BİTLOCKER

Bitlocker windows’un bizler için sunduğu disk şifrelemeye yarayan bir araçtır. Eğer bitlockerı aktif ederseniz tüm diskiniz şifrelenmiş olacaktır ve makinenizdeki diğer işletim sistemleri tarafından bu diske ulaşım engellenecektir. Sistem dosyalarına erişemeyecekler ve sürücünüzü bilgisayarınızdan fiziksel olarak kaldırıp başka bir bilgisayara yükleseler bile erişmelerini yine engellemiş olacağız.
Bitlocker sürücü şifrelemesi yalnızca Windows 8/10 Pro , windows 8/10 enterprise ve windows 10 education sürümlerinde kullanılabilir. Ayrıca bitlockerin düzenli çalışması için diskinizde iki tane NTFS bölümü olmalıdır.Bunlardan sistem için gerekli olan bölümün ise en az 350 MB büyüklüğünde ve Aktif olarak işaretlenmiş olması gerekir.
BitLocker ile korunan bir sürücünün imajını alır veya bu sürücüdeki kişisel verilerinizi yedeklerseniz bunlar şifreli olarak kaydedilecektir.
Yeni dosyalar diskimize eklendiğinde bitlocker otomatik olarak onları da şifreleyecektir. Ancak bu dosyalar başka disklere kopyalanırsa şifreleri otomatik olark çözülür.BitLocker ile korunan bir sürücünün imajını alır veya bu sürücüdeki kişisel verilerinizi yedeklerseniz bunlar şifreli olarak kaydedilecektir.
BitLocker 2 seviye şifreleme algoritması sunar: AES 128 bit ve AES 256 bit. AES 128 bit son derece yeterli bir seviyedir ve normal kullanıcılar tarafından kesinlikle kırılamaz. Ancak tüketicinin ulaşamayacağı çok özel programlar ve çok güçlü bilgisayarlarla kırılabilir. Bu yüzden de Windows 8/10 varsayılan olarak AES 128 bit şifreleme kullanılır. Fakat isterseniz 256 bit kullanacak şekilde de ayarlayabilirsiniz. Bunu BitLocker’ı ilk etkinleştirmenizden önce yapmalısınız. Hali hazırda BitLocker’ın etkinleştirildiği bir bilgisayarda 256 bit şifreleme seviyesini seçseniz bile 128 bit şifrelemeye devam edecektir.

Bitlocker Kurulumu

İlk olarak Bilocker’ı yönete giriyoruz.

Bu pencereyle karşılaştıktan sonra Bitlocker’ı aç diyoruz.

Bitlockerı başlatırken bu hatayla karşılaştık bunun nedeni güvenilir platform modülünü kullanamamamız. Bu modüller ilgili ayarlarımızı yapalım.

Çalıştıra gpedit.msc yazıyoruz.

Yerel Gup İlkesi Düzenleyicisi konsolunda Bilgisayar Yapılandırması > Yönetim Şablonları  > Windows Bileşenleri > BitLocker Drive Encryption > İşletim Sistemi Sürücüleri  yolunu takip ettik ve Başlangıçta ek kimlik doğrulama iste ayarına tıklıyoruz.

Ayarlarımızı bu penceredeki gibi düzeltiyoruz.

Ardından tekrar bitlocker sayfasına geliyoruz ve bu sefer bitlockerı aç diyoruz ve bu pencere ile karşılaşıyoruz.
Eğer bilgisayarınızda TPM yongası varsa USB flash sürücü seçeneği çıkmayacaktır.

Eğer USB flash seçersek bu USB her bilgisayarı açışımızda yanımızda olmalıdır!
Eğer USB den yapmayacaksak parola gire tıklayarak parolamızı seçiyoruz. parolamızın minimum 8 karakter olması gerekiyor.
Parolayı unutmanız veya USB flash sürücünüzü kaybetmeniz durumunda kurtarma anahtarı sayesinde dosyalarınızı kurtarabilirsiniz. Eğer bu anahtarı birden fazla yere yedeklerseniz işinizi daha fazla garantiye almış olursunuz tavsiye ederim.

Microsoft hesabına kaydet seçeneği bilgisayarınız bir etki alanında kullanılamaz.

Açıklamalar açık bir şekilde belirtiliyor tam güvenlik için tüm sürücüyü…. seçeneği seçilebilir.

