Windows Masaüstü Güvenliği

Windows Masaüstü GüvenliğiWindows Masaüstü Güvenliği Burak DayıoğluBurak Dayıoğlu

© 2005, Pro-G Bilişim Güvenliği ve Araştırma Ltd. 2

Sunum PlanıSunum Planı

► Masaüstü güvenliğinin artan önemiMasaüstü güvenliğinin artan önemi► Windows 2000 ve XP’nin güvenlik Windows 2000 ve XP’nin güvenlik

özellikleriözellikleri► Etkin masaüstü güvenliği için diğer Etkin masaüstü güvenliği için diğer

gereksinimlergereksinimler


Mainframe’den Kişisel BilgisayaraMainframe’den Kişisel Bilgisayara

► Mainframe dünyasının merkezi işleyişi Mainframe dünyasının merkezi işleyişi güvenliğin göreli daha kolay sağlanmasına güvenliğin göreli daha kolay sağlanmasına imkan veriyorduimkan veriyordu

► İstemci-sunucu mimarisi üretkenliği İstemci-sunucu mimarisi üretkenliği arttırdı, ancak yeni güvenlik riskleri arttırdı, ancak yeni güvenlik riskleri doğurdudoğurdu PC üzerinde depolanan dosyalarPC üzerinde depolanan dosyalar Hassas uygulamalara PC’ler aracılığı ile erişimHassas uygulamalara PC’ler aracılığı ile erişim


Masaüstü Güvenliği GereksinimiMasaüstü Güvenliği Gereksinimi

► Kişisel bilgisayarlarKişisel bilgisayarlar Üzerinde depolanan verilerÜzerinde depolanan veriler Görev-kritik uygulamalara yapılan bağlantılarGörev-kritik uygulamalara yapılan bağlantılar Daha kritik sistemler ile ağ komşuluklarıDaha kritik sistemler ile ağ komşuluklarınedeniyle saldırganlar için değerli birer hedeftirnedeniyle saldırganlar için değerli birer hedeftir

► Kişisel bilgisayarların güvenliğinin Kişisel bilgisayarların güvenliğinin sağlanmasısağlanması Kullanıcı kitlesinin BT uzmanı olmamasıKullanıcı kitlesinin BT uzmanı olmaması ““Kişiselleştirilebilir” olmalarıKişiselleştirilebilir” olmaları Çok sayıda olmalarıÇok sayıda olmalarınedeniyle kolaylıkla mümkün değildirnedeniyle kolaylıkla mümkün değildir


Windows Masaüstü GüvenliğiWindows Masaüstü Güvenliği

► Windows işletim sistemi kampüs Windows işletim sistemi kampüs ağları üzerinde yoğun biçimde ağları üzerinde yoğun biçimde kullanılmaktadırkullanılmaktadır Güncel Windows sürümleri (2000 Güncel Windows sürümleri (2000

ve XP) pek çok faydalı güvenlik ve XP) pek çok faydalı güvenlik özelliğine sahiptirözelliğine sahiptir

► Güvenlik özelliklerini bilmek ve Güvenlik özelliklerini bilmek ve kullanmakkullanmak Art-niyetli çalışanlarınArt-niyetli çalışanların Dış saldırganlarınDış saldırganların Uygunsuz/hatalı kullanımlarınUygunsuz/hatalı kullanımlarınverebileceği zararı en aza indirebilirverebileceği zararı en aza indirebilir


Windows Güvenlik ModeliWindows Güvenlik Modeli

► Güncel masaüstü Windows sürümleriGüncel masaüstü Windows sürümleri Merkezi yönetimiMerkezi yönetimi Çok kullanıcılı ve gezgin BT yapılarınıÇok kullanıcılı ve gezgin BT yapılarını

► Bir kullanıcı birden fazla PC’den faydalanabilirBir kullanıcı birden fazla PC’den faydalanabilir► Bir PC birden fazla kullanıcı tarafından paylaşılabilirBir PC birden fazla kullanıcı tarafından paylaşılabilir

öne çıkartacak teknik özelliklere sahiptiröne çıkartacak teknik özelliklere sahiptir


