Windows Sistem Güvenliği – 2

Yerel Güvenlik Politikası, Grup Politikası ve UAC

Windows işletim sistemi dünya çapında milyonlarca bilgisayar, sunucu ve dizüstü bilgisayarda bulunan ana işletim sistemidir. Yaygın kullanımı, Windows’u güvenlik tehditleri için potansiyel bir hedef haline getiriyor. Bu nedenle, Windows’un yerleşik güvenlik ayarlarını ve ilkelerini etkili bir şekilde yönetmek, bilgisayarınızın ve ağınızın genel güvenliğini sağlamak açısından hayati öneme sahiptir.

Windows’un güvenlik çerçevesi, kullanıcıları ve sistem kaynaklarını korumak için bir dizi yerleşik mekanizma ve hizmet sağlar. Bunlar, Kullanıcı Hesabı Denetimi (UAC), Windows Defender, Windows Güvenlik Duvarı, dosya sistemi erişim denetimleri ve BitLocker sürücü şifrelemesi gibi özellikleri içerir.

Yerel Güvenlik Politikası

Windows Yerel Güvenlik Politikası, Windows bilgisayarındaki güvenlik ayarlarını yönetmek için kullanılan bir araçtır. Bir bilgisayarın güvenlik ayarlarını genellikle bir kuruluşun politikalarına uygun olarak yapılandırmanın bir yoludur, ancak aynı zamanda bireysel kullanıcıların bilgisayarlarının güvenliğini kontrol etmesine de olanak tanır.

Yerel Güvenlik Politikası, kullanıcı hakları atamaları, denetim politikaları, kullanıcı hesabı kontrol ayarları ve daha fazlasını içeren bir dizi farklı ayarı kontrol eder. Bu politikalar bilgisayarın işletim sistemini ve kullanıcıların sisteme nasıl erişebileceğini kontrol eder.

Windows’taki Yerel Güvenlik Politikası, genellikle ‘secpol.msc’ komutuyla erişilen bir Microsoft Yönetim Konsolu (MMC) eklentisi aracılığıyla yönetilir. Bu konsol, bir sistem yöneticisinin veya kullanıcının tüm yerel güvenlik politikalarını görüntülemesine ve değiştirmesine olanak tanır.

Örneğin, bir sistem yöneticisi Yerel Güvenlik Politikasını aşağıdakiler için kullanabilir:

  • Şifre politikalarının belirlenmesi (örneğin, şifrenin minimum uzunluğu veya şifre geçmişinin hatırlanması),
  • Kullanıcıların veya grupların belirli görevleri gerçekleştirmesine izin vermek veya engellemek için kullanıcı hakları atamasını yönetmek,
  • Belirli türdeki olayların izlenebilmesi ve kaydedilebilmesi için denetim ilkelerinin ayarlanması (örneğin, başarısız oturum açma girişimleri).

Ancak Yerel Güvenlik Politikasının uygunsuz kullanımı bilgisayarın güvenliğini azaltabilir veya sistemlerin hatalı çalışmasına neden olabilir, bu nedenle bu araçla yapılan değişiklikler dikkatli yapılmalı ve genellikle yalnızca deneyimli BT uzmanları veya bilinçli kullanıcılar tarafından yapılmalıdır.

Örneğin, yerel kullanıcıların şifre politikalarını “Hesap Politikaları” -> “Şifre Politikası” bölümü altında görüntüleyebilir ve düzenleyebilirsiniz.

Grup İlkesi (gpedit.msc)

Windows Grup İlkesi Düzenleyicisi, sistem yöneticisinin Windows işletim sistemlerindeki belirli kullanıcı ve sistem ayarlarını yönetmesine yardımcı olan bir Microsoft Yönetim Konsolu (MMC) eklentisidir. Bu araç genellikle bir ağdaki birden fazla bilgisayarın ayarlarını merkezi olarak kontrol etmek için kullanılır.

Grup İlkesi Düzenleyicisi, kullanıcılar ve bilgisayarlar için geçerli olan ilkeleri ayarlamanıza ve düzenlemenize olanak tanır. Bu politikalar sistem güvenliğini, kullanıcı deneyimini, sistem performansını ve daha fazlasını etkileyebilir. Gpedit.msc ile uygulayabileceğiniz ana işlevlerden bazıları şunlardır:

Kullanıcı Ayarlarını Yönetme

Kullanıcı ayarları kullanıcının Windows deneyimini kontrol eder. Örneğin, kullanıcının masaüstü arka planını, ekran koruyucuyu, menü seçeneklerini, görev çubuğunu ve diğer benzer özellikleri değiştirmesine izin verilip verilmeyeceği.

Sistem Ayarlarını Yönetme

Sistem ayarları bilgisayarın genel işlevselliğini kontrol eder. Örneğin, Windows Update ayarlarını, güvenlik ayarlarını, ağ bağlantılarını ve hizmetlerini, hata raporlamayı ve daha fazlasını yönetmek.

Güvenlik Ayarlarını Kontrol Et

Windows’un güvenlik ayarlarını düzenleyebilir ve kullanıcıların şifrelerini, kullanıcı hesabı kontrol ayarlarını, güvenli oturum açma ayarlarını ve daha fazlasını ne sıklıkta değiştireceğini belirleyebilirsiniz.

Uygulama Kısıtlamaları

Hangi uygulamaların çalıştırılabileceğini veya çalıştırılamayacağını belirleyebilirsiniz. Bu, belirli uygulamaların kullanımını kısıtlayabilir veya belirli uygulamaların her zaman çalışmasını gerektirebilir.

Ağ ayarları

Ağ bağlantıları, paylaşımlar ve protokoller üzerinde kontrol sağlar. Buna VPN bağlantıları, güvenlik duvarı ayarları ve ağ paylaşımları gibi özellikler dahildir.

Başlatma ve Kapatma Komut Dosyaları

Windows başlatma veya kapatma sırasında çalıştırılacak komut dosyalarını belirtebilirsiniz.

Windows Bileşenlerini Yönetin

Windows’un belirli bileşenlerinin çalışma şeklini düzenleyebilirsiniz. Örneğin, Internet Explorer veya Microsoft Edge ayarları, Windows Defender ayarları ve daha fazlası.

Grup İlkesi Yönetimi’ni açmak için başlat kısmına “gpedit.msc” yazarak bu uygulamayı yönetici haklarıyla çalıştırın. Daha sonra soldaki ağaç yapısında belirli bir ayarı bulabilir ve sağdaki pencerede ayarı düzenleyebilirsiniz.


Bu aracı kullanırken dikkatli olmak gerekir. Yanlış bir ayar sisteminizi kararsız hale getirebilir veya belirli özelliklere erişmenizi engelleyebilir. Bu nedenle değişiklik yapmadan önce daima yedekleme yapmanız ve değiştireceğiniz her ayarı tam olarak anladığınızdan emin olmanız önerilir.

Grup ilkesi ayarları için ilgili “Grup İlkesi Yönetimi” ekranında ilgili etki alanına sağ tıklayıp “Bu etki alanında GPO oluştur ve buraya bağla…” seçeneğini seçin.

Yeni oluşturduğunuz GPO politikanıza bir ad verin ve “Tamam”a tıklayın.

