Kurumsal ortamları etkileyen güvenlik tehditleri sürekli olarak gelişme göstermektedir. Bu nedenle güvenlik uzmanları gelişen tehditleri düzenli olarak takip etmeliler ve bu tehditleri azaltmak için güvenlik önlemleri almalıdırlar. Kurumlar tarafından en çok kullanılan işletim sistemi, Windows işletim sistemidir. Bu durum, Windows sistemleri etkileyen güvenlik tehditlerine karşı kurum altyapısını tehlikeye maruz bırakabilir.
Microsoft her bir Windows Server sürümünü, varsayılan konfigürasyonları iyileştirerek yayınlar. Ancak bu durum, varsayılan konfigürasyonlara sahip bir Windows Server işletim sisteminin gerekli tüm güvenlik önlemlerine sahip olduğu anlamına gelmez. Her bir kurumun en iyi güvenlik önlemleri anlayışı, ihtiyaçlara göre farklılık göstermektedir. Örneğin; bir banka müşteri hesaplarını korumaya odaklanırken, bir e-ticaret şirketi web uygulamalarını korumaya odaklanabilir. Ancak tüm kurumların ortak noktası, sistemlerini güvenlik tehditlerine karşı güvende tutmaktır. Bu nedenle tüm kurumlar bir güvenlik standartına dayanarak, Windows sunuculara temel güvenlik sıkılaştırmalarını uygulamalıdırlar.
CIS (The Center for Internet Security), siber güvenlik adına en iyi çözümleri belirleyen, geliştiren, doğrulayan ve tanıtan, kar amacı gütmeyen bir kuruluştur. CIS, güvenlik çözümleri ve standartlar için; hükumetlerden, iş dünyasından, akademiden ve BT uzmanlarından yararlanır. CIS, Windows Server işletim sistemi sıkılaştırmaları için Group Policy nesnelerine dayanan bir sıkılaştırma standardı sunmaktadır. Bu standart; güvenlik mühendisleri, ürün grupları, iş ortakları ve müşterilerden gelen geri bildirimlere dayanmaktadır. Bu yazıda, CIS Windows Server sıkılaştırma standartına ve Windows güvenlik temeline dayanarak hazırlanmış olan, Windows Server temel sıkılaştırma maddeleri yer almaktadır.
Kullanıcı Politikaları (ACCOUNT POLICIES)
Kullanıcı hesap politikaları, Active Directory ve Windows kimlik doğrulamasını kullanan SQL Server, IIS veya Exchange gibi uygulamalar için kimlik doğrulama denetimlerini içerir. Bu bölüm; Password Policy, Account Lockout Policy ve Kerberos Policy olmak üzere 3 başlığa ayrılır. Kullanıcı hesap politikaları için uygulanması gereken sıkılaştırma ayarları aşağıda yer almaktadır.
Bu ayarları Computer Configuration > Policies > Security Settings > Account Policies üzerinden yapılandırabilirsiniz.
| PASSWORD POLICY | ||
| Politika | Ayar | Açıklama |
| Enforce password | 24 | Bu ayar, bir kullanıcı hesabına ait eski bir parolanın, kaç adet yeni parola kullanımından sonra yeniden kullanılabileceğini belirler. (0-24) Varsayılan: Domain Controller -> 24 Stand-alone Server -> 0 |
| Maximum password age | 30-90 gün | Bu ayar, bir kullanıcının belirlediği bir parolayı en fazla ne kadar süre kullanabileceğini belirler. (0-998 gün) Varsayılan: 42 gün |
| Minimum password age | 1 gün veya daha fazla | Bu ayar, bir kullanıcının belirlediği bir parolayı en az ne kadar süre kullanabileceğini belirler. (1-998 gün) Varsayılan: Domain Controller -> 1 gün Stand-alone Server -> 0 |
| Minimum password length | 8 karakter | Bu ayar, bir kullanıcı hesabına ait parolanın minimum kaç karakter uzunluğunda olması gerektiğini belirler. Varsayılan: Domain Controller -> 7 karakter Stand-alone Server -> 0 |
| Password must meet complexity requirements | Enabled | Bir Windows kullanıcı hesabı için tanımlanan karmaşık parolanın aşağıdaki özelliklere sahip olması gerekir: Parola, kullanıcının hesap adını veya tam adının iki ardışık karakteri geçen kısımlarını içermemelidir.En az 6 karakter uzunluğunda olmalıdır. Aşağıdaki dört kategoriden en az üçüne ait karakterleri içermelidir: İngilizce Büyük Harf (A-Z) İngilizce Küçük Harf (a-z)Rakam (0-9)Özel Karakterler (örneğin!, $, #,%) Bu ayar, bir parola karmaşıklığının aktif edilmesi veya devre dışı bırakılması için kullanılır. Varsayılan: Domain Controller -> Enabled Stand-alone Server -> Disabled |
| Store passwords using reversible encryption | Disabled | Bu ayar, parolaların reversible encryption yöntemi kullanılarak saklanması veya saklanmaması için kullanılır. Reversible encryption yöntemi, parolaları açık metin olarak saklar ve yüksek güvenlik seviyesinin düşürülmesine neden olur. Varsayılan: Disabled |
| ACCOUNT LOCKOUT POLICY | ||
| Politika | Ayar | Açıklama |
| Account lockout duration | 15 dakika (minimum) | Bu ayar, belirli bir sınıra ulaşan hatalı parola denemesi sonucunda kilitlenen bir kullanıcı hesabının yeniden kullanılabilir hale gelmesi için geçmesi gereken süreyi belirler. Varsayılan: None |
| Account lockout threshold | 10 deneme | Bu ayar, bir kullanıcı hesabının kilitlenmesi için üst üste girilmesi gereken hatalı parola deneme sayısını belirler. Varsayılan: 0 |
| Reset account lockout counter after | 15 dakika (minimum) | Bu ayar, bir kullanıcı hesabının kilitlenmesine neden olacak olan hatalı deneme sayısının, ne kadar süre sonra sıfırlanması gerektiğini belirler. Örneğin; üst üste 5 adet hatalı giriş yapan bir kullanıcı, bu ayar ile belirlenen süre kadar bekledikten sonra yeniden hatalı giriş yaparsa, bu durumda hatalı giriş sayısı 0’dan itibaren sayılacaktır. Varsayılan: None |
| KERBEROS POLICY | ||
| Politika | Ayar | Açıklama |
| Enforce user logon restrictions | Enabled | Bu ayar, KDC’nin her oturum bileti talebini kullanıcı hakları politikasına göre doğrulayıp doğrulamadığını belirler. Bir oturum bileti için her talebin doğrulanması isteğe bağlı gerçekleşir. Bunun sebebi işlemin fazla zaman alması ve servislere yapılan ağ erişiminin yavaşlamasına neden olmasıdır. Varsayılan: Enabled |
| Maximum tolerance for computer clock synchronization | 5 dakika | Kerberos V5, Replay saldırılarını önlemek için protokol tanımının bir parçası olarak zaman damgaları kullanır. Zaman damgalarının düzgün çalışması için, istemci ve Domain Controller saatlerinin olabildiğince senkronize olması gerekir. Dolayısıyla her iki bilgisayarın da aynı saat ve tarihe ayarlanması gerekir. Bu ayar, istemci saati ile Domain Controller saati arasındaki zaman toleransını belirler. Varsayılan: 5 dakika |
| Maximum lifetime for service ticket | 600 dakika | Bu ayar, bir oturum biletinin belirli bir servise erişmek üzere kullanılabileceği maksimum süreyi belirler. Varsayılan: 600 dakika |
| Maximum lifetime for user ticket renewal | 7 gün | Bu ayar TGT’nin yenilenme süresini belirler. Varsayılan: 7 gün |
| Maximum lifetime for user ticket | 10 saat | Bu ayar TGT’nin maksimum kullanım süresini belirler. Varsayılan: 10 saat |
Denetim Politikaları (AUDIT POLICIES)
Güvenlik denetimlerinin amacı, gerçekleşen olayların loglanmasını sağlamaktır. Tüm olayların loglanması, olay günlüğünün gereksiz bir şekilde dolmasına neden olur. Denetim ayarları ile hangi olayların loglanacağı belirlenebilir. Bu sayede logların karmaşıklığı giderilir.
Aşağıda denetim politikalarının sıkılaştırma ayarları yer almaktadır. Bu ayarları Computer Configuration > Policies > Security Settings > Local Policies > Audit Policy üzerinden yapılandırabilirsiniz.