Windows Güvenlik ÖzellikleriWindows Güvenlik Özellikleri

► Active Directory ile Merkezi YönetimActive Directory ile Merkezi Yönetim► Rol-tabanlı erişim denetimi (RBAC)Rol-tabanlı erişim denetimi (RBAC)► Dosya sistemi güvenliğiDosya sistemi güvenliği► Registry güvenliğiRegistry güvenliği► Yüksek güvenlikli doğrulama ve PKIYüksek güvenlikli doğrulama ve PKI► Grup politikaları ve güvenlik şablonlarıGrup politikaları ve güvenlik şablonları► Yazılım kısıtlama politikalarıYazılım kısıtlama politikaları► Çevrim-dışı dosya senkronizasyonuÇevrim-dışı dosya senkronizasyonu


Windows Güvenlik Özellikleri - 2Windows Güvenlik Özellikleri - 2

► Güvenlik duvarıGüvenlik duvarı► Güncelleme/yama yönetimiGüncelleme/yama yönetimi► Virüs temizleme programıVirüs temizleme programı► Casus program (spyware) temizleme Casus program (spyware) temizleme

programıprogramı


Active DirectoryActive Directory

► Tüm Windows kaynaklarına ilişkin Tüm Windows kaynaklarına ilişkin yapılandırma bilgisini tek bir “yapılandırma bilgisini tek bir “ağ çapında ağ çapında veritabanıveritabanı”nda toplama”nda toplama LDAP uyumlu dizin sunucusuLDAP uyumlu dizin sunucusu Kullanıcılar, kişisel bilgisayarlar, sunucular, ağ Kullanıcılar, kişisel bilgisayarlar, sunucular, ağ

servisleri, bunlara ilişkin ayarlar, …servisleri, bunlara ilişkin ayarlar, …► Active Directory’nin diğer dizinler ile Active Directory’nin diğer dizinler ile

ilişkilendirilmesiilişkilendirilmesi


Rol Tabanlı Erişim DenetimiRol Tabanlı Erişim Denetimi

► Windows Rol tabanlı erişim denetimini Windows Rol tabanlı erişim denetimini desteklerdestekler Rolleri tanımla, rollere yetkileri ataRolleri tanımla, rollere yetkileri ata Kullanıcıları roller ile ilişkilendirKullanıcıları roller ile ilişkilendir

► Rol tabanlı yetkilendirme, kullanıcılara tek Rol tabanlı yetkilendirme, kullanıcılara tek tek yetki ataması yapmaktan daha tek yetki ataması yapmaktan daha ölçeklenebilirdirölçeklenebilirdir

► Kullanıcıların Kullanıcıların administratoradministrator yetkisi ile PC yetkisi ile PC kullanımları engellenmelidirkullanımları engellenmelidir


Dosya Sistemi GüvenliğiDosya Sistemi Güvenliği► Windows NTFS dosya Windows NTFS dosya

sistemi erişim denetim sistemi erişim denetim listelerini (ACL) listelerini (ACL) desteklerdestekler Kimin hangi dosyaya nasıl Kimin hangi dosyaya nasıl

erişebileceği net biçimde erişebileceği net biçimde tariflenebilirtariflenebilir

► ACL düzenlemeleri ileACL düzenlemeleri ile KKullanıcıların kurulu ullanıcıların kurulu

programlarıprogramları bozmalar bozmalarıı Sistemi çalışmaz duruma Sistemi çalışmaz duruma

getirmelerigetirmeleriengellenebilirengellenebilir


Şifrelenmiş Dosya Sistemi - EFSŞifrelenmiş Dosya Sistemi - EFS

► Dosya sistemleri şifrelenerek yetkisiz Dosya sistemleri şifrelenerek yetkisiz erişime karşı korunabilirerişime karşı korunabilir Hassas dosyaların depolandığı dosya Hassas dosyaların depolandığı dosya

sistemlerinin şifrelenmesi yeni bir savunma sistemlerinin şifrelenmesi yeni bir savunma kademesi oluştururkademesi oluşturur