İlgili politikaya sağ tıklayın ve “Düzenle”yi seçin.


Bu aşamada politikalar 2 ana temel bölümde oluşturulur: “Bilgisayar Konfigürasyonu” ve “Kullanıcı Konfigürasyonu”.

Bilgisayar Yapılandırması

Bu bölüm, bir Grup İlkesi Nesnesi (GPO) içindeki bilgisayarlara uygulanacak ilkeleri ve ayarları belirler. Bu ayarlar, işletim sistemi başlatıldığında veya bir bilgisayar etki alanına bağlandığında uygulanır. Bu bölümde sistem servisleri, güvenlik ayarları, ağ protokolleri ve diğer bilgisayar düzeyindeki konfigürasyonlar tanımlanabilir.

Kullanıcı Yapılandırması

Bu bölüm, kullanıcı hesaplarına uygulanacak Grup İlkesi ayarlarını belirler. Bu ayarlar, bir kullanıcı oturum açtığında veya Grup İlkesi yenilendiğinde uygulanır. Bu bölüm, kullanıcıların masaüstü ortamına, uygulama ayarlarına, ağ bağlantılarına ve diğer kullanıcı düzeyindeki ayarlara ilişkin politikaların yönetilmesine olanak sağlar.

Kullanıcı Hesabı Denetimi (UAC)

Kullanıcı Hesabı Denetimi (UAC), Windows Server ve diğer Windows işletim sistemlerinde bulunan bir güvenlik bileşenidir. UAC, bir uygulamanın değişiklik yapmak için yönetici düzeyinde ayrıcalıklara ihtiyaç duyup duymadığını belirler. Bu özellikle kötü amaçlı yazılımların sistemde değişiklik yapmasını önlemeye yardımcı olur.

UAC’nin çalışma şekli, bir kullanıcı veya uygulama yönetici düzeyinde ayrıcalıklar gerektiren bir eylem gerçekleştirdiğinde bir UAC isteminin görüntülenmesidir. Bu istem kullanıcıya işlemi onaylama veya reddetme seçeneği sunar.

Yönetici hesapları için bu genellikle yalnızca bir uyarıdır. Standart kullanıcı hesapları için bu genellikle kullanıcının bir yönetici parolası girmesini gerektirir.

Windows Server’da UAC’yi yapılandırmak için şu adımları takip edebilirsiniz:

Başlat menüsünü açın ve ‘Kullanıcı Hesapları’ yazın, ardından enter tuşuna basın.

Kullanıcı Hesapları penceresinde ‘Kullanıcı Hesabı Denetim Ayarlarını Değiştir’i tıklayın.

Kaydırıcıyı kullanarak UAC’nin nasıl tepki vereceğini belirleyin. Kaydırıcıyı yukarı hareket ettirirseniz UAC sizi daha fazla bildirimle uyaracaktır. Kaydırıcıyı aşağı doğru hareket ettirirseniz UAC size daha az bildirimde bulunacaktır. Ayarlarınızı yaptıktan sonra ‘Tamam’ı tıklayın ve istediğiniz yönetici şifresini girin.

Not : UAC ayarlarını değiştirirken son derece dikkatli olmalısınız. UAC’yi tamamen devre dışı bırakmak, sisteminizi kötü amaçlı yazılımlardan koruma konusunda daha az etkili hale getirebilir. UAC’yi en güvenli hale getirmek için, kullanıcıların veya uygulamaların yönetici düzeyinde ayrıcalıklar gerektiren değişiklikler yapmasını her zaman onaylamanız gerektiğini belirtmek genellikle en iyisidir.


Windows işletim sisteminde Kullanıcı Hesabı Denetimi (UAC) dört farklı düzeyde ayarlanabilir. Bu düzeyler, sistemde yapılacak önemli değişiklikler konusunda kullanıcıları farklı düzeylerde bildirimlerle uyarır. İşte o seviyeler:

Her zaman bildir: Bu, UAC’nin en yüksek düzeyidir ve uygulamalar bilgisayarlarında değişiklik yapmaya çalıştığında kullanıcıların her zaman bilgilendirilmesini sağlar. Bu düzey, uygulamanın sistem ayarlarını değiştirmeye çalışmasını veya bir yazılım veya uygulama kurulumunu tetiklemesini içerir. Bu ayar her zaman kullanıcının bu tür değişikliklere izin vermesini gerektirir.

Yalnızca uygulamalar bilgisayarımda değişiklik yapmaya çalıştığında bana bildir (varsayılan): Bu ayar, uygulamaların değişiklik yapması gerektiğinde kullanıcıyı bilgilendirir ancak güvenli masaüstünü karartmaz (yalnızca UAC istemini gösterir ve ekranın geri kalanını karartır) . Bu biraz daha az müdahaleci olabilir ancak yine de kullanıcının bu tür değişikliklere izin vermesini gerektirir.

Yalnızca uygulamalar bilgisayarımda değişiklik yapmaya çalıştığında bana bildir (masaüstümü karartma): Bu düzey, bir uygulama değişiklik gerektirdiğinde kullanıcıyı bilgilendirir ancak kullanıcının kendi değişiklikleri için onay gerektirmez (örneğin, sistem ayarlarının değiştirilmesi veya yeni bir uygulama yükleme vb.).

Hiçbir zaman bildirme: Uygulamaların bilgisayarlarında değişiklik yapmaya çalışması durumunda en düşük UAC düzeyine ve kullanıcılara bildirim gönderilmez. Bu, tüm UAC uyarılarını devre dışı bırakır ve sistemi güvenlik risklerine karşı daha savunmasız hale getirebilir.

Bu seviyeleri ayarlamak için “Kullanıcı Hesapları” kontrol paneline gidin, “Kullanıcı Hesabı Kontrol Ayarlarını Değiştir”e tıklayın ve ardından tercih ettiğiniz seviyeyi seçin. Yaptığınız değişikliklerin geçerli olması için bilgisayarınızı yeniden başlatmanız gerekebilir.

Sonuç/Özet

Windows Güvenlik Ayarları ve İlkeleri, Windows işletim sistemlerindeki kullanıcılar ve sistemler üzerinde denetim sahibi olmak için çeşitli araçlar ve yöntemler sağlar. Bunlara Yerel Güvenlik Politikası, Grup Politikası ve Kullanıcı Hesabı Denetimi (UAC) dahildir.

Yerel Güvenlik Politikası, tek bir bilgisayarın güvenlik ayarlarını kontrol etmek için kullanılır. Buna kullanıcı hakları atamaları, güvenlik seçenekleri, denetim politikaları ve daha fazlası gibi çeşitli politikalar dahildir.

Grup İlkesi Düzenleyicisi, bir ağdaki birden fazla bilgisayarın ayarlarını merkezi olarak kontrol etmek için kullanılır. Bu, kullanıcı ve sistem ayarlarını, güvenlik ayarlarını ve daha fazlasını yönetmek için güçlü bir araçtır.

Kullanıcı Hesabı Denetimi (UAC), kullanıcıların bilgisayarda ne gibi değişiklikler yapabileceğini denetler. Bu, potansiyel olarak zararlı veya istenmeyen eylemleri engellemek için kullanılır.

