Başlıktan da anlaşıldığı üzere bu makalede yeni kurulan ve güvenlik politikaları yeni oluşturulan bir şirkette yapılması gereken, olmazsa olmaz diyebileceğimiz GPO’lardan söz etmek istiyorum. Bir şirketin GP politikası oluşturulurken dikkat etmemiz gereken hususlar çok fazla olmakla birlikte kaçınılmaz bazı ayarları yapmamız gerekir. Bununla ilgili söylenecek çok fazla şey olduğundan amacımızın GPO ile içli dışlı olan arkadaşlarımıza yardımcı olmak olduğunu hatırlatarak konuya hemen girelim. Başlıklar ve altında ilgili ayar şeklinde belirtmeye başlıyoruz.
1- Password Policy
Hepimzin yakından bildiği bir policy tipidir. Computer Configuration altında uygulanır. Domaine üye bilgisayarlara oturum açacak kullanıcılar için uygulanacak kurallar bütününü temsil eder. En çok kullanılan iki ayarı aşağıda veriyorum:
a- Minimum password length: Minimum şifre uzunluğu, önerilen 7/8 karakterdir.
Computer Configuration à Policies à Windows Settings à Security Settings à Account Policies à Password Policy yolunda bulunur.
b- Password Must Meet Complextlity Requirements: Şifrenin karmaşık bir kombinasyona sahip olup olmayacağını belirtir, önerilen durum karmaşık olmasıdır.
Computer Configuration à Policies à Windows Settings à Security Settings à Account Policies à Password Policy yolunda bulunur.
2- Audit Policy
Domain ortamında olan biteni kısmen de olsa izlediğimiz policy bölümüdür. En işimize yarayan policy,
a- Audit Object Access: Paylaşıma açık dosyalara erişimin izlenip başarılı/başarısız gibi sonuçları veren policydir.
Computer configuration à Policies à Windows Settings à Security Settings à Local Policies à Audit Policies yolunda bulunur.
3- User Right Assignment
Belki de en çok soru gelen, herkesin GPMC ( Group Policy Management Console ) içinde en çok uğradığı bölümdür. İçerisinde en çok kullanmamız gerekenlerden bir kaç tanesine bakalım.
a- Allow Log On Through Remote Desktop Services
Uzak masaüstü uygulaması ile bilgisayarlara oturum açabilecek kullanıcı yada grupların belirlendiği bölümdür. Computer Configuration à Policies à Windows Settings à Security Settings à Local Policies à User Right Assignment yolunda bulunur. Olması gereken ayar aşağıdaki gibidir :
b- Change System Time
Bu kural da yine çok dikkat çekmeyen, ama güvenli bir ortamda olması gereken ayarlardan biridir. Çünkü sistem saatinin sunucudan ya da ortamda herkesçe ulaşılan bir kaynaktan farklı olması ve değiştirilmesi, network erişimini olumsuz yönde etkiler. Çoğumuz dosya paylaşımlarına bu sebeple erişememezlik yaşamışızdır. Bu sebeple biz yöneticiler dışında kimse bu ayara dokunmamalı. User Right Assignment ‘taki önemli ayarlardan biridir:
c- Log on as a batch job
Yine User Right Assignment altında bulunan, genellikle atlanan, ama atlanmaması gereken ayarlardan biri olduğunu düşünüyorum. Uzantısı “.bat” formatındaki dosyaları administrator grubu dışındaki kullanıcılar çalıştırdığında, sisteme virüs bulaşma ihtimalini göz önüne almak gerektiği kanaatindeyim. Yalnızca Backup Operators grubunu bu durumdan dışarıda tutmak gerek. Çünkü zaman zaman arayüz ile alamadığımız yedekleri, uzantısını. bat olarak oluşturduğumuz batch dosyalar ile alabiliyoruz. Güvenliği optimum düzeyde tutarak olması gereken ayar:
d- Log on as a service
Bu policy, yaygın kullanılan bir policydir. Ama burada hatırlatmak amacıyla tekrar edelim. Domain ortamında servis başlatma yetkisine sahip kullanıcı ya da grupları belirtmek için kullanırız. Zaman zaman servisleriyle birlikte kurulan programlar biz bilmeden client taraflarında kurulabilir. Bu durumlarda sistemimiz bilmediğimiz bir sürü programla dolacağından, client tarafındaki envanter takibinden koparız. Bunun önüne geçmek için bu kurala yalnızca istediğimiz kullanıcı ya da grupları tanımlarız ki bizim bilgimiz dışında domainimizde servis çalışmasın. Örneğin;
Yukarıdaki şekle göre servis başlatmasını istediğim kullanıcıyı domain admin yapmam gerekir. Fakat bu, zaman zaman sakıncalar doğruabilir. Bu sebeple tavsiyem, servis başlatacak sıfır bir grup açıp, buraya ekledikten sonra, servislerde start yetkisi olacak kullanıcılar oldukça ilgili gruba dahil etmek olacaktır.
