Microsoft Bağımsız İstemci Güvenlik Klavuzu

Microsoft Bağımsız İstemci Güvenlik Klavuzu ÇAĞLA ÇAKILKAYA Ases Bilgi Güvenlik Teknolojileri Ltd. Güvenlik Danışmanı cagla@ases.com.tr

İÇERİK Giriş... 3 İşletim Sistemi Versiyonu... 4 Service Pack... 4 Windows Güncellemeleri... 5 Windows Güvenlik Duvarı (Internet Connection Firewall)... 7 Windows Xp Sp2 Güvenlik Duvarı Ayarları... 8 Windows Xp Güvenlik Duvarı Ayarları... 10 Virüs den Korunma Yolları... 12 Microsoft Güvenlik Merkezi... 13 Dosya Sistemi... 15 Disk Bölümleri... 15 Ntfs Dosya Sistemi... 15 Convert.Exe Aracıyla Dosya Sistemini Ntfs e Çevirme İşlemi... 16 Ntfs Dosya İzinleri... 17 Klasör Paylaşımı... 19 Network Ortamında Paylaşılan Kaynaklar Yoksa.. 20 Kullanıcı Hesaplarının Güvenliği... 20 Administrator, Guest Ve Diğer Hesapların Güvenliği... 21 Uzak Yardımı (Remote Assistant) Devreden Çıkartma... 22 Registry Ayarları... 22 Registry Kullanımı... 22 Registry Güvenlik Ayarları... 24 Güvenlik Şablonları... 27 Güvenlik Şablonu Kullanımı... 27 Önerilen Lokal Güvenlik Ayarları... 32 Servisler... 39 Servisler, Fonksiyonları Ve Güvenlik Önerileri... 41 2

GİRİŞ Bu Microsoft Bağımsız İstemci Güvenlik Klavuzu, ev veya iş ortamından internete direkt bağlanan bağımsız istemci bilgisayarları için hazırlanmıştır. Windows 2000 Professional, Windows XP Home Edtion, Windows XP Professional işletim sistemlerine yöneliktir. Etki alanı (domain) mimarileri için uygun değildir. Tavsiye edilen tüm güvenlik ayarlarının paylaşım kullanan ortamları nasıl etkileyeceği açıklanmıştır. Çalışma grubu (workgroup) ortamlarında bahsedilen güvenlik ayarları kaynak paylaşım ihtiyacına göre uyarlanabilir. 3

İŞLETİM SİSTEMİ VERSİYONU Microsoft her bir yeni sürüm ve service pack ile bir önceki sürümden daha üst düzeyde güvenlik sunar. Microsoft istemci güvenliğinin en üst düzeyde olması için kullanılan işletim sisteminin en güncel olan işletim sistemi olması ve üzerinde en son service pack ve yamalarının yüklü olması gerekmektedir. Microsoft istemci işletim sistemleri arasında en güncel olan Windows XP Professional Service Pack 2 en güvenli olanıdır. SERVICE PACK İşletim sistemi ve üzerindeki service pack sürümünü öğrenmek için Start /Run satırına winver yazıp enter tuşuna basın veya Control Panel /System ikonuna çift tıklayın veya My Computer ikonuna sağ klik yapıp Properties /General sayfasına gidin. Bilgisayara yüklü olan işletim sistemi ve service pack versiyonunu görebilirsiniz. 4

Windows versiyon bilgisini veren pencere İşletim sistemi sürümünü mümkünse yükseltin ve en son service pack sürümünü yükleyin. Aşağıdaki tablo Microsoft masaüstü işletim sistemlerinin en son service pack lerini ve Windows XP Home Edition veya Windows XP Professional sürümüne yükseltilip yükseltilemeyeceklerini gösteriyor. Bilgisayarınıza Upgrade Advisor (Yükseltme Asistanı) yükleyip bu konuda yardım alabilirsiniz. Daha fazla bilgiyi http://www.microsoft.com/windowsxp/pro/upgrading/advisor.mspx sitesinde bulabilirsiniz. Aşağıdaki Sürümlere Güncellenebilir mi? Eski Windows Sürümü Son Service Pack Windows XP Home Windows XP Edition Professional Windows 3.1 Hayır Hayır Herhangi bir deneme sürümü Hayır Hayır Herhangi bir server sürümü Hayır Hayır Windows 95 Hayır Hayır Windows 98/Windows 98 SE Evet Evet Windows Me Evet Evet Windows NT Workstation 3.51 Service Pack 5 Hayır Hayır Windows NT Workstation 4.0 Service Pack 6a Hayır Evet Windows 2000 Professional Service Pack 4 Hayır Evet Windows XP Home Edition Service Pack 2 Evet Windows XP Professional Service Pack 2 Hayır Service pack ler direkt windowsupdate.microsoft.com sitesine bağlanılarak da yüklenebilir. WINDOWS GÜNCELLEMELERİ Microsoft işletim sistemi üzerindeki güvenlik açıklarını en aza indirmek için Windows yamalarını düzenli olarak takip edin, eksik olan yamaları sisteminize yükleyin. Sistemde eksik olan Windows yamalarını manuel olarak yüklemek için Start /Windows Update menüsüne tıklayın veya windowsupdate.microsoft.com sitesine bağlanın. Windows güncelleme makinanızı tarayacak ve kritik güncellemelerin listesini vererek bu listeden seçtiğiniz yamaları sisteminize yükleyecektir. NOT: Download sürelerini kısaltmak için bilgisayarınızı başka işlemler için kullanmadığınız bir zamanda güncellemeyi gerçekleştirin. Download hızı yüklenen yama sayısına, dosyaların boyutuna ve internet bağlantı hızına göre değişir. Bazı güncellemeler bilgisayarı yeniden başlatmayı gerektirir. Makinanızı yeniden başlattıktan sonra tekrar Windows Güncelleme sitesine bağlanarak güncelleme işleminize kaldığınız yerden devam edin. Windows XP işletim sistemleri ve 2000 Professional SP3-SP4 otomatik Windows yama güncelleme özelliğine sahip. Bu özellik sayesinde Windows yamaları Microsoft sitesinde yayımlandığı anda otomatik olarak bilgisayarınıza yüklenir. Bu özelliği aktif hale getirmek için: Start /Settings /Control Panel /System ikonuna çift tıklayıp Automatic Updates sayfasını açın. Ya da My Computer /Sağ Klik /Properties /Automatic Updates sayfasını açın. İlgili seçeneği seçerek Windows otomatik güncelleştirmeyi aktif hale getirin: 5

