Windows Masaüstü Güvenliği Burak Dayıoğlu

Sunum Planı Masaüstü güvenliğinin artan önemi Windows 2000 ve XP’nin güvenlik özellikleri Etkin masaüstü güvenliği için diğer gereksinimler

Masaüstü güvenliğinin artan önemi

Windows 2000 ve XP’nin güvenlik özellikleri

Etkin masaüstü güvenliği için diğer gereksinimler

Mainframe’den Kişisel Bilgisayara Mainframe dünyasının merkezi işleyişi güvenliğin göreli daha kolay sağlanmasına imkan veriyordu İstemci-sunucu mimarisi üretkenliği arttırdı, ancak yeni güvenlik riskleri doğurdu PC üzerinde depolanan dosyalar Hassas uygulamalara PC’ler aracılığı ile erişim

Mainframe dünyasının merkezi işleyişi güvenliğin göreli daha kolay sağlanmasına imkan veriyordu

İstemci-sunucu mimarisi üretkenliği arttırdı, ancak yeni güvenlik riskleri doğurdu

PC üzerinde depolanan dosyalar

Hassas uygulamalara PC’ler aracılığı ile erişim

Masaüstü Güvenliği Gereksinimi Kişisel bilgisayarlar Üzerinde depolanan veriler Görev-kritik uygulamalara yapılan bağlantılar Daha kritik sistemler ile ağ komşulukları nedeniyle saldırganlar için değerli birer hedeftir Kişisel bilgisayarların güvenliğinin sağlanması Kullanıcı kitlesinin BT uzmanı olmaması “ Kişiselleştirilebilir” olmaları Çok sayıda olmaları nedeniyle kolaylıkla mümkün değildir

Kişisel bilgisayarlar

Üzerinde depolanan veriler

Görev-kritik uygulamalara yapılan bağlantılar

Daha kritik sistemler ile ağ komşulukları

nedeniyle saldırganlar için değerli birer hedeftir

Kişisel bilgisayarların güvenliğinin sağlanması

Kullanıcı kitlesinin BT uzmanı olmaması

“ Kişiselleştirilebilir” olmaları

Çok sayıda olmaları

nedeniyle kolaylıkla mümkün değildir

Windows Masaüstü Güvenliği Windows işletim sistemi kampüs ağları üzerinde yoğun biçimde kullanılmaktadır Güncel Windows sürümleri (2000 ve XP) pek çok faydalı güvenlik özelliğine sahiptir Güvenlik özelliklerini bilmek ve kullanmak Art-niyetli çalışanların Dış saldırganların Uygunsuz/hatalı kullanımların verebileceği zararı en aza indirebilir

Windows işletim sistemi kampüs ağları üzerinde yoğun biçimde kullanılmaktadır

Güncel Windows sürümleri (2000 ve XP) pek çok faydalı güvenlik özelliğine sahiptir

Güvenlik özelliklerini bilmek ve kullanmak

Art-niyetli çalışanların

Dış saldırganların

Uygunsuz/hatalı kullanımların

verebileceği zararı en aza indirebilir

Windows Güvenlik Modeli Güncel masaüstü Windows sürümleri Merkezi yönetimi Çok kullanıcılı ve gezgin BT yapılarını Bir kullanıcı birden fazla PC’den faydalanabilir Bir PC birden fazla kullanıcı tarafından paylaşılabilir öne çıkartacak teknik özelliklere sahiptir

Güncel masaüstü Windows sürümleri

Merkezi yönetimi

Çok kullanıcılı ve gezgin BT yapılarını

Bir kullanıcı birden fazla PC’den faydalanabilir

Bir PC birden fazla kullanıcı tarafından paylaşılabilir

öne çıkartacak teknik özelliklere sahiptir

Windows Güvenlik Özellikleri Active Directory ile Merkezi Yönetim Rol-tabanlı erişim denetimi (RBAC) Dosya sistemi güvenliği Registry güvenliği Yüksek güvenlikli doğrulama ve PKI Grup politikaları ve güvenlik şablonları Yazılım kısıtlama politikaları Çevrim-dışı dosya senkronizasyonu

Active Directory ile Merkezi Yönetim

Rol-tabanlı erişim denetimi (RBAC)

Dosya sistemi güvenliği

Registry güvenliği

Yüksek güvenlikli doğrulama ve PKI

Grup politikaları ve güvenlik şablonları

Yazılım kısıtlama politikaları

Çevrim-dışı dosya senkronizasyonu

Windows Güvenlik Özellikleri - 2 Güvenlik duvarı Güncelleme/yama yönetimi Virüs temizleme programı Casus program (spyware) temizleme programı

