Bir işletim sisteminden neler beklenir? Bu soru her kullanıcı için farklı cevapları olabilecek bir soru. Ama geleneksel olarak bir işletim sisteminde uyumluluk , kararlılık, kolay kullanım güvenlik gibi unsurlar aranır. Fakat ne yazık ki bu sözünü ettiğimiz unsurların hepsini mükemmel bir şekilde bir arada bulmak, her zaman mümkün olmamaktadır. Özellikle bu saydığımız özelliklerden uyumluluk (compatibility) ilkesini, güvenlik (security) ve kararlılık (stability) nitelikleri ile dengeli bir şekilde yerleştirmek oldukça güç olmuştur. Söz gelimi güvenliği arttırmak hedefi ile kurulan bir firewall, kullanıcı için önemli olan bir uygulamanın çalışmasını engelleyebilir ya da çalışabilmesi son kullanıcının içinden çıkamayacağı kadar karmaşık bir takım modifikasyonlara ihtiyaç duyulabilir. Bu durumda işletim sistemini geliştirenlerin bir tercih yapması kaçınılmaz zorunluluktur. Ya yarattıkları işletim sisteminin her türlü donanım ve yazılım ile sorunsuz çalışmasını azami ölçüde garantiye alacaklar ? ki bunun olabilmesi belli ölçüde güvenlik ve kararlılıktan ödün vermeyi gerektirir- ya da güvenliği ön plana alarak işletim sisteminin sunabiliceği geniş desteği geri plana iteceklerdir. İşte Microsoft?un günümüzde ?bence haksız bir şekilde- en çok eleştiriye muhatap kaldığı nokta da işte burasıdır; güvenlik.
Microsoft, şimdiye kadar çıkarmış olduğu bütün Windows sürümlerinde yukarıda bahsettiğim tercihi yaparken yaygın kullanım, piyasa hakimiyeti ve biraz da pazarlama stratejisi olarak güvenliği ikinci plana atmıştır. Bu durum internet kullanımının hiç olmadığı yada sınırlı olduğu dönemleri göz önüne alırsak son derece makul bir durumdur. Ama günümüzde internet son derece yaygın kullanılmakta, bilgi akışı ve buna bağlı olarak da güvenlik ihtiyacı son derece artmıştır. Öyleki artık bir işletim sisteminin sadece uyumlu ve kolay kullanılır olması hiç kimseyi cezbetmediği gibi, intenet bağlantısı olan bir bilgisayarın gerekli güvenlik yamaları yapılmadan kullanılması bir eziyet halini almıştır. Bir çok otoriteye göre Microsoft?un güvenliği birincil plana almaya başlamasının ilk adımı Windows XP Service Pack 2?dir. Peki neden service pack 2 bu yeni yaklaşımın ilk meyvesi olarak kabul edilmekte?. Çünkü SP2, neredeyse tamamen yeni fonksiyon eklemekten ziyade güvenlik düşünülerek geliştirilmiş bir yama. Kısaca ne gibi yenilikler var... beraber bakalım.
Internette daha güvenli sörf
POP-UP Blocker: internette istenmeyen reklam ve ya yönlendirme amacı ile kullanılan pop upları durduran bir özellik. Tamami ile disable edilebildiği gibi spesifik olarak bir web sitesi için pop-up?ların kabulu sağlanabiliyor. Özellikle açılan pop-up?ın yönlendirme vasıtası ile bazı bazı script veya zararlı olabilecek uygulama çalıştırması ihtimaline karşı kullanışlı bir önlem.
Download Monitoring: Web sayfalarındaki uygulama içeriklerinin SP2 ile birlikte çalıştırılmasına yeni bir yaklaşım getirilmiş ve uygulamanın çalıştırılabilmesi için yayınlayıcının güvenilir olması şartı getirilmiş. Potansiyel olarak bilgisayara zarar verebilecek olan exe,com,ocx gibi dosyaların çalıştırılması önceside bu dosyaların güvenli olup olmadıkalarına dair kontrol mekanizması geliştirilmiş. Ayrıca bir defa güvenli olmadığı bildirilen bir yayıncıdan gelen hiç bir içeriğin bilgisayarda çalıştırılamaması da sağlanmış. Gelecekte uygulama geliştiricilerinin bu özelliği daha iyi kullanabilmeleri açısından ?Attachment Execution Service? adı verilen API geliştirilmiş. Uyugulamanın açılmasından önce güvenlir olup olmadığını belirtmeye yarayacak olan imzanın (digital signature) uyugulamadan önce kontrol edilmesi sağlanmış böylece güvenlik açısından kullanışlı bir başka yön ortaya konulmuş.
