Windows Vista kullanıcılarıyla buluşur buluşmaz yenilikleri konuşulmaya başlandı. Biz de bu makalemizde Vista’nın Group Policy içerisindeki Güvenlik Ayarları konusuna değineceğiz.
Group Policy, Vista içerisinde bazı yeniliklerle karşımıza çıktı. Aslında %80 oranında eski bütünlüğünü ve özelliklerini koruduğunu söyleyebiliriz. Diğer yeniliklerini ise beraberce değerlendirmeye alacağız.
Microsoft, Windows Vista Güvenlik Ayarları içerisinde toplam 17 adet yeni güvenlik kuralı oluşturdu. Şimdi bu yeni kurallarla ve getirdikleri yeniliklerle tanışalım;
1. Access Credential Manager as a trusted caller
2. Change the time zone
3. Create symbolic links
4. Increase a process working set
5. Modify an object label
6. Audit: Audit the use of Backup and Restore privilege
7. Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings
8. Audit: Shut down system immediately if unable to log security audits
9. User Account Control: Admin Approval Mode for the Built-in Administrator account
10. User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode
11. User Account Control: Behavior of the elevation prompt for standard users
12. User Account Control: Detect application installations and prompt for elevation
13. User Account Control: Only elevate executables that are signed and validated
14. User Account Control: Only elevate UIAccess applications that are installed in secure locations
15. User Account Control: Run all administrators in Admin Approval Mode
16. User Account Control: Switch to the secure desktop when prompting for elevation
17. User Account Control: Virtualize file and registry write failures to per-user locations
Access Credential Manager as a trusted caller
Group Policy içerisindeki yeri:
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment\
|
Bu ayar Backup ve Restore esnasında Credential Manager tarafından kullanılmaktadır. Default olarak hiçbir kullanıcı bu hakka sahip değildir. Winlogon servis olarak bu hakka sahiptir. Aslında bu hakkın başka bir kullanıcıya verilmesi de kullanıcı verilerinin ele geçirilmesi riskini ortaya çıkartabilmektedir. Bundan dolayı Varsayılan olarak “Not Configured” olarak ayarlanmıştır.
|
Change the time zone
Group Policy içerisindeki yeri:
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment\
Daha önceki sürümlerde görmediğimiz bu özellik sayesinde kullanıcılar zaman dilimini değiştirebilir. Varsayılan olarak Administrators, LOCAL SERVICE, Users gruplarına bu yetki verilmiş durumda. Server ve Workstation güvenliği için bu hakkın da sınırlı şekilde kullanılması gerekiyor.
Create symbolic links
Group Policy içerisindeki yeri:
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment\
Kullanmış olduğunuz bilgisayarda verileriniz farklı dosya sistemleri içerisinde konuşlandırılmış olabilir. Bu gibi durumlarda farlı dosya sistemleri içerisindeki verilerinizin birbirleriyle senkronizasyonunu sağlayabilmek için sembolik linklerin kullanılması gerekmektedir. Bu ayar Vista ve ilerisi işletim sistemleri için daha da büyük önem kazanacaktır. Bu ayar içerisinde hangi kullanıcıların sembolik link yaratma hakları bulunduğunu ayarlayabilirsiniz. Varsayılan olarak atanmış değer “Administrator” şeklindedir. Önemli bir nokta da şudur ki; Kullanıcılar bu ayar sayesinde uygulamaların ve dosya sisteminin açıklarından faydalanarak sembolik linkler yaratabilir ve verilere ulaşabilir. Bu düşünceyle güvenilir olmayan kullanıcılara bu hakkın verilmemesi daha olumlu sonuçlar doğuracaktır.
Increase a process working set
Group Policy içerisindeki yeri:
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment\
“Working Set” ifadesi fiziksel bellek içerisinde bir uygulamaya ayrılmış olan belleği ifade etmektedir. Bu ayar sayesinde hangi kullanıcıların bu gerekli bellek miktarını artırabileceklerini belirleyebilirsiniz. Unutulmaması gerekir ki; “Working Set” değerini yükseltmek sistemdeki genel bellek miktarını düşürecek ve sistemde performans düşüklüğüne sebep olacaktır. Default değeri “Users” şeklindedir.
Modify Object Label
Group Policy içerisindeki yeri:
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment\
Bu ayar sayesinde kullanıcılara; dosyaların, registry anahtarlarının ve diğer dosyaların önceliğini değiştirme hakkı tanımış olursunuz. Default olarak değeri “Not Configured” şeklindedir.
Audit: Audit the use of Backup and Restore privilege
Group Policy içerisindeki yeri:
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\
Bu ayar sayesinde Backup ve Restore işlemlerinin Audit edilmesini sağlayabilirsiniz. Bu ayarla beraber aşağıda göreceğimiz “Audit Privilege Use” seçeneğinin de aktif edilmesi sağlanacaktır. Bu iki ayar “enabled” edildiği takdirde yedekleme ve geri yükleme ile ilgili kayıt işlemleri yerine getirilecektir.