Güvenlik duvarı

Güncelleme/yama yönetimi

Virüs temizleme programı

Casus program (spyware) temizleme programı

Active Directory Tüm Windows kaynaklarına ilişkin yapılandırma bilgisini tek bir “ ağ çapında veritabanı ”nda toplama LDAP uyumlu dizin sunucusu Kullanıcılar, kişisel bilgisayarlar, sunucular, ağ servisleri, bunlara ilişkin ayarlar, … Active Directory’nin diğer dizinler ile ilişkilendirilmesi

Tüm Windows kaynaklarına ilişkin yapılandırma bilgisini tek bir “ ağ çapında veritabanı ”nda toplama

LDAP uyumlu dizin sunucusu

Kullanıcılar, kişisel bilgisayarlar, sunucular, ağ servisleri, bunlara ilişkin ayarlar, …

Active Directory’nin diğer dizinler ile ilişkilendirilmesi

Rol Tabanlı Erişim Denetimi Windows Rol tabanlı erişim denetimini destekler Rolleri tanımla, rollere yetkileri ata Kullanıcıları roller ile ilişkilendir Rol tabanlı yetkilendirme, kullanıcılara tek tek yetki ataması yapmaktan daha ölçeklenebilirdir Kullanıcıların administrator yetkisi ile PC kullanımları engellenmelidir

Windows Rol tabanlı erişim denetimini destekler

Rolleri tanımla, rollere yetkileri ata

Kullanıcıları roller ile ilişkilendir

Rol tabanlı yetkilendirme, kullanıcılara tek tek yetki ataması yapmaktan daha ölçeklenebilirdir

Kullanıcıların administrator yetkisi ile PC kullanımları engellenmelidir

Dosya Sistemi Güvenliği Windows NTFS dosya sistemi erişim denetim listelerini (ACL) destekler Kimin hangi dosyaya nasıl erişebileceği net biçimde tariflenebilir ACL düzenlemeleri ile K ullanıcıların kurulu programları bozmalar ı Sistemi çalışmaz duruma getirmeleri engellenebilir

Windows NTFS dosya sistemi erişim denetim listelerini (ACL) destekler

Kimin hangi dosyaya nasıl erişebileceği net biçimde tariflenebilir

ACL düzenlemeleri ile

K ullanıcıların kurulu programları bozmalar ı

Sistemi çalışmaz duruma getirmeleri

engellenebilir

Şifrelenmiş Dosya Sistemi - EFS Dosya sistemleri şifrelenerek yetkisiz erişime karşı korunabilir Hassas dosyaların depolandığı dosya sistemlerinin şifrelenmesi yeni bir savunma kademesi oluşturur Şifrelenmiş dosya sisteminin bulunduğu disk çalınsa da dosyalar görüntülenemez Dosyalar, dosya sahibi kullanıcı ya da yetkilendirilmiş sistem yöneticilerince deşifre edilebilir Saldırgan, disk üzerindeki dosyaları göremeyebilir / açamayabilir

Dosya sistemleri şifrelenerek yetkisiz erişime karşı korunabilir

Hassas dosyaların depolandığı dosya sistemlerinin şifrelenmesi yeni bir savunma kademesi oluşturur

Şifrelenmiş dosya sisteminin bulunduğu disk çalınsa da dosyalar görüntülenemez

Dosyalar, dosya sahibi kullanıcı ya da yetkilendirilmiş sistem yöneticilerince deşifre edilebilir

Saldırgan, disk üzerindeki dosyaları göremeyebilir / açamayabilir

Registry Güvenliği Windows ayarları registry üzerinde depolanır Windows registry’si erişim denetim listelerini destekler Hangi anahtara kimin ve nasıl erişebileceği belirlenebilir Registry ACL’leri ile Kullanıcıların sistem ayarlarını değiştirmeleri Sistemi çalışmaz duruma getirmeleri engellebilir

Windows ayarları registry üzerinde depolanır

Windows registry’si erişim denetim listelerini destekler

Hangi anahtara kimin ve nasıl erişebileceği belirlenebilir

Registry ACL’leri ile

Kullanıcıların sistem ayarlarını değiştirmeleri

Sistemi çalışmaz duruma getirmeleri engellebilir

Yüksek Güvenlikli Doğrulama Sistem girişleri için akıllı kartların ya da token’ların kullanılması mümkündür Tahmin edilebilir parolalar Unutulan parolalar Birbirinin yerine giriş yapan kullanıcılar engellenebilir

