| Windows Vista kullanıcılarıyla buluşur buluşmaz yenilikleri konuşulmaya
başlandı. Biz de bu makalemizde Vista?nın Group Policy içerisindeki
Güvenlik Ayarları konusuna değineceğiz. Group Policy, Vista içerisinde
bazı yeniliklerle karşımıza çıktı. Aslında %80 oranında eski
bütünlüğünü ve özelliklerini koruduğunu söyleyebiliriz. Diğer
yeniliklerini ise beraberce değerlendirmeye alacağız.
Microsoft, Windows Vista Güvenlik Ayarları içerisinde toplam 17 adet
yeni güvenlik kuralı oluşturdu. Şimdi bu yeni kurallarla ve
getirdikleri yeniliklerle tanışalım;
1. Access Credential Manager as a trusted caller
2. Change the time zone
3. Create symbolic links
4. Increase a process working set
5. Modify an object label
6. Audit: Audit the use of Backup and Restore privilege
7. Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings
8. Audit: Shut down system immediately if unable to log security audits
9. User Account Control: Admin Approval Mode for the Built-in Administrator account
10. User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode
11. User Account Control: Behavior of the elevation prompt for standard users
12. User Account Control: Detect application installations and prompt for elevation
13. User Account Control: Only elevate executables that are signed and validated
14. User Account Control: Only elevate UIAccess applications that are installed in secure locations
15. User Account Control: Run all administrators in Admin Approval Mode
16. User Account Control: Switch to the secure desktop when prompting for elevation
17. User Account Control: Virtualize file and registry write failures to per-user locations
Access Credential Manager as a trusted caller
Group Policy içerisindeki yeri:
Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesUser Rights Assignment
 |
Bu
ayar Backup ve Restore esnasında Credential Manager tarafından
kullanılmaktadır. Default olarak hiçbir kullanıcı bu hakka sahip
değildir. Winlogon servis olarak bu hakka sahiptir. Aslında bu hakkın
başka bir kullanıcıya verilmesi de kullanıcı verilerinin ele
geçirilmesi riskini ortaya çıkartabilmektedir. Bundan dolayı Varsayılan
olarak ?Not Configured? olarak ayarlanmıştır.
|
Change the time zone
Group Policy içerisindeki yeri:
Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesUser Rights Assignment
 
Daha
önceki sürümlerde görmediğimiz bu özellik sayesinde kullanıcılar zaman
dilimini değiştirebilir. Varsayılan olarak Administrators, LOCAL
SERVICE, Users gruplarına bu yetki verilmiş durumda. Server ve
Workstation güvenliği için bu hakkın da sınırlı şekilde kullanılması
gerekiyor.
Create symbolic links
Group Policy içerisindeki yeri:
Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesUser Rights Assignment
Kullanmış
olduğunuz bilgisayarda verileriniz farklı dosya sistemleri içerisinde
konuşlandırılmış olabilir. Bu gibi durumlarda farlı dosya sistemleri
içerisindeki verilerinizin birbirleriyle senkronizasyonunu
sağlayabilmek için sembolik linklerin kullanılması gerekmektedir. Bu
ayar Vista ve ilerisi işletim sistemleri için daha da büyük önem
kazanacaktır. Bu ayar içerisinde hangi kullanıcıların sembolik link
yaratma hakları bulunduğunu ayarlayabilirsiniz. Varsayılan olarak
atanmış değer ?Administrator? şeklindedir. Önemli bir nokta da şudur
ki; Kullanıcılar bu ayar sayesinde uygulamaların ve dosya sisteminin
açıklarından faydalanarak sembolik linkler yaratabilir ve verilere
ulaşabilir. Bu düşünceyle güvenilir olmayan kullanıcılara bu hakkın
verilmemesi daha olumlu sonuçlar doğuracaktır.
Increase a process working set
Group Policy içerisindeki yeri:
Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesUser Rights Assignment
?Working
Set? ifadesi fiziksel bellek içerisinde bir uygulamaya ayrılmış olan
belleği ifade etmektedir. Bu ayar sayesinde hangi kullanıcıların bu
gerekli bellek miktarını artırabileceklerini belirleyebilirsiniz.
Unutulmaması gerekir ki; ?Working Set? değerini yükseltmek sistemdeki
genel bellek miktarını düşürecek ve sistemde performans düşüklüğüne
sebep olacaktır. Default değeri ?Users? şeklindedir.
Modify Object Label
Group Policy içerisindeki yeri:
Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesUser Rights Assignment
Bu ayar sayesinde kullanıcılara; dosyaların, registry anahtarlarının ve
diğer dosyaların önceliğini değiştirme hakkı tanımış olursunuz. Default
olarak değeri ?Not Configured? şeklindedir.
Audit: Audit the use of Backup and Restore privilege
Group Policy içerisindeki yeri:
Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesSecurity Options
Bu
ayar sayesinde Backup ve Restore işlemlerinin Audit edilmesini
sağlayabilirsiniz. Bu ayarla beraber aşağıda göreceğimiz ?Audit
Privilege Use? seçeneğinin de aktif edilmesi sağlanacaktır. Bu iki ayar
?enabled? edildiği takdirde yedekleme ve geri yükleme ile ilgili kayıt
işlemleri yerine getirilecektir.