| Politika | Ayar | Açıklama |
| Audit Account Logon Events | Success and Failure | Bu ayar, kullanıcı hesaplarının gerçekleştirdiği her bir kimlik doğrulama işleminin denetlenip denetlenmeyeceğini belirler. Bu ayar ile; başarılı, başarısız ve hem başarılı hem de başarısız kimlik doğrulama işlemlerinin denetimi sağlanabilir. |
| Audit Account Management | Success and Failure | Bu ayar, hesap yönetimi olaylarının denetlenip denetlenmeyeceğini belirler. Örnek hesap yönetimi olayları aşağıda yer almaktadır: Bir kullanıcı hesabı veya grup oluşturma, değiştirme veya silmeParola oluşturma veya bir hesabın parolasını değiştirme Bu ayar ile; başarılı, başarısız ve hem başarılı hem de başarısız hesap yönetimi işlemlerinin denetimi sağlanabilir. |
| Audit Directory Service Access | No Auditing | Bu ayar, bir kullanıcı hesabının Active Directory nesnelerine yönelik erişim denemelerinin, denetlenip denetlenmeyeceğini belirler. Bu denetim yalnızca; belirtilen nesneler, istenen erişim türü (Read, Write, Modify) ve istekte bulunan hesap SACL’deki ayarlarla eşleşirse oluşturulur. Bu ayar ile; başarılı, başarısız ve hem başarılı hem de başarısız erişim denemelerinin denetimi sağlanabilir. |
| Audit Logon Events | Success and Failure | Bu ayar, kullanıcıların işletim sistemi üzerinde yaptığı oturum açma veya oturum kapatma olaylarının denetlenip denetlenmeyeceğini belirler. Bu ayar ile; başarılı, başarısız ve hem başarılı hem de başarısız oturum açma/kapama işlemlerinin denetimi sağlanabilir. |
| Audit Object Access | Failure (minimum) | Bu ayar, bir kullanıcı hesabının Active Directory’den bağımsız nesnelere yönelik erişim denemelerinin, denetlenip denetlenmeyeceğini belirler. Bu denetim yalnızca; belirtilen nesneler, istenen erişim türü (Read, Write, Modify) ve istekte bulunan hesap SACL’deki ayarlarla eşleşirse oluşturulur. Bu ayar ile; başarılı, başarısız ve hem başarılı hem de başarısız erişim denemelerinin denetimi sağlanabilir. |
| Audit Policy Change | Success (minimum) | Bu ayar; Change user rights assignment policy, Audit policy, Account policy, veya Trust policy üzerinde yapılan her bir değişikliğin denetlenip denetlenmeyeceğini belirler. “Success” denetimi aktif edilirse, belirtilen politikalar üzerinde yapılan herhangi bir değişiklik işlemi başarılı olduğunda, bir denetim girdisi oluşturulur. |
| Audit Privilege Use | Failure (minimum) | Bu ayar, kullanıcı hesaplarına ait yetkilerin kullanımını denetler. Ancak bu ayar tüm yetkilerin denetimini kapsamamaktadır. Denetimin aktif edilmesi durumunda denetlenmeyecek olan kullanıcı yetkileri aşağıda yer almaktadır: ChangeNotifyPrivilegeAuditPrivilegeCreateTokenPrivilegeAssignPrimaryTokenPrivilegeBackupPrivilegeRestorePrivilegeDebugPrivilege |
| Audit Process Tracking | No Audit | Bu ayar; process oluşturma, process sonlandırma, bir process’i handle etme ve dolaylı nesne erişimi ile ilgili olayların denetlenip denetlenmeyeceğini belirler. |
| Audit System Events | Success (minimum) | Bu ayar, işletim sistemi üzerinde gerçekleşen aşağıdaki olayların denetlenip denetlenmeyeceğini belirler: Sistem saati değişikliğiGüvenlik sistemini başlatma veya kapatma girişiminde bulunulmasıGenişletilebilir kimlik doğrulama bileşenlerinin yüklenmesiDenetim sistemi problemi nedeniyle denetlenen olayların kaybıKonfigüre edilebilir bir seviyeyi aşan log boyutu |
| Audit: Shut down system immediately if unable to log security audits | Disabled | Bu ayar, güvenlik olaylarının loglanmaması durumunda sistemin kapanıp kapanmayacağını belirler. Bu ayar aktif edilirse, herhangi bir nedenle bir güvenlik denetiminin loglanmaması, sistemin durmasına neden olur. |
| Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings | Enabled | Local Security Policy veya geçerli bir GPO üzerinde üst düzey kategoriler için bir değer tanımlanırsa, bu durum alt kategorilerde yapılan tanımlamaları geçersiz kılar. Bu ayar aktif edilirse, alt kategorilerde yapılan tanımlamalar geçerli olur. |
Gelişmiş güvenlik denetimi politikaları, olay loglarının gereksiz bilgilerle dolmasını engellemek için, loglanacak olayların özelleştirilebilmesine olanak verir. Bu sayede kritik olayların diğer olaylardan ayrıştırılması daha kolay hale gelir. Aşağıda gelişmiş güvenlik denetimi politikalarının sıkılaştırma ayarları yer almaktadır.
Bu ayarları Computer Configuration > Policies > Security Settings > Advanced Audit Policy Configuration > Audit Policies üzerinden yapılandırabilirsiniz.
| SYSTEM POLICY | ||
| Politika | Ayar | Açıklama |
| Audit IPsec Driver | Success and Failure | Bu ayar, IPsec sürücüsü tarafından oluşturulan aşağıdaki olayların denetlenip denetlenmeyeceğini belirler: IPsec servislerinin başlatılması ve durdurulmasıBütünlük denetiminin başarısız olması nedeniyle ağ paketlerinin düşürülmesiTekrarlama denetiminin başarısız olması nedeniyle ağ paketlerinin düşürülmesiAçık metin veriler içeren ağ paketlerinin düşürülmesiSPI (Security Parameter Index) ile alınan ağ paketleri (Bu olay, ağ kartının düzgün çalışmadığını veya sürücünün güncellenmesi gerektiğini gösterebilir.)IPsec filtrelerinin işlenememesi Varsayılan: No Auditing |
| Audit Security State Change | Success and Failure | Bu ayar, aşağıda listelenen güvenlik olaylarında gerçekleşen değişikliklerin denetlenip denetlenmeyeceğini belirler: Bilgisayarın başlatılması ve kapatılmasıSistem saatinin değişmesiLoglar dolmuş ve CrashOnAuditFail kayıt defteri girdisi yapılandırılmışsa, sistemin yeniden başlatıldıktan CrashOnAuditFail ile belirtilen noktaya döndürülmesi Varsayılan: Success |
| Audit Security System Extension | Success and Failure | Bu ayar, aşağıda listelenen sistem uzantılarının ve servislerle ilgili olayların denetlenmesine olanak tanır: Kimlik doğrulama, bildirim veya güvenlik paketi gibi bir güvenlik sistem uzantısının yüklenmesi ve LSA (Local Security Authority)’e kaydedilmesiService Control Manager’a bir servis kurulması ve kaydedilmesi Varsayılan: No Auditing |
| Audit System Integrity | Success and Failure | Bu ayar, aşağıda listelenen güvenlik altyapısının bütünlüğünü ihlal eden olayların denetlenip denetlenmeyeceğini belirler: Denetim sistemindeki bir problem nedeniyle olayların loglanamamasıBir istemcinin kimliğine bürünmek için geçersiz bir LPC portu kullanılmasıSistemin bütünlüğünü tehlikeye atan RPC çağrısının tespit edilmesiCode Integrity tarafından tanımlanamayan bir dosyanın hash değerinin algılanmasıSistem bütünlüğünü tehlikeye atan kriptografik işlemler Varsayılan: Success and Failure |
| LOGON / LOGOFF POLICY | ||
| Politika | Ayar | Açıklama |
| Audit Logoff | Success | Bu ayar, bir oturumun kapatılması sonucu oluşan olayların denetlenip denetlenmeyeceğini belirler. |
| Audit Logon | Success and Failure | Bu ayar, bir kullanıcının oturum açması sonucu oluşan olayların denetlenip denetlenmeyeceğini belirler. |
| Audit Special Logon | Success | Bu ayar, aşağıda listelenen oturum açma/kapatma işlemlerinin denetlenip denetlenmeyeceğini belirler: RDP oturumunun sonlandırılmasıRDP oturumu oluşturulmasıBir workstation’ın kilitlenmesi veya kilidin açılmasıBir ekran koruyucu çağrılmasıBir ekran koruyucunun kapatılmasıBir Kerberos isteğinin aynı bilgilerle iki kez alındığı Kerberos replay saldırısının gerçekleştirilmesiBir kullanıcının veya bir bilgisayar hesabının kablosuz ağa erişmesiBir kullanıcının veya bir bilgisayar hesabının 802.1x ağına erişmesi Varsayılan: No Auditing |
| OBJECT ACCESS POLICY | ||
| Politika | Ayar | Açıklama |
| Audit File System | Failure | Bu ayar, kullanıcıların dosya sistemi nesnelerine yönelik erişim denemelerinin denetlenip denetlenmeyeceğini belirler. Denetim yalnızca SACL (system access control lists) ile belirtilen nesneler ve istenen erişim türü (Read, Write, Modify) ve istekte bulunan hesap SACL’deki ayarlarla eşleşirse oluşturulur. |
| Audit Registry | Failure | Bu ayar, kullanıcıların kayıt defteri nesnelerine yönelik erişim denemelerinin denetlenip denetlenmeyeceğini belirler. Bu denetim yalnızca; belirtilen nesneler, istenen erişim türü (Read, Write, Modify) ve istekte bulunan hesap SACL’deki ayarlarla eşleşirse oluşturulur. |
| PRIVILEGE USE POLICY | ||
| Politika | Ayar | Açıklama |
| Audit Sensitive Privilege Use | No auditing | Bu ayar, aşağıda listelenen hassas yetkiler kullanıldığında oluşan olayların denetlenmesine olanak tanır: İşletim sisteminin bir parçası olarak hareket etmeDosyaların ve dizinlerin yedeklenmesiToken oluşturmaProcesslerin debug edilmesiDelegasyon için bilgisayar ve kullanıcı hesaplarına güvenin aktif edilmesiGüvenlik denetimleri oluşturulmasıKimlik doğrulama işleminden sonra bir istemcinin kimliğine bürünmeAygıt sürücülerinin yüklenmesi veya kaldırılmasıDenetim ve güvenlik olaylarının yönetilmesiFirmware çevre değişkenlerinin değiştirilmesiProcess seviyesinde bir token’ın değiştirilmesiDosya ve dizinlerin geri yüklenmesiDosya ve diğer nesnelerin sahibinin değiştirilmesi |
| DETAILED TRACKING POLICY | ||
| Politika | Ayar | Açıklama |
| Audit Process Creation | Success | Bu ayar, bir process oluşturulduğunda veya başlatıldığında oluşan olayların denetlenip denetlenmeyeceğini belirler. |
| POLICY CHANGE POLICY | ||
| Politika | Ayar | Açıklama |
| Audit Audit Policy Change | Success and Failure | Bu ayar, aşağıda listelenen güvenlik denetimi ayarlarında meydana gelen değişikliklerin denetlenip denetlenmeyeceğini belirler: Audit Policy nesnesinin denetim ayarlarının ve izinlerinin ayarlanmasıSistem denetim politikasında değişiklik yapılmasıGüvenlik olayı kaynaklarının kaydının silinmesiKullanıcı bazlı denetim ayarlarında yapılan değişikliklerCrashOnAuditFail değerinde değişiklik yapılmasıSpecial Groups listesinde değişiklik yapılması Varsayılan: Success |
| Audit Authentication Policy Change | Success | Bu ayar, aşağıda listelenen kimlik doğrulama politikalarında meydana gelen değişikliklerin denetlenip denetlenmeyeceğini belirler: Forest ve Domain Trusts yapısının oluşturulmasıForest ve Domain Trusts yapısının değiştirilmesiForest ve Domain Trusts yapısının kaldırılmasıKerberos politikasında değişiklik yapılmasıBir kullanıcıya veya bir gruba aşağıdaki kullanıcı haklarından herhangi birinin verilmesi:Access This Computer From the Network.Allow Logon Locally.Allow Logon Through Terminal Services.Logon as a Batch Job.Logon a Service.Namespace değerlerinin çakışması Varsayılan: Success |
