemli noktalar şunlardır:

Kullanıcı İzinleri ve Yetkileri

En Az Ayrıcalık İlkesi

Kullanıcılara yalnızca gerektiği kadar yetki verin; bu, kullanıcılar için en düşük ayrıcalık düzeyini oluşturmaktır.

Yönetici Hesaplarını Sınırla

Yönetici hesapları sınırlı sayıda ve yalnızca gerektiğinde kullanılmalıdır.

Şifre Politikaları

Güçlü Şifre Kuralları

En az 12 karakter, harf, rakam ve özel karakter içermelidir.

Zorunlu Şifre Değişikliği

Kullanıcıların periyodik olarak şifrelerini değiştirmeleri gerekmektedir.

İki Faktörlü Kimlik Doğrulama (2FA)

2FA’nın kullanılabilirliğini değerlendirin ve mümkünse etkinleştirin. Bu, parolanın ele geçirilmesi durumunda ekstra bir güvenlik katmanı oluşturur.

Kullanıcı Hesabı Denetimi (UAC)

Programların ve uygulamaların yalnızca yönetici onayıyla yükseltilmiş ayrıcalıklar elde edebilmesi için UAC özelliklerini etkinleştirin.

Oturum Zaman Aşımları ve Ekran Kilitleri

Otomatik zaman aşımı ve ekran kilidi özelliklerini etkinleştirin, böylece kullanıcılar fiziksel olarak klavyeden uzaklaştığında sistemleri korunur.

Hesap Kontrolü ve Takibi

Kullanıcı hesaplarının ve erişimin denetlenmesini etkinleştirin. Anormal veya şüpheli etkinlikleri belirlemek için günlükleri düzenli olarak inceleyin.

Bu önlemler Windows sistemlerinin güvenliği açısından kritik öneme sahiptir. İyi bir kullanıcı hesabı yönetimi uygulaması, sistem güvenliğinin iyileştirilmesinde çok önemli bir rol oynar.

Gruplar ve Yönetim

Grup, bir veya daha fazla kullanıcının oluşturduğu bir koleksiyondur. Gruplar, kullanıcıları ve sistem kaynaklarını yönetmeyi kolaylaştırır.

Yerel Gruplar

Bilgisayarda tanımlanan gruplar. Yerel gruplar, belirli bir bilgisayardaki kaynakları yönetmek için kullanılır.

Etki Alanı Grupları

Etki alanı grupları, ağdaki birden fazla bilgisayardaki kaynakları yönetmek için kullanılır.

Grup üyeleri, grup politikaları aracılığıyla belirli ayrıcalıklara sahip olabilir. Bir kullanıcıyı bir gruba eklemek veya gruptan çıkarmak, kullanıcının ayrıcalıklarını hızlı bir şekilde değiştirmenin kolay bir yoludur.

Başlat -> Bilgisayar Yönetimi -> Yerel Kullanıcılar ve Gruplar -> Gruplar ekranı açılır:

Windows Server ile birlikte gelen varsayılan yerel gruplar aşağıdaki gibidir:

Windows Server Active Directory rolüyle birlikte gelen varsayılan gruplar aşağıdaki gibidir:

Windows sistem güvenliği açısından “Gruplar ve Yönetim” konusunda dikkat edilmesi gereken önemli noktalar şunlardır:

Grup Türleri ve Kullanımı

Grup türlerinin belirlenmesi önemlidir. Windows yerel, genel ve evrensel gibi farklı türde gruplar sunar. Hangi türün ne zaman kullanılacağını anlamak güvenliği artırabilir.

Grup Erişim Denetimleri

Grup izinleri: En az ayrıcalık ilkesine göre gruplara atanacak erişim izinlerini ayarlayın. Örneğin Okuma ve Yazma Erişimi verirken kimin okuma ve yazma izni alacağını dikkatlice belirleyin.

Kullanıcı-Grup İlişkisi

Kullanıcı Ekleme/Kaldırma

Gerektiğinde gruplara kullanıcı eklemek veya grupları kaldırmak için etkili bir yönetim süreci oluşturun.

Kullanıcı Raporları

Grup üyeliklerini düzenli olarak gözden geçirin, her grubun üyelerini kontrol edin ve onları güncel tutun.

Grup Kontrol ve İzleme

Grup Günlükleri

Grup değişiklikleri, erişim istekleri ve diğer etkinlikler için günlükleri düzenli olarak inceleyin.

Düzenli İnceleme

Grup izinleri ve üyelikleri düzenli aralıklarla gözden geçirilmelidir.

Grup Yedekleme ve Kurtarma

Grup Yedeklemeleri

Özellikle önemli ve kritik gruplar için yapılandırma ayarlarını düzenli olarak yedekleyin.

Bu konular grubun ve üyelerinin güvenliği açısından önemli olduğu kadar genel sistem güvenliği açısından da kritik öneme sahiptir. Gruplar etkili bir şekilde yönetildiğinde, bu genellikle sistem güvenliğinin daha geniş bir şekilde anlaşılmasına katkıda bulunur.

Aktif Dizin Güvenliği – 1

Active Directory (AD), Microsoft tarafından geliştirilen ve Windows tabanlı ağ ortamlarında kullanılan bir dizin hizmetidir. AD, kullanıcı hesaplarının, grupların, kaynakların ve diğer ağ cihazlarının merkezi yönetimini sağlar. Bu merkezi yapı, kullanıcıların kimlik doğrulama, yetkilendirme süreçlerini ve kaynaklara erişimini kolaylaştırırken ağ güvenliğinin ve veri bütünlüğünün sağlanmasına yardımcı olur. Active Directory, kuruluşlara verimlilik, güvenlik ve yönetim kolaylığı sunan kritik bir bileşendir.