Bu araçlar ve politikalar, Windows işletim sistemlerinde kullanıcı ve sistem güvenliğini sağlamak ve yönetmek için gerekli bileşenlerdir. Doğru kullanıldıklarında Windows ortamını güvende tutmanın ve istenmeyen veya zararlı etkinlikleri önlemenin etkili bir yolunu sağlarlar.

Windows’ta Kimlik Doğrulama ve Yetkilendirme

Windows işletim sistemleri günümüzde birçok kuruluşun temel teknolojik altyapısını oluşturmaktadır. Ancak bu altyapının güvenli ve etkin bir şekilde kullanılabilmesi için kimlik doğrulama ve yetkilendirme mekanizmaları kritik öneme sahiptir. Kimlik doğrulama, kullanıcının veya sistemin kimlik kanıtı ile gerçekte kim olduklarının doğrulanması ve sistemlere güvenli bir şekilde erişmelerini sağlayacak işlemdir. Yetkilendirme, bu kimlik doğrulamayı başarıyla tamamlayanların hangi kaynaklara erişebileceğini belirler.

Bu dersimizde Windows’un kimlik doğrulama ve yetkilendirme süreçlerini detaylı bir şekilde inceleyip bu konuların temel kavramlarını öğreneceğiz.

Kimlik doğrulama

Windows işletim sistemleri, sistem kaynaklarına ve hizmetlerine erişimi denetlemek için kimlik doğrulama ve yetkilendirme ilkelerine dayanır.

Kimlik doğrulama, kullanıcının kim olduğunu doğrulama işlemidir. Windows genellikle kullanıcı adı ve parolanın bir birleşimini kullanır ancak akıllı kartlar, biyometrik veriler veya çok faktörlü kimlik doğrulama yöntemleri gibi diğer kimlik doğrulama yöntemlerini de destekler.

Windows, aşağıdakiler gibi çeşitli kimlik doğrulama protokollerini destekler:

Kerberos

Kerberos, Windows işletim sistemlerinde varsayılan kimlik doğrulama protokolüdür. Kerberos, Anahtar Dağıtım Merkezi (KDC) aracılığıyla güvenli kimlik doğrulama sağlar. Kullanıcı sisteme ilk kez giriş yaptığında KDC’den bir “bilet” alır. Bu bilet, kullanıcıyı belirli bir süre boyunca doğrulamak için kullanılır. Kerberos protokolü hızlı ve güvenli kimlik doğrulama sağlar ve ağdaki hizmetler arasında kimlik doğrulamayı destekler.

Akılda tutulması gereken önemli noktalar:

  • Saat Senkronizasyonu : Kerberos zamana dayalı belirteçler kullanır. Saatler senkronize değilse kimlik doğrulama hatalarına yol açabilir.
  • Hizmet Asıl Adlarını (SPN) Kontrol Edin : SPN’lerin doğru şekilde yapılandırıldığından ve benzersiz olduğundan emin olun.
  • AES Şifrelemesini Kullanma : Eski şifreleme algoritmaları yerine AES kullanın.

NTLM (NT LAN Yöneticisi)

NTLM daha eski bir kimlik doğrulama protokolüdür ve genellikle Kerberos protokolünün mevcut olmadığı durumlarda kullanılır. NTLM, kullanıcının kimlik bilgilerine karma oluşturur ve bu karmaları kimlik doğrulama için kullanır.

Akılda tutulması gereken önemli noktalar:

  • NTLMv2 kullanma : Eski NTLMv1 yerine NTLMv2’yi zorunlu kılın.
  • Kerberos’a Geçiş : Eski sistemleri yükselterek veya yapılandırarak NTLM yerine Kerberos’u kullanın.

Digest

Özet kimlik doğrulaması, kullanıcının parolasını bir karma işlevi aracılığıyla şifreler. Bu yöntem, HTTP ve LDAP gibi protokollerle kullanılmak üzere tasarlanmıştır.

Akılda tutulması gereken önemli noktalar:

  • Güçlü Hash Algoritmaları : MD5 gibi zayıf karma algoritmalar yerine daha güçlü karma algoritmaları seçin.
  • TLS kullanma : Veri aktarımı sırasında ekstra bir güvenlik katmanı için TLS’yi kullanın.

Temel

Temel kimlik doğrulama, kullanıcı adını ve parolayı açık metin olarak gönderir. Bu nedenle genellikle Güvenli Yuva Katmanı (SSL) veya Aktarım Katmanı Güvenliği (TLS) bağlantısı üzerinden kullanılır.

Akılda tutulması gereken önemli noktalar:

  • SSL/TLS kullanma : Temel kimlik doğrulama düz metin gönderir, bu nedenle her zaman SSL/TLS ile kullanılmalıdır.
  • 2FA kullanma : Daha fazla güvenlik için iki faktörlü kimlik doğrulamayı (2FA) kullanın.

Akıllı kart

Akıllı kart kimlik doğrulaması, kullanıcının bir akıllı kart ve PIN kodu kullanarak kimliğini doğrulamasına olanak tanır.

Akılda tutulması gereken önemli noktalar:

  • PIN Koruması : Akıllı kartın yanı sıra PIN kodunu da gerektirmelidir.
  • Kart Okuyucuların Güvenliği : Fiziksel erişimi sınırlayın.

Sertifika Tabanlı Kimlik Doğrulama

Bu yöntem dijital sertifikaları kullanır ve genellikle Ortak Anahtar Altyapısı (PKI) ile birlikte kullanılır. Kullanıcının kimliği, bir sertifika yetkilisi tarafından imzalanan ve kullanıcıya ait olan dijital bir sertifika aracılığıyla doğrulanır.

Akılda tutulması gereken önemli noktalar:

  • Certificate Revocation List (CRL) : Geçersiz sertifikaların hızla tespit edilebilmesi için CRL’yi düzenli olarak güncelleyin ve kontrol edin.
  • Private Key Protection : Özel anahtarların güvenli bir şekilde saklandığından emin olun.

En sık kullanılan protokoller Kerberos ve NTLM’dir. Her protokolün kendine göre avantajları ve dezavantajları vardır ve hangi protokolün kullanılacağı genellikle kuruluşun ihtiyaçlarına ve altyapısına bağlıdır.

Yetki

Yetkilendirme, kullanıcının neye erişebileceğini ve ne yapabileceğini kontrol eden süreçtir. Yetkilendirme genellikle kimlik doğrulama işleminin ardından gerçekleşir. Kullanıcıya bir güvenlik belirteci verilir ve bu belirteç, kullanıcının ayrıcalıklarını ve grup üyeliklerini tanımlar.

Windows yetkilendirmenin önemli bir kısmı Erişim Kontrol Listelerini (ACL) ve Erişim Kontrol Girişlerini (ACE) kullanmaktır. ACL’ler, bir kullanıcının veya grubun bir nesneye (örneğin, dosya, klasör veya kayıt defteri anahtarı) ne tür erişime sahip olduğunu belirler. ACE’ler ACL’lerdeki bireysel girişlerdir ve belirli bir kullanıcının veya grubun bir nesneye nasıl erişebileceğini belirler.

Erişim Kontrol Listeleri (ACL)

Kullanıcının bir nesneye (örneğin, bir dosya, klasör veya kayıt defteri anahtarı) erişme yeteneği, erişim kontrol listeleri (ACL) tarafından kontrol edilir. ACL, nesneye erişim izni olan kullanıcıları ve grupları listeler. Her girişe erişim kontrolü girişi (ACE) adı verilir ve belirli bir kullanıcının veya grubun nesneye nasıl erişebileceğini belirler.