Şifrelenmiş dosya sisteminin bulunduğu disk Şifrelenmiş dosya sisteminin bulunduğu disk çalınsa da dosyalar görüntülenemezçalınsa da dosyalar görüntülenemez

Dosyalar, dosya sahibi kullanıcı ya da Dosyalar, dosya sahibi kullanıcı ya da yetkilendirilmiş sistem yöneticilerince deşifre yetkilendirilmiş sistem yöneticilerince deşifre edilebiliredilebilir

► Saldırgan, disk üzerindeki dosyaları Saldırgan, disk üzerindeki dosyaları göremeyebilir / açamayabilirgöremeyebilir / açamayabilir


Registry GüvenliğiRegistry Güvenliği► Windows ayarları Windows ayarları

registry üzerinde registry üzerinde depolanırdepolanır Windows registry’si erişim Windows registry’si erişim

denetim listelerini denetim listelerini desteklerdestekler

Hangi anahtara kimin ve Hangi anahtara kimin ve nasıl erişebileceği nasıl erişebileceği belirlenebilirbelirlenebilir

► Registry ACL’leri ileRegistry ACL’leri ile Kullanıcıların sistem Kullanıcıların sistem

ayarlarını değiştirmeleriayarlarını değiştirmeleri Sistemi çalışmaz duruma Sistemi çalışmaz duruma

getirmeleri engellebilirgetirmeleri engellebilir


Yüksek Güvenlikli DoğrulamaYüksek Güvenlikli Doğrulama

► Sistem girişleri için akıllı Sistem girişleri için akıllı kartların ya da token’ların kartların ya da token’ların kullanılması mümkündürkullanılması mümkündür Tahmin edilebilir parolalarTahmin edilebilir parolalar Unutulan parolalarUnutulan parolalar Birbirinin yerine giriş yapan Birbirinin yerine giriş yapan

kullanıcılarkullanıcılarengellenebilirengellenebilir


Microsoft Certificate ServicesMicrosoft Certificate Services► Windows Server ürünleri Windows Server ürünleri

ile birlikte standart olarak ile birlikte standart olarak sağlanan sertifika sunucu sağlanan sertifika sunucu yazılımıdıryazılımıdır Windows 2000 ve XP Windows 2000 ve XP

istemcileri sayısal istemcileri sayısal sertifikalar ile sertifikalar ile çalışabilmektedirçalışabilmektedir

► Kullanıcılar için sayısal Kullanıcılar için sayısal sertifika üretimisertifika üretimi Akıllı-kartlar içerisinde Akıllı-kartlar içerisinde

doğrulama için kullanımdoğrulama için kullanım e-imza için kullanıme-imza için kullanım


Grup PolitikalarıGrup Politikaları► Güvenlik politikasının Güvenlik politikasının

merkezi olarak merkezi olarak belirlenmesini ve belirlenmesini ve dağıtılmasını sağlardağıtılmasını sağlar Kullanıcı ve bilgisayar Kullanıcı ve bilgisayar

gruplanmasıgruplanması Gruplara kural Gruplara kural

kümelerinin (politika) kümelerinin (politika) atanmasıatanması

► Parola, güncelleme, Parola, güncelleme, kayıt tutma, hesap kayıt tutma, hesap kilitleme, erişim kilitleme, erişim denetimi …denetimi …


Yazılım Kısıtlama PolitikalarıYazılım Kısıtlama Politikaları

► Kullanıcıların hangi uygulamaları Kullanıcıların hangi uygulamaları işletebileceklerini kontrol etmek üzere kullanılırişletebileceklerini kontrol etmek üzere kullanılır Belirtilenler dışındaki tüm uygulamalar yasaktırBelirtilenler dışındaki tüm uygulamalar yasaktır Belirtilenler dışındaki tüm uygulamalar serbesttirBelirtilenler dışındaki tüm uygulamalar serbesttir