İnternet Explorer Information Bar: sörf yaparken internet explorer?ın kullanıcının müdahalesi olmadan gerçekleştirdiği işlemleri kullanıcıya bildiren bir info bar getirilmiş. Böylece söz gelimi bir content block edildiğinde kullanıcının bunun farkına varması sağlanmış. Aynı bildirim işlemi sayfada bir pop-up blocking işlemi gerçekleştiğinde de söz konusu olmakta.
Internet Explorer Add-on Manager: Windows?un önceki sürümlerinde yine bir güvenlik açığı olan ve bazı durumlarda internet explorer?ın kilitlenmesi ve çökmesine neden olabilen, çoğu durumda da hijack diye bilinen ana sayfa değiştirme, default arama motoru değiştirme yada yönlendirme girişimlerini kullanıcı artık büyük oranda kontrol altına alabilmektedir. Kendisini internet explorer ile bütünleştiren bu tarz eklentilerin bir kısmı kendisini kullanıcıdan gizleyerek problemin çözümünü oldukça zorlaştırabilmekteydi. SP2 ile birlikte gelen Add-on manager ile kullanıcı bu eklentilerin tamamını görebilmekte, isteğe bağlı olarak disable/enable edebilmekte ayrıca gelecekte kendisini eklemek isteyen her türlü programın kontrol altına alabilmektedir.
Internet Explorer Windows Restriction
Windows XP service pack 2?den önce internet explorer pop-uplardan farklı çalışan ve scriptler ile yönetilen bilgi sayfacıklarına izin verilirdi. Bu pencereler çoğu zaman kullanıcıyı bilgilendiren küçük ve kontrol edilebilen pencerelerdi. Fakat bu pencereler kötü niyetli bazı web sitelerince kullanıcıyı yanıltmak ya da geri planda gerçekleşmekte olan işlemi kullanıcıdan gizlemek amacı ile kullanılabiliyordu. Çoğu durumda pencerenin oluşmasını sağlayan script, açılan bu pencerelerin ekrandaki yerini belirleyebiliyor, pencerenin üzerinde durması gereken info ve adres kısımlarını kullanıcıdan gizleyebildiği gibi pencere pozisyonun kullanıcının asla göremeyeceği bir alanda olmasını da sağlayabiliyordu.. Acemi kullanıclar için kapatılması imkansız pencerelerin oluşması söz konusuydu. Service pack 2 ile birlikte artık bu tarz pencerelerin kullanımında bir kontrol mekanizması yaratılmış. Bu tarz pencerelerin kullanının göremeyeceği alanda posizyon alaması engellenmiş ve her durumda pencere üzerinde başlık çubuğunun olması zorunlu hale getirilmiş durumda. Fakat kullanıcı, istediği zaman pencerenin yerinin istediği şekilde değiştirebilmektedir. Bu durum basit bir ayrıntı gibi dursa da güvenlik açısından olumlu bir değer olarak karşımızda durmaktadır.
Internet Explorer Feature Control Settings in Group Policy
İnternet explrorer?ın SP2 ile gelen bir çok yeni fonksiyonun merkezi bir yerden kontrol ve konfigurasyonun sağlanması Group Policy?ye eklenen yenir bir bölüm ile sağlanmış. Bu Group Policy ayarlarının çalışması için windows XP üzerinde en az SP2 ve internet explorer 6.0 ve ya üstü gerekmekte. Bu ayarlar hem bilgisayar hem kullanıcı bazlı hazılanabilen registry ayarları (Administrative Template) ile sağlanmakta. Bunlar sırasıyla
Computer ConfigurationAdministrative TemplatesWindows ComponentsInternet ExplorerSecurity Features
User ConfigurationAdministrative TemplatesWindows ComponentsInternet ExplorerSecurity Features.