Windows XP SP2 Otomatik güncelleme sayfası Automatic: Windows güncellemelerini otomatik olarak yüklemek için zamanlama yapmanızı ister. Belirtilen zaman aralıklarında Windows yamalarını günceller. Download updates for me, but let me choose when to install them: Güncellemeleri otomatik olarak download eder. Fakat yüklemeden önce yüklenecek güncellemeleri seçmenizi ister. Notify me but don t automatically download or install them: Yüklenecek güncellemelerin olduğunu bildirir, download etmek ve yüklemek için sizden onay bekler. Turn off Automatic Updates: Otomatik güncelleştirmeyi kapatır. Notify me but don t automatically download or install them seçeneğini seçin. Böylece sistem ilgili güncellemeleri bulduktan sonra download etmeden ve yüklemeden önce sizden onay alır. Download edilecek güncellemeleri gözden geçirin. Kullanmadığınız servisler varsa ilgili güncellemeleri yüklemeyebilirsiniz. NOT: Windows 2000 Professional da otomatik güncelleme özelliği yok. Otomatik güncelleme özelliğini eklemek için SP3 veya SP4 yüklemek gerekiyor. Windows XP Home ve Windows 2000 Professional SP3-SP4 de otomatik güncelleme penceresinde Automatic seçeneği yok. 6

WINDOWS GÜVENLİK DUVARI Güvenlik duvarı (Firewall), dışarıdan internet yoluyla gelen saldırganların sisteme ulaşmalarını engeller. Bir güvenlik duvarı kötü niyetli internet saldırganlarını, solucanları ve belli tipteki virüsleri tespit eder ve sistemi onlardan korur. Windows XP ile gelen Windows Güvenlik Duvarı işletim sistemini ve internet bağlantısını korumak için tasarlanmıştır. Windows Güvenlik Duvarı temel bir saldırı önleme aracı olarak tasarlanmıştır. İnsanların sistem hakkında bilgi almasını engeller, istenilmeden gelen bağlantı taleplerini bloke eder. Fakat işletim sisteminden çıkan datalar üzerinde gelişmiş bir filtreleme uygulamaz. Bazı işletmelere yönelik merkezi uygulama programlarının, SMS (System Management Server), MSBA (Microsoft Baseline Security Analyzer) gibi, çalışmasını engeller. Network Neighborhood üzerinden network komşularının görüntülenmesini engeller. İstenmeyen program ve portları bloke ettiği için bazı programlar çalışmayabilir. Windows Güvenlik Duvarı devrede iken bir sorun ile karşılaşır iseniz http://support.microsoft.com/?kbid=842242 adresinden yardım alabilirsiniz. Windows Güvenlik Duvarı, birçok üçüncü parti güvenlik duvarının sunduğu zengin fonksiyonları sunmaz. Tavsiye edilen bir koruma aracı olmakla beraber gerçek bir güvenlik duvarının yerini tutmaz. Temel bir korumayı yeterli buluyorsanız veya gerçek bir güvenlik duvarı yükleyene kadar geçici koruma sağlamak istiyorsanız Windows Güvenlik Duvarı nı kullanın. Daha üst düzeyde bir güvenlik duvarı için http://www.microsoft.com/athome/security/protect/windowsme/firewall.mspx sitesine bakın. Windows Güvenlik Duvarını aktif hale getirmek için: Start /Control Panel /Windows Firewall ikonuna çift tıklayın veya masaüstündeki My Network Places ikonuna sağ klik yapın, Properties satırına tıklayın, karşınıza çıkan pencerede internet bağlantı yollarını göreceksiniz, Local Area Connection 1 gibi. Status kolonunda Connected yazan bağlantı aktif bağlantıdır. Aktif olan internet bağlantı yoluna sağ klik yapın Properties satırına tıklayın, Advanced sayfasına gelin. Windows XP işletim sistemi için Protect my computer and network by limiting or preventing access to this computer from the internet seçeneğini işaretleyin ve Settings kutusuna basın. Windows XP SP2 işletim sistemi için Windows Firewall bölümündeki Settings kutusuna tıklayın. Ekrana Windows Güvenlik Duvarı penceresi çıkacak. İlgili güvenlik duvarı ayarlarını gerçekleştirin. Windows XP SP2 güvenlik duvarına giriş 7