► BelirtimlerBelirtimler Program dosyasının hash’ineProgram dosyasının hash’ine Üreticisinin sayısal imzasınaÜreticisinin sayısal imzasına Yerel ya da UNC yolunaYerel ya da UNC yoluna Güvenlik bölgesine (Zone)Güvenlik bölgesine (Zone)

göre gerçekleştirilebilirgöre gerçekleştirilebilir


Çevrim-Dışı SenkronizasyonÇevrim-Dışı Senkronizasyon

► İstemciler sunucu İstemciler sunucu üzerindeki bazı dizin üzerindeki bazı dizin ve dosyaları “çevrim-ve dosyaları “çevrim-dışı” kullanmak dışı” kullanmak isteyebilirleristeyebilirler

► Çevrim-dışıyken bu Çevrim-dışıyken bu dosyalar PC üzerinde dosyalar PC üzerinde depolanır, şifrelenerek depolanır, şifrelenerek yetkisiz erişimden yetkisiz erişimden korunurkorunur


Güvenlik DuvarıGüvenlik Duvarı

► XP SP2 ile durum-XP SP2 ile durum-korumalı bir paket-korumalı bir paket-filtreleyen güvenlik filtreleyen güvenlik duvarı sağlanmaktadırduvarı sağlanmaktadır Ön-tanımlı olarak sisteme Ön-tanımlı olarak sisteme

doğru gelen tüm trafiği doğru gelen tüm trafiği durdururdurdurur

► Kullanımı çok kolayKullanımı çok kolay Soru sormaz Soru sormaz

► Merkezden yönetilebilirMerkezden yönetilebilir


Güncelleme/Yama YönetimiGüncelleme/Yama Yönetimi

► Kişisel bilgisayar zafiyetleriKişisel bilgisayar zafiyetleri Virüs/wormVirüs/worm Truva atıTruva atı Spam vb. robotuSpam vb. robotuyayılımlarına imkan vermektediryayılımlarına imkan vermektedir

► Düzenli güncelleme ve yamalama ileDüzenli güncelleme ve yamalama ileart-niyetli yazılımlardan kaynaklanan art-niyetli yazılımlardan kaynaklanan zafiyetler engellenebilirzafiyetler engellenebilir Windows UpdateWindows Update


Software Update Services (SUS)Software Update Services (SUS)

WindowsUpdateWindowsUpdate

InternetInternet

IntranetIntranet

ÇalışanÇalışan SUSSUS

Windows: Windows: Kritik Güvenlik YamalarıKritik Güvenlik Yamaları, , Güvenlik DağıtımlarıGüvenlik Dağıtımları, , Servis PaketleriServis Paketleri

Web tabanlı Sistem Yönetimi. Web tabanlı Sistem Yönetimi. Yönetici yamaları onaylar. Yönetici yamaları onaylar.

Yama Senkr.Yama Senkr.

OnaylıOnaylı yamalar yamalar yüklenip yüklenip uygulanır.uygulanır.

Automatic Updates Automatic Updates istemcili istemcili Şirket Sunucuları, Masaüstleri Şirket Sunucuları, Masaüstleri ve Taşınablirlerve Taşınablirler

Merkezi Merkezi İstemci İstemci YapılandıYapılandırmasırması


SUS Teknik ÖzellikleriSUS Teknik Özellikleri► Grup politikası aracılığı ile Grup politikası aracılığı ile

merkezden güncelleme merkezden güncelleme yönetimi ve izlemeyönetimi ve izleme AD’ye kaydedilmemiş AD’ye kaydedilmemiş

sistemler de desteklenirsistemler de desteklenir► Yalnızca “kritik Yalnızca “kritik

güncellemeleri” ve güncellemeleri” ve “güvenlik güncellemeleri” “güvenlik güncellemeleri” dağıtılabilirdağıtılabilir

► Dağıtılacak yamalar sistem Dağıtılacak yamalar sistem yöneticisince onaylanıryöneticisince onaylanır Onaylanmamış yamalar Onaylanmamış yamalar

dağıtılmazdağıtılmaz


Windows Update Services (WUS)Windows Update Services (WUS)

► Daha fazla Microsoft Daha fazla Microsoft ürününün ürününün güncellenmesine güncellenmesine imkan veririmkan verir OfficeOffice ExchangeExchange


