Windows Vista kullanicilar?yla bulu?ur bulu?maz yenilikleri konu?ulmaya ba?land?. Biz de bu makalemizde Vista’n?n Group Policy içerisindeki Güvenlik Ayarlar? konusuna de?inece?iz.
Group Policy, Vista içerisinde baz? yeniliklerle kar??m?za ç?kt?. Asl?nda %80 oran?nda eski bütünlü?ünü ve özelliklerini korudu?unu söyleyebiliriz. Diger yeniliklerini ise beraberce de?erlendirmeye alaca??z.
Microsoft, Windows Vista Güvenlik Ayarlar? içerisinde toplam 17 adet yeni güvenlik kural? olu?turdu. ?imdi bu yeni kurallarla ve getirdikleri yeniliklerle tan??al?m;
1. Access Credential Manager as a trusted caller
2. Change the time zone
3. Create symbolic links
4. Increase a process working set
5. Modify an object label
6. Audit: Audit the use of Backup and Restore privilege
7. Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings
8. Audit: Shut down system immediately if unable to log security audits
9. User Account Control: Admin Approval Mode for the Built-in Administrator account
10. User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode
11. User Account Control: Behavior of the elevation prompt for standard users
12. User Account Control: Detect application installations and prompt for elevation
13. User Account Control: Only elevate executables that are signed and validated
14. User Account Control: Only elevate UIAccess applications that are installed in secure locations
15. User Account Control: Run all administrators in Admin Approval Mode
16. User Account Control: Switch to the secure desktop when prompting for elevation
17. User Account Control: Virtualize file and registry write failures to per-user locations
Access Credential Manager as a trusted caller
Group Policy içerisindeki yeri:
Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesUser Rights Assignment
| Bu ayar Backup ve Restore esnas?nda Credential Manager taraf?ndan kullan?lmaktad?r. Default olarak hiçbir kullanici bu hakka sahip de?ildir. Winlogon servis olarak bu hakka sahiptir. Asl?nda bu hakk?n ba?ka bir kullaniciya verilmesi de kullanici verilerinin ele geçirilmesi riskini ortaya ç?kartabilmektedir. Bundan dolay? Varsay?lan olarak “Not Configured” olarak ayarlanm??t?r. |
Change the time zone
Group Policy içerisindeki yeri:
Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesUser Rights Assignment
Daha önceki sürümlerde görmedi?imiz bu özellik sayesinde kullanicilar zaman dilimini de?i?tirebilir. Varsay?lan olarak Administrators, LOCAL SERVICE, Users gruplar?na bu yetki verilmi? durumda. Server ve Workstation güvenli?i için bu hakk?n da s?n?rl? ?ekilde kullan?lmas? gerekiyor.
Create symbolic links
Group Policy içerisindeki yeri:
Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesUser Rights Assignment
Kullanm?? oldugunuz bilgisayarda verileriniz farkl? dosya sistemleri içerisinde konu?land?r?lm?? olabilir. Bu gibi durumlarda farl? dosya sistemleri içerisindeki verilerinizin birbirleriyle senkronizasyonunu sa?layabilmek için sembolik linklerin kullan?lmas? gerekmektedir. Bu ayar Vista ve ilerisi isletim sistemleri için daha da büyük önem kazanacakt?r. Bu ayar içerisinde hangi kullanicilar?n sembolik link yaratma haklar? bulundu?unu ayarlayabilirsiniz. Varsay?lan olarak atanm?? de?er “Administrator” ?eklindedir. Önemli bir nokta da ?udur ki; kullanicilar bu ayar sayesinde uygulamalar?n ve dosya sisteminin aç?klar?ndan faydalanarak sembolik linkler yaratabilir ve verilere ula?abilir. Bu dü?ünceyle güvenilir olmayan kullanicilara bu hakk?n verilmemesi daha olumlu sonuçlar do?uracakt?r.