Active Directory’nin önemi ve yaygın kullanım alanları şu şekildedir:

Merkezi Kimlik Yönetimi

Active Directory, kullanıcı hesaplarını ve kimlik bilgilerini merkezi olarak yönetir. Bu sayede kullanıcılar ağdaki birden fazla kaynağa tek bir kimlikle erişebilirler. Kullanıcı hesaplarının merkezi olarak yönetilmesi, şifre politikalarının uygulanması ve yetkilendirme süreçlerinin kolaylaştırılmasıyla güvenli kimlik yönetimi sağlanır.

Kaynakların Merkezi Yönetimi

Active Directory, ağdaki kaynakların merkezi yönetimini sağlar. Bu kaynaklar, kullanıcı hesaplarını, grupları, paylaşılan klasörleri, yazıcıları, sunucuları ve diğer ağ aygıtlarını içerebilir. Kaynakların merkezi yönetimi, kaynakların düzenli yapılandırılmasını ve güncellenmesini ve erişim haklarının kontrolünü kolaylaştırır.

Güvenlik ve Erişim Kontrolü

Active Directory ağda güvenlik politikalarının uygulanmasına yardımcı olur. Yetkilendirme ve erişim kontrol mekanizmaları sayesinde kullanıcıların belirli kaynaklara erişim düzeyleri kontrol edilmektedir. Bu, hassas verilere yetkisiz erişimi önler ve veri güvenliğini artırır.

Grup Politikaları

Active Directory’nin en önemli özelliklerinden biri Grup İlkeleridir. Grup İlkeleri, kullanıcıların ve bilgisayarların yapılandırma ayarlarını merkezi olarak yönetmek için kullanılır. Bu politikalar güvenlik ayarlarını, masaüstü ayarlarını, uygulama ayarlarını ve daha fazlasını içerir. Grup İlkeleri ağ genelinde tutarlılık sağlar ve yönetimi kolaylaştırır.

İş Sürekliliği ve İyileşme

Active Directory, kuruluşların iş sürekliliğinin sağlanmasında önemli bir rol oynamaktadır. Veri kaybı veya sistem arızası durumunda Active Directory’nin yedekleme ve geri yükleme mekanizmalarını kullanarak sistemleri hızlı bir şekilde geri yüklemek mümkündür. Bu, veri kaybını en aza indirir ve kuruluşların kesintisiz olarak faaliyetlerine devam etmelerine olanak tanır.

Uyumluluk ve Denetim

Birçok endüstri standardı ve düzenleyici gereklilik, kuruluşları Active Directory’nin sağladığı denetim yeteneklerine ve güvenlik özelliklerine uymaya teşvik eder. Active Directory, denetim izleri ve izleme mekanizmaları sağlayarak uyumluluk gereksinimlerini kolaylaştırır.

Active Directory, kuruluşların verimliliğini artıran, güvenliği sağlayan ve yönetimi kolaylaştıran kritik bir bileşendir. Bu nedenle birçok kuruluş Active Directory’yi aktif olarak kullanıyor ve önemsiyor.

Etki Alanı, Organizasyon Birimleri (OU), Gruplar ve Nesneler, Active Directory güvenliğine başlamadan önce bilmemiz gereken başlıca konulardan bazılarıdır:

İhtisas

Etki alanı bir ağın temel yönetim birimi olarak kullanılır. Kullanıcı hesapları, gruplar, bilgisayar hesapları ve diğer nesneler, ortak kimlik doğrulama ve erişim kontrolü sağlayan etki alanında bulunur.

Organizasyon Birimi (OU)

Organizasyon Birimi (OU), etki alanı içindeki nesneleri daha organize bir şekilde gruplamak ve yönetmek için kullanılır. Kuruluş birimleri yönetim, erişim kontrolü ve Grup İlkesinin uygulanması için kullanılır.

Gruplar

Gruplar, kullanıcıları veya bilgisayarları mantıksal olarak gruplandırmak için kullanılır. Kullanıcıları benzer özelliklere veya işlevlere göre gruplandırmak, erişim haklarını ve izinlerini yönetmeyi kolaylaştırır.

Nesneler

Active Directory’deki temel öğeler. Kullanıcılar, bilgisayarlar, yazıcılar, gruplar, kuruluş birimleri ve diğer nesneler Active Directory’deki veritabanının yapı taşlarını oluşturur.

Bu kavramlar Active Directory’nin temel bileşenlerini ve yapılarını açıklar. Domain, nesnelerin ve yapıların merkezi yönetimini sağlar ve büyük ağlarda organizasyonu kolaylaştırır.

Şu ana kadar Active Directory’nin öneminden, yaygın kullanım örneklerinden ve bilinmesi gereken temel şeylerden bahsettik. Active Directory Güvenliği sadece bu konulardan ibaret değildir. Şimdi “Active Directory Güvenliği” hakkında konuşmaya başlayalım ve bu konuda dikkat edilmesi gereken önemli noktalara, güvenliğinin sağlanması için ne gibi önlemlerin alınması gerektiğine değinelim. Bu önlemlerin yanı sıra Active Directory Sertleştirme de önerilmektedir.

Varsayılan Hesapların Kullanımı

“Varsayılan Hesaplar”, işletim sistemi veya uygulamalar tarafından önceden oluşturulan ve genellikle benzersiz bir kullanıcı adı ve parolaya sahip olan hesaplardır. Bu hesaplar, sistemi veya uygulamaları yüklediğinizde veya yapılandırdığınızda otomatik olarak oluşturulur. Örneğin Windows işletim sistemi tarafından oluşturulan “Yönetici” veya “Misafir” hesapları bu kategoriye girer. Ancak bu varsayılan hesapların kullanılması genel olarak güvenlik açısından tehlikelidir.