Sistem girişleri için akıllı kartların ya da token’ların kullanılması mümkündür

Tahmin edilebilir parolalar

Unutulan parolalar

Birbirinin yerine giriş yapan kullanıcılar

engellenebilir

Microsoft Certificate Services Windows Server ürünleri ile birlikte standart olarak sağlanan sertifika sunucu yazılımıdır Windows 2000 ve XP istemcileri sayısal sertifikalar ile çalışabilmektedir Kullanıcılar için sayısal sertifika üretimi Akıllı-kartlar içerisinde doğrulama için kullanım e-imza için kullanım

Windows Server ürünleri ile birlikte standart olarak sağlanan sertifika sunucu yazılımıdır

Windows 2000 ve XP istemcileri sayısal sertifikalar ile çalışabilmektedir

Kullanıcılar için sayısal sertifika üretimi

Akıllı-kartlar içerisinde doğrulama için kullanım

e-imza için kullanım

Grup Politikaları Güvenlik politikasının merkezi olarak belirlenmesini ve dağıtılmasını sağlar Kullanıcı ve bilgisayar gruplanması Gruplara kural kümelerinin (politika) atanması Parola, güncelleme, kayıt tutma, hesap kilitleme, erişim denetimi …

Güvenlik politikasının merkezi olarak belirlenmesini ve dağıtılmasını sağlar

Kullanıcı ve bilgisayar gruplanması

Gruplara kural kümelerinin (politika) atanması

Parola, güncelleme, kayıt tutma, hesap kilitleme, erişim denetimi …

Yazılım Kısıtlama Politikaları Kullanıcıların hangi uygulamaları işletebileceklerini kontrol etmek üzere kullanılır Belirtilenler dışındaki tüm uygulamalar yasaktır Belirtilenler dışındaki tüm uygulamalar serbesttir Belirtimler Program dosyasının hash’ine Üreticisinin sayısal imzasına Yerel ya da UNC yoluna Güvenlik bölgesine (Zone) göre gerçekleştirilebilir

Kullanıcıların hangi uygulamaları işletebileceklerini kontrol etmek üzere kullanılır

Belirtilenler dışındaki tüm uygulamalar yasaktır

Belirtilenler dışındaki tüm uygulamalar serbesttir

Belirtimler

Program dosyasının hash’ine

Üreticisinin sayısal imzasına

Yerel ya da UNC yoluna

Güvenlik bölgesine (Zone) göre gerçekleştirilebilir

Çevrim-Dışı Senkronizasyon İstemciler sunucu üzerindeki bazı dizin ve dosyaları “çevrim-dışı” kullanmak isteyebilirler Çevrim-dışıyken bu dosyalar PC üzerinde depolanır, şifrelenerek yetkisiz erişimden korunur

İstemciler sunucu üzerindeki bazı dizin ve dosyaları “çevrim-dışı” kullanmak isteyebilirler

Çevrim-dışıyken bu dosyalar PC üzerinde depolanır, şifrelenerek yetkisiz erişimden korunur

Güvenlik Duvarı XP SP2 ile durum-korumalı bir paket-filtreleyen güvenlik duvarı sağlanmaktadır Ön-tanımlı olarak sisteme doğru gelen tüm trafiği durdurur Kullanımı çok kolay Soru sormaz  Merkezden yönetilebilir

XP SP2 ile durum-korumalı bir paket-filtreleyen güvenlik duvarı sağlanmaktadır

Ön-tanımlı olarak sisteme doğru gelen tüm trafiği durdurur

Kullanımı çok kolay

Soru sormaz 

Merkezden yönetilebilir

Güncelleme/Yama Yönetimi Kişisel bilgisayar zafiyetleri Virüs/worm Truva atı Spam vb. robotu yayılımlarına imkan vermektedir Düzenli güncelleme ve yamalama ile art-niyetli yazılımlardan kaynaklanan zafiyetler engellenebilir Windows Update

Kişisel bilgisayar zafiyetleri

Virüs/worm

Truva atı

Spam vb. robotu

yayılımlarına imkan vermektedir

Düzenli güncelleme ve yamalama ile art-niyetli yazılımlardan kaynaklanan zafiyetler engellenebilir

Windows Update

Software Update Services (SUS) Automatic Updates istemcili Şirket Sunucuları, Masaüstleri ve Taşınablirler WindowsUpdate Internet Intranet Çalışan SUS Windows: Kritik Güvenlik Yamaları , Güvenlik Dağıtımları , Servis Paketleri Web tabanlı Sistem Yönetimi. Yönetici yamaları onaylar. Yama Senkr. Onaylı yamalar yüklenip uygulanır. Merkezi İstemci Yapılandırması

