Win2000 güvenliği:
Bu metinde genelinde win2000’nın ilk
kurulumundan sonra sisteminizi daha güvenli hale getirmek için
yapabileceğiniz işlemlerden bahsedeceğim. Öncelikle herhangi bir
işletim sistemi üstünde güvenlikle ilgili çalışmalara başlamadan
bilgisayarınıza yapmanız
gereken ufak düzenlemelerden bahsedip, ardından win2000 sisteminizi daha
güvenli hale getirmek için gerekli olan
işlemleri anlatıcağım. Bunlar arasında gereksiz
servislerin kapatılması, “system policy”in ayarlanması, TCP/IP
bağlantılarını filitrelendirmesi, hotfix ve SP’lerin önemi, korunması gerekli önemli dosyalar
ve bunlara ek olabilecek ufak tefek bir kaç konu daha var. Başlıklar
halinde sıralamak gerekirse:
- Fiziksel güvenlik
- Gerekli servisler
- Hotfix ve SP’lerin(Service Pack) önemi
- System policy ayarları
- Gereksiz
altsistemlerin kaldırılması
- Önemli dosyaların
korunması
- TCP/IP süzgeçlenmesi
- Ufak tefek işler
Fiziksel güvenlik:
Bilgisayarına kurlu olan herhangi bir
işletim sistemin güvende olmasını ve dosyalarının
kendisi ve izin verdiği kişiler dışınızdaki
birileri tarafından değiştirilmemesi veya silinmemesini istemek
her kulanıcının hakkıdır. Ama bunu gerçekleştrimek
için bilgisayarı işletim sistemini aktif hale geçirmeden önce ve
işletim sistemine giriş yaparken yapması gereken bazı
işlemler var.
Bilgisayarınız açılırken
eğer sizin dışınızda birileri BIOS’unuza kolayca
girebiliyorsa ve burada yaptığı değişiklikleri aktif
hale getirebiliyorsa bazı sorunlarla karşılaşma
olasılığınız artıyor. Her ne kadar yeni
bilgisayarların çoğunda BIOS’a nasıl girileceği
başlangıçta gözükmese de bilen bir insan rahatlıkla BIOS içinde
yapıcağı değişikliklerle ister bilgilerinizi çalma
(öğrencilerin notlerını çalınması), ister
biligilerinizi yok etme (tezinizin veya projenizin bulunduğu sabit diskin
silnmesi) başarılı olabilir. Bu tür bir riski engellemek için
BIOS’a girip sadece sizin aklınızda kalıcak biraz
karmaşık bir şifre koyun (bu işlemi adım adım
anlatamıyorum çünkü bir çok çeşit BIOS ekranı var ama hepsinde
bir “password” seçeneği var.). Ama şifrenizi “sevdiğiniz bir arkadaşınızın
adı, doğum tarihiniz, kedinizin adı, vb” gibi kolay tahmin
edilicek kelimeler arasından atamayın. Biraz harf ve sayılar
birlikte olsun.
İkinci adım olarak win2000
şifrenizden bahsetmek gerek. Yukarda anlattığım mantık
çerçevesinde bilgisayarınız işletim sistemini
çalışır hale getirdikten sonraki kısımla ilgili bir
kaç uyarı daha yapıcağım. Win2000’ninizin şifresi de
kolay bulunur (veya tahmin edilir) bir kelime veya kelime grubuysa
biligilerinize sizin ve izin verdiğiniz kişiler
dışında birilerinin ulaşması ve zarar vermesi
kolaylaşıcaktı. Bunun için de yine biraz karmaşık bir
şifre şeçmenizi öneririz.
Burada ufak bir note yazmak ihtiyacı duydum
bu şifrelerin şifre olarak kalablimesi için de
tanıdıklarınıza
veya ofisteki diğre arkadaşlarınıza çok gerekmedikçe
söylenmemesi gerekiyor.
Gerekli servisler:
Sisteminizi güvenli hale getirmenin en önemli
adımı belki de gerekli servislerle, gereksiz servisleri bilmek ve
gereksiz olanları kapatmak veya silmektir. TCP/IP’nini basitçe
çalışması için verilicek servisler çok da karmaşık
değildir. Asteriksli (*) olanlar gerekli olan minimum servisleri
göstermektedir. (bu noktadan sonra İngilizce terimleri kulanıyorum ki
bilgisayar ekranında burada yazılı Türkçe terimle
karşınıza gelicek İngilizcesi terimi
karıştırmamanız için)
- DNS
client*
- EventLog*
- IPSec
policy Agent
- Local Disk
Maneger*
- Network
Connection Maneger
- Plug &
Play*
- Protected
Storage*
- Remote
Procedure Cell
- Remote
Registery Service
- RunAs
Service
- Security
Account Maneger*
Resim 1.