Varsayılan hesaplar genellikle temel güvenlik ayarlarıyla birlikte gelir ve sık kullanılan şifreleri veya zayıf güvenlik politikalarını kullanabilir. Dolayısıyla bu hesapların kullanılması saldırganların kolaylıkla erişebileceği bir nokta oluşturabilir. Saldırganlar, zayıf güvenlik ayarlarını ve varsayılan hesapların adlarını biliyor olabilir. Bu hesaplar hedef alınarak sistemlere sızma girişimleri ve saldırılar gerçekleştirilebilir. Varsayılan hesaplar sıklıkla birden fazla sistem veya uygulamada kullanılabildiğinden, bu hesapların etkinliklerini izlemek ve denetlemek zor olabilir. Varsayılan hesaplar kullanılmaya devam ederse, bu hesaplar artık ihtiyaç duyulmasa bile sürekli erişim izinleri sağlayabilir. Bu gereksiz riskleri artırır.

Sonuç olarak varsayılan hesapları kullanmak yerine özel ve ihtiyaca dayalı hesaplar oluşturmak ve bu hesapları gerektiği gibi güvenlik önlemleriyle korumak daha güvenli bir yaklaşım olacaktır. Varsayılan hesapların erişim izinleri düzenli olarak gözden geçirilmeli, gereksiz hesaplar devre dışı bırakılmalı veya silinmelidir.

Yetkili Grupların Kullanımı

Etki Alanı Yöneticileri ve Kurumsal Yöneticiler gibi diğer ayrıcalıklı grup üyeleri çok güçlüdür. Etki alanının tamamına, tüm sistemlere, tüm verilere, bilgisayarlara, dizüstü bilgisayarlara ve benzeri kaynaklara erişebilirler.

Sıradan kullanıcı hesaplarının bu yetkili gruplarda olmaması tavsiye edilir, tek istisna varsayılan alan adı yönetici hesabı olmalıdır. Saldırganların aradığı şey, alan adı yöneticilerine ait hesaplara erişmektir.

Microsoft, Etki Alanı Yöneticisi erişimi gerektiğinde hesabı geçici olarak Etki Alanı Yöneticileri grubuna eklemenizi önerir. İşlem tamamlandıktan sonra hesabın Domain Admins grubundan kaldırılması gerekir.

Birden Fazla Hesap Kullanma (Normal Kullanıcı ve Yönetici Hesabı)

Bilgisayar güvenliğinin temel taşlarından biri, günlük görevler için kullanılan normal kullanıcı hesabı ile idari görevler için kullanılan ayrı bir yönetici hesabı arasında ayrım yapmaktır. Bu yaklaşım, her iki hesabın ihtiyaçlarına uygun özel yapılandırma ve güvenlik önlemlerini içerir.

Neden Birden Fazla Hesap Kullanmalıyız?

Ayrıcalıkların Ayrılığı

Normal bir kullanıcı hesabının sınırlı izinleri varken yönetici hesabının daha yüksek ayrıcalıkları vardır. Bu, günlük işlerin idari görevlere müdahale etmesini önler.

Saldırıları Sınırlama

Günlük görevler ve yönetim işlemleri aynı hesapla yapılıyorsa, kötü amaçlı yazılımlar veya saldırganlar normal bir kullanıcı hesabını ele geçirdiklerinde yönetici ayrıcalıklarına da erişebilirler.

Veri ve Sistem Güvenliği

Farklı roller için farklı hesapların kullanılması ve yönetici hesabının yalnızca gerektiğinde ve özel bir bilgisayarda kullanılması, veri ve sistem güvenliğini artırır.

Nasıl kullanılır?

Normal Kullanıcı Hesabı

Normal bir kullanıcı hesabı, günlük görevler, internette gezinme ve e-posta kontrolü gibi rutin etkinlikler için kullanılır. Bu hesabın sınırlı izinleri vardır, bu da olası riskleri azaltır.

Yönetici Hesabı

Bu, yalnızca yönetim görevleri, sistem yapılandırması ve yazılım kurulumu gibi özel işlemler için kullanılan bir yönetici hesabıdır. Bu hesabın ayrıcalıkları yüksektir ve onu güvende tutmak önemlidir.

Sonuç olarak farklı roller için birden fazla hesabın kullanılması, işlemlerin ayrılmasını sağlayarak bilgisayar güvenliğini artırır. Bu yaklaşım riskleri en aza indirir ve saldırılara karşı daha iyi koruma sağlar. İdari görevler için kullanılan hesabın özellikle güvenli tutulması gerektiğini unutmayın.

Denetim Politikası Oluşturma

Denetim ilkesi ayarları, bir ağdaki olayları izlemek, kontrol etmek ve kaydetmek için kullanılan önemli bir güvenlik önlemidir. Bu politikalar bir kuruluşun siber güvenliğini artırmak ve istenmeyen etkinlikleri tespit etmek için kullanılır. Denetim ilkelerinin Grup İlkesi aracılığıyla etkinleştirilmesi, güvenlik açıklarının tespit edilmesinde ve siber saldırılara karşı savunmada kritik bir adımdır.

Aşağıda belirtilen Denetim Politikası ayarlarının grup politikasında yapılandırıldığından ve tüm bilgisayarlara ve sunuculara uygulandığından emin olun.