Birden fazla internet bağlantısı kullanıyorsanız her biri için aynı adımları tekrarlayın. WINDOWS XP SERVICE PACK 2 GÜVENLİK DUVARI AYARLARI General Sayfası: Windows güvenlik duvarı General Sayfası On: Güvenlik duvarını aktif hale getirir. Exceptions bölümünde belirtilen adresler hariç dışarıdan sisteme gelen tüm kaynakları bloke eder. Don t Allow Exceptions: Bağlandığınız ağ yeteri kadar güvenli değil ise bu seçeneği işaretleyin. Exceptions bölümünde belirtilen adresler dahil dışarıdan bilgisayarınıza gelen tüm kaynakları bloke eder. Güvenlik duvarı ilgili programları bloke ederken ekrana uyarı mesajı yollayarak kullanıcıyı da bilgilendirir. Off: Windows Güvenlik Duvarını devreden çıkartır. On ve bağlandığınız ağın güvenlik düzeyine göre Don t Allow Exceptions seçeneğini seçin. 8

Exceptions Sayfası: Windows güvenlik duvarı Exceptions Sayfası Bu sayfada işaretlenen program ve servisler güvenlik duvarı uygulamasının dışında tutulur. Bu program ve servislerle ilgili bilgiyi ileriki bölümlerde bulacaksınız. Servisin kullanım durumuna göre güvenlik duvarından geçip geçmeyeceği belirlenir. Başlangıç olarak Don t Allow Exceptions seçeneği ile tüm program ve servislere güvenlik duvarı uygulayın. Belli program ve servislerde sorun yaşarsanız ilgili program ve servisi bu sayfada işaretleyin ve Don t Allow Exceptions seçeneğini kaldırın. Advanced Sayfası: Advanced sayfasında güvenlik duvarının uygulandığı internet bağlantı yolları Network Connection Settings, güvenlik duvarı log dosya ayarları Security Logging, ICMP ayarları ve ilk ayarlara geri dön Default Settings bölümleri vardır. 9

Windows güvenlik duvarı Advanced Sayfası Windows XP Home SP2 için aynı güvenlik duvarı ayarları geçerlidir. WINDOWS XP GÜVENLİK DUVARI AYARLARI Services Sayfası: İşletim sistemi üzerinde çalışan ve internet kullanıcılarının erişmesini istediğiniz servisleri işaretleyin bu sayfada. Exceptions sayfası ile aynı fonksiyonu görüyor. Security Logging Sayfası: Güvenlik duvarının kurduğu ve kestiği bağlantıları kayıt etmesini sağlayan ayarları barındırır. Kayıt edilecek log dosyasının ismi ve ebatı belirlenir. ICMP Sayfası: Gönderilen ICMP paket kuralları belirlenir. 10

Windows XP güvenlik duvarı Services sayfası Windows XP güvenlik duvarı log ayarları 11

Windows XP güvenlik duvarı ICMP sayfası Windows XP Home işletim sistemi için aynı güvenlik duvarı ayarları geçerli. Windows 2000 Professional da güvenlik duvarı mevcut değil. VİRÜSDEN KORUNMA YOLLARI Virüs koruma yazılımı, sistemi virüs, solucan, trojan ve diğer kötü amaçlı kodlardan korur. Sürekli olarak sistemi tarar, virüs ve kötü amaçlı kodları tespit eder ve sistemden kaldırmanıza yardımcı olur. Virüs koruma yazılımı, bu işlemi bilinen virüs ve kötü amaçlı kodların signature denilen tanımlarını tespit ederek yapar. Bu yüzden virüs koruma yazılımının veritabanı her zaman son tanımları içerecek şekilde güncel olmalı ve bu veritabanına sık sık bağlanarak bilgisayarınızdaki virüs tanımlarını güncel tutmalısınız. Günümüz virüs ve kötü amaçlı kodları, internet ve e-maili kullanarak birkaç saat içerisinde tüm dünyaya yayılabiliyorlar. Bu durum güncellemenin ne kadar kritik bir konu olduğunu açıklıyor. Bir saatlik, belki de 15 dakikalık geç bir virüs taraması veya güncellemesi çoktan virüs bulaşmış bilgisayarınızda meydana gelen hasarı geri getiremeyebilir. Virüs koruma programları arasında en güncel virüsleri, kötü kodları bulunduran, en çok virüs tanımlarını barındıran bir tanesi veya en iyisi yok. Hepsinin kendine göre artı ve eksileri var. Bir virüs tarama seçimi yapın, işletim sistemini virüs ve kötü amaçlı kodlardan koruyun. Bunun için http://www.microsoft.com/windowsxp/downloads/updates/sp2/antivirus/default.mspx sitesinden faydalanabilirsiniz. Bilgisayarınıza yüklediğiniz antivirüs programına ek olarak tüm sisteminizi belli zamanlarda internetteki bedava virüs tarama servislerine tarattırın. Bu servisleri kullanmak için bilgisayara kurulum yapmak gerekmiyor. Bilgisayardaki virüs tarama programından bağımsız çalışırlar ve 12