Sadece windows 10 sürümler için bu seçenek vardır. Sabit sürücüler için yeni şifreleme metodu , taşınabilir(USB) cihazlar için uyumluluk modunun seçilmesi önerilir.

Son olarak bitlocker sistem denetimini çalıştır kutusuna tik atmayı unutmayalım ve devam edelim.

Suan komutlarımız alındı ve yeniden başlatmamız gerekiyor.

Bilgisayarımızı yeniden başlatınca bitlockerın çalıştığını görüyoruz ve bizden parolamızı istiyor.

Şuan şifreleme oluşturuluyor ve bu işlem biraz uzun sürebilir fakat bu işlem arka planda olurken biz başka işlerimizi yapabiliriz.

Şifreleme bittikten sonra bitlocker açık yazısını gördük. Tam anlamıyla kurmuş olduk.
Bu korumayı askıya alabiliriz, parolayı değiştirebiliriz, parolayı kaldırabiliriz, kurtarma anahtarımızı yedekleyebiliriz, ve bitlockerı tam olarak kapatabiliriz.

Kurtarma dosyalarımızı yedeklemek için yine aynı seçeneklerimiz var.

Bitlocker korumasını askıya almak için bu pencereyi kullanıyoruz.

Son olarak bitlockerı kapatmak için bu pencereyi kullanıyoruz.

Ek olarak administer yetkisine sahipsek bilgisayarda bitlocker durumunu öğrenmek için cmd ekranını açıyoruz ve manage-bde -status X komutunu yazıyoruz. buradaki X istediğimiz sürücünün adıdır. Eğer bitlocker etkinse protection on etkin değilse protection off yazar. Böylelikle bitlockerimizin durumunu da öğrenebiliriz.

TR | Bitlocker CypmUni İYTE

I. Windows Firewall Nedir ?

Firewall hackerlar, virüsler ve solucanlar gibi bilgisayarınız üzerinden internete erişmeye çalışanları filtreleyen bir uygulamadır. Windows Firewall Windows Server 2003 (Service Pack 1)ve Windows XP (Service Pack 2) itibariyle tüm Windows bilgisayarlarda çalışmakta ve ağ üzerinden gelebilecek saldırıları engellemek için güvenlik sağlamaktadır.

II.Firewall Profili Oluşturma

Windows domain, private ve public olmak üzere 3 ağ profiline sahiptir. Work ve home benzerdir ve private firewall araçlarının altında yer almaktadır. Private, bilgisayarlar ve diğer donanım araçlarının birbirini bulabilmesini sağlayan bir ağ profilidir. Public ise en güvenli profildir. Bu sebeple kafelerde, havalimanlarında vs. kullanılması tavsiye edilen profildir. Eğer ağınızda güvenli olduğundan emin olmadığınız bir bilgisayar varsa, ağ profilinizi “public” olarak ayarlamalısınız. Domain profilini kullanıcılar tarafından seçilemez, bilgisayarınız domain’e katıldıktan sonra kullanılır. Windows Hardening’e başladığımızdan beri, en güvenli ayarları istiyoruz ve Windows’un sadece istendiği zaman iletişim kurmasını sağlamaya çalışıyoruz. Bu sebeple bir domain’e katıldığınızda private ya da public profillerini amacınıza göre seçiniz. Ethernet kablonuzu taktığınızda, en kısıtlayıcı ve güvenli olan Public profilini seçiniz.
Not: Eğer daha önceden Private profilini seçmişseniz ve Public profiline değiştirmek istiyorsanız Windows 10 için tek yöntem PowerShell yardımı ile yapmaktır.

PowerShell’e sağ tıklayıp Yönetici olarak çalıştır seçeneği ile açın.

Sonrasında Get-NetConnectionProfile kodunu yazın ve resimdekine benzer bir çıktı elde edeceksiniz. NetworkCategory : Private olacak sizin çıktınızda.
Sonra ağ adınızı kaydedin ve şunu yazın:
Set-NetConnectionProfile -name “eduroam” -NetworkCategory public burada da eduroam yerine kendi ağınızın adı yer alacak.