Kullanıcılar ve gruplar aynı zamanda Grup İlkesi Nesneleri (GPO) tarafından kontrol edilen grup ilkelerine de tabidir. Bu politikalar, bir kullanıcının veya grubun neye erişebileceğini ve hangi eylemleri gerçekleştirebileceğini belirler.

Grup Politikaları

Windows ayrıca Grup İlkesi nesneleri (GPO) aracılığıyla yetkilendirmeyi de denetler. GPO’lar Active Directory ortamlarında kullanılır ve birden fazla kullanıcının veya bilgisayarın ayarlarının merkezi bir konumdan yönetilmesi için kullanılır.

Windows’ta bir klasöre veya dosyaya erişim haklarını tanımlamak için ilgili nesneye sağ tıklayıp özellikler bölümünü açın. Açılan ekranda Güvenlik sekmesini açın.

“Düzenle” butonuna tıklayarak yeni kullanıcıyı ve bu kullanıcıya ait erişim haklarını düzenleyebilirsiniz.

Yetkiye ilişkin ayrıntılar aşağıdaki tabloda yer almaktadır.


Bu izinler, çeşitli kullanıcılara veya gruplara ayrı ayrı veya kombinasyon halinde verilebilir. Ayrıca alt klasörler ve dosyalar, üst klasörlerin izinlerini devralabilir veya kendi benzersiz izin kümelerine sahip olabilir. Bu, güvenlik modelinin esnek ama aynı zamanda karmaşık olabileceği anlamına gelir; bu nedenle dikkatli planlama önemlidir.

Sonuç/Özet

Özetle, Windows kimlik doğrulama ve yetkilendirme politikaları, kullanıcının kim olduğunu doğrulamak ve neye erişebileceklerini kontrol etmek için kullanılır. Bu politikalar Windows sistemini güvenli ve düzenli tutmak için hayati öneme sahiptir.

Güncelleme ve Yama Yönetimi

Windows Güncelleme ve Yama Yönetimi, bilgisayar sistemleri ve ağlarının güvenliğinin sağlanmasında hayati bir rol oynar. Yama yönetimi, bir işletim sistemi veya yazılımın belirli bir sürümünde bulunan hataları, güvenlik açıklarını ve diğer sorunları düzeltmek anlamına gelir. Windows işletim sistemi, özellikle Microsoft tarafından düzenli olarak yayımlanan güvenlik düzeltmeleri ve iyileştirmeler için Windows Update hizmetini kullanır.

Windows Update, sistemlerin en son güncellemeleri ve yamaları otomatik olarak indirip yüklemesine olanak tanır. Bu, işletim sisteminin ve Microsoft yazılımının güvenli ve güncel tutulmasına yardımcı olur. Ancak yalnızca otomatik güncellemeleri etkinleştirmek her zaman yeterli olmayabilir. Belirli bir güncellemenin veya yamanın sistem veya uygulama üzerinde yaratabileceği potansiyel etkileri anlamak da önemlidir.

Ayrıca işletim sistemlerinin ve uygulamaların düzenli olarak güncellenmesi ve yamalanması da bilgi teknolojisi (BT) departmanları ve sistem yöneticileri için önemli bir görevdir. Yama yönetimi stratejisi, potansiyel güvenlik açıklarını kapatarak sistemlerin ve ağların güvende kalmasını sağlar.

Yama yönetimi ayrıca her bir yamanın uygun şekilde test edilmesini ve uygulanmasını da içerir. Özellikle büyük ölçekli bir ağda her yama, önceden belirlenmiş bir süreçle dikkatli bir şekilde uygulanmalıdır. Bu süreç genellikle yamayı uygulama, test etme ve dağıtma adımlarını içerir.

Tüm bu nedenlerden dolayı Windows Güncelleme ve Yama Yönetimi her Windows kullanıcısı ve sistem yöneticisi için önemli bir görevdir. Bu sürecin etkili yönetimi, bir sistemin veya ağın güvenli kalmasını ve en üst düzeyde performans göstermesini sağlar.

Büyük Organizasyonlarda Güncelleme ve Yama Yönetimi

Güncelleme ve yama yönetimi genellikle merkezi bir yaklaşım kullanılarak gerçekleştirilir. Bu, çok sayıda bilgisayar ve sunucunun yönetilmesini ve güncel tutulmasını kolaylaştırır. Büyük kuruluşlarda Windows Güncelleme ve Yama Yönetiminin nasıl yapıldığına ilişkin bir genel bakış burada verilmiştir:

Merkezi Yama Yönetimi

Büyük kuruluşlar genellikle merkezi yama yönetimi çözümlerini kullanır. Bu çözümler, tüm sistemlerin en son güncellemeleri ve yamaları almasını sağlar. Örneğin, Windows İşletim sistemlerinde bu amaç için yerel olarak kullanılan Microsoft’un Windows Server Update Services (WSUS) veya Microsoft Endpoint Configuration Manager (MECM) yazılım yönetimi paketleri gibi çözümler.

Yama Testi

Her yamanın uygun şekilde test edilmesi çok önemlidir. Bu, bir yamanın uygulama uyumluluğunu kontrol etmek, olası hataları belirlemek ve genel performansı değerlendirmek için yapılır. Test süreci, yamanın canlı sistemlere dağıtılmadan önce düzgün çalışmasını sağlar.

Yama Dağıtımı

Yama testi tamamlandıktan sonra yamalar genellikle önceden belirlenmiş bir programa göre dağıtılır. Bu süreç genellikle kuruluşun iş akışını minimum düzeyde etkileyecek bir zamanın seçilmesini içerir. Dağıtım genellikle bir yama yönetimi çözümü kullanılarak otomatik olarak yapılır.

Yama Takibi ve Raporlaması

Yama yönetiminin son aşaması genellikle yama dağıtımının etkinliğinin izlenmesini ve raporlanmasını içerir. Bu, hangi sistemlerin güncellendiğini, hangi yamaların başarıyla yüklendiğini ve olası sorunları belirlemeyi içerir.

Acil Durum Yama Yönetimi

Bazı güvenlik açıkları ve hatalar düzeltilmediği takdirde ciddi sorunlara neden olabilir. Bu tür durumlar için kuruluşların acil durum yama yönetimi süreçlerine sahip olması gerekir. Bu süreç genellikle bir yamanın hızlı bir şekilde test edilmesini, onaylanmasını ve dağıtılmasını içerir.

Bu adımlar, büyük bir kuruluştaki Windows Update ve Yama Yönetimine genel bir bakış sağlar. Her kuruluş kendi özel ihtiyaçlarını ve iş akışını en iyi şekilde karşılayan bir strateji oluşturmalıdır.

Sisteme Özel Windows Update İşlemi

Ayrıca her sistemde Windows güncellemelerini de gerçekleştirebilirsiniz. Elbette bu işlem daha zahmetli olacaktır ancak bazı kuruluşlarda merkezi yönetimin bulunmadığı durumlarda güncelleme işlemi bu şekilde de yapılabilmektedir.