Denetim politikası ayarları için;

“Bilgisayar Yapılandırması -> Politikalar -> Windows Ayarları -> Güvenlik Ayarları -> Gelişmiş Denetim Politikası Yapılandırması” bölümü açılır:

Hesap Oturum Açma

‘Kimlik Bilgisi Doğrulamasını Denetle’ seçeneğinin ‘Başarılı ve Başarısız’ olarak ayarlandığından emin olun

Account Logon

Ensure ‘Audit Credential Validation’ is set to ‘Success and Failure’

Account Management

Audit ‘Application Group Management’ is set to ‘Success and Failure’

Audit ‘Computer Account Management’ is set to ‘Success and Failure’

Audit ‘Other Account Management Events’ is set to ‘Success and Failure’

Audit ‘Security Group Management’ is set to ‘Success and Failure’

Audit ‘User Account Management’ is set to ‘Success and Failure’

Detailed Tracking

Audit ‘PNP Activity’ is set to ‘Success’

Audit ‘Process Creation’ is set to ‘Success’

Logon/Logoff

Audit ‘Account Lockout’ is set to ‘Success and Failure’

Audit ‘Group Membership’ is set to ‘Success’

Audit ‘Logoff’ is set to ‘Success’

Audit ‘Logon’ is set to ‘Success and Failure’

Audit ‘Other Logon/Logoff Events’ is set to ‘Success and Failure’

Audit ‘Special Logon’ is set to ‘Success’

Object Access

Audit ‘Removable Storage’ is set to ‘Success and Failure’

Policy Change

Audit ‘Audit Policy Change’ is set to ‘Success and Failure’

Audit ‘Authentication Policy Change’ is set to ‘Success’

Audit ‘Authorization Policy Change’ is set to ‘Success’

Privilege Use

Audit ‘Sensitive Privilege Use’ is set to ‘Success and Failure’

System

Audit ‘IPsec Driver’ is set to ‘Success and Failure’

Audit’ Other System Events’ is set to ‘Success and Failure’

Audit ‘Security State Change’ is set to ‘Success’

Audit ‘Security System Extension’ is set to ‘Success and Failure’

Audit ‘System Integrity is set to ‘Success and Failure’

Şüpheli faaliyetler genellikle son kullanıcı sistemlerinde başlar. Güvenlik olaylarını anında tespit edebilmek için tüm sistemleri sürekli izlemelisiniz.

Yerel Yönetici Hesabı Yönetimi

Windows Yerel Yönetici Parolası Çözümü (Windows LAPS), iş istasyonları ve sunuculardaki yerel yönetici hesaplarının parolalarının düzenli ve otomatik olarak yönetilmesini sağlayan bir yöntemdir. Bu çözüm, yerel yönetici hesaplarının şifrelerini sürekli güncelleyerek siber saldırılara karşı daha yüksek düzeyde güvenlik sağlar.

Neden Windows LAPS Kullanmalıyız?

Parola Yönetimini Kolaylaştırın

Windows LAPS, tüm yerel yönetici hesaplarının parolalarını merkezi olarak yönetmenize olanak tanır. Bu, manuel şifre güncellemelerini ve güçlüklerini otomatik ve düzenli şifre rotasyonuyla değiştirir.

Parola Güvenliğini Artırma

Otomatik şifre değişiklikleri ve karmaşık şifre politikaları şifre güvenliğini artırır. Eski veya zayıf şifrelerin uzun süre kullanılması riskini azaltır.

Saldırıları Önleme

Yerel yönetici hesaplarının güçlü ve düzenli olarak değişen şifreleri, kötü niyetli saldırganların bu hesapları ele geçirme riskini azaltır.

Avantajlar ve En İyi Uygulamalar

Otomatik Şifre Döndürme

Yerel yönetici şifrelerinin düzenli olarak otomatik olarak değiştirilmesi.

Güçlü Şifre Politikaları

Karmaşık şifre gereksinimleri ve uzunluk sınırlamaları olan güçlü şifrelerin kullanılması.

Geçmiş Şifre Kayıtları

Eski şifre kayıtlarının saklanması ve geçmiş şifrelerin kullanılmasının engellenmesi.

Şifre Günlükleri

Şifre değişikliklerinin ve güncellemelerin günlüğe kaydedilmesi.

Özetle Windows LAPS, yerel yönetici hesaplarının güvenli ve otomatik yönetimini sağlayan önemli bir güvenlik adımıdır. Şifre rotasyonu, otomatik güncellemeler ve güçlü şifre politikaları sayesinde siber saldırılara karşı direnci arttırır, yönetimi kolaylaştırır ve iş yükünü azaltır.

Şifre Politikası Oluşturma

Active Directory’de parola politikası oluşturmak, güvenlik açıklarını en aza indirmek ve hesap güvenliğini artırmak için önemli bir adımdır. Parola politikası, kullanıcıların parolalarının nasıl oluşturulduğunu, ne kadar karmaşık olması gerektiğini ve ne kadar süreyle değiştirilmesi gerektiğini belirleyen kurallar ve kısıtlamalar içerir.

Neden Şifre Politikası Oluşturmalıyız?

Güçlü Şifreler Gerektir

Şifre politikası, kullanıcıların güçlü ve tahmin edilmesi zor şifreler kullanmasına olanak tanır. Bu, hesapları kötü niyetli saldırılara karşı daha dayanıklı hale getirir.

Karmaşıklığı Artırın

Parola ilkesi, küçük harfler, büyük harfler, sayılar ve simgeler gibi farklı öğeler içeren karmaşık parolaların kullanımını zorunlu kılar.

Düzenli Şifre Değişikliği

Politika, şifrelerin periyodik olarak değiştirilmesini gerektirebilir. Bu, eski veya zayıf şifrelerin kullanılmasını önler.