III. Windows Advanced Firewall ve Giden Veri Trafiğini Engellemek ve Loglamak

A. Outbound Blocking

Firewall’ların basit ayarları default deny, yani siz izin vermediğiniz sürece tüm trafiği engellidir. Sizin izin verdiğiniz kurallar grubuna da whitelist denir. Windows Firewall’un default ayarları gelenleri engelle ve gidenlere izin ver şeklindedir. “Outbound allow all” konfigurasyonu kolaylaştırır ve engelleme prensibini kullanmaz ki pek ideal değildir çünkü biz zararlı yazılımların yönetici ana serverlarına geri ulaşabilmesini istemeyiz. Outbound Blokcing’i aktif ettiğinizde sadece sizin izin verdiğimiz programlar ve servisler internete erişebilir. Zararlı yazılımlar raporlarını serverlarını ulaştırmakta zorlanırlar. Bu sebeplerden dolayı internete erişmesi gereken bir program kurduğunuzda, antivirüs gibi, tüm exe dosyalarını bir bir kontrol edip hangisinin internete erişmekten sorumlu olduğunu bulmalı ve Windows Firewall Outbound Blocking’de o exe dosyasına ayrıcalık vermelisiniz.

Windows Outbound Blocking’i aktif etmek için Başlat > Arama kısmından Gelişmiş Güvelik ile birlikte Windows Güvenlik Duvarı’nı açın. Alt kısımda bulunan Windows Güvenlik Duvarı Özellikleri’ne tıklayın.

Yukarıda ki Domain ( Etki alanı ), Private ( Özel) ve Public ( Ortak ) profillerinin her biri için;

1- Giden bağlantılar’ı Engelle moduna getirin.

2- Tek noktaya yayın yanıtına izin ver seçeneğini Hayır’a değiştirin.

3- a. Boyut sınırı’nı max. olan 32.767 KB’a getirin.
b. Bırakılan paketleri günlüğe kaydet’i de Evet seçeneğine getirin.Eğer Automated Configuration Pack denilen otomatik konfigure paketiniz varsa sağ tık > yönetici çalıştır diyerek tüm Firewall kural ve profil ayarlarınızı yapabilirsiniz.
B) Firewall Rules

1.Windows servislerini Outbound istisnalarına eklemek için:

Gelişmiş Güvelik ile birlikte Windows Güvenlik Duvarı penceresinde sol tarafta bulunan Giden Kuralları sekmesine tıklayın.

Gelen pencerenin sağ tarafında Yeni Kural… butonuna tıklayıp gelen pencereden Özel seçeneğimi seçin. İleri dedikten sonra Hizmetler’in yanında bulunan özelleştir… butonuna tıklayın.

Bu hizmete uygula seçeneğini işaretledikten sonra Windows Update’i bulun ve Tamam ile çıkın. İleri ile devam edin Protokol ve Bağl. Nokt. Ve Kapsam sekmelerini bir değişiklik yapmadan geçin.

Eylem sekmesinde Bağlantıya izin ver seçeneğini işaretleyin ve devam edin.

Profil sekmesinde tüm seçenekleri işaretleyin ve Ad sekmesinde Rule’a (Kuralınıza) bir isim verin. Örnek “X servisine izin ver”.

2. Bir Programı Outbound istisnalarına eklemek için yine Giden Kuralları sekmeksinden Yeni Kural… butonuna tıklayın.

Gelen ekrandan Program seçeneğini işaretleyip devam edin.

Bu programın yolu seçeneğinden Gözat ile programın .exe uzantılı çalıştırılabilir dosyasını bulup, seçin ve devam edin ve Eylem sekmesine kadar bir değişiklik yapmayın.

Bağlantıya izin ver seçeneğini seçip devam ettikten sonra Profil sekmesindeki tüm seçenekleri işaretleyin.İleyleyip kuralınıza bir isim verdikten sonra bitirin. Örnek “X Programına izin ver”.

3. Outbound Blocking’de hedef port ve IP adrese izin vermek için:

Giden Kuralları sekmesinden Yeni Kural… butonuna tıklayarak açılan pencerede Özel seçeneiğini işaretleyin.

Program sekmesinden Tüm programlar seçeneğini işaretleyin.

1- Protokol ve Bağl. Nokt. Sekmesinde Protokol türü seçeneği için duruma göre TCP ya da UCP seçin.
2- Uzak bağlantı noktası seçeneğinden Belirli bağlantı noktalarını seçip portları girin boşluğa. İleri.