Eğer “Audit: Audit the use of Backup and Restore privilege” seçeneği disable edilirse, “Audit Privilege Use” seçeneği aktif bile olsa yedekleme ve geri yükleme işlemlerinin izlenmesi mümkün olmayacaktır. Bu ayarın aktif hale gelebilmesi için sistemin yeniden başlatılması gerekmektedir. Default değeri “disabled” şeklindedir.
Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings
Group Policy içerisindeki yeri:
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\
Bu yeni ayar sayesinde Windows Vista ve daha sonraki işletim sistemlerinde Audit işlemlerinde kullanılmak üzere bir “category” ve “subcategory” mantığı bulunmaktadır. Bu mantığın yeni işletim sistemlerindeki çalışma prensibine göre kategoriler her zaman alt kategorilere özelliklerini yansıtacaklar. Yani kurallar aşağıya doğru “inherit” edileceklerdir. Bu ayar sayesinde alt kategorilerin üst kategorilerin geçerliliğini kendi üzerine almasını yani alt kategorilerin geçerli olmasını sağlayabilirsiniz. Default değer “not defined” şeklindedir.
Audit: Shut down system immediately if unable to log security audits
Group Policy içerisindeki yeri:
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\
Sistemin herhangi bir sebepten dolayı log tutamaması durumunda sistemin “shutdown” edilmesini sağlayan bir özelliktir. Log dosyalarının tutulamamasının bazı nedenleri olabilir. Bunlar;
-Log dosyasının dolu olması
-EventLog ayarlarında “Retention method for security logs” özelliğinin günlük olarak seçilmesi dolayısıyla ancak günlük olarak dosyanın üzerine yazımın aktif olması, diğer zamanlarda yeni kayıtların dosyaya yazılmasının imkanlı olmaması,
-EventLog ayarlarında Retention method for security log” özelliğinin “do not overwrite “ şeklinde ayarlanmış olması dolayısıyla log dosyası dolduğunda dosyanın üzerine yeni kayıtların girilmesinin engellenmiş olması,
Eğer log dosyası dolu ve üzerine yazma işlemi de başarısız ise bu durumda sistem aşağıdaki gibi bir hata verecektir.
STOP: C0000244 {Audit Failed}
An attempt to generate a security audit failed.
Bu durumda yalnızca Administrator sisteme Logon olabilir ve gerekli değişiklikleri yapabilir. Bu ayarın varsayılan değeri “disabled” şeklindedir. Aynı şekilde bu ayar da aktif olabilmek için “restart” gerektirmektedir.
User Account Control: Admin Approval Mode for the Built-in Administrator account
Group Policy içerisindeki yeri:
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\
Bu ayarla birlikte Microsoft’un Windows Vista içerisine entegre ettiği UAC (User Account Control) ekipmanının sağlamış olduğu bazı güvenlik ayarlarını değiştirme imkanı bulabilirsiniz. Admin Approval Mode kavramı da UAC içerisinde bulunan ve sistemin güvenliğini ve uygulamaların sisteme verebileceği zararları minimuma indirmeyi amaçlamaktadır. Bu noktada çalıştırılacak programların herhangi bir Administrator tarafından onaylanmasını sağlayabiliriz. Varsayılan olarak “Disabled” olarak ayarlanmıştır. “Enabled” durumuna getirildiğinde uygulamalar çalıştırılmak istendiğinde aşağıdaki gibi bir uyarı ekranı karşımıza çıkacaktır.
|
UAC (User Account Control) mekanizmasının içerisinde bulunan Admin Approval Mode ile uygulamalarınızı çalıştırırken Admin onayını almak isteyebilirsiniz. Bu güvenlik aşaması ile bilinmeyen uygulamaların sisteme zarar vermelerinin de önüne geçilmiş olacaktır. UAC aktif edilmediğinde Admin Approval Mode da aktif olmayacaktır.
|
User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode
Group Policy içerisindeki yeri:
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\
Bu ayarla da yukarıda belirtmiş olduğumuz Admin Approval Mode ‘un nasıl bir aksiyon alacağını bir başka deyişle Administrator hakkında sahip kullanıcılar için onay şeklinin nasıl olacağını belirleyebiliriz. Bunun için karşımızda 3 seçenek bulunmakta;
|
1. Elevate without prompting
Herhangi bir uyarı ekranı ile karşılaşılmayacaktır. En az güvenli olan opsiyon budur.
2. Prompt for Credentials
Administrator hakkına sahip kullanıcıların kullanıcı adı ve şifre girmesinin gerektirecek olan seçenektir.