Active Directory Parola Politikası Oluşturma Adımları

Active Directory Yönetim Araçları’nı açın ve Grup İlkesi Yönetimi’ni seçin.
Parolaları Yönetmek için Parola Politikaları’na gidin.
Yeni bir şifre politikası oluşturun ve ona bir ad verin.
Şifre politikasında ihtiyaç duyduğunuz karmaşıklık düzeyini belirtin. Örneğin büyük harf, küçük harf, sayı ve sembollerin kullanımı.
Şifrenin geçerli olacağı süreyi belirtin. Şifre daha sonra devre dışı bırakılacak ve kullanıcının tekrar etkinleştirilmesi için bir yöneticinin yardımına ihtiyacı olacaktır. Bu, şifrenin düzenli olarak değiştirilmesini sağlar.
Kullanıcıların önceki şifrelerini hatırlamaları gereken minimum sayıyı belirtin. Bu, eski şifrelerin yeniden kullanılmasını önler.
Yanlış şifre girme girişimlerinin bir sonucu olarak zaman sınırları belirleyin veya hesapların kilitlenmesini sağlayın.

Sonuç olarak, bir parola politikası oluşturmak, Active Directory güvenliğini iyileştirmede ve hesaplarınızın siber saldırılara karşı daha dayanıklı olmasını sağlamada kritik bir adımdır. Güçlü, karmaşık parolaların uygulanması ve düzenli parola değişikliklerinin uygulanması, güvenliği artırırken riskleri azaltır. Doğru politikaları oluşturarak kullanıcıların hesaplarını daha güvenli yönetmelerini sağlayabilirsiniz.

Aktif Dizin Güvenliği – 2

Kilitleme Politikası Oluşturma

Kilitleme politikası, belirli sayıda hatalı şifre girişimi sonucunda hesapları kilitleyen ve erişimi belirli bir süre boyunca engelleyen önemli bir güvenlik önlemidir. Bu politika, siber saldırılara ve hesap güvenliği tehditlerine karşı koruma sağlamak için kullanılır. Lokavt Politikasının önemine ilişkin detaylı açıklamalar aşağıda yer almaktadır:

Kaba Kuvvet Saldırılarına Karşı Koruma

Kaba kuvvet saldırıları, saldırganların hızlı ve sürekli olarak farklı şifre kombinasyonlarını deneyerek hesapları ele geçirme girişimleridir. Kilitleme politikası, belirli sayıda hatalı şifre denemesinden sonra hesapların kilitlenmesini sağlayarak bu tür saldırılara karşı koruma sağlar.

Karma Geçiş Saldırılarına Karşı Koruma

Karma geçiş saldırıları, saldırganların parola karmaları elde ederek hesaplara yetkisiz erişim sağladığı saldırılardır. Lokavt politikası bu tür saldırıların etkisini azaltır çünkü sınırlı sayıda deneme olduğunda saldırganlar daha zor engellerle karşılaşır.

Hesap Güvenliğini Artırın

Kilitleme politikası hesap güvenliğini artırır çünkü hesap sahiplerinin şifrelerini unutması veya kaybetmesi durumunda, üçüncü şahısların sonsuz şifre denemeleri yaparak hesapları ele geçirme olasılığı azalır.

Hesap Bilinci

Hesapların sürekli olarak kilitlendiği veya bloke edildiği fark edilirse, bunun olası bir saldırı veya güvenlik ihlalinin işareti olabileceği konusunda farkındalık yaratılır. Bu sayede güvenlik tehditleri erken aşamada tespit edilebilmektedir.

Saldırganları Yavaşlatmak:

Kilitleme politikası, saldırganların hesapları hızla ele geçirme girişimlerini yavaşlatır. Belirli sayıda denemeden sonra uygun önlemler alınarak hesapların kilitlenmesi, saldırganların sistemlerin kontrolünü kolaylıkla ele geçirmesini engellemenin etkili bir yoludur.

Aktif Dizin Güvenliği – 2

Kilitleme Politikası Oluşturma

Kaba Kuvvet Saldırılarına Karşı Koruma

Karma Geçiş Saldırılarına Karşı Koruma

Hesap Güvenliğini Artırın

Hesap Bilinci

Saldırganları Yavaşlatmak:

Grup Faaliyetleri Tablosu

Yerel Yönetici Grubu Üyelik Denetimi

Yerel yönetici haklarına sahip bir kullanıcı, Windows İşletim Sisteminin tamamına tam erişime sahiptir ve kötü amaçlı yazılımlar da içerebilecek yazılımları indirme ve yükleme, hesapları etkinleştirme/devre dışı bırakma, sistemin güvenlik özelliğini devre dışı bırakma, kullanıcı bilgilerine erişme ve kimlik bilgilerini çalma becerisine sahiptir. veya çeşitli güvenlik sorunlarına yol açabilecek veriler.

Standart bir kullanıcı yerel yönetici grubunda olmamalıdır.

Microsoft güvenlik açıkları raporunda şunlar belirtiliyor:

“2018’de keşfedilen tüm Windows güvenlik açıklarından 169’u ‘kritik’ olarak değerlendirildi. Yönetici haklarının kaldırılması bu kritik güvenlik açıklarının %85’ini azaltabilirdi”

Kullanıcıları yerel yönetici grubundan çıkararak, saldırganların bilgisayarınıza ve ağınıza erişme riskini büyük ölçüde azaltırsınız.

Yerel yönetici grubunu kontrol etmek için grup ilkesinin kullanılması önerilir. Bu izinleri merkezi kontrol olmadan yerel bilgisayardan kaldırırsanız bu haklar tekrar eklenebilir.

Windows DNS Güvenliği

Etki Alanı Adı Sistemi (DNS) hizmetinin güvenliği, bir ağın genel güvenliği açısından son derece önemlidir. Ağ üzerindeki kullanıcı ve sistemlerin iletişimini kolaylaştırır. Ancak bu önemli hizmet aynı zamanda kötü niyetli saldırganların da hedefi olabiliyor, dolayısıyla bu hizmetin güvenliği son derece önemli.