Kapsam sekmesinden Bu kural hangi uzak IP adreslerine uygulanıyor? ‘un altında bulunan Bu IP adresleri seçeneğini işaretleyip Ekle… butonuna tıklayın.

Açılan pencerede Bu IP adresi veya alt ağ seçeneğinin altındaki boşluğa IP adreslerini girin.

Bağlantıya izin ver seçeneğini işaretleyin. İleri. Profil sekmesinde tüm seçenekleri işaretleyin. Ve son olarak porta veya IP adresine verdiğiniz kurala isim verin. Örnek “X portu izni, Y IP’si izni”.

TR | Windows Firewall Sıkılaştırması CypmUni İYTE

DNS nedir?

DNS(Domain Name System), internete bağlanmamızı sağlayan servislerden biri. Bugünlerde hepimiz interneti kullanıyoruz. İnternet, kullanıcısının gözünde milyonlarca internet sitesi, milyarlarca diğer kullanıcı ve sayısız resim, video, yazı ve benzeri demektir. Biz bir kullanıcı olarak internete bağlanmak istediğimizde girmek istediğimiz internet sitesini yazar “Enter” a basar ve internette sörf yaparız. Biz bunu yaparken internete bağlanmamızı sağlayan birçok servis kendi aralarında farklı bir dille anlaşır. Onların dili en basit haliyle 0(sıfır) ve 1(bir)lerden oluşur ve DNS servisi de tam olarak insan ve diğer internet servisleri arasında bir tercüman görevi görür. Mesela ben internet tarayıcımı açıp ve bağlanmak için http://canyoupwm.me yazdığımda kullandığım DNS servisi bu adresi 0 ve 1lerden oluşan dile çevirir ve beni bu şekilde internete bağlar.  Yukarıda DNS’in ne olduğunu ve ne iş yaptığını kabaca tanımlamış olduk.Şimdi de gelin DNS servisimizi nasıl daha güvenli hale getirebilirize bakalım.

Olası Tehditler

DNS servis tehditleri temelde iki gruba ayırılabilir. Söz konusu hackerimiz DNS hizmetinin nasıl çalıştığı üzerinden ilerleyip, biz internete bağlanırken DNS ve diğer hizmetler arasındaki trafiği manipüle ederek sistemimize sızabilir ki bu en çok karşılaşılan DNS sızma şeklidir. Bu yönteme örnek verecek olursak; varsayalım biz bağlanmak istediğimiz internet sitesini girdik ve işi DNS’e bıraktık. DNS yazdığımız internet adresini bize getirmek için diğer hizmetlerle iletişim kurarken hacker DNS hizmetimizi yanlış yönlendirip bizi kendi istediği bir sayfaya veya direk kendi istediği bir dosyaya yönlendirip sistemimize sızabilir. Diğer sızma yöntemleri ise kullanılan bazı DNS servis yazılımlarının(BIND vb.) açıklarıyla saldırmak ve DoS (denial-of-service) saldırısı ile sistemimizi meşgul etmek veya çökertmek daha sonra sızmaya çalışmaktır.DNS Hizmeti Saldırılarına Alınabilecek Önlemler DNS hizmeti konusunda alınabilecek önlemler kullanıcının profiline göre değişiklik gösteriyor. Ortalama bir PC kullanıcısı, bir server(sunucu) yöneticisi, kendi DNS sunucusuna sahip bir kullanıcı için gereken önlemler farklı seviyelerde olmak zorunda. Gelin alabileceğimiz örneklere genelden özele doğru bir bakalım.

Adres Çubuğu Kontrolü

En genel ve en kolay uygulanabilir yöntem olarak internete bağlanırken tarayıcımızın adres çubuğunda yazan internet adresinin tamamıyla doğru olduğuna dikkat etmeliyiz. Kullandığımız harflerin ve rakamların birbirine benzerliğini kullanarak bizi dolandırmak isteyen insanlar kullandığımız internet sitelerinin benzerlerini yapıp bizi kandırabilir. Bu yöntem uygulaması ve önlem alması bakımından diğerlerine göre nispeten basittir. Örnek verecek olursak;

Yukarıda adres çubuğunda yazan paypal’ın orijinal internet adresidir ve paypal kullanacağımız zaman bu adrese girmemiz gerekir.