Buradaki ayarlardan internet explorer üzerindeki add-onların nasıl çalışacağından, intenet explrorer information bar hakkındaki ayarlara kadar bir çok değer belirlenebilmekte. Bu konu ile ayrıntılı incelemimizi makalemizin ikinci bölümünde yapacağız.
Internet Explorer Zone Elevation Blocks
internet explorer, açtığı her dosyaya dosyanın bulunduğu yer, dosyanın nereden nereden geldiği ve dosyanın neler yapabilceği bilgilerine dayanarak bir güvenlik seviyesi koyar. Konulan bu güvenlik seviyesi ise en dikkat edilmesi gereken bölge : Internet bölgesinden, en az güvenliğe ihtiyaç duyan bölge: Local zone olarak sıralanır. Bu ikisinin arasında ise local intranet, trusted site gibi diğer bölgeler bulunur. Bilgisayardaki local zone?un en az güvenlik uygulanan bölge olması, kötü niyetli uygulamaların çoğu zaman bu bölgeden çalışmak istemesi gibi bir sorunu çıkarmıştır. Service pack 2 ile birlikte gelen Zone Elevation Blocks ( Bölge Terfi Blokları) sayesinde risk seviyesi yüksek olan bir zone içindeki bir dosya yada uygulamanın, risk seviyesi daha düşük bir bölgeye ulaşımını engellemektedir. Söz gelimi, internet sörf yaparken bir web sayfası tarafından çalıştırılan bir script local zone bölgesine ulaşamamakta ve muhtemel riskler ortadan kalkmaktadır. Daha önceleri local zone üzerinde çalışan uyugulama geliştiricilerinin uygulamalarını bu yeni düzenlemeye göre gözden geçirmesi gerekmektedir.
Güvenlik Araçları
Windows Security Center: Windows Service pack2 ile birlikte kurulan ve control panel?e yerleşen güvenlik ile alakalı yeni bir uyugulama gelmektedir. Bu uygulama günümüz işletim sistemlerinin hepsinde olması gereken üç unsuru kullanıcı için takip altına almaktadır. Bu üç işlem sırasıyla firewall, windows update ve antivirüs uygulamasıdır. SP2?nin kurulumundan hemen sonra kullanıcı bir sihirbaz yardımı ile bu üç unsur ile ilgili gerekli ayarları ve seçimleri yapmaktadır. Default olarak önceki sürümlerine göre çok geliştirilmiş olan Windows Firewall (önceki adı ile ICF) ve Windows Update enable olarak gelmekte, kullanıcının isteğine bağlı olarak disable yapılabildiği gibi üçüncü parti bir uygulama da seçilebilmektedir. Windows?un henüz kullanıcıya sunduğu bir antivirüs uygulaması bulunmamaktadır. Kullanıcının bir antivirüs uygulaması yoksa güvenlik açısından risk altında olduğu hatırlatılmaktadır. Önceki windows sürümlerinde bu işlemler daha çok kullanıcının kendi insiyatifine bırakılır ve işletim sisteminin bu konuda bir müdahelesi olmazdı. SP2 ile birlikte gelen güvenlik anlayışı ile birlikte bu durum değişmiş, güvenlik açısından kabul edilebilir bir özen hedeflenmiştir.
Windows Firewall : SP2?den önce ICF (Internet Connection Firewall) olarak bilinen göreceli olarak basit firewall SP2 ile birlikte oldukça gelişmiş olarak karşımıza çıkıyor. Bir bilgisayardaki bütün portları kontrol altına alan bir uygulama olarak tarif edilebilen firewallın ne kadar önemli olduğu, blaster worm gibi internet ortamında çok hızlı yayılabilen virüs türleri ile birlikte çok daha iyi anlaşılmıştır. Yukarıda da belirtildiği gibi SP2 windows firewallı default olarak enabled olarak getiriyor. Bu durum özellikle günümüzde yaygınlaşan kesintisiz internet bağlantısı olan bilgisayarların çok hızlı yayılan wormlara karşı nisbeten güvenlik altına almış görünüyor.