onun ayarlarına herhangi bir etkide bulunmazlar. Aşağıda bu web tabanlı sistem tarayıcılardan bazılarının linkleri var. Computer Associates Sistem Tarayıcısı http://www3.ca.com/securityadvisor/virusinfo/scan.aspx Symantec Sistem Tarayıcısı http://security.symantec.com/sscv6/default.asp?productid=symhome&langid=ie&venid=sym Trend Micro Sistem Tarayıcısı http://housecall.trendmicro.com/ Bunun yanı sıra, şüphelendiğiniz bir dosyayı veya dosya grubunu web tabanlı dosya tarayıcılarına gönderip virüslü olup olmadığını öğrenebilirsiniz. Bu hizmetlerden bazılarının linkleri aşağıda verilmiştir. Virustotal Dosya Tarayıcı http://www.virustotal.com/flash/index_en.html Kaspersky Dosya Tarayıcı http://www.kaspersky.com/scanforvirus Symantec Dosya Tarayıcı http://service1.symantec.com/support/nav.nsf/docid/1999052109284606?open&src=&docid= 2000031615501306&nsf=nav.nsf&view=docid&dtype=&prod=&ver=&osv=&osv_lvl= Antivirüs programları hakkında daha fazla bilgiyi http://www.microsoft.com/downloads/details.aspx?familyid=f24a8ce3-63a4-45a1-97b6-3fef52f63abb&displaylang=en sitesinden bulabilirsiniz. MICROSOFT GÜVENLİK MERKEZİ Microsoft Güvenlik Merkezi, bilgisayarın otomatik güncelleme, güvenlik duvarı, virüs koruma ayarlarını gösterir ve tavsiyelerde bulunur. Windows XP ve XP Home için SP2 ile gelen bir özelliktir. Microsoft Güvenlik Merkezi ne ulaşmak için Start /Run satırına wscui.cpl yazıp enter tuşuna basın veya Control Panel de Security Center ikonuna çift tıklayın: 13

Microsoft güvenlik merkezi penceresi 14

DOSYA SİSTEMİ DİSK BÖLÜMLERİ İşletim sistemini kurarken en az iki disk bölümü oluşturun. Birinde işletim sistemi kurulumunu gerçekleştirin ve programları bu bölüme yükleyin. Diğerinde datalarınızı saklayın. İşletim sistemi zarar gördüğünde sıfırdan bir kurulum yapmak zorunda kalırsanız datalarınıza diğer bölümden hala ulaşabilirsiniz. NTFS DOSYA SİSTEMİ İşletim sistemi kurulurken dosya FAT32 veya NTFS seçilir. FAT32 daha eski bir teknolojidir. NTFS dosya sistemi, eski dosya sistemlerine göre daha hızlı ve güvenlidir. FAT dosya sistemi ile sadece paylaşım üzerinden güvenlik izinleri atanabilir. NTFS dosya sistemi tüm dosya ve klasörler üzerinde güvenlik izinleri tanımlanmasını sağlar. NTFS ile dosya bazında güvenlik izinleri tanımlanabilir, aynı işlem FAT dosya sisteminde gerçekleştirilemez. Ayrıca NTFS in sıkıştırma ve şifreleme desteği vardır. Optimum işletim sistemi performans ve güvenliği için dosya sistemi NTFS olmalı. İşletim sistemindeki dosya sistemini öğrenmek için: My Computer ikonuna çift tıklayın veya Start /Programs /Accessories /Windows Explorer satırına tıklayın. Kontrol etmek istediğiniz sürücüye sağ klik yapın ve Properties sayfasını açın. Bu sayfada File System: NTFS değilse convert.exe aracıyla dosya sistemini NTFS e çevirin. Bu işlemi tüm sürücüleriniz için gerçekleştirin. Disk Bölümü özelliklerini görüntüleme 15