e- Shutdown the system
Adından da anlıyoruz ki, sistemi shut down edecek kullanıcı ya da grupları belirliyoruz. Tabi ki ilk olarak admin yetkisine sahip kullanıcılar burada olmalı.
4- Security Options
Computer Configuration à Policies à Windows Settings à Security Settings à Local Policies à Security Options bölümünde yer alır. Burada da yine çok fazla ayar ihtiyaca göre ayarlanabilir fakat ben kendi uyguladığım bir ayarı vereyim.
a- Accounts : Guest Account Status
Domain ortamındaki bilgisayarlarda yer alan “Guest“ kullanıcısının durumunu belirtir. Varsayılan olarak zaten devre dışıdır. Fakat manuel olarak enable edilmelerine karşı önlem amacıyla, aşağıdaki ayarı yapmanızı öneririm:
5- Public Key Policies
Bu ayarımız, opsiyonel olmakla birlikte yavaş yavaş zorunlu hale gelmektedir. İçerisindeki Trusted Root Certification Authorities bölümüne, ortamımızda Lync, Exchange gibi sertifika isteyen yazılımlar oldukça tüm domain ortamına sertifika dağıtmamız artık kaçınılmaz oldu. Aşağıdaki örnekte bir mail sunucu sertifikası mevcut, Trusted Root Certification Authroties ‘e sağ click Import diyerek gerçekleştirmeliyiz, aksi halde tüm domain ortamına manuel olarak sertifika import etmek çok zaman kaybına yol açıyor.
6- Network
Computer Configuration à Policies à Administrative Templates à Network yolunda bulunur. Bizim burada değiştireceğimiz ve en çok lazım olacak ayar DNS Servers ayarıdır.
a- DNS Client
Zaman zaman mecburen de olsa bazı client makinelerde oturum açan kullanıcılara admin yetkisi verebiliyoruz. Kullanıcı, bunu bilerek ya da bilmeyerek internet üzerinde ulaşamadığı kaynaklara kısıtlı bir bilgiyle dns adresini değiştirerek ulaşmaya çalışıyor. Bir süre sonra domaine oturum açamadığını tarafımıza bildiriyor. İşte biz bu ayarı policy tarafında etiketleyip mecburi kılarsak, bizim söylediğimiz dns adresinden başka bir adres girse bile bir sonraki log on ‘da yeniden dns adresi bizim istediğimiz adres olacağından log on sorunu başlamadan bitmiş olacak. Burada göstereceğimiz adres tabiki Domain Controller olmalı:
7- Remote Desktop Services
Computer Configuration à Administrative Templates à Windows Components à Remote Desktop Services yolunda bulunur. Buradaki ayarları aslında ortamda bir ya da birden fazla terminal sunucu varsa değiştirmek daha mantıklı. Şirketin genel güvenlik politikasına göre yöneticiler sizden bazı kısıtlamalar isteyebilir. Örneklendirelim:
a- Do not allow clipboard redirection
Uzak masaüstündeki kopyala/yapıştır fonksiyonunun önüne geçmemizi sağlar. İlgili ayarı şekilde belirtelim:
b- Do not allow drive redirection
Bu ayar da yine yukarıdakine benzer. Drive redirection eşittir sürücü yönlendirmesi demektir. Bu ayarı enable edersem sunucuma şunu demiş olacağım: C,D,E gibi sürücüleri uzak masaüstüne getirme.