DNS, bir web tarayıcısına bir URL girildiğinde veya bir uygulama bir web hizmetine bağlandığında veya bir etki alanını çözümlemek istediğinde bu adları karşılık gelen IP adreslerine dönüştürür. Ancak DNS hizmeti güvenli değilse saldırganlar DNS sorgularını değiştirebilir ve kullanıcıları sahte veya kötü amaçlı sitelere yönlendirebilir. Bu tür saldırılara genellikle DNS zehirlenmesi veya DNS sahtekarlığı adı verilir ve kullanıcıların kişisel bilgilerini veya hassas bilgilerini (şifre, kredi kartı vb.) çalmak için kullanılabilir. Ayrıca, DNS hizmetine yapılacak bir DDoS (Dağıtılmış Hizmet Reddi) saldırısı, bir ağın veya web hizmetinin tamamen çökmesine neden olabilir.

DNS hizmetinin güvenliği, ağdaki bilgi alışverişinin güvenli ve gizli kalmasını sağlar. Bu yalnızca kullanıcıların kişisel bilgilerini korumakla kalmaz, aynı zamanda işletmelerin hassas bilgilerini ve hizmetlerini kötü niyetli saldırganlardan da korur. Bu nedenle, DNS hizmetinin güvenliği bir ağın genel güvenliği açısından hayati öneme sahiptir.

Windows DNS Sunucusu, Microsoft tarafından sağlanan bir DNS hizmetidir ve genellikle Windows tabanlı ağlar tarafından kullanılır. Bu hizmet, Windows Active Directory hizmeti ile sıkı bir şekilde entegre olduğundan özellikle Windows ortamlarında yaygın olarak tercih edilmektedir. Ancak saldırganların bu hizmeti hedef alarak ağın güvenliğini tehlikeye atabilmesi nedeniyle Windows DNS Sunucusunun güvenliği kritik bir konudur.

Bu, Windows DNS Sunucusunun güvenliğinin, bir ağın genel güvenliğinin ayrılmaz bir parçası olduğunu vurgular. Bu nedenle, bu hizmet koruma stratejileri ve uygulamaları ağ yöneticileri ve güvenlik uzmanları tarafından anlaşılmalı ve uygulanmalıdır. DNS saldırılarına karşı koruma sağlamak, ağ trafiğinin uygun şekilde yönlendirilmesini sağlamak ve genel ağ güvenliğini sürdürmek için Windows DNS Sunucusu güvenliğinin sürekli olarak değerlendirilmesi ve iyileştirilmesi gereklidir. Windows DNS Sunucusu güvenliğiyle ilgili ana sorunlar şunlardır.

DNS Bölge Aktarımı Kısıtlaması

DNS Bölge aktarımı, tüm DNS kayıtlarının birincil DNS sunucusundan (master) ikincil DNS sunucularına (slave veya yedek) kopyalanması işlemidir. Bu işlem genellikle DNS yedeklemesi ve yük dengeleme için kullanılır.

DNS verileri genellikle belirli bir DNS ad alanının (etki alanının) tüm kayıtlarını içeren “bölge” adı verilen bir yapıda düzenlenir. DNS bölge aktarımı, bir bölgenin tüm verilerini bir sunucudan diğerine kopyalar. Bu genellikle birincil sunucuda değişiklik yapıldığında ve bu değişikliklerin tüm yedek sunuculara aktarılması gerektiğinde meydana gelir.

Bölge transferleri iki tipte olabilir:

Full Zone Transfer (AXFR)

Bu, bir bölgenin tüm bilgilerini birincil DNS sunucusundan yedek DNS sunucusuna kopyalar. Bu tür aktarımlar genellikle bir bölge ilk kez oluşturulduğunda veya yedekleme sunucusu tamamen yeniden başlatıldığında gerçekleşir.

Incremental Zone Transfer (IXFR)

Bu yalnızca bir bölgedeki değişiklikleri birincil DNS sunucusundan yedek DNS sunucusuna kopyalar. Bir bölge değiştiğinde, yedekleme sunucusu yalnızca değişiklikleri alır, böylece verimlilik artar ve ağ trafiği azalır.

Bölge aktarımları genellikle otomatik olarak gerçekleşir ancak bir ağ yöneticisi bunları manuel olarak tetikleyebilir. Bölge aktarımlarının güvenliği önemlidir çünkü bir saldırgan bir bölge aktarımına erişim kazanırsa DNS sunucusundaki tüm kayıtları öğrenebilir. Bu nedenle genellikle bölge aktarımlarını yalnızca güvenilir yedekleme sunucularına izin verecek şekilde kısıtlıyoruz.

Windows Server 2019’da DNS Zone aktarımlarını kısıtlamak için aşağıdaki adımları takip edebilirsiniz:

DNS yönetim konsolunu açın. Bunu yapmak için “Sunucu Yöneticisi”ni açın, ardından “Araçlar” menüsünü seçin ve “DNS”ye tıklayın. Açılan ekranda ilgili bölgeye sağ tıklayıp “Özellikler” seçeneğine tıklayın.

Açılan ekranda “Bölge Transferleri” sekmesine geçin ve “Bölge transferlerine izin ver:” seçeneğini seçin ve sadece belirli IP adreslerine izin vermek için “Yalnızca aşağıdaki sunuculara” seçeneğini seçin. Daha sonra “Düzenle” diyerek izin verilecek IP adreslerinin listesini yazın. (Aşağıdaki ekran görüntüsünde görüldüğü gibi 172.16.8.1 IP adresine bölge aktarımı yapılmasına izin verilmektedir.)