Increase a process working set
Group Policy içerisindeki yeri:
Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesUser Rights Assignment
“Working Set” ifadesi fiziksel bellek içerisinde bir uygulamaya ayr?lm?? olan belle?i ifade etmektedir. Bu ayar sayesinde hangi kullanicilar?n bu gerekli bellek miktar?n? art?rabileceklerini belirleyebilirsiniz. Unutulmamas? gerekir ki; “Working Set” de?erini yükseltmek sistemdeki genel bellek miktar?n? dü?ürecek ve sistemde performans dü?üklü?üne sebep olacakt?r. Default de?eri “Users” ?eklindedir.
Modify Object Label
Group Policy içerisindeki yeri:
Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesUser Rights Assignment
Bu ayar sayesinde kullanicilara; dosyalar?n, registry anahtarlar?n?n ve Diger dosyalar?n önceli?ini de?i?tirme hakk? tan?m?? olursunuz. Default olarak de?eri “Not Configured” ?eklindedir.
Audit: Audit the use of Backup and Restore privilege
Group Policy içerisindeki yeri:
Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesSecurity Options
Bu ayar sayesinde Backup ve Restore i?lemlerinin Audit edilmesini sa?layabilirsiniz. Bu ayarla beraber a?a??da görece?imiz “Audit Privilege Use” seçene?inin de aktif edilmesi sa?lanacakt?r. Bu iki ayar “enabled” edildi?i takdirde yedekleme ve geri yükleme ile ilgili kay?t i?lemleri yerine getirilecektir.
E?er “Audit: Audit the use of Backup and Restore privilege” seçene?i disable edilirse, “Audit Privilege Use” seçene?i aktif bile olsa yedekleme ve geri yükleme i?lemlerinin izlenmesi mümkün olmayacakt?r. Bu ayar?n aktif hale gelebilmesi için sistemin yeniden ba?lat?lmas? gerekmektedir. Default de?eri “disabled” ?eklindedir.
Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings
Group Policy içerisindeki yeri:
Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesSecurity Options
Bu yeni ayar sayesinde Windows Vista ve daha sonraki isletim sistemlerinde Audit i?lemlerinde kullan?lmak üzere bir “category” ve “subcategory” mant??? bulunmaktad?r. Bu mant???n yeni isletim sistemlerindeki çal??ma prensibine göre kategoriler her zaman alt kategorilere özelliklerini yans?tacaklar. Yani kurallar a?a??ya do?ru “inherit” edileceklerdir. Bu ayar sayesinde alt kategorilerin üst kategorilerin geçerlili?ini kendi üzerine almas?n? yani alt kategorilerin geçerli olmas?n? sa?layabilirsiniz. Default de?er “not defined” ?eklindedir.
Audit: Shut down system immediately if unable to log security audits
Group Policy içerisindeki yeri:
Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesSecurity Options
Sistemin herhangi bir sebepten dolay? log tutamamas? durumunda sistemin “shutdown” edilmesini sa?layan bir özelliktir. Log dosyalar?n?n tutulamamas?n?n baz? nedenleri olabilir. Bunlar;
-Log dosyas?n?n dolu olmas?
-EventLog ayarlar?nda “Retention method for security logs” özelli?inin günlük olarak seçilmesi dolay?s?yla ancak günlük olarak dosyan?n üzerine yaz?m?n aktif olmas?, Diger zamanlarda yeni kay?tlar?n dosyaya yaz?lmas?n?n imkanl? olmamas?,
-EventLog ayarlar?nda Retention method for security log” özelli?inin “do not overwrite ” ?eklinde ayarlanm?? olmas? dolay?s?yla log dosyas? doldugunda dosyan?n üzerine yeni kay?tlar?n girilmesinin engellenmi? olmas?,
E?er log dosyas? dolu ve üzerine yazma i?lemi de ba?ar?s?z ise bu durumda sistem a?a??daki gibi bir hata verecektir.
STOP: C0000244 {Audit Failed}
An attempt to generate a security audit failed.
Bu durumda yaln?zca Administrator sisteme Logon olabilir ve gerekli de?i?iklikleri yapabilir. Bu ayar?n varsay?lan de?eri “disabled” ?eklindedir. Ayn? ?ekilde bu ayar da aktif olabilmek için “restart” gerektirmektedir.