Servisleri iyi güzel söyledik de bunları nasıl kapatıcağımızı da anlatmamız gerekli. Servislere gidiş yolu; Start | Setting | Control Panel | Administartive Tolls | Services. Bundan sonra istenilen servisin üstüne gelip çift tıklandığında o servisin özelliklerini gösteren bir pencere açılacak (örnek: Resim 1). Servisi bundan sonraki açılışlara aktif hale gelmesini istemiyorsanız “Start type” alanından “disable” seçeneğini seçin ama unutmayın ki bu servis hala açık olan makinenizde kulanılmaktadır. Bunu durdurmak içinde yine aynı pencerede gözüken “Stop” düğmesine basarsanız artık o servis çalışır durumdaki win2000’inizde de çalışmıyordur.
Hotfixler ve SP(Service Pack)’ler:
Tavsiyemiz win2000’nızı kurdunuz ve
servislerin bir kısmnı kapatını, sonra yapılacak en
öneli iş “windos update” sitesine
bağlanıp, gerekli kritik güncelemeleri yapmanız ve SP’leri
de bilgisayarınıza
yüklemeniz. Burada dikkat edilecek bir notka var;
kulanmadığınız servislerle ilgili yamaları uygulamanın bir anlamı yok. Taii
bını anlamak için kulnabileceğiniz bazı araçlar var. Hangi
hotfixlerin eksik olduğunu anlamak için “Hfnetcheck.exe”
doysasını microsoft’un sitesinden biligisayarınıza çekip
kontrol edebilirsiniz. İlgi çekici bir örenk olduğ u için burada
belirtme ihtiyacı duydum; Nimda virüsü yayılırken yaması
yapılmamış IIS’ler (microsoft tarafından dizayn
edilmiş bir web sunucusu) biligisayarlara ve ağ iletişimine
zarar verdi.
System policy’in
ayarlanması:
Biraz da “system policy”den bahsediyim (veya bahsetmiş olan amcalardan derleme yapıyım). Bunun için izlenicek yol; Start | Setting | Control Panel | Administrative Tolls | Local Security Setting. Açılan pencerede bir miktar oynama yapıcağınız “Account Policies, Local Policies” var.
Burada yazan değerlerin hepsini yerine getirdiğinizde sizin bulunduğunuz şartlara uymayan bir durum ortaya çıkabilir. Bunu önlemek için önce kendi şartlarınızı gözden geçirin. Ondan sonra bu işlemleri yapın.
Password Policies
Enforce Password History Enabled (önerilen değer 5)
Maximum Password Age Enabled (önerilen değer 60)
Minimum Password Age Enabled (önerilen değer 5)
Password Must Meet Copmlexity Requirment Enabled
Store Password Using Reverse Encription Disabled
Account Lockout Policies
Account Lockout Treshold Enabled
(önerilen değer 5)
Account Lockout Duration Enabled
(önerilen değer 30)
Reset Account Locout Treshold After Disabled (önerilen “manual reset of account”)
Auidit Policiy
Aşağıdaki değerleri minimal düzeyde tutarmanızı
önerilir (unutmayın ki kendi koşularınıza göre).
- Auidit
Account Logon Events
- Auidit
Account Manegmen
- Auidit
Logon Events
- Auidit
Policy Change
- Audit
System Events
User Rights
Klasik kural: administrator her türlü hakka sahiptir, gerisini de “durum” göre
belirler. Burada genel bir yapıdan bahsetmek yanlış
olucaktır. Yine de “everyone” bulunan seçenekleri bir daha gözden
geçirmenizi tavsiye ederiz.