Dosya sistemi özellikleri Computer Management konsolundaki Disk Management bölümünden de gözükür. Bunun için My Computer ikonuna sağ tıklayın, Manage seçeneğini seçin. Çıkan pencerede Disk Management bölümüne tıklayın. Bilgisayardaki tüm sürücü, bölüm ve diskler bu ekranda gözükür. Ayrıntısını görmek istediğiniz sürücüye sağ klik yapıp Properties seçeneğini seçin. Bilgisayar Yönetiminden (Computer Management) disk özelliklerini görüntüleme CONVERT.EXE ARACIYLA DOSYA SİSTEMİNİ NTFS E ÇEVİRME İŞLEMİ Start /Run satırına cmd yazıp enter tuşuna basın. Karşınıza komut satırı çıkacak. Komut satırında şu komutu yazıp enter tuşuna basın, Convert sürücü harfi: /fs:ntfs Örneğin C sürücüsünü NTFS e çevirecekseniz: Convert C:/fs:ntfs Bölüm etiketini yazmanızı isteyen bir satır belirecek. Bölüm etiketini yazıp enter tuşuna basın. İşlem tamamlandıktan sonra exit yazıp enter tuşuna basarak komut satırı penceresinden çıkın. İşletim sisteminin yüklü olduğu sürücüyü NTFS e dönüştürme işlemine başlarsanız, dönüştürme işleminin bilgisayarın bir dahaki açılışında gerçekleşeceğini belirten bir yazı ile karşılaşırsınız. Onaylayın, bilgisayarın bir sonraki açılışında dosya sistemi NTFS e dönüşecektir. 16

NTFS DOSYA İZİNLERİ Convert işleminden sonra tüm dosya ve klasörlerin güvenlik izinlerinde Everyone grubuna otomatik olarak Full Control yetkisi atanacaktır. Standart kurulumda gelen Windows dosya ve klasör paylaşım izinlerinde Everyone grubuna Full Control yetkisi verilir. Everyone grubu yerine Authenticated Users grubunu yerleştirin. Böylece yetkisi olmayan kullanıcılar dosyalarınıza erişemezler. Authenticated Users grubuna Read hakkı verin Administrators ve Creator Owner grubuna Full Control hakkı verin. NTFS ile gelen dosya erişim güvenlik izinlerini görmek için Basit Dosya Paylaşımı özelliğini kaldırmanız gerekiyor. Bunun için Windows Explorer da Tools/Folder Options/View menüsünü seçin. NOT: Windows XP Home standart olarak basit dosya paylaşım özelliğine sahiptir ve değiştirilemez. Bu yüzden dosya ve klasör erişim hakları görüntülenemez. Windows 2000 Professional da basit dosya paylaşım özelliği yoktur. Klasör opsiyonlarından basit dosya paylaşımını kaldırma 17

Use Simple File Sharing satırındaki işareti kaldırın ve OK kutusuna tıklayın. Sonra herhangi bir klasöre veya dosyaya sağ tıklayın. Security sayfasını açın. Bu sayfada ilgili klasör veya dosyaya hangi kullanıcıların hangi düzeyde erişim hakkı olduğu gözükür. Everyone grubu yerine Authenticated Users grubunu yerleştirin. NTFS dosya sisteminde dosya izinleri hiyerarşik bir düzende atanır. Her yeni klasör ve dosya yarattığınızda güvenlik izinlerini kontrol edin. Aşağıdaki ayarları kullanarak dosya ve klasör izinlerini düzenleyin: NTFS dosya izinlerini görüntülemek için klasör veya dosyaya sağ klik yapın, Properties satırına tıklayın, Security sayfasına gelin. Her yeni klasör veya dosya yarattığınızda klasör veya dosya, bir üst klasörün izinlerini otomatik olarak alır. Bir üst klasörün izinlerini almasını istemiyorsanız aşağıdaki tanımın işaretini kaldırın. Inherit from parent the permission entries that apply to child objects. Include these with entries explicitly defined here", bir üst seviyesindeki klasörlerin izinlerini otomatik olarak alır. NTFS dosya izinlerinin hiyerarşik akışı 18

"Replace permission entries on all child objects with entries shown here that apply to child objects" ayarı tüm alt klasör ve dosyalara kendi üzerindeki izinleri verir. Bu ayar sadece işaretlendiği an için bir kereliğine mahsustur, sürekliliği yoktur. Bu ayarı bir kere işaretleyip OK tuşuna basarsanız ilgili klasör, tüm alt klasör ve dosyalara izinlerini aktarır. Her yeni klasör yarattığınızda bu klasörün altına yaratacağınız tüm dosyalar otomatik olarak klasörün izinlerini alır. Bunu engellemek istiyorsanız klasörün Properties /Security/ Advanced /Edit / Apply onto ayarına This folder only seçeneğini getirin. Bu alan gri yani yazılamaz ise bir üst klasörün izinlerini alıyor demektir, Inherit from parent the permission entries that apply to child objects. Include these with entries explicitly defined here" seçeneğini kaldırırsanız alan yazılabilir hale gelir. KLASÖR PAYLAŞIMI NTFS dosya izinlerini sadece bir dosya veya klasöre atama NTFS ortamında paylaştırılan klasörlere hem NTFS hem de paylaşım izinleri atanır. Geçerli izin iki iznin birleşimidir. Paylaştırılmış klasörlerin izinlerini bu durumu göz önüne alarak düzenleyin. İşletim sisteminizin paylaştırdığı dosya kaynaklarını ve paylaşım izinlerini görüntülemek için: 1. Paylaştırılan klasörlerin ikonu şeklini alır. Klasöre sağ klik yapın, Properties satırına tıklayın, Sharing sayfasını seçin. Permissions kutusuna tıklayın. 19