User Account Control: Admin Approval Mode for the Built-in Administrator account
Group Policy içerisindeki yeri:
Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesSecurity Options
Bu ayarla birlikte Microsoft’un Windows Vista içerisine entegre etti?i UAC (User Account Control) ekipman?n?n sa?lam?? oldugu baz? güvenlik ayarlar?n? de?i?tirme imkan? bulabilirsiniz. Admin Approval Mode kavram? da UAC içerisinde bulunan ve sistemin güvenli?ini ve uygulamalar?n sisteme verebilece?i zararlar? minimuma indirmeyi amaçlamaktad?r. Bu noktada çal??t?r?lacak programlar?n herhangi bir Administrator taraf?ndan onaylanmas?n? sa?layabiliriz. Varsay?lan olarak “Disabled” olarak ayarlanm??t?r. “Enabled” durumuna getirildi?inde uygulamalar çal??t?r?lmak istendi?inde a?a??daki gibi bir uyar? ekran? kar??m?za ç?kacakt?r.
 | UAC (User Account Control) mekanizmas?n?n içerisinde bulunan Admin Approval Mode ile uygulamalar?n?z? çal??t?r?rken Admin onay?n? almak isteyebilirsiniz. Bu güvenlik a?amas? ile bilinmeyen uygulamalar?n sisteme zarar vermelerinin de önüne geçilmi? olacakt?r. UAC aktif edilmedi?inde Admin Approval Mode da aktif olmayacakt?r. |
User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode
Group Policy içerisindeki yeri:
Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesSecurity Options
Bu ayarla da yukar?da belirtmi? oldugumuz Admin Approval Mode ‘un nas?l bir aksiyon alaca??n? bir ba?ka deyi?le Administrator hakk?nda sahip kullanicilar için onay ?eklinin nas?l olaca??n? belirleyebiliriz. Bunun için kar??m?zda 3 seçenek bulunmakta;
 | 1. Elevate without prompting Herhangi bir uyar? ekran? ile kar??la??lmayacakt?r. En az güvenli olan opsiyon budur. 2. Prompt for Credentials Administrator hakk?na sahip kullanicilar?n kullanici ad? ve sifre girmesinin gerektirecek olan seçenektir. 3. Prompt for consent (Varsay?lan ayard?r) Administrator ‘un “Permit” ya da “Deny” ?eklinde verece?i karar?n? içermektedir. Permit ile en yüksek hak ile uygulama çal??t?r?lacakt?r. Deny ile ise uygulaman?n çal??t?r?lmas? engellenecektir. |
?
 | “Prompt for credentials” seçildi?ine sol taraftaki gibi bir bilgi giri? penceresiyle kar??la??lacakt?r. |
User Account Control: Behavior of the elevation prompt for standard users
Group Policy içerisindeki yeri:
Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesSecurity Options
Bu güvenlik ayar? da t?pk? yukar?daki gibi onay mekanizmas? ile ilgilidir. Yaln?z standart kullanicilar için al?nacak aksiyonu belirtmektedir. Bu ayar içerisinde de a?a??da görece?imiz üzere 2 seçene?imiz olacakt?r;
 | 1. Automatically deny elevation requests (enterprise a?amada tercih edilebilir) Standard bir kullanicin?n Access-denied ?eklinde bir hata mesaj? almas? ile sonuçlanacakt?r. 2. Prompt for credentials (Ev kullanicilar? için tercih edilebilir) Admin yetkilerine sahip bir kullanicin?n bilgileri girilerek i?leme devam edilecektir. |
User Account Control: Detect application installations and prompt for elevation
Group Policy içerisindeki yeri:
Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesSecurity Options
Bu ayar sayesinde uygulama yükleme a?amas?nda sistemin kendini güvenlik alt?na al?p administrator yetkilerine sahip bir hesap bilgisi istemesi sa?lanabilecektir. Default olarak “Enabled” durumundad?r. Sistem güvenli?i için Standard kullanicilar için bu özelli?in varsay?lan olarak korunmas? önerilmektedir.