| ACCOUNT MANAGEMENT POLICY | ||
| Politika | Ayar | Açıklama |
| Audit Security Group Management | Success and Failure | Bu ayar, güvenlik gruplarında yapılan değişiklikler sonucunda meydana gelen aşağıdaki olayların denetlenip denetlenmeyeceğini belirler: Güvenlik grubu oluşturma, değiştirme veya silmeBir gruba üye ekleme veya silmeGrup türünü değiştirme Varsayılan: Success |
| Audit User Account Management | Success and Failure | Bu ayar, kullanıcı hesaplarındaki değişiklikler sonucunda meydana gelen aşağıdaki olayların denetlenip denetlenmeyeceğini belirler: Bir kullanıcı hesabının; oluşturulması, değiştirilmesi, silinmesi, yeniden adlandırılması, devre dışı bırakılması, etkinleştirilmesi, kilitlenmesi veya kilidinin açılmasıBir kullanıcı hesabına parola atanması veya bir kullanıcısının parolasının değiştirilmesiBir kullanıcı hesabının SID geçmişine SID değeri eklenmesiDirectory Services Restore Mode parolasının yapılandırılmasıYönetici kullanıcıların parolalarının değiştirilmesiCredential Manager kimlik bilgilerinin yedeklenmesi veya geri yüklenmesi Varsayılan: Success |
| DS ACCESS POLICY | ||
| Politika | Ayar | Açıklama |
| Audit Directory Service Access | No Auditing | Bu ayar, Active Directory Domain Services nesnesine erişilmesi sonucunda meydana gelen olayların denetimini sağlar. Yalnızca SACL ile eşleşen AD DS nesneleri loglanır. Varsayılan: Server-> Success Client -> No Auditing |
| Audit Directory Service Changes | No Auditing | Bu ayar, Active Directory Domain Services nesnelerinde yapılan değişiklikler sonucunda meydana gelen olayların denetimini sağlar. Bu olaylar yalnızca Domain Controller sunucularında loglanır ve yalnızca SACL ile eşleşen AD DS nesneleri loglanır. Varsayılan: No Auditing |
| ACCOUNT LOGON POLICY | ||
| Politika | Ayar | Açıklama |
| Audit Credential Validation | Success and Failure | Bu ayar, kullanıcı hesabı kimlik bilgilerinde yapılan doğrulama testleri sırasında meydana gelen olayların denetlenmesine olanak verir. Bu olaylar yalnızca kimlik bilgileri üzerinde yetkili olan cihazda gerçekleşir. Domain hesapları için Domain Controller ve yerel hesaplar için yerel bilgisayar yetkilidir. Varsayılan: Server-> Success Client -> No Auditing |
Olay Logları (EVENT LOG)
Group Policy ile olay loglarının boyutu ve logların saklanma ayarları yapılandırılabilir. Ayrıca bu ayarlar bir GPO aracılığıyla tüm hedef sistemlere dağıtılabilir. Aşağıda olay logları için sıkılaştırma ayarları yer almaktadır.
Bu ayarları Computer Configuration > Policies > Security Settings > Event Log üzerinden yapılandırabilirsiniz.
| Politika | Ayar | Açıklama |
| Maximum Application Log Size | 32768 KB veya daha fazla | Bu ayar, uygulama loglarının boyutunun maksimum boyutunu belirler. Bu değer 64KB’ın katları olmalıdır. Eğer bu özelliğe sahip bir değer belirlenmezse, girilen değer 64KB’ın katı olan bir değere yuvarlanır. |
| Retain application log | Disabled | Bu ayar, eğer uygulama logları için saklama yöntemi “By Days” olarak belirlenmişse, tutulacak logların gün sayısını belirler. |
| Maximum Security Log Size (KB) | 81920 KB veya daha fazla | Bu ayar, güvenlik loglarının boyutunun maksimum boyutunu belirler. Bu değer 64KB’ın katları olmalıdır. Eğer bu özelliğe sahip bir değer belirlenmezse, girilen değer 64KB’ın katı olan bir değere yuvarlanır. |
| Retain security log | Disabled | Bu ayar, eğer güvenlik logları için saklama yöntemi “By Days” olarak belirlenmişse, tutulacak logların gün sayısını belirler. |
| Maximum System Log Size (KB) | 32768 KB veya daha fazla | Bu ayar, sistem loglarının boyutunun maksimum boyutunu belirler. Bu değer 64KB’ın katları olmalıdır. Eğer bu özelliğe sahip bir değer belirlenmezse, girilen değer 64KB’ın katı olan bir değere yuvarlanır. |
| Retain system log | Disabled | Bu ayar, eğer sistem logları için saklama yöntemi “By Days” olarak belirlenmişse, tutulacak logların gün sayısını belirler. |
Windows Firewall
Tüm Windows işletim sistemi sürümleri zararlı işlemlere karşı temel koruma sağlamak amacıyla, varsayılan olarak yerel bir güvenlik duvarı içerir. Windows Firewall ile belirlenen kriterlere göre sisteme gelen ve sistemden giden trafik kontrol edilebilir. Group Policy ile Windows Firewall kuralları Active Directory Domain ortamında merkezi bir noktadan yapılandırılarak diğer sistemlere dağıtılabilir. Ayrıca bu kurallar stand-alone bir sunucu için de yapılandırılabilir.
Aşağıda Windows Firewall için sıkılaştırma ayarları yer almaktadır. Bu ayarları Computer Configuration > Administrative Templates > Network > Network Connections > Windows Firewall üzerinden yapılandırabilirsiniz.
| Politika | Ayar | Açıklama |
| Windows Firewall: Allow ICMP exceptions (Domain) | Disabled | Bazı yardımcı programlar, bir sistemin durumunu belirlemek için ICMP paketleri gönderebilirler. Bu özelliğin devre dışı bırakılması durumunda, diğer cihazlar tarafından gönderilen PING istekleri güvenlik duvarı tarafından engellenir. Ancak 445/TCP numaralı porta erişim izni verilirse, bu ayar devre dışı bırakılsa bile sistem ICMP paketlerine cevap verir. |
| Windows Firewall: Allow ICMP exceptions (Standard) | Disabled | Bazı yardımcı programlar, bir sistemin durumunu belirlemek için ICMP paketleri gönderebilirler. Bu özelliğin devre dışı bırakılması durumunda, diğer cihazlar tarafından gönderilen PING isterkleri güvenlik duvarı tarafından engellenir. Ancak 445/TCP numaralı porta erişim izni verilirse, bu ayar devre dışı bırakılsa bile sistem ICMP paketlerine cevap verir. |
| Windows Firewall: Apply local connection security rules (Domain) | No | Bu ayar, yerel yöneticilerin bağlantı güvenliği kuralları oluşturmalarına izin verilip verilmediğini kontrol eder. Bu ayar Group Policy tarafından yapılandırılan bağlantı güvenliği kurallarıyla birlikte uygulanır. |
| Windows Firewall: Apply local connection security rules (Private) | No | Bu ayar, yerel yöneticilerin bağlantı güvenliği kuralları oluşturmalarına izin verilip verilmediğini kontrol eder. Bu ayar Group Policy tarafından yapılandırılan bağlantı güvenliği kurallarıyla birlikte uygulanır. |
| Windows Firewall: Apply local connection security rules (Public) | No | Bu ayar, yerel yöneticilerin bağlantı güvenliği kuralları oluşturmalarına izin verilip verilmediğini kontrol eder. Bu ayar Group Policy tarafından yapılandırılan bağlantı güvenliği kurallarıyla birlikte uygulanır. |
| Windows Firewall: Apply local firewall rules (Domain) | Not Configured | Bu ayar, yerel yöneticilerin firewall kuralları oluşturmalarına izin verilip verilmediğini kontrol eder. Bu ayar Group Policy tarafından yapılandırılan firewall kurallarıyla birlikte uygulanır. |
| Windows Firewall: Apply local firewall rules (Private) | Not Configured | Bu ayar, yerel yöneticilerin firewall kuralları oluşturmalarına izin verilip verilmediğini kontrol eder. Bu ayar Group Policy tarafından yapılandırılan firewall kurallarıyla birlikte uygulanır |
| Windows Firewall: Apply local firewall rules (Public) | No | Bu ayar, yerel yöneticilerin firewall kuralları oluşturmalarına izin verilip verilmediğini kontrol eder. Bu ayar Group Policy tarafından yapılandırılan firewall kurallarıyla birlikte uygulanır |
| Windows Firewall: Display a notification (Domain) | Yes | Bu ayar, Windows Firewall bir programı exception listesine eklediğinde, Windows Firewall’un kullanıcılara bildirim göstermesine olanak verir. |
| Windows Firewall: Display a notification (Private) | Yes | Bu ayar, Windows Firewall bir programı exception listesine eklediğinde, Windows Firewall’un kullanıcılara bildirim göstermesine olanak verir. |
| Windows Firewall: Display a notification (Public) | No | Bu ayar, Windows Firewall bir programı exception listesine eklediğinde, Windows Firewall’un kullanıcılara bildirim göstermesine olanak verir. |
| Windows Firewall: Firewall state (Domain) | On | Bu ayar, Domain ortamına bağlı cihazların erişimi için firewall durumunu belirler. |
| Windows Firewall: Firewall state (Private) | On | Bu ayar, private ağda bulunan cihazların erişimi için firewall durumunu belirler. |
| Windows Firewall: Firewall state (Public) | On | Bu ayar, public ağ üzerinden gelen erişim istekleri için firewall durumunu belirler. |
| Windows Firewall: Inbound connections (Domain) | Block | Bu ayar, Domain ortamına bağlı cihazlardan gelen bağlantı isteklerine karşı güvenlik duvarının tepkisini belirler. |
| Windows Firewall: Inbound connections (Private) | Block | Bu ayar, private ağda bulunan cihazlardan gelen bağlantı isteklerine karşı güvenlik duvarının tepkisini belirler. |
| Windows Firewall: Inbound connections (Public) | Block | Bu ayar, public ağ üzerinden gelen bağlantı isteklerine karşı güvenlik duvarının tepkisini belirler. |
| Windows Firewall: Prohibit notifications (Domain) | Disabled | Bu ayar, Windows Firewall bir programı exception listesine eklediğinde, Windows Firewall’un kullanıcılara bildirim göstermesini engeller. |
| Windows Firewall: Prohibit notifications (Standard) | Disabled | Bu ayar, Windows Firewall bir programı exception listesine eklediğinde, Windows Firewall’un kullanıcılara bildirim göstermesini engeller. |
| Windows Firewall: Protect all network connections (Domain) | Enabled | Bu ayar, Windows Firewall’u etkinleştirir. |
| Windows Firewall: Protect all network connections (Standard) | Enabled | Bu ayar, Windows Firewall’u etkinleştirir. |
Windows Update
Windows Update, tüm Windows sistemlerin güncellenmesini sağlamak için Microsoft’un sunduğu bir özelliktir. Bu güncellemeler; özellik geliştirmelerini, sürücü güncellemelerini, servis paketlerini, güvenlik güncellemelerini, kritik güncellemeleri ve diğer güncellemeleri içerebilir. Group Policy ile Windows Update ayarlarında değişiklik yapılabilir. Aşağıda Windows Update için sıkılaştırma ayarları yer almaktadır.