Computer Configuration altındaki ayarları bitirdik. En azından asgari olanları yaptık. Şimdi geldik kullanıcı tarafında gerekli olan minimum ayarlara. Önerilen de diyebiliriz. Güvenlik tarafında Group Policy ile hareket ediyorsak, bilgisayar tarafı kadar kullanıcı tarafına da önem vermeliyiz. Yine lafı çok uzatmadan ayarlara geçelim.
1- Internet Explorer Maintenance
User Configuration à Windows Settings altında bulunur. Burada, policy uygulayacağımız kullanıcı hangi bilgisayarda oturum açarsa açsın kendisine bu policy uygulanacaktır. İlk ayarımız :
a- Proxy Settings
GPO’da aynı yolu takip ederek, Connection bölümüne geldik. Ortamda bir proxy sunucumuz var ise ve biz bu kullanıcının bizim belirttiğimiz proxy sunucu üzerinden internete çıkmasını istiyorsak aşağıdaki ayarları yapmamız gerekir.
Tabi bu ayarı yaptıktan sonra, kullanıcının bunu değiştirmesinin önüne geçmek durumundayız. Biraz işi bilen bir kullanıcı bu ayarı görüp devre dışı bırakabilir. Bunun önüne geçmek için :
b- Disable Connections Page
Kullanıcının, yukarıda yaptığım ayara ulaşmamasını sağlayan ayardır. User Configuration à Administrative Templates à Windows Components à Internet Explorer à Internet Control Panel altında bulunur.
Bu ayarı da aktif ettikten sonra kullanıcı Connections sayfasını göremeyeceği için, dolayısıyla proxy server adresimizi de göremeyecektir. Tam anlamıyla istediğimizi yapmış olduk. Diğer ayarlar ile devam ediyoruz.
2- Control Panel
User Configuration à Administrative Templates yolunu takip ederek bulabileceğimiz bir menüdür. Altında en çok işimizi görecekler:
a- Prohibit access to the control panel
Control panele girişi engellemek, bizim kurduğumuz program yapısını, yetkisi olan kullanıcıların bozmasına engel olmak açısından optimum çözümdür. İlgili ayarın şekli aşağıdadır:
3- Network Connections
Network ayarlarında kullanıcılar eğer Domain Users grubuna üyeler ise zaten değişiklik yapamazlar. Ama yine mecburi yetkilendirmelerden ötürü kimi kullanıcıya bazı haklar tanımamız gerekir. Bir yandan da bizim yaptığımız network ayarlarına dokunmamalarını sağlamalıyız. Bunun sağlamanın en güzel yolu aşağıdadır.
a- Prohibit access to properties of LAN Connection
User Configuration à Administrative Templates à Network à Network Connections bölümünde bulunur. Kullanıcıların local area network olarak bildiğimiz ethernet kartının özelliklerine girmelerini, dolayısıyla IP adreslerinde değişiklik yapmalarını böylece engellemiş oluruz.
b- Prohibit access to the command promt
Bu policy, makalede yazacağım son maddemiz. İlgili ayarı yaptığımız kullanıcılar komut satırına ulaşamayacaklar. Haliyle komut satırında uygulanabilecek hiç bir komutu da koşturamayacaklardır. Yine güvenlik açısından faydalıdır. Örneğin kötü niyetli bir kullanıcı komut satırına ulaşıp bazı ayarları değiştirebilir ya da ulaştığı makineyi kapatabilir. Biz böylece bu tip aksiyonların da önüne geçmiş oluyoruz. İlgili ayarın şeklini son olarak aşağıda verelim:
User Configuration à Administrative Templates à System ve
Bir şirketin GP yapısı belli toplantılar sonunda, yöneticilerin isteklerine göre şekillenebilir. Bu makalede yaptıklarımız, biz sistem uzmanlarının kimseye sormadan yapacağımız hareketlerdir. Yeterince açık anlatabilmişimdir diyerek makalemizin sonuna geliyorum. Hem genel ayarları hatırlatma, hem de temel bazı bilgileri tazeleme açısından faydalı olacağını umuyorum.
Teşekkürler