2. Masaüstündeki My Computer ikonuna sağ tıklayın. Manage satırını seçin. Karşınıza çıkan pencerede sol tarafta Shared Folders /Shares satırını seçin. Paylaştırılan dosya kaynaklarını göreceksiniz. Dolar işareti ile bitenler varsayılan olarak paylaştırılanlardır. Otomatik paylaştırılan kaynakların paylaşım izinlerinden Everyone grubunu kaldırın, yerine Authenticated Users grubunu ekleyin, Read hakkı verin. Bu işlem ancak güvenlik şablonu kullanarak yapılabilir. NETWORK ORTAMINDA PAYLAŞTIĞINIZ KAYNAKLARINIZ YOKSA Network ortamında dosya, yazıcı kaynaklarınızı paylaşmıyorsanız network klasör ve yazıcılarını otomatik olarak arama özelliğini kaldırın. Bu fonksiyon, network ortamında paylaşılan kaynakların olup olmadığını öğrenmek için arama yapar ve paylaşılan tüm kaynaklara ulaşmaya çalışır. Bulunan paylaşımları My Network Places içinde görürsünüz. İşletim sistemi paylaşılan kaynağın parolasını bilmiyorsa lokal parola ile kaynağa ulaşmaya çalışır. Bu sayede lokal parolanız gereksiz yerlere ulaşabilir. Özellikle ev kullanıcıları için gereksiz bir opsiyon. Bu opsiyonu kaldırmak için Windows Explorer da Tools /Folder Options /View menüsünü seçin. Automatically Search for Network Folders and Printers seçeneğini kaldırın. KULLANICI HESAPLARININ GÜVENLIĞI Bazı kullanıcı hesapları işletim sistemi kurulumu ile standart olarak gelir ve silinemezler. Administrator ve Guest hesapları bunlardandır. Guest hesabı varsayılan olarak etkisizleştirilmiştir. Kaynaklarınıza dışarıdan sadece Guest hesabı ile ve salt görüntüleme yetkisi ile erişilmesini isteyebilir ve sistemin ayarlarını bu şekilde gerçekleştirebilirsiniz. Bunun haricinde Guest hesabını kullanmayacaksanız hala Disabled halde olduğundan emin olun. Administrator hesabını ise yeniden adlandırın. Birçok saldırı aracı Administrator hesap ismi kullanacak şekilde konfigüre edilmiştir. Son yıllarda saldırı araçlarını Administrator hesap ismi yerine SID numarası vererek oluşturmaya başladılar. Her hesabın eşi olmayan bir SID numarası vardır ve bu numara değiştirilemez. Fakat hesap ismi değiştirilebilir. Saldırganların izinizi bulmalarını zorlaştırmak için Administrator hesap ismini değiştirin ve tüm hesaplara, özellikle Administrator hesabına kuvvetli parolalar atayın. Hesap özelliklerindeki Description (Açıklama) kısmını hesabın Administrator a ait olduğunu belirtmeyen açıklamalar yazın. Kullanıcı isimlerini ele geçiren bir saldırgan yeniden adlandırılmış Administrator hesabını açıklama kısmından tanıyabilir. Kullanıcı ve grup yaratma işlemleri için masaüstündeki My Computer ikonuna sağ tıklayın. Manage seçeneğini seçin. Karşınıza çıkan pencerede sol tarafta Local Users and Groups seçeneği altındaki Users ve Groups seçeneklerinden kullanıcı ve grup hesaplarını görüntülersiniz. Sağ taraftaki hesaplardan birinin üzerine gelip sağ klik yapın. Set Password seçeneği ile parola değiştirilir, Rename seçeneği ile hesap ismi değiştirilir, Properties seçeneği ile hesap özellikleri değiştirilir. Properties seçeneğini seçin. 20