Bu ayarları Computer Configuration > Administrative Templates > Windows Components > Windows Update üzerinden yapılandırabilirsiniz.
| Politika | Ayar | Açıklama |
| Configure Automatic Updates | Enabled: 3 – Auto download and notify for install | Bu ayar, bilgisayarların Windows Update veya WSUS’tan güvenlik güncellemeleri alıp almayacağını belirler. Bu ayar aktif edilirse, işletim sistemi ağ bağlantısı üzerinden yeni güncellemeleri algılar ve ardından Windows Update veya intranet ağında bulunan bir siteden güncelleştirmeleri alır. Bu ayar etkinleştirilirse, servisin nasıl çalışacağının belirlenmesi için “Configure Automatic Updates Properties” kutusunda yer alan 3 seçenekten biri seçilir: Güncellemeleri indirmeden önce haber verin ve yüklemeden önce tekrar bilgilendirin. Güncellemeleri otomatik olarak indirin ve kurulmaya hazır olduklarında haber verin. Güncellemeleri otomatik olarak indirin ve aşağıda belirtilen programa göre yükleyin. |
| Do not display ‘Install Updates and Shut Down’ option in Shut Down Windows dialog box | Disabled | Bu ayar “Shut Down Windows” iletişim kutusunda ‘Install Updates and Shut Down’ seçeneğinin görüntülenip görüntülenmeyeceğinin belirlenmesini sağlar. |
| Reschedule Automatic Updates scheduled installations | Enabled | Bu ayar, önceden planlanan Automatic Update güncellemelerinin, sistem başlatıldıktan sonra devam edeceği süreyi belirler. Bu ayar aktif edilirse, önceden planlanan bir güncelleme işlemi, bilgisayar yeniden başlatıldıktan birkaç dakika sonra başlar. |
Kullanıcı Hakları (USER RIGHTS ASSIGNMENT)
Kullanıcı hakları, bir kullanıcının sistem üzerinde sahip olacağı yetkileri belirler. Bu haklar kullanıcıların bir sistem üzerinde veya Active Directory Domain ortamında gerçekleştirebileceği davranışları yönetir. Windows sistemlerde her grubun varsayılan hakları ve izinleri vardır. Bir kullanıcı bir grubun üyesi olduğunda, kullanıcıya o grubun hakları ve izinleri atanır. Group Policy ile kullanıcı haklarının yönetimi sağlanabilir. Aşağıda kullanıcı hakları için sıkılaştırma ayarları yer almaktadır.
Bu ayarları Computer Configuration > Policies > Security Settings > Local Policies > User Rights Assignment üzerinden yapılandırabilirsiniz.
| Politika | Ayar | Açıklama |
| Access this computer from the network (SeTrustedCredManAccessPrivilege) | Server: Administrators, Authenticated Users Domain Controller: Administrators, Authenticated Users, ENTERPRISE DOMAIN CONTROLLERS | Bu ayar, hangi kullanıcıların veya hangi gruplarda bulunan kullanıcıların ağ üzerinden sisteme bağlanıp bağlanamayacağını belirler. Bu ayar, RDP servisini etkilemez. |
| Act as part of the operating system (SeTcbPrivilege) | No one | Bu ayarın aktif edilmesi durumunda, processler herhangi bir kullanıcının kimliğine bürünebilir ve o kullanıcının yetkilerini kullanarak makine üzerinde herhangi bir kaynağa erişim sağlayabilir. |
| Adjust memory quotas for a process (SeIncreaseQuotaPrivilege) | Enterprise Member Server/Enterprise Domain Controller: Not Defined | Bu ayar, bir process tarafından tüketilebilecek olan maksimum bellek boyutunu, kimin değiştirebileceğini belirler. Varsayılan: Administrators Local Service Network Service |
| Back up files and directories (SeBackupPrivilege) | Enterprise Member Server/Enterprise Domain Controller: Not Defined | Bu ayar, sistemin yedeklenmesi için hangi kullanıcıların bütün dosya, dizin, kayıt defteri ayarları ve diğer nesnelere erişim sağlayabileceğini belirtir. Varsayılan: Server-> Administrators, Backup Operators Domain Controller-> Administrators, Backup Operators, Server Operators |
| Bypass traverse checking (SeChangeNotifyPrivilege) | Enterprise Member Server: Administrators, Authenticated Users, Backup Operators, Local Service, Network Service Enterprise Domain Controller: Not Defined | Bu ayar, bir kullanıcının erişim yetkisi olmasa dahi dizinler arasında gezinebilmesini sağlar. Bu yetkiye sahip bir kullanıcı sadece dizinleri gezebilir, ancak yetkisi olmadığı bir dizinin içeriğini listeleyemez. Varsayılan: Server-> Administrators Backup Operators Users Everyone Local Service Network Service Domain Controller-> Administrators Authenticated Users Everyone Local Service |
| Change the system time (SeSystemtimePrivilege) | LOCAL SERVICE, Administrators | Bu ayar, hangi kullanıcıların ve hangi grupların sistem saatini değiştirebileceğini belirler. Bu yetkiye sahip kullanıcılar, logların görünümünü etkileyebilir. Sistem saati değiştirilirse, loglar olayların meydana geldiği gerçek zamanı değil, yeni zamanı yansıtır. Varsayılan: Server-> Administrators Local Service Domain Controller-> Administrators Server Operators Local Service |
| Create a pagefile (SeCreatePagefilePrivilege) | Enterprise Domain Controller: Not Defined | Windows, sabit sürücünün bir bölümünü, pagefile (sayfa dosyası) olarak bilinen sanal bellek olarak veya pagefile.sys olarak atar. Bu ayar, hangi kullanıcıların bir sayfa dosyası oluşturabileceğini veya değiştirebileceğini belirler. Varsayılan: Administrators |
| Create a token object (SeCreateTokenPrivilege) | No One | Bu ayar, bir process’in hassas verilere erişim sağlayabilmesi için yüksek yetkilere erişebileceği bir access token oluşturmasına izin verir. Bu yetki, gerekli olmadığı sürece SYSTEM hesabı dışında hiçbir kullanıcı hesabına atanmamalıdır. Bu yetkinin bir kullanıcı hesabına atanması güvenlik riski oluşturabilir. Varsayılan: None |
| Create global objects (SeCreateGlobalPrivilege) | Enterprise Member Server/ Enterprise Domain Controller: Not Defined | Bu ayar, kullanıcıların tüm kullanıcı oturumlarında kullanılabilen genel nesneler oluşturup oluşturamayacağını belirler. Bir kullanıcı bu yetkiye sahip değilse, yalnızca kendi oturumuna özgü nesnelere oluşturabilir. Ancak bu yetkinin bir kullanıcıya atanması durumunda, kullanıcı tüm oturumlara müdahele edebilir ve bu durum güvenlik riski oluşturabilir. Varsayılan: Administrators Local Service Network Service Service |
| Create permanent shared objects (SeCreatePermanentPrivilege) | No One | Bu ayar, processlerin nesne yöneticisini kullanarak bir dizin nesnesi oluşturmak için hangi hesapları kullanılabileceğini belirler. Varsayılan: None |
| Debug programs (SeDebugPrivilege) | Enterprise Member Server/ Enterprise Domain Controller: Administrators | Bu ayar, kullanıcılara tüm processler için debug yetkisi verir. Bu yetkiye sahip olan bir kullanıcı yüksek yetkilere sahip kullanıcı processlerine erişim sağlayarak, sistem üzerindeki hassas ve kritik verilere erişim sağlayabilir. Varsayılan: Administrators |
| Deny access to this computer from the network (SeDenyNetworkLogonRight) | Guests | Bu ayar, kullanıcıların sisteme ağ üzerinden erişimlerini engeller. Varsayılan: Guest |
| Enable computer and user accounts to be trusted for delegation (SeEnableDelegationPrivilege) | No One | Bu ayar, kullanıcıların Active Directory ortamında “Trusted for Delegation” özelliğini değiştirebilmelerine olanak verir. Bu yetkiyi kötüye kullanan kullanıcılar, diğer kullanıcıların kimliğine bürünerek yetkisiz işlemler gerçekleştirebilirler. Varsayılan: Domain Controller-> Administrators |
| Force shutdown from a remote system (SeRemoteShutdownPrivilege) | Enterprise Member Server/ Enterprise Domain Controller: Not Defined | Bu ayar, kullanıcıların sistemi ağ üzerinde uzak bir noktadan kapatabilmelerine olanak verir. Bu yetkiyi kötüye kullanan kullanıcılar, sistem üzerinde DoS etkisi oluşturabilirler. Varsayılan: Server-> Administrators Domain Controller-> Administrators Server Operators |
| Impersonate a client after authentication (SeImpersonatePrivilege) | Administrators, SERVICE, Local Service, Network Service | Bu ayar, çalışan programların belirtilen kullanıcıların kimliğine bürünerek o kullanıcıların adına hareket etmesine izin verir. Varsayılan: Administrators Local Service Network Service Service |