Security Options
Aşağıdaki liste içinde, “Microsoft
Networking” kulanarak dosya alışverişi ve
paylaşımı yapıyorsanız, “SBM encryption” ve “Secure
Channel” önem kazanıyor. Buiki
seçeneğn değerlerini belierlerken dikkatli davranıp kendi
koşularınıza uygun olanını şeçmelisiniz.
|
Additional Restriction
for Anonymos Connections |
No access without explicit
anonymous permision |
|
Allow System to Be
Shut Down Without Having to Log On |
Disabled |
|
Audit Use of Backup
and Restore Privilege |
Enabled |
|
Clear Virtual Memory
Pagefile When System Shuts Down |
Enabled |
|
Digitaly Sign Client Communication
(Always) |
Enabled (yüksek düzey
güvenlik) |
|
Digitaly Sign Client
Communication (When possible) |
Enabled (orta düzey
güvenlik) |
|
Digitaly Sign Server
Communication (Always) |
Enabled (yüksek düzey
güvenlik) |
|
Digitaly Sign Server Communication
(When possible) |
Enabled (orta düzey
güvenlik) |
|
Disable CTRL-ALT-DEL
Requirement for Logon |
Disabled |
|
Do Not Display Last
User Name in Log On |
Enabled (çok
kulanıcılı sistemlerde) |
|
LAN Manager
Authentication Level |
Send NTLMv2 responses
only/refuse LM & NTLM |
|
Number of Previous
Logon to Cache ( In case Domain Controler Is Not Available) |
0 |
|
Prevent User From
Installing Printer Drives |
Enabled |
|
Recovery Console:
Allow Automatic Administrative Logon |
Disabled |
|
Rename Administrator
Account |
“admin” veya
“administrator” yapmayın. |
|
Restrict CD-ROM Access
to Locally Logged-On User Only |
Enabled |
|
Restrict Flopy Access
to Locally Logged-On User Only |
Enabled |
|
Secure Channel: Digitally
Encrypt or Sign Secure Channel Data (Always) |
Enabled (yüksek düzey güvenlik) |
|
Secure Channel:
Digitally Encrypt Secure Channel Data (When Posible) |
Enabled (orta-yüksek düzey güvenlik) |
|
Secure Channel:
Digitally Sign Secure Channel Data
(When Possible) |
Enabled (orta düzey güvenlik) |
|
Secure Channel:
require Strong (Windows 2000 or Later) Session Key |
Enabled (çok yüksek düzey güvenlik) |
|
Send Unencrypted
Password to Connect to Third-Party SMB Servers |
Disabled |
|
Strengten Default
Permissions of Global System Objects (e.g. Symbolic Links) |
Enabled |
|
Unsigned Driver
Installation Behavior |
Do not allow |
|
Unsigned Non-Driver
Installation Behavior |
Do not allow |
Gereksiz
altsistemlerin kaldırılması:
Gereksiz altsistemlerin kapatılması diye
bir konumuz daha var. OS2 ve Posix yazmaç (registry) değerlerini HKLM\ System\
CurremtControlSet\ Control\ Session\ Maneger\ Subsystem içinden
kaldırabilirsiniz. İlgili
dosyaları (os2*,posix* dosyaları) buradan silebilirsiniz. Bu
sistemler artık genel kulanımda yoklar ama açıkları
sayesinde bilgisayarınıza istemediğiniz kişiler
tarafından bağlantı kurulabilme olanağı veriyor.
Önemli dosyaların
korunması:
Bazı araçaların herkes tarafından
kulanılmasını istemiyorsanız yeni bir admin grubu
yaratın (örneğin AdminTools). Hangi kulanıcıların bu
araçları kulanabilmelerini istiyorsanız onları bu grubun
altına koyun. Bu doysalar üstündeki ACL’leri “LocalSytem” ve
“Administrative Group”tan kaldırın ve “AdminTools”a bu
dosyaların sahipliğini ve “Read” ve “Execute” hakkını
verin. Bu dosyalararasında ilk aklımıza gelenler;
|
Arp.exe |
Ipconfig.xe |
Nbtstat.exe |
|
At.exe |
Net.exe |
Netstat.exe |
|
Atsvc.exe |
Nslookup.exe |
Qbasic.exe |
|
Calcs.exe |
Posix.exe |
Rdisk.exe |
|
Cmd.exe |
Rpc.exe |
Regedt32.exe |
|
Debug.exe |
regedit.exe |
Route.exe |
|
Edit.com |
Rexec.exe |
Runonce.exe |
|
Edlin.exe |
Rsh.exe |
Syskey.exe |
|
Finger.exe |
Secfixup.exe |
Tracert.exe |
|
ftp.exe |
telnet.exe |
Command.com |
|
Xcopy.exe |
Tftp.exe |
Hypertrm.exe |
|
Clipsrv.exe |
Dialer.exe |
Sysedit.exe |
|
Attrip.exe |
Ping.exe |
|
|
Cscript.exe |
Wscript.exe |
|
TCP/IP süzgeçlenmesi
TCP/IP filitrelendirmesi diye bir konudan
bahsediceğimizi söylemiştik.