Eğer
?Audit: Audit the use of Backup and Restore privilege? seçeneği disable
edilirse, ?Audit Privilege Use? seçeneği aktif bile olsa yedekleme ve
geri yükleme işlemlerinin izlenmesi mümkün olmayacaktır. Bu ayarın
aktif hale gelebilmesi için sistemin yeniden başlatılması
gerekmektedir. Default değeri ?disabled? şeklindedir.
Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings
Group Policy içerisindeki yeri:
Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesSecurity Options
Bu yeni ayar sayesinde Windows Vista ve daha sonraki işletim
sistemlerinde Audit işlemlerinde kullanılmak üzere bir ?category? ve
?subcategory? mantığı bulunmaktadır. Bu mantığın yeni işletim
sistemlerindeki çalışma prensibine göre kategoriler her zaman alt
kategorilere özelliklerini yansıtacaklar. Yani kurallar aşağıya doğru
?inherit? edileceklerdir. Bu ayar sayesinde alt kategorilerin üst
kategorilerin geçerliliğini kendi üzerine almasını yani alt
kategorilerin geçerli olmasını sağlayabilirsiniz. Default değer ?not
defined? şeklindedir.
Audit: Shut down system immediately if unable to log security audits
Group Policy içerisindeki yeri:
Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesSecurity Options
Sistemin
herhangi bir sebepten dolayı log tutamaması durumunda sistemin
?shutdown? edilmesini sağlayan bir özelliktir. Log dosyalarının
tutulamamasının bazı nedenleri olabilir. Bunlar;
-Log dosyasının dolu olması
-EventLog ayarlarında ?Retention method for security logs? özelliğinin
günlük olarak seçilmesi dolayısıyla ancak günlük olarak dosyanın
üzerine yazımın aktif olması, diğer zamanlarda yeni kayıtların dosyaya
yazılmasının imkanlı olmaması,
-EventLog ayarlarında Retention method for security log? özelliğinin
?do not overwrite ? şeklinde ayarlanmış olması dolayısıyla log dosyası
dolduğunda dosyanın üzerine yeni kayıtların girilmesinin engellenmiş
olması,
Eğer log dosyası dolu ve üzerine yazma işlemi de başarısız ise bu durumda sistem aşağıdaki gibi bir hata verecektir.
STOP: C0000244 {Audit Failed}
An attempt to generate a security audit failed.Bu durumda
yalnızca Administrator sisteme Logon olabilir ve gerekli değişiklikleri
yapabilir. Bu ayarın varsayılan değeri ?disabled? şeklindedir. Aynı
şekilde bu ayar da aktif olabilmek için ?restart? gerektirmektedir.
User Account Control: Admin Approval Mode for the Built-in Administrator account
Group Policy içerisindeki yeri:
Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesSecurity Options
Bu
ayarla birlikte Microsoft?un Windows Vista içerisine entegre ettiği UAC
(User Account Control) ekipmanının sağlamış olduğu bazı güvenlik
ayarlarını değiştirme imkanı bulabilirsiniz. Admin Approval Mode
kavramı da UAC içerisinde bulunan ve sistemin güvenliğini ve
uygulamaların sisteme verebileceği zararları minimuma indirmeyi
amaçlamaktadır. Bu noktada çalıştırılacak programların herhangi bir
Administrator tarafından onaylanmasını sağlayabiliriz. Varsayılan
olarak ?Disabled? olarak ayarlanmıştır. ?Enabled? durumuna
getirildiğinde uygulamalar çalıştırılmak istendiğinde aşağıdaki gibi
bir uyarı ekranı karşımıza çıkacaktır.
 |
UAC (User Account Control) mekanizmasının içerisinde bulunan Admin
Approval Mode ile uygulamalarınızı çalıştırırken Admin onayını almak
isteyebilirsiniz. Bu güvenlik aşaması ile bilinmeyen uygulamaların
sisteme zarar vermelerinin de önüne geçilmiş olacaktır. UAC aktif
edilmediğinde Admin Approval Mode da aktif olmayacaktır. |
User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode
Group Policy içerisindeki yeri:
Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesSecurity Options
Bu ayarla da yukarıda belirtmiş olduğumuz Admin Approval Mode ?un nasıl
bir aksiyon alacağını bir başka deyişle Administrator hakkında sahip
kullanıcılar için onay şeklinin nasıl olacağını belirleyebiliriz. Bunun
için karşımızda 3 seçenek bulunmakta;
 |
1. Elevate without prompting
Herhangi bir uyarı ekranı ile karşılaşılmayacaktır. En az güvenli olan opsiyon budur.
2. Prompt for Credentials
Administrator hakkına sahip kullanıcıların kullanıcı adı ve şifre girmesinin gerektirecek olan seçenektir.
3. Prompt for consent (Varsayılan ayardır)Administrator
'un ?Permit? ya da ?Deny? şeklinde vereceği kararını içermektedir.