172.16.8.1 IP Adresi ile sunucu üzerinden DNS Zone aktarımını deneyelim. Aşağıdaki çıktıda başarılı olduğunu görebilirsiniz.

Zone transfer izni olmayan bir sistemden Zone transfer denemesi yapıldığında aşağıdaki gibi “Transfer Başarısız” mesajı alınacaktır.

DNSSec

DNSSEC veya Etki Alanı Adı Sistemi Güvenlik Uzantıları, DNS sorgularının ve yanıtlarının bütünlüğünü ve orijinalliğini doğrulamak için kullanılan bir dizi İnternet Mühendisliği Görev Gücü (IETF) standardıdır. Basitçe söylemek gerekirse DNSSEC, bir DNS sorgusunun sonuçlarının değiştirilmediğini veya değiştirilmediğini doğrulamaya yardımcı olur.

DNSSEC aslında bir DNS yanıtının orijinal olup olmadığını ve değiştirilip değiştirilmediğini belirler. Bunu, DNS yanıtlarını dijital olarak imzalayarak ve bu dijital imzayı her DNS sorgusuna yanıtta kullanarak yapar.

DNSSEC’yi ayarlamak için Windows Server 2019’da aşağıdaki adımları takip edebilirsiniz:

DNS yönetim konsolunu açın. Bunu yapmak için “Sunucu Yöneticisi”ni açın, ardından “Araçlar” menüsünü seçin ve “DNS” seçeneğine tıklayın. Uygulama yapacağınız bölgeye sağ tıklayıp “DNSSEC” -> “Bölgeyi İmzala” seçeneğine tıklayın.

Özel imza vb. kullanılmayacaksa “Bölgeyi imzalamak için varsayılan ayarları kullan” seçeneğini seçip “İleri” butonuna tıklayınız.

Varsayılan olarak tanımlanan DNSSec ayarları kısaca gösterilir. DNSSec ayarını “İleri” ve ardından “Bitir” seçeneğine tıklayarak tamamlayabilirsiniz.

DNSSEC’in eksileri ve artıları var. Örneğin, DNSSEC’nin uygulanması, yönetilmesi ve daha fazla sistem kaynağının kullanılması karmaşık olabilir. Bu nedenle DNSSEC uygulamasının dikkatle planlanması ve yönetilmesi gerekir.

DNS Sunucusu İzleme

DNS sunucusu etkinliğini izlemek, bir dizi potansiyel tehdit ve saldırının belirlenmesine yardımcı olabilir. Bu etkinlikler Windows Eventlog’da Microsoft -> Windows -> DNSServer\Audit konumunda bulunur. Burada yer alan bazı önemli olaylar şunlardır:

“ DNS Ele Geçirmeyi ” önleyecek şekilde DNS sunucusu etkinlikleri sürekli olarak izlenmelidir. saldırıları erken tespit ederek DNS Hijacking, DNS sorgularının farklı DNS sunucularına yönlendirilmesi ve yanıtın istenildiği gibi değiştirilmesiyle yapılan bir saldırı türüdür. Bu, DNS Sunucusundaki DNS kayıtlarını değiştirerek yapılabilir.

Ek Bilgiler

Güncellemeler

Güncelleme, Windows DNS hizmeti ve işletim sistemi gibi ilgili yazılımların düzenli olarak güncellenmesi çok önemlidir. Güncellemeler genellikle güvenlik açıklarını giderir ve hizmeti yeni tehditlere karşı korur.

Erişim Sınırlaması

Gerektiğinde kullanıcılara ve hizmetlere DNS hizmetine erişim sağlanmalıdır. Yüksek ayrıcalıklı hesapları sınırlandırma ve yetkilendirmeyi minimumda tutma politikası, olası zararın azaltılmasına yardımcı olabilir.

Windows DHCP Güvenliği

Dinamik Ana Bilgisayar Yapılandırma Protokolü (DHCP) hizmetinin güvenliği, bir ağın genel güvenliği açısından son derece önemlidir. Ağ üzerindeki kullanıcı ve sistemlerin iletişimini kolaylaştırır. Ancak bu önemli hizmet aynı zamanda kötü niyetli saldırganların da hedefi olabiliyor, dolayısıyla bu hizmetin güvenliği son derece önemli.

DHCP, ağa bağlı cihazlara otomatik olarak IP adresleri atanmasını sağlar. Bu, ağ yöneticilerinin her cihaz için IP adreslerini manuel olarak ayarlamasına gerek kalmadan büyük ağların yönetilmesini kolaylaştırır. Ancak DHCP hizmeti güvenli değilse, saldırgan kendi DHCP sunucusunu ağa ekleyebilir ve böylece ağa bağlanan cihazlara yanıltıcı ağ yapılandırma bilgileri sağlayabilir. Bu, saldırganların trafiği sistemlerine yönlendirmesine ve potansiyel olarak hassas bilgileri çalmasına olanak tanır.

Bu hizmetin güvenliği, ağdaki bilgi alışverişinin güvenli ve gizli kalmasını sağlar. Bu yalnızca kullanıcıların kişisel bilgilerini korumakla kalmaz, aynı zamanda işletmelerin hassas bilgilerini ve hizmetlerini kötü niyetli saldırganlardan da korur. Bu nedenle DHCP hizmetinin güvenliği, bir ağın genel güvenliği açısından hayati öneme sahiptir.