Burada Win2000 iki çeşit sunuyor. TCP/IP filitrelendirmesi ve
IPSec. TCP/IP filitrelendirmesi tek bir bilgisayarlar için
kulanılırken, IPSec ise “Group Policy” olarak atanabilinir.
TCP/IP filitrelendirmesi;
Bir örnekle anlatmak en uygunu olucaktır.
Diyelim ki bilgisayarınız FTP ve Web bır servis veriyor (ki
bunları da vermesine genelde gerek yok). “Network and Dial-Up Connection”
kulanılarak filitreleme yapabilirsiniz. Start | Settings | Network and
Dial-Up Connection | Properties | General | Internet Protocol (TCP/IP) |
Properties | Advenced | Options | TCP/IP Filtering | Properties. Biraz uzun
gibi gözükse de azim her şeye çare. Aşağıdaki örnekte
gözüktüğü üzere TCP bağlantılarını 21 (FTP), 80 (http) ve 443 (https)
portlarıyla sınırlamış durumda. Hatta UDP portlarına hiç bir şekilde izin verilmemiş.
Bu kısmı kulandığınız programlara verdiğiniz
servislere göre ayarlıyabilirsiniz.
Resim 2
IPSec filitrelendirmesi;
Bu seçenek bir grup için
kulanlıldığında daha etkilidir. IPSec’in özelliklerinde
“enable” işaretledikten sonra yapmanız gerekenler bitmiyecektir.
“Local Security Setting” içine girip kendi “policy”inizi girmeniz
gerekecek. Üç tane kolunlu bir tabloyu dolduracaksınız. Kolonlarda;
- IPSec
filter lists
- IPSec
filter action
- IPSec
policy rules
olucaktır. Bu ağ içinde
sisteminize gelen ve sisteminizden giden trafiğin filitrelendirmesi
sırasında uygulanıcak politikayı(policy),
hangilerinin filitlendirileceği listesini (list), ve yapılacak
işlemi (action) içermektedir. bu işlemlerden sonra “Local
Machine”de “IP Security Policies” i kulnamaya baslıyabilirsiniz. Bunu için
üstüne gelip sağ-tıkdan sonra “assign”ı seçin.
Bilgisayarınızı tekrar başalamanıza gerek kalmadan
hemen uygulamaya girecektir.
Ufak tefek işler:
·
Uygulama dosyaların
kulanım izinlerlini belirleyin
·
Sistemi
önyüklemesinin(boot) hemen OS olmasını ayarlayın. Bu
işlemı yapmak için My Computer | Properties | Advanced | Startup and
Recovery | System Startup içindeki önyükleme değerini (boot time) “0”
olarak belirleyin.
Sonuç:
Buraya kadar yaptıklarınız
arasında önyükleme (boot)
esnasında yapıcağımız şifrelemeden, sistem
süzgeçleme kadar pek çok şeyden bahsettik fakat bunların bir
kısmı sizin bulunduğunuz ortam şartlarına uymayabilir.
Daha önce de belittiğimiz gibi öncelikle kendi durumunuzu ortaya tüm
hatlarıyla ortaya koyun ki yapıcağınız ayarlar
bilgisayarınızı güvenli hale getirirken aynı zamanda da çalışmaz
hale getirmesin. Sizlere sadece win2000 kurulumundan sonra yapılacak ilk
işlemnleri anlatım ama daah yapılabilicek çok şey
olduğunu unutmayım EK1’de alıntı yaptığim ve
faydalı bulduğum sayfaların bağlantıları var.
Kolay gelsin.
EK1:
Burada anlatıklarım aşağıdaki
sitelerden çıkrarılmış özet ve derlemelerdir. Daha fazla
biligi ve ayrıntı için win2000 güvenlik sitelerini ziyarat etmenizi
öneririm.
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/w2kprocl.asp
http://www.systemexperts.com/tutors/HardenW2K101.pdf
http://nsa2.www.conxion.com/win2000/download.htm
http://www.yale.edu/its/security/new-index.html?http://www.yale.edu/its/security/Procedures/Securing/NT/w2k/
http://www.labmice.net/articles/securingwin2000.htm
http://arstechnica.com/tweak/win2000/security/begin-1.html
http://www.sans.org/infosecFAQ/win2000/win2000_list.htm
Ibrahim Çalışır BİLGİ İŞLEM DAİRESİ BAŞKANLIĞI İNTERNET TEKNOLOJİLERİ GÜVENLİĞİ (security@metu.edu.tr 11/02/2002) -EOF-