Permit ile en yüksek hak ile uygulama çalıştırılacaktır. Deny ile ise
uygulamanın çalıştırılması engellenecektir.
|
 |
?Prompt for credentials? seçildiğine sol taraftaki gibi bir bilgi giriş penceresiyle karşılaşılacaktır. |
User Account Control: Behavior of the elevation prompt for standard users
Group Policy içerisindeki yeri:
Computer ConfigurationWindows SettingsSecurity SettingsLocal
PoliciesSecurity Options
Bu güvenlik ayarı da tıpkı yukarıdaki gibi onay mekanizması ile
ilgilidir. Yalnız standart kullanıcılar için alınacak aksiyonu
belirtmektedir. Bu ayar içerisinde de aşağıda göreceğimiz üzere 2
seçeneğimiz olacaktır;
 |
1. Automatically deny elevation requests (enterprise aşamada tercih edilebilir)
Standard bir kullanıcının Access-denied şeklinde bir hata mesajı alması ile sonuçlanacaktır.
2. Prompt for credentials (Ev kullanıcıları için tercih edilebilir)
Admin yetkilerine sahip bir kullanıcının bilgileri girilerek işleme devam edilecektir.
|
User Account Control: Detect application installations and prompt for elevation
Group Policy içerisindeki yeri:
Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesSecurity Options
Bu
ayar sayesinde uygulama yükleme aşamasında sistemin kendini güvenlik
altına alıp administrator yetkilerine sahip bir hesap bilgisi istemesi
sağlanabilecektir. Default olarak ?Enabled? durumundadır. Sistem
güvenliği için Standard kullanıcılar için bu özelliğin varsayılan
olarak korunması önerilmektedir.
User Account Control: Only elevate executables that are signed and validated
Group Policy içerisindeki yeri:
Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesSecurity Options
Bu
ayar sayesinde de istenildiğinde yalnızca PKI sertifika zinciri
içerisinde bulunan yani dijital olarak imzalanmış ve doğrulanmış olan
programların çalıştırılmasını sağlayabilirsiniz. Varsayılan olarak
?disabled? seçeneği aktif durumdadır.
User Account Control: Only elevate UIAccess applications that are installed in secure locations
Group Policy içerisindeki yeri:
Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesSecurity Options
Bu
güvenlik ayarı ile birlikte UIAccess entegrasyonu isteyen bütün
uygulamaların güvenli bir lokasyonda çalıştırılmalarını şart
koşabilirsiniz. Bir başka deyişle eğer uygulama aşağıdaki güvenli
lokasyonlardan birinde ise çalıştırılacak (enabled durumunda) aksi
halde çalıştırılmayacaktır. Disabled seçeneğinde ise uygulama güvenli
bir lokasyonda olmasa bile çalıştırılabilir durumda olacaktır. Bu adı
geçen güvenli lokasyonlar ise;
-Program Files ve alt klasörler
-WindowsSystem32
Varsayılan değeri ?Enabled? şeklindedir.
User Account Control: Run all administrators in Admin Approval Mode
Group Policy içerisindeki yeri:
Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesSecurity Options
Bu
güvenlik ayarı ile UAC (User Account Control) mekanizmasının tüm sistem
için aktif olup olmamasına karar verebilirsiniz. ?Enabled? seçeneği ile
aktif hale geçirilir ve tüm sistem UAC gereksinimlerine göre (approval
mode, uygulama güvenliği, güvenli lokasyon, dijital imzalanmış
uygulamalar vb?) ayarlanmış olacaktır. Disabled seçeneği ise UAC yi
tamamen devre dışı bırakacaktır. Bu yönüyle oldukça önemli bir
anahtardır diyebiliriz. Varsayılan değeri elbette ?Enabled?
şeklidendir. Bu ayarda yapılacak değişiklikten sonra bilgisayarınızın
yeniden başlatılması (restart edilmesi) gerekmektedir.
User Account Control: Switch to the secure desktop when prompting for elevation
Group Policy içerisindeki yeri:
Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesSecurity Options
Bu
ayarla birlikte çalıştırılacak uygulamanın onayı verilmeden önce
desktop üzerinde alınacak olan aksiyonun şekli değerlendirilmektedir.
Yani uygulamanın çalışması ya da reddedilmesi için karar aşamasındayken
masaüstünün güvenli tutulmasını sağlayabilirsiniz. Varsayılan ayar
?Enabled? şeklindedir.
User Account Control: Virtualize file and registry write failures to per-user locations
Group Policy içerisindeki yeri:
Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesSecurity Options
Son ayarımızda; uygulamaların çalıştırıldıklarında ya da başka bir
uygulamaya yönlendirildiklerinde meydana gelebilecek kayıt yazma
hatalarının, kullanıcıya özel (korumalı) lokasyonlara kaydedilip
kaydedilmemesine karar verebiliriz. Windows Vista uyumlu uygulamalarda
veriler korumalı alanlara yazma işlemi gerçekleştirmediğinden eğer
sistemde yalnızca Vista uyumlu işletim sistemleri kullanılıyorsa bu
durumda bu ayar disable edilebilir. Ek Bilgi
|