SUS Teknik Özellikleri Grup politikası aracılığı ile merkezden güncelleme yönetimi ve izleme AD’ye kaydedilmemiş sistemler de desteklenir Yalnızca “kritik güncellemeleri” ve “güvenlik güncellemeleri” dağıtılabilir Dağıtılacak yamalar sistem yöneticisince onaylanır Onaylanmamış yamalar dağıtılmaz

Grup politikası aracılığı ile merkezden güncelleme yönetimi ve izleme

AD’ye kaydedilmemiş sistemler de desteklenir

Yalnızca “kritik güncellemeleri” ve “güvenlik güncellemeleri” dağıtılabilir

Dağıtılacak yamalar sistem yöneticisince onaylanır

Onaylanmamış yamalar dağıtılmaz

Windows Update Services (WUS) Daha fazla Microsoft ürününün güncellenmesine imkan verir Office Exchange

Daha fazla Microsoft ürününün güncellenmesine imkan verir

Office

Exchange

Virüs Temizleme Programı “ Malicious Software Removal Tool” GeCAD firmasının (RAV) alımından sonra çıkan ilk üründür Windows Update ile güncellenmektedir Yalnızca güncel virüsleri tespit edebilir

“ Malicious Software Removal Tool”

GeCAD firmasının (RAV) alımından sonra çıkan ilk üründür

Windows Update ile güncellenmektedir

Yalnızca güncel virüsleri tespit edebilir

Spyware Temizleme Programı Casus program temizliği için yeni bir üründür Microsoft Anti-Spyware 1.0 Beta Microsoft’un GIANT’ı satın almasından sonra çıkan ilk üründür

Casus program temizliği için yeni bir üründür

Microsoft Anti-Spyware 1.0 Beta

Microsoft’un GIANT’ı satın almasından sonra çıkan ilk üründür

G üvenli İstemciler için Öneriler Kullanıcıları Active Directory çatısı altında toplayın Merkezi yönetim, grup politikası uygulamaları Active Directory’yi diğer sistemleriniz ile entegre ederek “kimlik yönetimi”ne geçin Kişisel bilgisayarların administrator izinleri ile kullanılmasına izin vermeyin Kurumsal dosya sistemi ve registry ACL tarifleri hazırlayın, tüm PC’lere uygulayın NTFS dışında dosya sistemi kullanmayın

Kullanıcıları Active Directory çatısı altında toplayın

Merkezi yönetim, grup politikası uygulamaları

Active Directory’yi diğer sistemleriniz ile entegre ederek “kimlik yönetimi”ne geçin

Kişisel bilgisayarların administrator izinleri ile kullanılmasına izin vermeyin

Kurumsal dosya sistemi ve registry ACL tarifleri hazırlayın, tüm PC’lere uygulayın

NTFS dışında dosya sistemi kullanmayın

G üvenli İstemciler için Öneriler - 2 Masaüstü bilgisayarlar üzerinde hassas veri depolamayın Yedeklenmemiş dosyalar nedeniyle veri kayıpları olasılığı Düzenli güncellemeler için gerekli altyapıyı oluşturun Tek, yedekli ya da hiyerarşik SUS/WUS sunucuları kullanın Windows XP’ler için yazılım kısıtlama politikalarını uygulayın P2P (Kazaa, eDonkey vb.) engelleme

Masaüstü bilgisayarlar üzerinde hassas veri depolamayın

Yedeklenmemiş dosyalar nedeniyle veri kayıpları olasılığı

Düzenli güncellemeler için gerekli altyapıyı oluşturun

Tek, yedekli ya da hiyerarşik SUS/WUS sunucuları kullanın

Windows XP’ler için yazılım kısıtlama politikalarını uygulayın

P2P (Kazaa, eDonkey vb.) engelleme

G üvenli İstemciler için Öneriler - 3 Görev kritik uygulamalara erişilen PC’lerde, güçlü kimlik doğrulama altyapısından faydalanın Satın alma maliyetleri $50’nin altında Kullanıcılarınızı eğitin Kurumsal güvenlik politikasının ve yönergelerinin neyi neden gerektirdiğini anlatın

Görev kritik uygulamalara erişilen PC’lerde, güçlü kimlik doğrulama altyapısından faydalanın

Satın alma maliyetleri $50’nin altında

Kullanıcılarınızı eğitin

Kurumsal güvenlik politikasının ve yönergelerinin neyi neden gerektirdiğini anlatın

Microsoft Güvenlik Kaynakları http://www.microsoft.com/security Windows 2000 Hardening Guide Windows XP Hardening Guide

http://www.microsoft.com/security

Windows 2000 Hardening Guide

Windows XP Hardening Guide

Güvenliğiniz Geleceğinizdir…