Windows Ayarları -> Güncelleme ve Güvenlik bölümünü açın ve “Windows Güncelleme”ye tıklayın. Açılan ekranda mevcut güncelleme durumları ve varsa yeni güncellemeler görüntülenir. Dilerseniz “Şimdi Kur” butonuna tıklayarak bu güncellemeleri yükleyebilirsiniz.

İlgili ekranda “Aktif saatleri değiştir” seçeneği ile güncelleme işleminin aktif olması gereken zaman dilimlerini ayarlayabilirsiniz.


Güncelleme seçeneklerini “Gelişmiş Seçenekler” bölümünde düzenleyebilirsiniz. Burada güncellemelerin otomatik olarak indirilmesi, güncelleme bildirimleri, güncellemenin duraklatılması gibi seçenekleri etkinleştirebilir/devre dışı bırakabilirsiniz.


“Teslim Optimizasyonu” seçeneği (WUDO), Windows 10 ve sonraki sürümlerde bulunan bir özelliktir. Bu özellik, Windows güncellemeleri için büyük dosyaların Microsoft Store’dan daha hızlı ve daha güvenilir bir şekilde indirilmesine yardımcı olur. Ayrıca bu teknoloji ağ trafiğini ve bant genişliği kullanımını azaltmayı amaçlamaktadır.

Seçenekler;

Yalnızca yerel ağdaki bilgisayarlar: Güncelleştirmeler yalnızca yerel ağınızdaki (LAN) diğer Windows bilgisayarları arasında paylaşılır.

İnternet Üzerinden Bilgisayarlar: Güncellemeler internet üzerinden diğer Windows bilgisayarlarla da paylaşılır. Bu seçenek bant genişliği kullanımını daha da azaltabilir ancak internet kotanızı etkileyebilir.

“Dağıtım Optimizasyonu” ekranında “Gelişmiş seçenekler” kısmına geldiğimizde bu bölümden indirme ve yükleme limitlerini ayarlayabiliriz.

Sonuç/Özet

İşletim sisteminin veya diğer yazılımların en yeni ve daha güvenli sürümlere güncellenmesi, Windows işletim sistemlerinin ve diğer yazılımların güvenliğinin sağlanmasında kritik rol oynar. Sürekli olarak yeni güvenlik açıkları keşfedildiğinden işletim sistemini ve uygulamaları güncel tutmak, olası siber saldırılara ve kötü amaçlı yazılımlara, özellikle de “Sıfır Saat Güvenlik Açıklarına” karşı ilk savunma hattıdır. Windows Güncelleme Teslim Optimizasyonu (WUDO) gibi özellikler, güncellemelerin hızlı ve verimli bir şekilde teslim edilmesini sağlayarak genel sistem güvenliğini artırır. Bu sayede kullanıcılar ve kuruluşlar güvenlik risklerine karşı daha dayanıklı hale getirilmekte ve siber güvenlik tehditlerine karşı proaktif koruma sağlanmaktadır.

Antivirüs, Kötü Amaçlı Yazılım ve Tehdit Koruması

Bilgisayar güvenliği bu teknolojik çağda en önemli önceliklerden biri haline geldi. Sürekli gelişen teknolojiyle birlikte, kötü amaçlı yazılımlar ve siber tehditler giderek daha karmaşık hale geldi ve bu, bilgisayarları, sunucuları ve Windows işletim sistemine sahip kullanıcıları kötü amaçlı yazılımlardan, virüslerden ve diğer tehditlerden korumak gibi kritik bir görevi otomatik olarak beraberinde getiriyor.

Windows işletim sistemi, Antivirüs, Kötü Amaçlı Yazılım ve Tehdit Koruması araçları gibi kullanıcıların bu tehditlerle başa çıkmasına yardımcı olacak bir dizi yerleşik araç ve özelliğe sahiptir. Bu araçlar, bilgisayarınızı ve verilerinizi çeşitli tehditlerden korumaya yardımcı olan bir dizi önleme, tespit ve yanıt mekanizmasını ifade eder.

Windows Defender, kötü amaçlı yazılımların, virüslerin ve diğer tehditlerin bilgisayara bulaşmasını önlemeye yardımcı olan, Windows’un yerleşik antivirüs yazılımıdır. Yeni tehditler hızla ortaya çıktığı için Windows Defender’ın düzenli olarak güncellendiğinden ve yeni tehdit tanımları içerdiğinden emin olmak önemlidir.

Ayrıca Windows kullanıcıları, internet üzerinden gelen tehditlere karşı ek koruma sağlayan Windows Güvenlik Duvarı’nı da kullanabilir. Güvenlik duvarı, bilgisayarınıza yönlendirilen tüm internet trafiğini izler ve potansiyel olarak zararlı veya istenmeyen trafiği engeller.

Kötü amaçlı yazılımlar, virüsler ve diğer siber tehditler, kullanıcıların kişisel ve finansal bilgilerini çalmak, sistemlerine zarar vermek veya operasyonları aksatmak için tasarlanmıştır. Bu nedenle Windows’un Antivirüs, Kötü Amaçlı Yazılım ve Tehdit Koruması özelliklerini etkin bir şekilde kullanmak, bilgisayarlarınızın ve verilerinizin bu tehditlere karşı güvende kalmasını sağlar. Bu hem bireysel kullanıcılar hem de kurumsal kullanıcılar için hayati önem taşıyor.

NOT: Bazı 3. taraf uç nokta güvenlik çözümlerinin Windows Defender’ı devre dışı bırakarak çalışması gerekebilir.

Windows Defender’ı

Windows sistemlerinde varsayılan olarak Windows Defender. Windows Sunucularında Sunucu Yöneticisi ekranının “Özellikler” bölümünde görebilirsiniz.

Varsayılan olarak gelen bu Defender sürümü için merkezi bir yönetim bulunmamaktadır. Microsoft’un bu tür ek özellikler için “Defender for Endpoint Planı” var ve bu planlara göz atabilirsiniz.

Defender ile ilgili ayarlara “Windows Güvenliği” ekranındaki “Virüs ve Tehdit Tedavisi” seçeneğine tıklayarak erişebilirsiniz.


Bu ekranda “Virüs & Tehdit Koruması” özetlerini görebilirsiniz. Son taramanın ne zaman yapıldığı, kaç tane tehdidin tespit edildiği, kaç dosyanın tarandığı, taramanın ne kadar sürdüğü gibi birçok kritik bilgiyi görebilirsiniz.

“Virüs & Tehdit koruma ayarları” menüsünden hangi koruma modüllerinin çalışıp çalışmayacağını seçebilirsiniz.

Güncellemeleri “Virüs ve Tehdit koruması güncellemeleri” menüsünden manuel olarak kontrol edebilirsiniz.

Hangi dosya/dizinlerin fidye yazılımı saldırılarına karşı korunacağını “Fidye Yazılımı Koruması” menüsünden belirleyebilirsiniz.

“Virüs & Tehdit Koruma Ayarları” menüsü size koruma modülleri üzerinde neler yapabileceğinizi ve sisteminizi nasıl koruyabileceğinizi gösterecektir.