Bu görselde gördüğümüz ise “1” ve “l” karakterlerinin benzerliği kullanılarak paypal kullanıcılarını dolandırmak amacıyla açılmış sahte bir internet adresidir.İkinci görseldeki internet sitesine girmemek ve dolandırılmamak için yapmamız gereken şey interneti kullanırken adres çubuğumuzda yazan internet adresiyle, gerçekte girmek istediğimiz internet adresinin aynı olduğunu kontrol etmek. Bu kadar basit ve basit olmasına karşın bu şekilde dolandırılan insanlar var. Bu yüzden basit olsa da göz ardı edilmemesi gereken bir önlem.

BIND(Berkeley Internet Name Domain) Kullanmak

BIND 1980’lerin başında Berkeley Üniversitesi kaynaklı tasarlanmış açık kaynaklı ve şuanda en çok kullanılan DNS servis yazılımıdır. BIND sayesinde geçen yıllarda DNS üzerinden gerçekleşen birçok tehdit engellendi ve bugün de BIND yoluna açık kaynaklı haliyle DNS tehditlerini engellemek için devam ediyor. BIND kullanmak sizi %100 güvenli yapmaz ama eski DNS açıklarını kapatmış olursunuz ve BIND yazılımını güncel olarak kullanırsanız da en son kapatılan açıklardan da etkilenmezsiniz. Aşağıdaki linklerden İngilizce olarak BIND hakkında resmi bir açıklama ve Windows için indirme linkini bulabilirsiniz.

https://www.isc.org/downloads/bind/
https://www.isc.org/downloads/

Birden Fazla DNS Servisinin Yönetimi

Eğer ihtiyaç gereği birden fazla DNS servisi kullanıyorsanız tedbir olarak, bu servisleri aynı subnet(alt ağ) üzerinden ve hatta aynı router ya da aynı özel hat üzerinden kullanmayın. Bunları farklı kullanmak size esneklik sağlar ve en azından bir DNS servisinize sızılsa bile diğer DNS servisleriniz güvende kalmaya devam edecektir.

TR | DNS Servis Sıkılaştırma CypmUni İYTE

 

• Disk yönetiminden USB belleğimizin harfini A  olarak değiştiriyoruz.

• Şimdi Syskey ‘i etkinleştirebiliriz, başlat’a Syskey  yazarak çalıştırıyoruz,

TR | Windows Hesap Parola Yönetimi CypmUni İYTE

Windows sistem sıkılaştırma adı altındaki kullanıcı yönetimi başlığını 7 başlık altında inceleyebiliriz. düzenli ve güvenli bir kullanıcı yönetimi sağlayabilirsek aynı bilgisayarı kullanan birden fazla kullanıcının da güvenliğini sağlamış oluruz.

I.Gereksiz Hesapları Kaldırma

Yükleme sırasında, yerel kullanıcı hesapları otomatik olarak oluşturulur; Administrator, Guest ve Help-Assistant. Administrator hesabı yönetici hesabıdır ve krallığa giden anahtarları elinde tutar. Ayrıca bu master account dediğimiz hesap silinemez. Bu hesabı korumak için devre dışı bırakabilir ya da ismini değiştirebiliriz, böylelikle bilgisayar korsanı arkadaşların ulaşmak istedikleri hesabı bulmasını zorlaştırırız. Buna ek olarak Guest ve Help-Assistant hesapları da işini bilenler için bilgisayara uzaktan bağlanmaya çok müsaittir bu sebeple bunları Denetim Masası’nın altında bulunan Yönetici Araçları’nda ki Bilgisayar Yönetimi sekmesinde istediğimiz hesaba sağ tıklayarak Özellikler’e tıkladıktan sonra açılan pencereden değiştirebilir veya devre dışı bırakabiliriz. Bunu yaparken dikkat edeceğimiz husus bu devre dışı bırakma işleminin hem Network ( Ağ ) üzerinde hem de localde (yerel bilgisayar üzerinde) olmasıdır.