| Increase scheduling priority (SeIncreaseBasePriorityPrivilege) | Enterprise Member Server/ Enterprise Domain Controller: Not Defined | Bu ayar, bir process’e atanan önceliği artırmak için, başka bir process üzerinde “Write” yetkisi olan bir process’i hangi kullanıcıların kullanabileceğini belirler. Varsayılan: Administrators |
| Load and unload device drivers (SeLoadDriverPrivilege) | Administrators | Bu ayar, hangi kullanıcıların aygıt sürücülerini çekirdek modunda yükleyip kaldırabileceğini belirler. Bu yetkinin düşük yetkili bir kullanıcı hesabına atanması güvenlik riski oluşturabilir. Varsayılan: Server-> Administrators Domain Controller-> Administrators Print Operators |
| Lock pages in memory (SeLockMemoryPrivilege) | Enterprise Member Server/ Enterprise Domain Controller: Not Defined | Bu ayar, verileri fiziksel bellekte tutmak için hangi hesapların bir process’i kullanabileceğini belirler ve bu da sistemin verileri diskteki sanal belleğe sayfalandırmasını engeller. Bu ayrıcalığın kullanılması, mevcut RAM miktarını azaltarak sistem performansını önemli ölçüde etkileyebilir. Varsayılan: None |
| Manage auditing and security log SeSecurityPrivilege () | Enterprise Member Server/ Enterprise Domain Controller: Not Defined | Bu ayar, hangi kullanıcıların dosya ve dizinler için denetim seçeneklerini değiştirebileceğini ve güvenlik loglarını temizleyebileceğini belirler. Varsayılan: Administrators |
| Modify firmware environment values (SeSystemEnvironmentPrivilege) | Enterprise Member Server/ Enterprise Domain Controller: Not Defined | Bu ayar, kullanıcıların donanım konfigürasyonlarını etkileyen çevre değişkenlerini yapılandırmasına olanak tanır. Bu değerlerin değiştirilmesi donanım arızasına neden olabilir. Varsayılan: Administrators |
| Perform volume maintenance tasks (SeManageVolumePrivilege) | Enterprise Member Server/ Enterprise Domain Controller: Not Defined. | Bu ayar, kullanıcıların sistem birimleri ve disk konfigürasyonlarını yönetmelerine izin verir. Bu yetkinin kötüye kullanılması durumunda, kullanıcılar bir sistem birimini silebilir ve veri kaybına neden olabilir. Varsayılan: Administrators |
| Profile single process (SeProfileSingleProcessPrivilege) | Administrators | Bu ayar, hangi kullanıcıların sistem process’i olmayan processlerin performasını izlemek için, performans izleme araçlarını kullanabileceğini belirler. Varsayılan: Administrators Power users |
| Profile system performance (SeSystemProfilePrivilege) | Administrators | Bu ayar, hangi kullanıcıların sistem processlerinin performasını izlemek için, performans izleme araçlarını kullanabileceğini belirler. Varsayılan: Administrators |
| Remove computer from docking station (SeUndockPrivilege) | Administrators | Bu ayar, bir kullanıcının taşınabilir bir bilgisayarı ayırabilmesi için Start menüsünde “Eject PC” seçeneğini tıklayabilmesine olanak verir. Varsayılan: Administrators Power Users Users |
| Replace a process level token (SeAssignPrimaryTokenPrivilege) | LOCAL SERVICE, NETWORK SERVICE | Bu ayar, bir servisin veya bir process’in başka bir process veya servisi farklı bir access token ile başlatabilmesi için, kullanıcıların CreateProcessAsUser() API’sini çağırabilmelerine olanak verir. Varsayılan: LOCAL SERVICE NETWORK SERVICE |
| Shut down the system (SeShutdownPrivilege) | Administrators | Bu ayar, hangi kullanıcıların sistemi kapatabileceğini belirler. Varsayılan: Workstation-> Administrators, Backup Operators, Users Server-> Administrators, Backup Operators Domain Controller-> Administrators, Backup Operators, Server Operators, Print Operators |
| Add workstations to domain (SeMachineAccountPrivilege) | Administrators | Bu ayar, hangi kullanıcıların Active Directory Domain ortamına cihaz ekleyebileceğini belirler. Bu ayar yalnızca Domain Controller sunucular için geçerlidir. Varsayılan olarak bu yetkiye, kimliği doğrulanmış herhangi bir kullanıcı sahiptir ve bu kullanıcılar Domain ortamına en fazla 10 cihaz ekleyebilirler. |
| Allow log on locally (SeInteractiveLogonRight) | Administrators | Bu ayar, hangi kullanıcıların sunucu üzerinde oturum açabileceğini belirler. Varsayılan: Workstation-> Administrators, Backup Operators, Power Users, Users, and Guest Server-> Administrators, Backup Operators, Power Users, Users, and Guest Domain Controller-> Account Operators, Administrators, Backup Operators, and Print Operators |
| Change the time zone (SeTimeZonePrivilege) | LOCAL SERVICE, Administrators | Bu ayar, hangi kullanıcıların saat dilimini değiştirebileceğini belirler. Varsayılan: Administrators Users |
| Create symbolic links (SeCreateSymbolicLinkPrivilege) | Enterprise Member Server/ Enterprise Domain Controller: Not Defined | Bu ayar, hangi kullanıcıların sembolik bağlantılar oluşturabileceğini belirler. Varsayılan: Administrator |
| Deny log on locally (SeDenyInteractiveLogonRight) | Guests | Bu ayar, hangi kullanıcıların sistem üzerinde oturum açmalarına izin verilmeyeceğini belirler. Varsayılan: None |
| Deny log on through Remote Desktop Services (SeDenyRemoteInteractiveLogonRight) | Guests | Bu ayar, hangi kullanıcıların sistem üzerinde RDP oturumu açmalarına izin verilmeyeceğini belirler. Varsayılan: None |
| Generate security audits (SeAuditPrivilege) | Enterprise Domain Controller: Not Defined. | Bu ayar, hangi kullanıcıların veya processlerin güvenlik loglarında denetim kayıtları oluşturabileceğini belirler. |
| Increase a process working set (SeIncreaseWorkingSetPrivilege) | Enterprise Member Server/ Enterprise Domain Controller: Not Defined | Bu ayar, hangi kullanıcıların bir process için RAM miktarını artırıp azaltabileceğini belirler. Varsayılan: Users |
| Log on as a batch job (SeBatchLogonRight) | Enterprise Domain Controller: No one Enterprise Member Server: Not Defined | Bu ayar, kullanıcıların “Task Scheduler” servisini kullanarak oturum açmalarına izin verir. Task Scheduler genellikle yönetimsel amaçlarla kullanıldığından dolayı, kurumsal ortamlarda gerekli olabilir. Ancak sistem kaynaklarının kötüye kullanımını önlemek veya saldırganların bir bilgisayara kullanıcı düzeyinde erişim sağladıktan sonra zararlı kod çalıştırmalarını engellemek için bu ayar yüksek güvenlikli ortamlarda kısıtlanmalıdır. Varsayılan: Administrators Backup Operators |
| Restore files and directories (SeRestorePrivilege) | Enterprise Member Server/ Enterprise Domain Controller: Administrators, Backup Operators. | Bu ayar, yedeklenen dosyaların geri yüklenmesi sırasında hangi kullanıcıların dosya, dizin, kayıt defteri ve diğer nesneler üzerinde erişim kısıtlamalarını atlatabileceğini belirler. Varsayılan: Workstation-> Administrators, Backup Operators Server-> Administrators, Backup Operators Domain Controller-> Administrators, Backup Operators, Server Operators |
| Take ownership of files or other objects (SeTakeOwnershipPrivilege) | Administrators | Bu ayar, kullanıcıların; dosya, dizin, kayıt defteri anahtarları, processler veya threadlerin kullanıcısını değiştirebilmelerine olanak verir. Varsayılan: Workstation-> Administrators, Backup Operators Server-> Administrators, Backup Operators Domain Controller-> Administrators, Backup Operators, Server Operators |
| Access credential Manager as a trusted caller (SeTrustedCredManAccessPrivilege) | No One | Bu ayar, yedekleme ve geri yükleme işlemi sırasında Credential Manager tarafından kullanılır. Bu yetki Winlogon’a atandığından dolayı, hiçbir hesap bu kullanıcı hakkına sahip olmamalıdır. Bu yetki diğer varlıklara atanırsa, kullanıcıların kimlik bilgileri tehlikeye girebilir. |
| Synchronize directory service data (SeSyncAgentPrivilege) | No One | Bu ayar, hangi kullanıcıların Active Directory senkronizasyonu yetkisine sahip olduğunu belirler. |
Güvenlik Seçenekleri (SECURITY OPTIONS)
Güvenlik seçenekleri, bir sistemin sergileyeceği davranışların belirlenmesi için güvenlik politikalarının konfigüre edilmesini sağlar.