Gerçek Zamanlı Koruma, bilgisayarınızda çalışan dosyaları, programları ve sistem etkinliklerini sürekli olarak tarar. Herhangi bir tehdit tespit edilirse bu özellik, tehdidi anında karantinaya alabilir veya silebilir. Bu sayede kötü amaçlı yazılımların sisteminize zarar vermesinin önüne geçilebilir. Gerçek zamanlı koruma genellikle sistem güvenliği için çok önemli bir özelliktir ve genellikle varsayılan olarak etkindir.

Bulut Tarafından Sağlanan Koruma, Microsoft’un bulut tabanlı analiz motorları ile yerel Windows Defender istemcisi arasında bir bağlantı oluşturur. Bu sayede yeni ve henüz tanımlanmamış tehditlere karşı daha hızlı ve kapsamlı koruma sağlanmış olur. Bilinmeyen dosyalar, analiz ve tehdit tespiti için Microsoft’un bulut tabanlı hizmetine gönderilebilir. Bu özellik gerçek zamanlı korumayı daha da güçlendirir.

Otomatik Örnek Gönderimi, Windows Defender’ın Microsoft için zararlı olduğunu düşündüğü dosyaların anonim örneklerini göndermesine olanak tanır. Bu, Microsoft’un yeni tehditleri daha hızlı tanımlamasına ve koruma önlemlerini geliştirmesine yardımcı olur. Bu özellik, bulut tarafından sağlanan korumayla birlikte daha etkili koruma sağlar ancak bazı kullanıcılar ve kuruluşlar, gizlilik endişeleri nedeniyle bu özelliği devre dışı bırakmayı seçebilir.


“Fidye Yazılımı Koruması” modülü varsayılan olarak devre dışıdır. Bu modülü aktif hale getirdiğinizde fidye yazılımlarının neden olabileceği tehditlere karşı özel koruma sağlar. Fidye yazılımı genellikle kullanıcı dosyalarını şifreler ve fidye talep eder. Bu modül bu tür zararlı faaliyetlerin önlenmesini amaçlamaktadır.

Ana Özellikler

Kontrollü Klasör Erişimi

Bu özellik, belirli klasörlerdeki dosyaların yalnızca güvenilir uygulamalar tarafından değiştirilmesine olanak tanır. Bu sayede şüpheli veya kötü amaçlı herhangi bir uygulamanın klasör içeriğine erişmeye çalışması engellenir.

Dosya Kurtarma için OneDrive Entegrasyonu

Microsoft OneDrive entegrasyonu sayesinde, OneDrive’da yanlışlıkla bir dosya veya klasörü silerseniz şifrelenmiş dosyalar kolayca kurtarılabilir.

O nasıl çalışır?

Kontrollü Klasör Erişimi özelliği etkinleştirildiğinde, sistemdeki belirli klasör ve dosyalara yalnızca sistem tarafından güvenilen uygulamalar tarafından erişilebilir hale gelir. Bir uygulama bu klasörlerde değişiklik yapmaya çalıştığında Windows Defender isteği değerlendirir. Uygulama güvenilir uygulamalar listesinde değilse erişim engellenir ve kullanıcıya bildirim gönderilir.

Nasıl Etkinleştirilir?

  • Windows Güvenlik Uygulamasını açın.
  • Virüs ve Tehdit Koruması menüsüne gidin.
  • Ayarları Yönet altında Fidye Yazılımı Korumasını bulun ve açın.
  • Kontrollü Klasör Erişimini Etkinleştirin.

Öneriler

Genellikle “Belgeler”, “Resimler”, “Videolar” gibi kullanıcı dosyalarının saklandığı klasörler bununla korunur, ancak kullanıcılar ek klasörler de ekleyebilir.

Güvenilir bir uygulamaya erişimde sorun yaşanıyorsa, onu güvenilir uygulamalar listesine manuel olarak eklemek mümkündür.

Fidye Yazılımı Koruması, genel Windows Defender güvenlik paketinin bir parçasıdır ve en iyi performans için diğer güvenlik ayarlarıyla birlikte kullanılması önerilir.

Sonuç/Özet

Özetle Windows Defender, Windows işletim sistemleriyle entegre çalışan kapsamlı bir güvenlik yazılımıdır. Gerçek zamanlı koruma özelliği sayesinde virüslere, fidye yazılımlarına, casus yazılımlara ve diğer tehditlere karşı etkili savunma sağlar. Sistemle yüksek uyumluluğu ve derin entegrasyonu, ek yazılım yüklemeye veya karmaşık ayarlara gerek kalmadan hızlı ve güvenilir koruma sağlar.

Bulut tabanlı koruma ve otomatik numune gönderimi gibi özellikler, en yeni tehditlere karşı güncel ve etkili koruma sağlar. Kullanıcı dostu arayüzü sayesinde herhangi bir teknik beceri gerektirmeden kullanımı kolaydır. Fidye yazılımı koruması gibi ekstra modüllerle kritik verilerinizi belirli tehditlere karşı da korur.

Kısaca Windows Defender, Windows işletim sistemi üzerinde çalışan sistemler için kullanıcı dostu, uyumlu ve güncel bir güvenlik çözümü olarak öne çıkıyor. 

Windows Günlük Altyapısı

Siber güvenlik dünyasında, olayların kaydedilmesi ve izlenmesi, olaylara müdahale etme ve potansiyel tehditlere karşı koruma stratejisinin temel bir parçasıdır. Windows Log Engine, bir Windows sistemini yöneten tüm BT profesyonelleri için önemli bir araçtır.

Windows Log Engine, bir Windows makinesinin birçok farklı etkinliğinin izlenmesine ve kaydedilmesine olanak tanır. Bu etkinlikler, sistem ve uygulama hatalarından güvenlik olaylarına, ağ etkinliğine ve hatta belirli kullanıcı etkinliklerine kadar geniş bir aralıkta olabilir.

Windows Log Engine genel olarak aşağıdaki üç ana kategoriye ayrılır: Uygulama Günlükleri, Güvenlik Günlükleri ve Sistem Günlükleri.

Uygulama Günlükleri

Bu günlükler, bir sistem üzerinde çalışan uygulamaların etkinliklerini izler ve kaydeder. Bu özellikle hataları ve uygulama çökmelerini tespit etmek için kullanışlıdır.

Güvenlik Günlükleri

Güvenlik günlükleri başarılı ve başarısız oturum açma girişimlerini, dosya ve klasör erişimini ve güvenlikle ilgili diğer olayları kaydeder. Bu, bir sistemdeki yetkisiz etkinliklerin izlenmesi ve potansiyel güvenlik ihlallerinin tespit edilmesi açısından hayati öneme sahiptir.

Sistem Günlükleri

Sistem günlükleri, sistem düzeyindeki olayları, hataları ve uyarıları kaydeder. Bu, işletim sisteminin genel durumunu ve performansını izlemek için önemlidir.

Bu günlükler, BT profesyonellerinin bir sistemi etkili bir şekilde izlemesine, olası sorunları tespit etmesine ve çözüm bulmasına olanak tanır. Üstelik birçok düzenleyici kurum ve endüstri standardı, uygun günlük kaydı ve inceleme altyapısı gerektirmekte ve bu da Windows Log Engine’in önemini daha da artırmaktadır.