II. Normal Hesap Kullanımı

Kullanıcı hesapları yönetiminde en iyi uygulama elbette, yöneticilerin de bir normal hesap (dministrator olmayan) kullanmaları olacaktır. Eğer bir zararlı yazılım zaafı oluşursa, onu çalıştıran kullanıcının yetkilerine sahip olacaktır. Yani bu demek oluyor ki Yönetici olarak (RunAs) ya da Admin hesabından direkt olarak çalıştırdığınız zararlı yazılımlar Admin (root) yetkisine sahip olacaktır. Başka bir açısıyla normal hesaplar gizli dosyalarımıza ulaşılması yolunda bir bariyer görevi görmektedir. Bu sebeplerden dolayı kullanabildiğimiz kadar normal hesap kullanalım. Admin hesabını sadece program yükleme, sistem veya diğer kullanıcıların hesaplarında değişiklik yapacağımız zaman kullanalım.

III.Administrator Hesap

Eğer ağınızda ya da bilgisayarınızda birden çok yönetici kullanıcı varsa hepsi için farklı, kişiselleştirilmiş yönetici hesapları oluşturun. Bu şekilde Administator yetkisinde bir sorun ortaya çıktığında kimin sorumlu olduğunu veya kasten yaptığını anlayabiliriz. Ayrıca buna ilaveten de Bölüm.1 de bahsettiğim gibi her yönetici, yönetici hesaplarının yanında normal bir hesabı da olmalıdır. Örneğin Pattern ve Admin-Pattern gibi iki hesap oluşturulabilir.

IV. Güvenli Giriş

Hesaplarımızı içerden koruduğumuz gibi dışardan da koruma ihtiyacı duyarız. Örneğin bilgisayarımızı kullandıktan sonra ara vermek için kilitlediğimizde veya bilgisayarımızı ilk açtığımızda giriş yapmadan önce kullanıcı adımızın yazmaması bize büyük bir avantaj sağlayacaktır. Çünkü bilgisayar korsanı arkadaşımızın artık bir değil iki işi vardır, sadece şifreyi değil aynı zamanda kullanıcı adını da bulması gerekir.

1.Windows + R  tuşları ile Çalıştır penceresini açalım ve netplwiz  yazdıktan sonra Tamam’a basalım.

2. Gizlemek istediğimiz kullanıcı hesabını seçip Özellikler  diyelim.
3. Kullanıcı hesabımıza istediğimiz bir kullanıcı adı atayalım. Ben cypmiyte  diyeceğim.
4. Sonra Tamam  deyip çıkalım.
5. Tekrar Windows + R  ile açılan pencereden regedit  yazıp Tamam  a basalım.

6. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon  adresine gelelim. Winlogon ‘a sağ tıklayıp Yeni > Anahtar  ‘ı sırayla seçip SpecialAccounts  şeklinde adlandıralım.

7. Sonra SpecialAccounts’a sağ tıklayıp Yeni > Anahtar ‘ı sırayla seçip UserList  şeklinde adlandıralım.

8. UserList  ‘in içersinde sağ tıklayıp Yeni dedikten sonra DWORD (32-bit)  Değeri’ni seçelim ve adını gizlemek istediğiniz hesabın kullanıcı adını verin. Ben cypmiyte  diyeceğim.

9. Son olarak değerin 0  olduğundan emin olalım. Eğer ileride tekrar hesabı giriş ekranınde göstermek isterse bu değer 1  yapacağız.

V. Kullanıcı Hakları

Bilgisayarımıza bağlanan kullanıcılara yetkileri direkt veya bir grup aracılığıyla dağıtırken dikkatli olmamız gerekmektedir. Çünkü istemeden birisini Admin yetkileriyle donatmak istemeyiz. Dikkat etmemiz gereken yetkilerden bazıları şunlardır:

1)Ağ üzerinden bu bilgisayara bağlanabilme

Bu yetki ağ üzerinden bilgisayara bağlanması gereken hesaplara elle dağıtılmalıdır ve server bilgisayarlarında en az bir Administrator hesabında bulunmalıdır(API’ler için). Ama Guests , Anonymous Girişler , NETWORK SERVICE, SERVICE, ve LOCAL SERVICE  için engellenmelidir. Şunu da unutmayalım ki bu yetki engellemesi Terminal Service  girişlerini etkilememektedir.

2) Terminal Services

Bu haklar Windows 2003 de Terminal Services üzerinden giriş yapacak her kullanıcıda olması gereken haklardır.