Bu ayarları Computer Configuration > Policies > Security Settings > Local Policies > Security Options üzerinden yapılandırabilirsiniz.
| Politika | Ayar | Açıklama |
| Network security: Minimum session security for NTLM SSP based (including secure RPC) servers | Require NTLMv2 session security Require 128-bit encryption. | Bu ayar, NTLM SSP kullanan uygulamalar için hangi davranışlara izin verileceğini belirler. |
| Network access: Remotely accessible registry paths and sub-paths | Domain Controller: Not Defined | Bu ayar, bir uygulamanın veya process’in erişim izinlerini belirlemek için WinReg anahtarına başvurduğunda, hangi kayıt defteri anahtarlarına erişebileceğini belirler. |
| Accounts: Rename administrator account | Administrator hesabının yeni adı “admin” metnini içermeyen bir değer almalıdır. | Bu ayar, yerel Administrator hesabının kullanıcı adını değiştirmek amacıyla kullanılır. |
| Accounts: Rename guest account | Guest hesabının yeni adı “guest” metnini içermeyen bir değer almalıdır. | Bu ayar, Guest hesabının kullanıcı adını değiştirmek amacıyla kullanılır. |
| Accounts: Guest account status | Disabled | Bu ayar, Guest hesabını aktif etmek veya devre dışı bırakmak için kullanılır. |
| Network access: Allow anonymous SID/Name translation | Disabled | Bu ayar, anonim bir kullanıcının başka bir kullanıcı için SID özelliklerini talep etme yetkisini aktif eder veya devre dışı bırakır. |
| Accounts: Limit local account use of blank passwords to console logon only | Enabled | Bu ayar, parolası olmayan yerel hesaplarla, fiziksel bilgisayar dışında uzak bir noktadan oturum açılıp açılamayacağını belirler. |
| Devices: Allowed to format and eject removable media | Administrators | Bu ayar, hangi kullanıcıların format atabileceğini ve çıkarılabilir aygıtları çıkarabileceğini belirler. |
| Devices: Prevent users from installing printer drivers | Enabled | Bu ayar, kullanıcıların yazıcı yükleme yetkilerini devre dışı bırakır. |
| Devices: Restrict CD-ROM access to locally logged-on user only | Enterprise Member Server/ Enterprise Domain Controller: Not Defined | Bu ayar, bir CD-ROM’un aynı anda hem yerel hem de uzak kullanıcılar tarafından erişilebilir olup olmadığını belirler. |
| Devices: Restrict floppy access to locally logged-on user only | Enterprise Member Server/ Enterprise Domain Controller: Not Defined | Bu ayar, bir floppy diskin aynı anda hem yerel hem de uzak kullanıcılar tarafından erişilebilir olup olmadığını belirler. |
| Domain member: Digitally encrypt or sign secure channel data (always) | Enabled | Bu ayar, bir Domain üyesi tarafından başlatılan tüm güvenli kanal trafiğinin imzalanması veya şifrelenmesi gerekip gerekmediğini belirler. |
| Domain member: Digitally encrypt secure channel data (when possible) | Enabled | Bu ayar, bir Domain üyesi tarafından başlatılan tüm güvenli kanal trafiğinin şifrelenmesi gerekip gerekmediğini belirler. |
| Domain member: Digitally sign secure channel data (when possible) | Enabled | Bu ayar, bir Domain üyesi tarafından başlatılan tüm güvenli kanal trafiğinin imzalanması gerekip gerekmediğini belirler. |
| Domain member: Disable machine account password changes | Disabled | Bu ayar, bir Domain kullanıcısının parolasının düzenli aralıklarla değiştirilip değiştirilmeyeceğini belirler. Bu ayar devre dışı bırakılırsa, kullanıcılar parolalarını “Domain member: Maximum machine account password age” seçeneği ile belirtilen süre aralığında değiştirmek zorundadırlar. |
| Domain member: Maximum machine account password age | 30 gün | Bu ayar, bir Domain kullanıcısına atanan parolanın maksimum süresini belirler. |
| Domain member: Require strong (Windows 2000 or later) session key | Enabled | Bu ayarın aktif edilmesi durumunda, Domain ortamında bulunan Windows Server 2000 veya üzeri işletim sistemi sürümüne sahip sunucular, güvenli bir kanal üzerinden şifreli veri iletişimi gerçekleştirebilirler. Domain Controller sunucularının Windows Server 2000 tabanlı olmaması durumunda bu ayar devre dışı bırakılmalıdır. |
| Domain controller: Allow server operators to schedule tasks | Enterprise Domain Controller: Disabled Enterprise Member Server: Not Defined | Bu ayar, Server Operators grubunda yer alan üyelerin AT zamanlama özelliği aracılığıyla işleri göndermesine izin verilip verilmediğini belirler. Varsayılan: Disabled |
| Domain controller: LDAP server signing requirements | Enterprise Member Server/Enterprise Domain Controller: Not Defined | Bu ayar, LDAP sunucusu ile LDAP istemcileri arasında, verilerin imzalanıp imzalanmaması gerektiği konusunda anlaşma yapmalarına izin verir. Varsayılan: None |
| Domain controller: Refuse machine account password changes | Enterprise Domain Controller: Disabled Enterprise Member: Not Defined | Bu ayar, Domain ortamına bağlı bilgisayarlar üzerinden gelen parola değişikliği isteklerinin Domain Controller tarafından reddedilip reddedilmeyeceğini belirler. |
| Interactive logon: Do not display last user name | Enabled | Bu ayar, istemci bilgisayarlarda oturum açan kullanıcıların hesap adlarının Windows oturum açma ekranında görüntülenip görüntülenmeyeceğini belirler. Yabancı kişilerin kurumsal ortamdaki bilgisayarlarda hesap adlarını görmelerini önlemek için bu ayar aktif edilmelidir. |
| Interactive logon: Do not require CTRL+ALT+DEL | Disabled | Bu ayar, kullanıcıların oturum açmadan önce CTRL + ALT + DEL tuşlarına basması gerekip gerekmediğini belirler. Bu ayar devre dışı bırakılırsa, kullanıcıların oturum açmadan önce CTRL + ALT + DEL tuşlarına basmaları gerekir. |
| Interactive logon: Number of previous logons to cache (in case domain controller is not available) | 1 kez | Bu ayar, bir kullanıcının önbellekte saklanan hesap bilgilerini kullanarak Domain ortamında kaç kez oturup açabileceğini belirler. Varsayılan: Windows Server 2008-> 25 Diğer versiyonlar-> 10 |
| Interactive logon: Prompt user to change password before expiration | 14 gün | Bu ayar, kullanıcıların parola süreleri dolmadan kaç gün önce uyarılmaya başlanacağını belirler. Varsayılan: 5 gün |
| Interactive logon: Require Domain Controller authentication to unlock workstation | Enabled | Kilitli bir sistemin kilidinin açılması için oturum açılması gerekir. Bu ayar, bir sistemin kilidinin kaldırılması için Domain authentication gerekip gerekmediğini belirler. Varsayılan: Disabled |
| Interactive logon: Smart card removal behavior | Lock Workstation | Bu ayar, oturum açmış bir kullanıcıya ait smart kartın çıkarılması durumunda sistemin davranışını belirler. Seçenekler: No Action Lock Workstation Force Logoff Disconnect if a Remote Desktop Services session Varsayılan: No Action |
| Interactive logon: Require smart card | Enterprise Member Server/Enterprise Domain Controller: Not Defined | Bu ayar, kullanıcıların oturum açması için smart kart gerekip gerekmediğini belirler. Varsayılan: Disabled |
| Microsoft network client: Digitally sign communications (always) | Enabled | SMB protokolü; dosya ve yazıcı paylaşımı, uzaktan Windows yönetimi gibi birçok ağ işlemi için temel oluşturur. SMB paketlerini değiştiren MITM saldırılarını önlemek için SMB protokolü, SMB paketlerinin dijital olarak imzalanmasını destekler. Yüksek güvenlikli ağlarda dijital imzaların uygulanması, “session hijacking” saldırılarını önlemeye yardımcı olur. Bu ayar, paketlerin SMB istemci bileşeni tarafından imzalanıp imzalanmaması gerektiğini belirler. Bu ayarın aktif edilmesi durumunda istemci, sunucu SMB paketlerini imzalamayı kabul etmediği sürece iletişim kurmayı reddeder. Varsayılan: Disabled |
| Microsoft network client: Digitally sign communications (if server agrees) | Enabled | Bu ayar, paketlerin SMB istemci bileşeni tarafından imzalanıp imzalanmaması konusunda anlaşma yapılıp yapılmayacağını belirler. Bu ayarın aktif edilmesi durumunda, sunucu SMB paketlerinin imzalandığı bir iletişimi kabul ediyorsa, istemci paketleri imzalamayı kabul eder. Varsayılan: Enabled |
| Microsoft network client: Send unencrypted password to third-party SMB servers | Disabled | Bu ayar, kimlik doğrulama sırasında parola şifrelemeyi desteklemeyen 3rd party SMB sunucularına açık metin parolalar gönderilip gönderilmeyeceğini belirler. Parolaların açık metin olarak aktarılmaması için bu ayar devre dışı bırakılmalıdır. Varsayılan: Disabled |
| Microsoft network server: Amount of idle time required before suspending session | 15 dakika | Bu ayar, bir SMB oturumunun askıya alınması için hiçbir işlemin yapılmadan ne kadar süre geçmesi gerektiğini belirler. Varsayılan: 15 dakika |
| Microsoft network server: Digitally sign communications (always) | Enabled | Bu ayar, sunucu taraflı SMB servisinin SMB paketlerini imzalaması gerekip gerekmediğini belirler. Varsayılan: Server-> Disabled Domain Controller->Enabled |
| Microsoft network server: Digitally sign communications (if client agrees) | Enabled | Bu ayar, paketlerin SMB sunucu bileşeni tarafından imzalanıp imzalanmaması konusunda anlaşma yapılıp yapılmayacağını belirler. Bu ayarın aktif edilmesi durumunda, istemci SMB paketlerinin imzalandığı bir iletişimi kabul ediyorsa, sunucu paketleri imzalamayı kabul eder. |
| Microsoft network server: Disconnect clients when logon hours expire | Disabled | Bu ayar, geçerli oturum saatlari dışında sisteme bağlanan kullanıcıların bağlantılarının kesilip kesilmeyeceğini belirler. Bu ayarın devre dışı bırakılması durumunda, açılan bir SMB oturum süresi geçtikten sonra bile devam eder. Varsayılan: Windows XP-> Disabled Windows Vista ve üzeri->Enabled |
| Network access: Do not allow anonymous enumeration of SAM accounts | Enabled | Bu ayar, SAM veritabanında kayıtlı olan kullanıcıların anonim kullanıcılar tarafından listelenip listelenemeyeceğini belirler. Varsayılan: Enabled |
| Network access: Do not allow anonymous enumeration of SAM accounts and shares | Enabled | Bu ayar, SAM veritabanında kayıtlı olan kullanıcıların ve paylaşımların, anonim kullanıcılar tarafından listelenip listelenemeyeceğini belirler. Varsayılan: Enabled |
| Network access: Do not allow storage of credentials or .NET Passports for network authentication | Enterprise Member Server/Enterprise Domain Controller: Not Defined | Bu ayar, Stored User Names and Passwords özelliğinin bir Domain authentication işleminin ardından kimlik bilgilerini saklayıp saklamayacağını belirler. Varsayılan: Disabled |
| Network access: Let Everyone permissions apply to anonymous users | Disabled | Bu ayar, bir sisteme erişen anonim kullanıcılara hangi ek izinlerin atanacağını belirler. Bu ayarın aktif edilmesi durumunda, anonim kullanıcılar Domain hesaplarının bilgilerini listeleyebilirler. Varsayılan: Disabled |