Windows Günlük Motoru Bileşenleri

Olay Günlüğü Hizmeti

Bu hizmet, Windows işletim sistemi ve üzerinde çalışan uygulamalar tarafından oluşturulan olayları toplar ve saklar. Bu hizmet aynı zamanda olay günlüklerini çalıştırır ve gerektiğinde bunları tetikler.

Etkinlik göstericisi

Olay Görüntüleyici, sistem yöneticilerine ve kullanıcılara olay günlüklerini görüntüleme ve analiz etme yeteneği sağlar. Ayrıca belirli olayları tetikleme ve olaylar hakkında daha ayrıntılı bilgileri görüntüleme olanağı da sağlar.

Windows Günlükleri

Windows Günlükleri, uygulama, güvenlik, kurulum, sistem olayları ve ayrıca geleceğe ilişkin bazı olaylar gibi bir dizi kategoriye ilişkin bilgileri depolar. Bu, hataları tespit etmek, güvenlik tehditlerini izlemek ve sistem performansını analiz etmek için kullanılır.

Uygulamalar ve Hizmet Günlükleri

Bu, uygulamaların, hizmetlerin ve diğer Windows bileşenlerinin olayları hakkında daha ayrıntılı bilgileri depolar. Bu bilgiler belirli bir uygulama veya hizmetteki hataları tespit etmek için kullanılır.

Abonelikler

Abonelikler, sistem yöneticisinin bir veya daha fazla uzak bilgisayardan olay toplamasına olanak tanır. Bu, özellikle büyük ağlarda çok sayıda sistemdeki olayların izlenmesinin gerekli olduğu durumlarda kullanışlıdır.

Bu bileşenler bir Windows sistemindeki olayların izlenmesini, kaydedilmesini, analiz edilmesini ve gerektiğinde bildirilmesini sağlamak için birlikte çalışır. Bu, Windows’a işletim sisteminin, uygulamaların ve hizmetlerin performansını ve güvenliğini izleme ve yönetme yeteneği sağlar.

Günlüğe Kaydetme Politikası

Windows log altyapısının sistem güvenliği açısından etkin şekilde kullanılabilmesi için dikkat edilmesi gereken bazı kritik noktalar bulunmaktadır. Bu kritik noktalar sadece aşağıda sayılanlar değildir, aynı zamanda vazgeçilmezdir:

Günlük Düzeylerini Doğru Ayarlama

Günlük seviyeleri, günlüğe kaydedilecek olayların türlerini belirler. Örneğin, “Hata” düzeyindeki günlükler genellikle kritik sorunları belirtirken, “Bilgi” düzeyindeki günlükler daha genel olayları kaydeder. Yanlış seviyelerde oturum açmak, çok fazla gereksiz bilginin toplanmasına veya kritik bilgilerin eksik olmasına neden olabilir. Örneğin güvenlikle ilgili olaylar için başarılı ve başarısız oturum açma girişimleri, ayrıcalık değişiklikleri ve sisteme erişim denemeleri gibi olayların kaydedilmesi kritik öneme sahiptir.

Yeterli Disk Alanı Ayrılmalıdır

Günlük dosyaları, özellikle trafiğin yoğun olduğu veya kritik sistemlerde zaman içinde hızla büyüyebilir. Yetersiz disk alanı, yeni günlüklerin kaydedilememesine veya mevcut verilerin kaybolmasına neden olabilir. Tavsiye olarak log dosyaları için ayrı bir disk bölümü oluşturmanız veya belirli bir disk boyutu sınırı belirlemeniz faydalı olacaktır. Ayrıca disk kullanımı belirli bir eşiği aştığında uyarı oluşturulmalıdır.

Eski Günlüklerin Arşivlenmesi

Eski günlük dosyaları gelecekteki denetimler veya olay araştırmaları için değerli olabilir. Ancak bu dosyalar çok yer kaplıyor. Eski log dosyalarının düzenli olarak sıkıştırılmış formatta arşivlenmesi ve ihtiyaç duyulduğunda kolay erişilebilen bir yerde saklanması tavsiye edilir. Bu ayar ilgili log kaynağına sağ tıklayıp “Özellikler” ekranına tıklanarak yapılabilir.

Erişim Kontrollerinin Sıklaştırılması

Günlük dosyaları genellikle hassas bilgiler içerir ve yetkisiz erişim, güvenlik ihlaline yol açabilir. Bu nedenle günlük dosyaları bir dosya sunucusunda saklanmalı ve yalnızca yetkili kullanıcıların (örneğin, sistem yöneticileri ve güvenlik analistleri) erişimine izin verilmelidir. Erişimin kontrolü için ACL (Erişim Kontrol Listesi) veya RBAC (Rol Tabanlı Erişim Kontrolü) gibi mekanizmalar kullanılabilir.

Merkezi Günlük Yönetimini Kullanma

Birden fazla sistem ve uygulama farklı günlük dosyaları oluşturarak analiz ve izlemeyi zorlaştırabilir. Örneğin SIEM (Güvenlik Bilgileri ve Olay Yönetimi) gibi merkezi log yönetim sistemlerini kullanarak logları tek bir lokasyonda toplayıp bu olayları daha hızlı analiz edebilir ve korelasyonlar oluşturabilirsiniz.

Otomatik Uyarı Oluşturma

Bazı güvenlik olayları hızlı müdahale gerektirebilir. Kritik olayların günlüğe kaydedildiği Olay Kimlikleri için otomatik uyarı mekanizmaları oluşturun. Örneğin, bir güvenlik duvarı kuralının ihlal edildiği veya yönetici hesabının şüpheli bir şekilde kullanıldığı durumlar için. SIEM ile kullanım senaryoları oluşturarak bunu kolayca yapabilirsiniz.

Düzenli İncelemelerin Gerçekleştirilmesi

Otomatik sistemler tüm anormallikleri tespit edemeyebilir. Günlük dosyalarını düzenli aralıklarla (haftalık, aylık vb.) inceleyin. Zaman serisi ve patern analizi yapılarak şüpheli faaliyetler tespit edilmeli ve gerekiyorsa aksiyon alınmalıdır.

Güvenlik İhlallerine İlişkin Kritik Günlükler

Girişte de belirttiğimiz gibi loglar güvenliğin yanı sıra farklı ihtiyaçlara yönelik de oluşturulmaktadır. Bu loglar arasında güvenlik ihlallerinin tespiti açısından vazgeçilmez olan bazı loglar bulunmaktadır. Windows’ta bu günlükler şunlardır:

Güvenlik Günlükleri

Güvenlik günlükleri bir kuruluşun ağındaki, sistemlerinden ve uç noktalarındaki etkinlikler hakkında bilgi sağlar. Bu olaylar kullanıcı etkinliklerini, ağ trafiğini, erişim kontrolü günlüklerini ve hata günlüklerini içerebilir. Güvenlik günlükleri, bir güvenlik ihlalinin ilk işaretlerini tespit etmek ve bunlara yanıt vermek açısından önemlidir.

Güvenlik günlükleri, güvenlik ihlallerinin tespit edilmesinde aşağıdaki şekillerde faydalıdır:

Anormal aktiviteyi tanımlama

Güvenlik günlükleri anormal veya beklenmeyen etkinlikleri tanımlamak için kullanılabilir. Örneğin, bir kullanıcı birden fazla yanlış şifre girerse veya ağ bağlantısı aniden kesilirse, bu bir güvenlik ihlalinin işareti olabilir.