Ağların vazgeçilmez unsurlarından biri olan DHCP, ağdaki cihazlara otomatik olarak IP adresi atayarak ağ yöneticilerinin her cihaza manuel olarak IP adresi atamasını engeller. Ancak bu önemli hizmetin güvenliği çoğu zaman göz ardı edilmektedir. Windows DHCP sunucusu güvenliği, ağın genel güvenliği açısından kritik öneme sahiptir. İstenmeyen ağ erişimi, hizmet reddi (DoS) saldırıları veya veri sızıntıları gibi olası tehditleri önlemek için Windows DHCP sunucusunun güvenliğini sağlamak önemlidir.

DHCP’nin çalışma şekli nedeniyle çeşitli güvenlik açıkları bulunmaktadır. Örneğin DHCP hizmeti genellikle ağdaki herhangi bir cihaza bir IP adresi atar. Bu, yetkisiz bir cihazın ağa bağlanabileceği ve potansiyel olarak zararlı faaliyetler gerçekleştirebileceği anlamına gelir. Ek olarak, DHCP tabanlı saldırılar DHCP hizmetini devre dışı bırakabilir veya ağ trafiğini yanıltabilir. Son olarak, DHCP verilerinin gizliliği ve bütünlüğü, IP adresi bilgilerinin yanıltıcı veya kötü niyetli olarak değiştirilmesi olasılığına karşı korunmalıdır.

MAC Filtreleme

MAC Filtreleme, Windows Server’da DHCP kullanılarak Medya Erişim Kontrolü (MAC) adresleri aracılığıyla uygulanabilir. Belirli bir MAC adresine sahip cihazların IP adresi alıp almadığını kontrol etmek için kullanılır.

MAC adresi filtreleme, ağınızdaki yalnızca belirli cihazların IP adresi almasını istediğinizde veya belirli cihazların IP adresi almasını engellemek istediğinizde kullanılır. Bu, yalnızca belirli cihazların ağınıza erişmesine izin verdiği için ağ güvenliğinizi artırabilir.

Windows Server üzerinde DHCP MAC adresi filtrelemesi gerçekleştirmek için aşağıdaki adımları takip edebilirsiniz:

“Sunucu Yöneticisi”ni açtıktan sonra “Araçlar” menüsünden “DHCP”yi seçin. Açılan DHCP Yönetimi ekranında “IPv4” -> “Filtre” kısmından “İzin Ver” veya “Reddet” kısmına sağ tıklayıp “Yeni Filtre” seçeneğini seçiniz.

Filtre tipindeki “İzin Ver” seçeneği yalnızca belirli MAC adreslerine IP adresi verirken, “Reddet” seçeneği belirli MAC adreslerinin IP adresi almasını engeller.

Açılan “Yeni Filtre” penceresinde “MAC Adresi” alanına filtrelemek istediğiniz MAC adresini girin ve “Ekle” butonuna tıklayın. Bu şekilde MAC adresi filtrelemesi etkinleştirilir.

MAC filtreleme, ağ güvenliğini arttırmanın etkili bir yolu olabilir, ancak MAC adresleri kolaylıkla sahtekarlığa maruz kalabileceği için tek başına yeterli bir güvenlik önlemi değildir. Bu nedenle sıklıkla diğer güvenlik önlemleriyle birlikte kullanılması gerekir.

Sahte DHCP Engelleme

Sahte DHCP, yetkisiz ve beklenmedik bir DHCP sunucusunun genellikle kötü amaçlı amaçlarla bir ağda hizmet vermeye başlamasıdır. Rogue DHCP sunucusu, istemcilere yanıltıcı ağ yapılandırma bilgileri sağlayabilir ve bu da ağ trafiğini istenmeyen hedeflere yönlendirebilir, hatta kullanıcıları kötü amaçlı web sitelerine yönlendirebilir.

Windows Server üzerinde Rogue DHCP sunucusunu tespit etmek için Microsoft’un DHCP sunucularını otomatik olarak izlemek ve yetkisiz sunucuları tespit etmek üzere tasarladığı DHCP sunucusu yetkilendirme mekanizması kullanılır.

DHCP sunucusu yetkilendirmesi, bir DHCP sunucusunun Active Directory’de kayıtlı ve yetkili olduğunu doğrular. Bir DHCP sunucusu yetkilendirilmemişse DHCP hizmeti otomatik olarak durdurulur ve o sunucu IP adreslerini dağıtamaz.

DHCP sunucusu yetkilendirmesini kullanmak için DHCP sunucusunun bir Active Directory etki alanında olması gerekir. DHCP sunucusunu yetkilendirmek için DHCP konsolunu açın, DHCP sunucusuna sağ tıklayın ve “Yetkilendir”e tıklayın

DHCP sunucularını düzenli olarak izleyin ve ağınızda yetkisiz bir DHCP sunucusunun çalıştığını tespit ederseniz, yetkisini kaldırın veya derhal kaldırın.

Varsayılan olarak “C:\Windows\system32\dhcp” dizini altında DHCP loglarını görebilir ve oradan takip edebilirsiniz. Rogue DHCP tespiti için id 50 ve üzeri kritik logların özellikle izlenmesi gerekmektedir.

Bazı DHCP Olay Kimliklerinin anlamları aşağıdaki gibidir. 50+ Olay Kimliği Rogue Server tespiti için önemlidir.

Çözüm

Windows DHCP hizmetinin güvenliği, ağ yöneticilerinin sürekli dikkate alması ve üzerinde çalışması gereken kritik bir konudur. Ağ yöneticileri, yeni tehditleri ve riskleri anlama, yeni güvenlik teknolojilerini ve en iyi uygulamaları benimseme ve ağlarının güvenliğini sürekli olarak iyileştirme konusunda her zaman proaktif olmalıdır. Ağ güvenliğiniz sonuçta işletmenizin genel güvenliğinin ve başarısının bir parçasıdır.