Kullanıcı hesap özelliklerini görüntüleme General sayfasında Description bölümüne açıklama girebilir, Member of sayfasında hesabın üye olduğu grupları belirleyebilirsiniz. Bunun yanı sıra Administrator ismi ile sahte bir Admistrator hesabı yaratıp saldırganı yanıltabilirsiniz. Bu sahte hesaba sistemde hiçbir hak vermeyin ve bu hesabı Users grubundan çıkartın. Uzaktan sistemi ele geçirmek isteyen saldırganlar genellikle Null session yani isimsiz bağlantı kurarlar. İsimsiz bağlantıları engelleyin. İsimsiz bağlantı ve diğer kullanıcı erişim güvenlik ayarları için Güvenlik Şablonları Güvenlik Opsiyonları ve Registry bölümüne bakın. Windows XP Home işletim sisteminde kullanıcı hesaplarına Control Panel /User Accounts bölümünden ulaşabilirsiniz. REMOTE ASSISTANT I (UZAK YARDIM) DEVREDEN ÇIKARTMA Uzaktan bir uzmanın yardımına ihtiyacınız yoksa uzak yardım özelliğini kaldırın. Uzak bağlantılar güvenlik riski taşır. Uzak yardım özelliğini etkisizleştirmek için masaüstündeki My Computer ikonuna sağ klik yapın. Properties satırına tıklayın, Remote sayfasına gelin. Allow Remote Assistance invitations to be sent from this computer ve Allow users to connect remotely to this computer seçenekleri işaretli ise işaretleri kaldırın. Select Remote Users kutusuna tıklayın. Varolan tüm uzak kullanıcıları Remove kutusuna basarak kaldırın. 21

Windows 2000 Professional da uzak yardım özelliği yoktur. Windows XP Home da Allow users to connect remotely to this computer ve Select Remote Users mevcut değildir. REGISTRY AYARLARI Registry işletim sistemi konfigürasyon bilgisini tutar. İşletim sisteminin donanım, yazılım, kullanıcı çevresi ve arayüzünü kontrol etmesine yardımcı olur. Registry düzenleyicisinin kullanımı: Start /Run menüsünü seçin. Çıkan pencereye regedt32 yazıp enter tuşuna basın. Registry konsol görüntüsü Sol tarafta klasörlerden oluşan bir hiyerarşi görürsünüz, sağ tarafta ise birtakım değerler görürsünüz. Klasörler Key (Anahtar) olarak adlandırılır. Sağ taraftaki değerler de value (değer) olarak adlandırılır. String, Binary, Dword, Multi-String, Expandable String olmak üzere beş çeşit değer vardır. 22

Registry de yeni bir anahtar yaratma Yeni bir anahtar veya değer yaratmak istediğinizde ilgili klasörün üzerine gelin, sağ klik yapın ve New / Yaratacağınız anahtar veya değer seçeneğini seçin. Örneğin HKEY_LOCAL_MACHINE /Software /Microsoft /Windows /CurrentVersion /Policies /System anahtarı altındaki legalnoticetext string değerini TEXT yapacaksınız ve Test isiminde yeni bir anahtar yaratacaksınız. HKEY_LOCAL_MACHINE /Software /Microsoft /Windows /CurrentVersion /Policies /System anahtarına gelin, sağ tarafta legalnoticetext değerine çift tıklayın, Value Data bölümüne TEXT yazın. Tekrar System anahtarı üzerine gelin, sağ klik yapın, New /Key seçeneğini seçin, oluşan anahtara Test ismini girin. Registry de bir değeri (value) değiştirme 23

Registry de yeni bir anahtar yaratma UYARI: Registry Düzenleyicisi nin yanlış kullanımı ciddi problemlere yol açabilir, işletim sistemini yeniden yüklemek zorunda kalabilirsiniz. Registry i değiştirmeden önce registry i nasıl yedekleyeceğinizi ve yedekten nasıl geri döneceğinizi öğrenirseniz, problem çıktığında orjinal ayarlara dönebilirsiniz. Bu konuda daha fazla bilgi için http://support.microsoft.com/default.aspx?scid=kb;en-us;322756 ve http://support.microsoft.com/default.aspx?scid=kb;en-us;256986 adreslerinden yardım alabilirsiniz. NOT: Windows 2000 Professional registry ekranı görünüsü biraz daha farklıdır. Yeni anahtar veya değer yaratmak gerektiğinde Edit menüsünden Add key ve Add value satırlarını seçmek gerekiyor. Aşağıda registry de uygulanması gereken güvenlik ayarları verilmiştir: 8.3 Dosya İsimlerini Etkisizleştirin DOS, Windows 3.1 istemciler 8.3 karakterden uzun dosya isimlerini görüntüleyemezler. İleri Windows versiyonları her iki türlü dosya tipini desteklerler ve eski tip istemcilerle iletişim kurmak için uzun dosya isimlerini 8.3 karakter formatına sokmak amacıyla birtakım işlemlerden geçirirler. Bu durum dosya sistemi performansını düşürür. Saldırgan, kısa dosya isimleri kullanarak uzun karakterli isime sahip dosya ve uygulamalara erişebilir. Dosya sistemine erişen saldırgan data ve çalıştırılabilir 24