Tehditleri ilişkilendirmek

Güvenlik günlükleri farklı tehditleri ilişkilendirmek için kullanılabilir. Örneğin, bir kullanıcının kötü amaçlı bir dosya indirmesi ve ardından bir ağ bağlantısı başlatması, bir güvenlik ihlalinin işareti olabilir.

Tehditleri analiz etme

Tehditleri daha iyi anlamak için güvenlik günlükleri kullanılabilir. Örneğin bir saldırganın kullandığı teknikleri ve yöntemleri belirlemek için güvenlik günlüklerini analiz etmek mümkündür.

Güvenlik günlükleri, bir güvenlik ihlalinin ilk işaretlerini tespit etmek için önemli bir araçtır. Ancak etkili bir şekilde kullanılabilmeleri için dikkatle incelenmeleri ve gözden geçirilmeleri gerekir. Güvenlik günlüklerinin büyük miktarlarda veri içerebileceğini ve bu verilerin manuel olarak analiz edilmesinin zor olabileceğini unutmamak önemlidir. Bu nedenle güvenlik günlüklerini analiz etmek için otomatikleştirilmiş araçlardan yararlanmak her zaman faydalıdır.

Powershell Günlükleri

PowerShell, Windows Olay Günlüğü’nde, PowerShell komutlarının ve komut dosyalarının yürütülmesi sırasında meydana gelen olayları kaydeder. PowerShell sıklıkla otomasyon, yapılandırma ve hatta siber saldırılar için kullanıldığından, bu günlükler güvenlik ihlallerini tespit etmede çok faydalı olabilir. Bu günlüklerin avantajları şunlardır:

Komut ve Komut Dosyası Yürütme Günlükleri

Bu günlükler, hangi PowerShell komutlarının yürütüldüğünü ayrıntılı olarak gösterir. Yetkisiz bir kullanıcı veya kötü amaçlı yazılım sistemde değişiklik yapmaya çalışırsa, bu durum yürütülen komutlar ve komut dosyaları aracılığıyla tespit edilebilir.

Kullanıcı doğrulama

PowerShell günlükleri ayrıca komutları kimin yürüttüğüne ilişkin bilgiler de içerir. Bu sayede yetkisiz veya şüpheli kullanıcıların faaliyetleri hızlı bir şekilde tespit edilebilmektedir.

Modül Kurulumları

Kurulu PowerShell modülleri ve eklenen ek bileşenler bu günlükler aracılığıyla takip edilebilir. Bu, kötü amaçlı bir modülün yüklenip yüklenmediğini belirlemenize yardımcı olabilir.

Uzaktan Yürütme

PowerShell’in uzaktan yürütme yetenekleri günlükler aracılığıyla izlenir. Yetkisiz bir kullanıcı PowerShell komutlarını uzaktan çalıştırıyorsa bu, günlükler aracılığıyla tespit edilebilir.

Detaylı Parametre ve Çıkış Bilgileri

Bazı PowerShell günlükleri ayrıca yürütülen komutların parametrelerini ve çıktılarını da kaydeder. Bu, ne tür bilgilerin sızdırıldığına veya ne tür bir faaliyetin yürütüldüğüne dair ipuçları sağlayabilir.

Sonuç olarak PowerShell günlükleri, bir güvenlik ihlalinin meydana gelip gelmediğini anlamak için değerli bilgiler sağlar. Ancak bu günlükler yalnızca etkinleştirildiğinde faydalıdır; bu nedenle, bu tür günlük kaydının etkinleştirildiğinden emin olmak için güvenlik politikalarınızı gözden geçirin.

Terminal Hizmetleri Uzaktan Bağlantı Yöneticisi Günlükleri

Terminal Hizmetleri Uzaktan Bağlantı Yöneticisi günlükleri, özellikle Uzak Masaüstü Hizmetlerinin (eski adıyla Terminal Hizmetleri olarak biliniyordu) nasıl kullanıldığına ilişkin kritik bilgiler sağlar. Bu günlükler, güvenlik ihlallerini tespit etmek ve potansiyel riskleri yönetmek için birçok şekilde kullanılabilir. Bu günlüklerin sağlayabileceği bazı önemli faydalar şunlardır:

Yetkisiz Erişim Girişimleri

Bu günlükler kimin uzaktan bağlanmaya çalıştığı, ne zaman ve nereden olduğu hakkında bilgi sağlar. Yetkisiz veya beklenmeyen bir bağlantı girişimi olması durumunda bu durum anında fark edilecektir.

IP Adresi ve Kullanıcı Kimlik Doğrulaması

Günlükler ayrıca uzaktan bağlanmaya çalışan kullanıcıların IP adreslerini de kaydeder. Bu bilgiler, yetkisiz veya şüpheli bir IP adresinden gelen bağlantı girişimlerini tespit etmek için kullanılabilir.

Bağlantı Durumu ve Hatalar

Başarılı ve başarısız bağlantı denemeleri, bağlantı veya bağlantı kopma hataları gibi olaylar loglara dahil edilir. Yetkisiz bir kişi bağlanmaya çalışıyorsa bu özellikle önemlidir.

Yapılandırma Değişiklikleri

Terminal Hizmetleri Uzaktan Bağlantı Yöneticisi günlükleri ayrıca sistemdeki Uzak Masaüstü Hizmetleri yapılandırmasında herhangi bir değişiklik olup olmadığını da gösterir. Bir saldırganın sistemi manipüle etmeye çalışması durumunda bu çok önemli olabilir.

Detaylı Seans Bilgileri

Günlükler ayrıca kullanıcıların ne kadar süre bağlantıda kaldıkları, hangi uygulamaları kullandıkları ve ne tür eylemler gerçekleştirdikleri hakkında da bilgi sağlayabilir. Bu, bir saldırganın sistemi ne için kullandığını anlamak açısından yararlı olabilir.

Bu bilgiler, özellikle düzenli olarak incelendiklerinde, güvenlik ihlallerinin veya şüpheli etkinliklerin erken aşamada tespit edilmesi açısından çok değerlidir. Ancak bu tür günlüklerin etkin bir şekilde izlenmesi ve yönetilmesi gerekir. Yetersiz günlük yönetimi, kritik bilgilerin gözden kaçırılmasına veya hatalı pozitif sonuçların ortaya çıkmasına neden olabilir.

Sonuç/Özet

Olayların kaydedilmesi ve izlenmesi siber güvenlik açısından kritik önem taşıyor. Windows Log Engine bu ihtiyacı karşılayacak kapsamlı bir sistem sunmaktadır. Bu altyapı, BT profesyonellerinin sistemleri etkin bir şekilde izlemesine, olası sorunları tespit etmesine ve uygun müdahalelerde bulunmasına olanak tanır. Log seviyelerinin doğru ayarlanması, yeterli disk alanının ayrılması, eski logların arşivlenmesi, erişim kontrollerinin sıkılaştırılması, merkezi log yönetimi, otomatik uyarılar ve düzenli incelemeler sistem güvenliği açısından dikkat edilmesi gereken kritik noktalardır. Özellikle Güvenlik Günlükleri, yetkisiz erişim veya diğer olası güvenlik ihlalleri açısından çok kritiktir.

Yorum bırakın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Scroll to Top