Virüs Temizleme ProgramıVirüs Temizleme Programı

► ““Malicious Software Malicious Software Removal Tool”Removal Tool” GeCAD firmasının GeCAD firmasının

(RAV) alımından sonra (RAV) alımından sonra çıkan ilk üründürçıkan ilk üründür

Windows Update ile Windows Update ile güncellenmektedirgüncellenmektedir

Yalnızca güncel Yalnızca güncel virüsleri tespit edebilirvirüsleri tespit edebilir


Spyware Temizleme ProgramıSpyware Temizleme Programı

► Casus program temizliği için yeni bir Casus program temizliği için yeni bir üründürüründür Microsoft Anti-Spyware 1.0 BetaMicrosoft Anti-Spyware 1.0 Beta Microsoft’un GIANT’ı satın almasından sonra Microsoft’un GIANT’ı satın almasından sonra

çıkan ilk üründürçıkan ilk üründür


GGüvenli İstemciler için Önerilerüvenli İstemciler için Öneriler

► Kullanıcıları Active Directory çatısı altında Kullanıcıları Active Directory çatısı altında toplayıntoplayın Merkezi yönetim, grup politikası uygulamalarıMerkezi yönetim, grup politikası uygulamaları Active Directory’yi diğer sistemleriniz ile Active Directory’yi diğer sistemleriniz ile

entegre ederek “kimlik yönetimi”ne geçinentegre ederek “kimlik yönetimi”ne geçin► Kişisel bilgisayarların administrator izinleri Kişisel bilgisayarların administrator izinleri

ile kullanılmasına izin vermeyinile kullanılmasına izin vermeyin Kurumsal dosya sistemi ve registry ACL Kurumsal dosya sistemi ve registry ACL

tarifleri hazırlayın, tüm PC’lere uygulayıntarifleri hazırlayın, tüm PC’lere uygulayın NTFS dışında dosya sistemi kullanmayınNTFS dışında dosya sistemi kullanmayın


GGüvenli İstemciler için Öneriler - 2üvenli İstemciler için Öneriler - 2

► Masaüstü bilgisayarlar üzerinde hassasMasaüstü bilgisayarlar üzerinde hassasveri depolamayınveri depolamayın Yedeklenmemiş dosyalar nedeniyle veri Yedeklenmemiş dosyalar nedeniyle veri

kayıpları olasılığıkayıpları olasılığı► Düzenli güncellemeler için gerekli altyapıyı Düzenli güncellemeler için gerekli altyapıyı

oluşturunoluşturun Tek, yedekli ya da hiyerarşik SUS/WUS Tek, yedekli ya da hiyerarşik SUS/WUS

sunucuları kullanınsunucuları kullanın► Windows XP’ler için yazılım kısıtlama Windows XP’ler için yazılım kısıtlama

politikalarını uygulayınpolitikalarını uygulayın P2P (Kazaa, eDonkey vb.) engellemeP2P (Kazaa, eDonkey vb.) engelleme


GGüvenli İstemciler için Öneriler - 3üvenli İstemciler için Öneriler - 3

► Görev kritik uygulamalara erişilenGörev kritik uygulamalara erişilenPC’lerde, güçlü kimlik doğrulama PC’lerde, güçlü kimlik doğrulama altyapısından faydalanınaltyapısından faydalanın Satın alma maliyetleri $50’nin altındaSatın alma maliyetleri $50’nin altında

► Kullanıcılarınızı eğitinKullanıcılarınızı eğitin Kurumsal güvenlik politikasının ve Kurumsal güvenlik politikasının ve

yönergelerinin neyi neden gerektirdiğiniyönergelerinin neyi neden gerektirdiğinianlatınanlatın


Microsoft Güvenlik KaynaklarıMicrosoft Güvenlik Kaynakları

http://www.microsoft.com/securityhttp://www.microsoft.com/security

Windows 2000 Hardening GuideWindows 2000 Hardening GuideWindows XP Hardening GuideWindows XP Hardening Guide

Güvenliğiniz Geleceğinizdir…Güvenliğiniz Geleceğinizdir…

Technology

Windows Masaüstü Güvenliği