uygulamaları kullanarak özel bilgilere erişebilir. Windows un ileri versiyonlarını kullanıyorsanız ve 16 bit uygulamalarla iletişim halinde değilseniz, bu özelliği etkisizleştirin. Registry Yolu HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\FileSystem Tip Değer (Value) Adı Değer (Value) DWORD NtfsDisable8dot3NameCreation 1 Autorun Özelliğini Etkisizleştirin Autorun özelliği ile işletim sistemi, medya takılır takılmaz sürücüyü okumaya başlar. Bu medya içerisinde virüslü bir program varsa, programın kendi kendisine çalışmasına yol açar. Değer formatı hexadecimaldir (onaltılı). Registry Yolu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer Tip Değer (Value) Adı Değer (Value) DWORD NoDriveTypeAutoRun FF Ekran Koruma (Screen Saver) Parola Sorgulama Zamanlarını Eşitleyin Normal şartlarda ekran koruma başlar başlamaz konsol kilitlenmez. Parolalı konsol kilitleme, ekran korumadan belli bir süre sonra aktifleşir. Ekran koruma çalışır çalışmaz konsolun kilitlenmesi güvenlik düzeyini arttırır. Bu registry ayarının etkili olabilmesi için ekran korumanın devrede olması ve parola korumalı olması gerekiyor. Registry Yolu HKEY_LOCAL_MACHINE\SYSTEM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon Tip Değer (Value) Adı Değer (Value) String ScreenSaverGracePeriod 0 ScreenSaverGracePeriod adında bir değer yoksa, Winlogon anahtarına sağ tıklayın. New /String Value satırını seçin. Value ismi olarak ScreenSaverGracePeriod yazın ve enter tuşuna basın, sonra üzerine çift tıklayın ve değerine 0 girin. DLL Arama Sırasını Sabitleyin Windows platformu üzerinde birçok uygulama dll kullanır. Windows her program için hangi tip program olduğuna bağlı olarak birçok dll çalıştırır. Bu dll leri çalıştırmadan önce varsayılan lokasyonlarda dll leri şu sıraya göre arar: 1. Kullanıcının o anda içinde bulunduğu klasör, 2. Sistem dosyalarının bulunduğu lokasyon. Hileli bir programın çalıştırılmasıyla Windows önce kullanıcının o an içinde bulunduğu klasöre bakar. Dll dosyası herhangi bir sistem dosyası ile aynı isme sahip ise gerçek sistem dll'i yerine hileli dll i çalıştırır. İlgili registry ayarı 1 ise sistem önce sistem dosyalarının bulunduğu lokasyonda, sonra güncel klasör içinde arama yapar. 0 ise tam tersi. 25

Registry Yolu HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Control\Session Manager Tip Değer (Value) Adı Değer (Value) SafeDllSearchMode DWORD 1 SafeDllSearchMode adında bir değer yoksa, Session Manager anahtarına sağ tıklayın. New /DWORD Value satırını seçin. Value ismi olarak SafeDllSearchMode yazın ve enter tuşuna basın, sonra üzerine çift tıklayın ve değerine 1 girin. Otomatik Logon u Engelleyin Otomatik logon özelliği etkinleştirilirse, bilgisayar açıldığında işletim sistemi kullanıcı ismi ve parola sorgulamaz. Önceden belirlenmiş kullanıcı ismi ve parola ile sisteme otomatik giriş yapılır. Bu özellik işletim sistemi kullanımını kolaylaştırır, fakat ciddi güvenlik açıkları doğurur. Bu yüzden otomatik logon özelliğini kaldırın. Otomatik logon özelliği ile oluşan güvenlik açıkları: Bilgisayara fiziksel erişim sağlayan herkes isim parola sorgulamasından geçmeden bilgisayardaki tüm bilgilere erişebilir. Bunlara bilgisayarın bağlı olduğu networkler de dahil. Ayrıca otomatik logon için belirlenen kullanıcı ismi ve parola registry de şifrelenmeden düz yazı olarak tutulur. Registry bilgilerine erişen bir saldırgan, administrator yetkisine sahip kullanıcının parolasını kolayca tespit edebilir. XP sisteminde varsayılan olarak otomatik logon etkin değildir. Tam bir güvenlik ayarı için tamamen etkisiz hale getirin. Registry Yolu HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon Tip Değer (Value) Adı Değer (Value) String AutoAdminLogon 0 0 değeri otomatik logon u devreden çıkartır, 1 değeri ise etkinleştirir. Bilgisayarı Network Neighborhood Browse Listesinden Saklayın Tarayıcı listesinde yer alan bilgisayar network e düzenli aralıklarla varlığını bildiren anonslar yollar. Bu registry ayarı bilgisayarın network tarayıcı listesinde ( My Network Places ) gözükmesini engeller. Bilgisayar ismini bilen bir saldırgan, bilgi edinmek için network tarayıcı listesine başvurabilir. Bu ayarla aynı zamanda network trafiği azaltılmış olur. Bilgisayarınız paylaşımlı network ortamında ise ve tarayıcı listesinde gözükmesini istiyorsanız bu ayarı yapmayın. Registry Yolu HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters Tip Değer (Value) Adı Değer (Value) DWORD hidden 1 26