| Network access: Named Pipes that can be accessed anonymously | Enterprise Member Server/Enterprise Domain Controller: Not Defined | Bu ayar, hangi iletişim kanallarının anonim erişime izin veren özelliklere sahip olacağının belirlenmesini sağlar. Varsayılan: None |
| Network access: Remotely accessible registry paths | Enterprise Member Server/Enterprise Domain Controller: Not Defined | Bu ayar, bir uygulama veya bir process’in hangi kayıt defteri anahtarlarına erişim sağlayabileceğini belirler. Varsayılan: System \CurrentControlSet \Control \ ProductOptionsSystem \CurrentControlSet \Control \Server ApplicationsSoftware \Microsoft \Windows NT \CurrentVersion |
| Network access: Restrict anonymous access to Named Pipes and Shares | Enabled | Bu ayar, anonim kullanıcıların adlandırılmış kanallara veya dosya paylaşımlarına erişimlerini kısıtlar. Bu ayarın aktif edilmesi durumunda aşağıdaki seçenekler kontrol edilir: Network access: Named pipes that can be accessed anonymouslyNetwork access: Shares that can be accessed anonymously Varsayılan: Enabled |
| Network access: Shares that can be accessed anonymously | None | Bu ayar, anonim kullanıcıların hangi ağ paylaşımlarına erişilebileceğini belirler. Varsayılan: None |
| Network access: Sharing and security model for local accounts | Classic – local users authenticate as themselves | Bu ayar, ağ oturumlarının kimlik doğrulama seçeneğini belirler. “Classic” seçeneği, aynı kaynak için farklı kullanıcılara farklı erişim türleri atar ve kaynak erişimi konusunda hassas kontrol sağlar. Varsayılan: Server-> Guest only Domain Controller->Classic |
| Network security: Do not store LAN Manager hash value on next password change | Enabled | Bu ayar, bir parola değişikliği işlemi sonrasında yeni parolanın LM hash değerinin saklanıp saklanmayacağını belirler. Varsayılan: Windows XP->Disabled Windows Vista ve üzeri->Enabled |
| Network security: LAN Manager authentication level | Enterprise Member Server/Enterprise Domain Controller: Send NTLMv2 response only | LAN Manager (LM), kullanıcıların kişisel bilgisayarlarının tek bir ağda birbirine bağlamasına olanak tanıyan bir Microsoft yazılımıdır. LAN Manager; LM, NTLM ve NTLMv2 kimlik doğrulama protokollerini içerir. LAN Manager aşağıdaki işlemlerin gerçekleştirilmesi için kullanıcıların kimlik doğrulama işlemi yapmalarını destekler: Bir cihazı Domain ortamına dahil etmeActive Directory Forest’lar arasında kimlik doğrulamaWindows 2000, Windows Server 2003 veya Windows XP çalıştırmayan sistemlerde kimlik doğrulamaDomain ortamına bağlı olmayan cihazlarda kimlik doğrulama Bu ayar aşağıdaki değerleri alabilir: Send LM & NTLM responsesSend LM & NTLM — use NTLMv2 session security if negotiatedSend NTLM responses onlySend NTLMv2 responses onlySend NTLMv2 responses only\refuse LMSend NTLMv2 responses only\refuse LM & NTLMNot Defined Varsayılan: Windows 2000 ve Windows XP-> Send LM & NTLM responses Windows Server 2003->Send NTLM response only Windows Vista, Windows Server 2008, Windows 7, and Windows Server 2008 R2->Send NTLMv2 response only |
| Network security: LDAP client signing requirements | Require signing | Bu ayar, LDAP BIND isteklerini işleyen istemciler için veri imzalama düzeyini belirler. Bu ayar aşağıdaki değerleri alabilir: NoneNegotiate signingRequire signatureNot Defined Varsayılan: Negotiate signing |
| Network security: Minimum session security for NTLM SSP based (including secure RPC) clients | Require NTLMv2 session security, Require 128-bit encryption | Bu ayar NTLM SSP kullanan cihazlar için hangi davranışlara izin verileceğini belirler. Varsayılan: Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003 ve Windows Server 2008 -> No requirements Windows 7 ve Windows Server 2008 R2 -> Require 128-bit encryption |
| Recovery console: Allow automatic administrative logon | Disabled | Recovery console, sistem sorunlarını çözmek için kullanılan bir komut satırı ortamıdır. Bu ayarın etkinleştirilmesi durumunda, yönetici hesapları recovery console üzerinde otomatik kimlik doğrulama işlemi gerçekleştirir. Bu durum güvenlik riski oluşturabilir. Varsayılan: Not Allowed |
| Recovery console: Allow floppy copy and access to all drives and all folders | Enterprise Member Server/Enterprise Domain Controller: Not Defined | Bu ayar, recovery console çevre değişkenlerinin ayarlanmasına olanak tanıyan Recovery Console SET komutunu kullanılabilir hale getirir. Çevre değişkenleri aşağıda yer almaktadır: AllowWildCardsAllowAllPathsAllowRemovableMediaNoCopyPrompt |
| Shutdown: Clear virtual memory pagefile | Disabled | Bu ayar, sistem kapatıldığında sanal belleğin page dosyasının temizlenip temizlenmeyeceğini belirler. Varsayılan: Disabled |
| Shutdown: Allow system to be shut down without having to log on | Disabled | Bu ayar, sistem üzerinde oturum açmadan sistemin kapatılıp kapatılamayacağının belirlenmesini sağlar. Varsayılan: Workstation->Enabled Server->Disabled |
| System objects: Require case insensitivity for non-Windows subsystems | Enabled | Bu ayar, alt sistemler için büyük/küçük harf duyarlılığının uygulanıp uygulanmayacağını belirler. Windows sistemler büyük/küçük harfe duyarlı değildir. Ancak UNIX (POSIX) sistemler büyük/küçük harfe duyarlıdır. Bu ayarın aktifleştirilememesi durumunda, POSIX sistem kullanıcıları başka bir dosya ile aynı ada sahip olan, ancak büyük/küçük harfleri farklı olan bir dosya oluşturabilir. Bu durum Windows sistem üzerinden dosyalara erişmek isteyen bir kullanıcının aynı ada sahip 2 dosyadan sadece 1 dosyayı kullanabilmesine neden olur. Varsayılan: Enabled |
| System objects: Strengthen default permissions of internal system objects (e.g. Symbolic Links) | Enabled | Bu ayar, nesneler için varsayılan DACL ayarlarının gücünü belirler. Bu ayar işlemler arasında konumlandırılabilen ve paylaşılabilen nesnelerin güvenliğini sağlamaya yardımcı olur. Varsayılan: Enabled |
| System cryptography: Force strong key protection for user keys stored on the computer | Enterprise Member Server/Enterprise Domain Controller: User must enter a password each time they use a key | Bu ayar, kullanıcıların S/MIME anahtarı gibi private anahtarlarını kullanabilmeleri için bir parola belirlemelerini sağlar. Böyle bir durumda bu anahtarlara erişim sağlayabilen bir saldırgan, kullanıcıya ait anahtarları kullanamayacaktır. |
| System settings: Optional subsystems | None | Bu ayar, uygulamaları desteklemek için isteğe bağlı olarak hangi alt sistemlerin başlatılabileceğini belirler. Bu ayar ile uygulamaları destekleyecek olan birçok alt sistem belirtilebilir. Varsayılan: POSIX |
| System settings: Use Certificate Rules on Windows Executables for Software Restriction Policies | Enterprise Member Server/Enterprise Domain Controller: Not Defined | Bu ayar, .exe uzantılı dosyalar çalıştırıldığında dijital sertifikaların işlenip işlenmeyeceğini belirler. Bu ayar yazılım kısıtlamaları için sertifika kurallarının etkinleştirilmesi veya devre dışı bırakılması için kullanılır. Varsayılan: Disabled |
| User Account Control: Use Admin Approval Mode for the built-in Administrator account | Enabled | Bu ayar Administrator hesabı için Admin Approval Mode özelliğinin aktif olup olmayacağını belirler. Bu özelliğin aktif edilmesi durumunda, Administrator hesabı standart bir kullanıcı gibi çalışır, ancak gerekli durumlarda yüksek yetkilerle işlemler yapabilir. |
| User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode | Elevate without prompting seçeneği seçilmemelidir. | Bu ayar, yönetici kimlik bilgilerine sahip hesapların yüksek yetkilerle işlem yapmak istemesi durumunda UAC mekanizmasının davranışını belirler. |
| User Account Control: Behavior of the elevation prompt for standard users | Automatically deny elevation requests, Prompt for credentials | Bu ayar, standart hesapların yüksek yetkilerle işlem yapmak istemesi durumunda UAC mekanizmasının davranışını belirler. |
| User Account Control: Detect application installations and prompt for elevation | Enabled | Bu ayar, bir kurulum işlemi sırasında farklı programların çalıştırılması durumunda UAC mekanizmasının davranışını belirler. Bu ayar aktif edilirse, kurulum sırasında yetki yükseltilmesi gereken durumlarda kullanıcıdan yönetici haklarına sahip bir kullanıcının kimlik bilgileri istenir. |
| User Account Control: Only elevate executables that are signed and validated | Enabled | Bu ayar, sadece imzalanmış ve doğrulanmış dosyaların çalıştırılması durumunda UAC mekanizmasının yüksek yetkilerle işlemler yapmasına olanak verir. |
| User Account Control: Run all administrators in Admin Approval Mode | Enabled | Bu ayar tüm yönetici hesapları için Admin Approval Mode özelliğinin aktif olup olmayacağını belirler. Bu özelliğin aktif edilmesi durumunda, yönetici hesapları standart bir kullanıcı gibi çalışır, ancak gerekli durumlarda yüksek yetkilerle işlemler yapabilir. |
| User Account Control: Switch to the secure desktop when prompting for elevation | Enabled | Bu ayar, yüksek yetkilerle işlem yapmak istenmesi durumunda UAC davranışının kullanıcı masaüstünde ya da güvenli masaüstünde görüntülenmesini sağlar. |
| User Account Control: Virtualize file and registry write failures to per-user locations | Enabled | Bu ayar, uygulamaların yazma hatalarının kayıt defterinde ve dosya sisteminde tanımlanan konumlara yeniden yönlendirilmesini etkinleştirir veya devre dışı bırakır. |
| User Account Control: Allow UIAccess applications to prompt for elevation without using the secure desktop | Disabled | Bu ayar, standart bir kullanıcı tarafından yapılan yüksek yetkili bir işlem yapma talebi için güvenli masaüstünün devre dışı bırakılıp bırakılmayacağını belirler. |
| User Account Control: Only elevate UIAccess applications that are installed in secure locations | Enabled | Bu ayar, uygulamaların UIAccess bütünlük düzeyinde çalıştırılmasının talep edilmesi durumunda, bu uygulamaların dosya sistemi içerisinde güvenli bir konumda yer alıp almaması gerektiğini kontrol eder. Güvenli konumlar aşağıda yer almaktadır: \Program Files\*\Windows\system32\\Program Files (x86)\* |
Uzak Masaüstü Servisi (REMOTE DESKTOP SERVICES)
Uzak Masaüstü Servisi (Remote Desktop Services), kullanıcıların bir sisteme uzaktan masaüstü bağlantısı gerçekleştirmelerini sağlayan bir servistir. Bu servis kullanıcıların bağlantı sağlayabilmesi için RDP protokolü aracılığıyla çalışır. Aşağıda uzak masaüstü servisi için sıkılaştırma ayarları yer almaktadır.