Windows Firewall?ın üç temel fonsksiyonun olduğunu söylemek mümkün.:
a) worm ve virüs ve kötü niyetli kişilerin bilgisayara girmesini engellemek yada bilgisayarı kullanarak yayılmalarını engellemek. Windows firewall bu tarz tehtidlerin bilgisayara ulaşmasını engeleyebileceği gibi, zaten bilgisayara bulaşmış durumdaki virüslerin başka bilgisayarlara yayılmasını da engelleyebilir.
b) Belli bir uygulamanın bağlantı oluşturmasına izin vermek yada bağlantıyı engellemek. Bu özellik SP2 ile birlikte gelen yeni bir özellik olarak göze çarpmakta. Windows firewallın üzerinde enable edildiği bağlantıyı kullanmak isteyen her uygulama için windows kullanıcıdan onay istemekte ve onaya bağlı olarak bağlantıya izin vermekte yada bağlantıyı kesilmektedir. Bu Zone alarm gibi ticari firewall uygulamalarındaki işleme benzemektedir. Kullanıcıya daha yüksek güvenlik ve esneklik sağlaması açısından dikkate değer bir yön.
c) İzin verilen ya da block edilen bağlantıların kayıtlarının tutulması. Bu özellik default olarak disabled olarak gelse de isteğe bağlı olarak açılabilir. Bu özellik Windows?taki firewallın önceki sürümlerinde de mevcuttu.
Windows firewall?ın üç tip çalışma fonksiyonu mevcut. Bu fonksiyonlardan ?ON? fonksiyounu default olarak gelen durumdur. Bu durumda Firewall istisnalar dışında hiçbir bağlantıya izin vermeyecektir. Çoğu durumda stabil olarak çalışan bir bilgisaya önerilen fonksiyonda budur. Diğer iki durum ise ?Don?t Allow Exceptions? ve OFF durumlarıdır. Bu durumlardan özellikle istisnaların kabul edilmemesi yüksek tehtid durumunun söz konusu olduğu zamanlarda başvurulacak bir yöntem olarak göze çarpıyor. Özellikle yeni ortaya çıkmış ve internette hızla yayılan bir worm virüsü tehlikesi varsa işe yarayabilecek bir seçim olur. En sonuncu seçenek ise firewall özelliğinin kapalı olması durumudur ki tavsiye edilen bir durum değil.
.
Firewall üzerinde Exception tabına geçildiğinde bilgisayarın geliş (incoming) trafiğini kabul ettiği uygulamalar görülür. Buradan kazaa gibi dışarıdan veri download etmesi gereken programlara izin verilebilir. Eğer izin verilmek istenen program buradaki liste de yoksa ?add port? seçeneğinden programın kullandığı portlar buradan tanımlanıp programa izin veriliebir.
Firewall üzerindeki advanced tabında ise firewall uygulamasının hangi bağlantılar üzerinde aktif hale getirileceği, ICMP ile ilgili ayarlar ve firewall log ayarlarını yapmak mümkündür.
Yine advanced tabındaki Security loggin kısmından Windows firewall?ın izin verdiği yada engellediği paketlerin kayıt altına alınmasını sağlamak mümkündür. Bu özellik windowsun hangi tür paketlere izin verdiği yada hangi tür paketlerin engellendiğini görmek istediğimizde yararlı olan bir özelliktir. Normal şartlarda windowsun firewall log?unu aktif etmek performasa etkileri yüzünden tavsiye edilmesede, sorun giderme amaçlı kullanılabilir.
Burada çok ayrıtıya girmeden değinmeye çalıştığımız özelliklerin dışında da SP2 ile birlikte gelen bir çok özellik bulunmaktadır.
Yıllardır gerçekte çok da kötü işler yapmamış olan Microsoft?un en çok eleştiriye maruz kaldığı alan olan güvenlik alanında, bir yaklaşım değişikliği göze çarpmakta ve kişisel olarak beni sevindirmekte, ilerki yıllarda karşımıza çıkacak olan işletim sistemleri için umutlandırmaktadır.