User Account Control: Only elevate executables that are signed and validated
Group Policy içerisindeki yeri:
Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesSecurity Options
Bu ayar sayesinde de istenildi?inde yaln?zca PKI sertifika zinciri içerisinde bulunan yani dijital olarak imzalanm?? ve do?rulanm?? olan programlar?n çal??t?r?lmas?n? sa?layabilirsiniz. Varsay?lan olarak “disabled” seçene?i aktif durumdad?r.
User Account Control: Only elevate UIAccess applications that are installed in secure locations
Group Policy içerisindeki yeri:
Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesSecurity Options
Bu güvenlik ayar? ile birlikte UIAccess entegrasyonu isteyen bütün uygulamalar?n güvenli bir lokasyonda çal??t?r?lmalar?n? ?art ko?abilirsiniz. Bir ba?ka deyi?le e?er uygulama a?a??daki güvenli lokasyonlardan birinde ise çal??t?r?lacak (enabled durumunda) aksi halde çal??t?r?lmayacakt?r. Disabled seçene?inde ise uygulama güvenli bir lokasyonda olmasa bile çal??t?r?labilir durumda olacakt?r. Bu ad? geçen güvenli lokasyonlar ise;
-Program Files ve alt klasörler
-WindowsSystem32
Varsay?lan de?eri “Enabled” ?eklindedir.
User Account Control: Run all administrators in Admin Approval Mode
Group Policy içerisindeki yeri:
Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesSecurity Options
Bu güvenlik ayar? ile UAC (User Account Control) mekanizmas?n?n tüm sistem için aktif olup olmamas?na karar verebilirsiniz. “Enabled” seçene?i ile aktif hale geçirilir ve tüm sistem UAC gereksinimlerine göre (approval mode, uygulama güvenli?i, güvenli lokasyon, dijital imzalanm?? uygulamalar vb…) ayarlanm?? olacakt?r. Disabled seçene?i ise UAC yi tamamen devre d??? b?rakacakt?r. Bu yönüyle oldukça önemli bir anahtard?r diyebiliriz. Varsay?lan de?eri elbette “Enabled” ?eklidendir. Bu ayarda yap?lacak de?i?iklikten sonra bilgisayar?n?z?n yeniden ba?lat?lmas? (restart edilmesi) gerekmektedir.
User Account Control: Switch to the secure desktop when prompting for elevation
Group Policy içerisindeki yeri:
Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesSecurity Options
Bu ayarla birlikte çal??t?r?lacak uygulaman?n onay? verilmeden önce desktop üzerinde al?nacak olan aksiyonun ?ekli de?erlendirilmektedir. Yani uygulaman?n çal??mas? ya da reddedilmesi için karar a?amas?ndayken masaüstünün güvenli tutulmas?n? sa?layabilirsiniz. Varsay?lan ayar “Enabled” ?eklindedir.
User Account Control: Virtualize file and registry write failures to per-user locations
Group Policy içerisindeki yeri:
Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesSecurity Options
Son ayar?m?zda; uygulamalar?n çal??t?r?ld?klar?nda ya da ba?ka bir uygulamaya yönlendirildiklerinde meydana gelebilecek kay?t yazma hatalar?n?n, kullaniciya özel (korumal?) lokasyonlara kaydedilip kaydedilmemesine karar verebiliriz. Windows Vista uyumlu uygulamalarda veriler korumal? alanlara yazma i?lemi gerçekle?tirmedi?inden e?er sistemde yaln?zca Vista uyumlu isletim sistemleri kullan?l?yorsa bu durumda bu ayar disable edilebilir.
Ek Bilgi
| • | http://go.microsoft.com/fwlink/?LinkId=77873 |
| • | http://go.microsoft.com/fwlink/?LinkID=29907 |
| • | http://go.microsoft.com/fwlink/?LinkId=77876 |
| • | http://go.microsoft.com/fwlink/?LinkID=20482 |
Bir sonraki makalemizde yine Windows Vista’n?n getirmi? oldugu yeniliklerde görü?mek dile?iyle.
Tesekkür Ederim.
?
Baki Onur OKUTUCU
Microsoft Certified Trainer