Bu ayarları Computer Configuration > Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Connection Client veya Computer Configuration > Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host > Security üzerinden yapılandırabilirsiniz.
| Politika | Ayar | Açıklama |
| Always prompt client for password upon connection | Enabled | Bu ayar, RDP bağlantısı sırasında istemciden her zaman parola istenip istenmeyeceğini belirler. |
| Set client connection encryption level | Enabled: High Level | Bu ayar, RDP bağlantıları sırasında istemci ile RDP sunucusu arasındaki iletişimin güvenliğini sağlamak için, belirli bir şifreleme düzeyinin kullanılması gerekip gerekmediğini belirler. |
| Do not allow drive redirection | Enterprise Member Server/Enterprise Domain Controller: Not Defined | Bu ayar, kullanıcıların istemci bilgisayarlarındaki yerel sürücüleri, eriştikleri RDP sunucuları ile paylaşmalarını engeller. |
| Do not allow passwords to be saved | Enabled | Bu ayar, RDP bağlantısı sırasında kullanılan parolaların kaydedilip kaydedilmeyeceğini belirler. |
| Do not allow local administrators to customize permissions | Not Defined | Bu ayar, RDP sunucusunun güvenlik izinlerini özelleştirmek için yönetici haklarının devre dışı bırakılıp bırakılmayacağını belirler. |
| Require Secure RPC Communication | Not Defined | Bu ayar, bir RDP sunucusu ile istemciler arasında güvenli bir RPC iletişimi kurulması gerekip gerekmediğini ve güvenli olmayan iletişime izin verilip verilmeyeceğini belirler. |
| Require use of specific security layer for remote(RDP)connections | Negotiate/SSL | Bu ayar, bir RDP sunucusu ile istemciler arasındaki iletişim güvenliğini sağlamak için belirli bir güvenlik katmanının kullanılıp kullanılmaması gerektiğini belirler. Bu ayarın etkinleştirilmesi durumunda aşağıda listelenen güvenlik yöntemlerinden biri kullanılmalıdır: NegotiateRDPSSL |
| Require user authentication for remote connections by using Network Level Authentication | Enabled | Bu ayar, istemcilerin RDP sunucusuna bağlanabilmeleri için kimlik doğrulama işleminin Network Level Authentication özelliği kullanılarak yapılıp yapılmayacağını belirler. |
| Server authentication certificate template | Enabled | Bu ayar, RDP sunucusunun authentication işlemini gerçekleştirmesi için hangi sertifika şablonunu otomatik olarak kullanması gerektiğini belirler. |
İnternet Erişimi (INTERNET COMMUNICATIONS)
Windows, işletim sistemine ait özelliklerin internet iletişim şeklinin kontrol edilebilmesi için yardımcı seçenekler sunar. Aşağıda internet seçenekleri için sıkılaştırma ayarları yer almaktadır.
Bu ayarları Computer Configuration > Administrative Templates > System > Internet Communication Management > Internet Communication settings üzerinden yapılandırabilirsiniz.
| Politika | Ayar | Açıklama |
| Turn off downloading of print drivers over HTTP | Enabled | Bu ayar, sistemin yazıcı sürücülerini HTTP üzerinden indirip indiremeyeceğini belirler. |
| Turn off the “Publish to Web” task for files and folders | Enabled | Bu ayar, Windows dizinlerinde yer alan “File and Folder Tasks” menüsünde, “Publish this file to the Web,” “Publish this folder to the Web,” ve “Publish the selected items to the Web” seçeneklerinin olup olmayacağını belirler. |
| Turn off Internet download for Web publishing and online ordering wizards | Enabled | Bu ayar, sağlayıcıların Windows’un web yayıncılığı ve çevrimiçi ürün sihirbazları için bir liste indirip indiremeyeceğini belirler. Bu sihirbazlar, kullanıcıların online depolama ve fotoğraf yazdırma gibi servisler sunan bir listeden seçim yapmasına olanak tanır. |
| Turn off printing over HTTP | Enabled | Bu ayar, bir istemci sistemin HTTP üzerinden yazdırma seçeneğini devre bışı bırakır. |
| Turn off Search Companion content file updates | Enabled | Bu ayar, “Search Companion” seçeneği kullanılarak yapılan arama işlemi sırasında, içerik güncellemelerinin otomatik olarak indirilip indirilmeyeceğini belirler. |
| Turn off Windows Update device driver searching | Enterprise Member Server/ Enterprise Domain Controller: Not Defined | Bu ayar, bir aygıt için yerel sürücü olmadığı durumlarda, sistemin Windows Update özelliği üzerinde sürücü için arama yapıp yapmayacağını belirler. |
Ek Özellikler
| Özellik | Ayar | Açıklama |
| Turn On Virtulization Based Security | Group Policy: Computer Configuration –> Policies –> Administrative Templates –> System –> Device Guard Enabled Select Platform Security Level: Secure Boot and DMA Protection Credential Guard Configuration: Enabled with UEFI lock | Credential Guard, saldırganların LSASS belleğinden kullanıcı hesaplarına ait kimlik bilgilerini çalmalarını engellemek için geliştirilen sanallaştırma tabanlı bir teknolojidir. Credential Guard’ın aktif edilmesi için, bu özellik aktif edilmelidir. Virtulization Based Security, güvenlik servislerine destek sağlamak için Windows Hypervisor sistemini kullanır. Virtulization Based Security, güvenli önyükleme işlemini gerektirir ve isteğe bağlı olarak DMA korumalarının kullanımıyla etkinleştirilebilir. DMA korumaları, donanım desteği gerektirir ve yalnızca doğru yapılandırılmış cihazlarda etkinleştirilebilir. |
| WDigest Authentication | Registry: HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest UseLogonCredential->REG_DWORD->0 | WDigest, Windows Server 2003 sunucularda LDAP ve web tabanlı kimlik doğrulama için kullanılan bir protokoldür. Bu protokolün aktif olması durumunda, kimlik doğrulama işlemi gerçekleştiren kullanıcı hesaplarına ait kimlik bilgileri açık metin olarak saklanır. WDigest, Windows Server 2012 R2, Windows 8.1 ve üzeri işletim sistemi sürümlerinde varsayılan olarak devre dışıdır. Bu özellik diğer işletim sistemi sürümlerinde de devre dışı bırakılmalıdır. |
| Group Policy: Computer Configuration> Policies> Administrative Templates> MS Security Guide WDigest Authentication ->Disabled | ||
| SMBv1 | Registry: HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameter SMB1->DWORD–> 0 | SMBv1, işletim sistemi üzerinde uzaktan komut çalıştırılmasına izin veren birçok güvenlik açığı içermektedir. SMBv1 2013 yılından itibaren kullanımdan kaldırıldı. Güvenlik açıklarından etkilenmemek için SMBv1 devre dışı bırakılmaldır ve SMBv2/v3 sürümleri kullanılmalıdır. |
| LLMNR/NBT-NS | LLMNR Group Policy: Computer Policy –> Computer Configuration –> Administrative Templates –> Network –> DNS Client Turn Off Multicast Name Resolution –> Enabled | LLMNR ve NBT-NS servisleri, DNS servisinin isim çözümlemelerinde başarısız olduğu durumlarda devreye girer ve isim çözümleme işlemi gerçekleştirir. LLMNR ve NBT-NS servisleri MITM saldırılarına karşı savunmasızdır. Bu nedenle LLMNR ve NBT-NS servislerine yönelik bir spoofing saldırısı gerçekleştiren saldırganlar, kullanıcılara ait kimlik bilgilerini ele geçirebilirler. Dolayısıyla bu servisler devre dışı bırakılmalıdır. |
| NBT-NS Registry: HKLM\SYSTEM\CurrentControlSet\Services\NetBT\Parameters\Interfaces NetbiosOptions->REG_DWORD->2 | ||
| LSASS Protection | Registry: HKLM\SYSTEM\CurrentControlSet\Control\Lsa RunAsPPL->REG_DWORD-> 1 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe AuditLevel->REG_DWORD-> 00000008 | LSASS, Windows işletim sistemi üzerinde güvenlik politikaları uygulayan bir servistir. LSASS; kullanıcı kimlik bilgilerini doğrular, parola değişikliklerini yönetir ve kullanıcılar için access token oluşturur. LSASS process’i, oturum açan kullanıcıların kimlik bilgilerini saklar. Bir Windows sistemi ele geçiren saldırgan, LSASS belleğinden bu kimlik bilgilerini alarak diğer sistemlere erişim sağlayabilir. Belirtilen sıkılaştırma ayarı uygulanarak LSASS koruması aktif edilebilir ve saldırganların LSASS process’i üzerinden kimlik bilgilerini ele geçirmeleri engellenebilir. |
Yazar: Ramin KARIMKHANI
Not: Dokümanın PDF sürümünü Windows Hardening sayfamızdan indirebilirsiniz.