3. Prompt for consent (Varsayılan ayardır)
Administrator 'un “Permit” ya da “Deny” şeklinde vereceği kararını içermektedir. Permit ile en yüksek hak ile uygulama çalıştırılacaktır. Deny ile ise uygulamanın çalıştırılması engellenecektir.
|
|
“Prompt for credentials” seçildiğine sol taraftaki gibi bir bilgi giriş penceresiyle karşılaşılacaktır.
|
User Account Control: Behavior of the elevation prompt for standard users
Group Policy içerisindeki yeri:
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\
Bu güvenlik ayarı da tıpkı yukarıdaki gibi onay mekanizması ile ilgilidir. Yalnız standart kullanıcılar için alınacak aksiyonu belirtmektedir. Bu ayar içerisinde de aşağıda göreceğimiz üzere 2 seçeneğimiz olacaktır;
|
1. Automatically deny elevation requests (enterprise aşamada tercih edilebilir)
Standard bir kullanıcının Access-denied şeklinde bir hata mesajı alması ile sonuçlanacaktır.
2. Prompt for credentials (Ev kullanıcıları için tercih edilebilir)
Admin yetkilerine sahip bir kullanıcının bilgileri girilerek işleme devam edilecektir.
|
User Account Control: Detect application installations and prompt for elevation
Group Policy içerisindeki yeri:
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\
Bu ayar sayesinde uygulama yükleme aşamasında sistemin kendini güvenlik altına alıp administrator yetkilerine sahip bir hesap bilgisi istemesi sağlanabilecektir. Default olarak “Enabled” durumundadır. Sistem güvenliği için Standard kullanıcılar için bu özelliğin varsayılan olarak korunması önerilmektedir.
User Account Control: Only elevate executables that are signed and validated
Group Policy içerisindeki yeri:
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\
Bu ayar sayesinde de istenildiğinde yalnızca PKI sertifika zinciri içerisinde bulunan yani dijital olarak imzalanmış ve doğrulanmış olan programların çalıştırılmasını sağlayabilirsiniz. Varsayılan olarak “disabled” seçeneği aktif durumdadır.
User Account Control: Only elevate UIAccess applications that are installed in secure locations
Group Policy içerisindeki yeri:
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\
Bu güvenlik ayarı ile birlikte UIAccess entegrasyonu isteyen bütün uygulamaların güvenli bir lokasyonda çalıştırılmalarını şart koşabilirsiniz. Bir başka deyişle eğer uygulama aşağıdaki güvenli lokasyonlardan birinde ise çalıştırılacak (enabled durumunda) aksi halde çalıştırılmayacaktır. Disabled seçeneğinde ise uygulama güvenli bir lokasyonda olmasa bile çalıştırılabilir durumda olacaktır. Bu adı geçen güvenli lokasyonlar ise;
-\Program Files\ ve alt klasörler
-\Windows\System32\
Varsayılan değeri “Enabled” şeklindedir.
User Account Control: Run all administrators in Admin Approval Mode
Group Policy içerisindeki yeri:
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\
Bu güvenlik ayarı ile UAC (User Account Control) mekanizmasının tüm sistem için aktif olup olmamasına karar verebilirsiniz. “Enabled” seçeneği ile aktif hale geçirilir ve tüm sistem UAC gereksinimlerine göre (approval mode, uygulama güvenliği, güvenli lokasyon, dijital imzalanmış uygulamalar vb…) ayarlanmış olacaktır. Disabled seçeneği ise UAC yi tamamen devre dışı bırakacaktır. Bu yönüyle oldukça önemli bir anahtardır diyebiliriz. Varsayılan değeri elbette “Enabled” şeklidendir. Bu ayarda yapılacak değişiklikten sonra bilgisayarınızın yeniden başlatılması (restart edilmesi) gerekmektedir.
User Account Control: Switch to the secure desktop when prompting for elevation
Group Policy içerisindeki yeri:
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\
Bu ayarla birlikte çalıştırılacak uygulamanın onayı verilmeden önce desktop üzerinde alınacak olan aksiyonun şekli değerlendirilmektedir. Yani uygulamanın çalışması ya da reddedilmesi için karar aşamasındayken masaüstünün güvenli tutulmasını sağlayabilirsiniz. Varsayılan ayar “Enabled” şeklindedir.
User Account Control: Virtualize file and registry write failures to per-user locations
Group Policy içerisindeki yeri:
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\
Son ayarımızda; uygulamaların çalıştırıldıklarında ya da başka bir uygulamaya yönlendirildiklerinde meydana gelebilecek kayıt yazma hatalarının, kullanıcıya özel (korumalı) lokasyonlara kaydedilip kaydedilmemesine karar verebiliriz. Windows Vista uyumlu uygulamalarda veriler korumalı alanlara yazma işlemi gerçekleştirmediğinden eğer sistemde yalnızca Vista uyumlu işletim sistemleri kullanılıyorsa bu durumda bu ayar disable edilebilir.
Ek Bilgi
Bir sonraki makalemizde yine Windows Vista’nın getirmiş olduğu yeniliklerde görüşmek dileğiyle.
Teşekkür Ederim.