3) Debug Programs

Bu hakkı Administrator dahil tüm kullanıcılardan kaldırmayı düşünmeliyiz, çünkü bu hakka sahip bir oturumdan bulaşabilen Pwdump2  ve L0phtCrack  gibi zararlı yazılımlar SAM  dosyası hash’lerini çalabilmektedir.

4) Log on Locally

Bu hak hangi kullanıcıların konsol üzerinen giriş yapabileceklerini belirlemektedir. En az bir Administrator hesabı bu yetkiye sahip olmalıdır. Windows 2000 üzerinde Terminal Services hakları bu hakla belirlenmektedir.

5). Grup üyeliklerini sınırlandırmak

Grup üyelikleri kullanıcı yönetimi konusu içerisinde çok önemlidir, çünkü bir anonim kullanıcı bilgisayarımıza bağlanmaya çalıştığı sırada gruplarda bulunan Herkes ( Everyone ) sınıfına girip diğer kullanıcılara erişebilir. Bunu engellemek için grup üyeliklerini sınırlayıp üyelikleri elle yapmamız gerekmektedir ve ağ üzerinden bağlanma yetkileri tekrar gözden geçirilmelidir.

6). Microsoft hesabı oluşturmak

Son olarak Windows Kullanıcı Hesap Yönetimi konusunda ki sıkılaştırma yöntemlerinden birisi de Microsoft hesabı oluşturmaktır. Microsoft hesabı bilgisayarımızın güvenli kalması için bize yardım edecektir. Oluşturduğumuz Microsoft hesabını gmail.com veya outlook.com gibi herhangi bir mail adresimiz ile oluşturabiliriz ama dikkat etmeniz gereken husus bu hesabın Administrator olmamasıdır, çünkü bilgisayar korsanı arkadaşlarımız internet üzerinden bir şekilde hesabı ele geçirirse bilgisayar üzerinde Administrator yetkisine sorgusuz sualsiz sahip olacaklardır. Buna ek olarak oluşturduğumuz Microsoft hesabı şu sebeplerle önemlidir bir mail adresi ve şifresi olduğu için localde şifresini bulmaktan daha zor olarak gmail’e ya da outlook’a sızması gerekecektir hacker kardeşimizin. Ardından mail şifremizi bulsa bile bizim
bağladığımız telefon ile giriş yaparken 2-Adımlı-Doğrulama denilen araç ile bizim haberimiz olmadan ya da bizim telefonumuza sahip olmadan giriş yapamayacaktır.

TR | Windows Kullanıcı Yönetimi CypmUni İYTE

Group Policy; ihtiyaçlar doğrultusunda güvenlik ayarları, kısıtlamalar, standart konfigürasyonlar, kullanıcı güvenliği gibi işlemlerin gerçekleştirildiği, merkezi yönetimi kolaylaştıran bir takım düzenlemelerin yapıldığı bölümdür. Group Policy, Active Directory ile gelen
bir özelliktir. Group Policy domain seviyesinde ve organizational unit seviyesinde uygulanır. Farklı organizational unitler oluşturup bunlara organizational unit seviesinde Group Policy uygulamak çok daha kolay olmaktadır. Örneğin 2000 bilgisayara aynı programı yüklemeniz veya kaldırmanız gerekirse ayrı ayrı yapmak kesinlikle çok zor olacağı için kısayol bulmalısınız. Böyle durumlarda aynı program yüklenecek bilgisayarlar aynı organizational unitlere eklenirse kolaylıkla toplu kurulum yapılabilir, yönetim sağlanabilir.

Group Policy Management (Temel Güvenlik Ayarları)

Password Policy (Parola İlkesi)

Yerel güvenlik ilkesi > güvenlik ayarları > hesap ayarları > parola ilkesi yolu izlenerek buraya ulaşılır. Buradaki password policy(parola ilkesi) bilgisayar ayarları altında çalışan bilindik bir policy tipidir. Domaine üye bilgisayarlarda oturum açabilen kullanıcılarla ilgili  uygulanabilecek bütün kuralları içerir.

Burada parolamız ile ilgili her türlü güvenlik tedbirini alabiliriz. Parolanın geçerlilik süresini ayarlayabilir, parolamızı güçlendirebiliriz. Aynı zamandan parolamızın minimum uzunluğunu da buradan ayarlayabiliriz.

Denetim İlkesi(Audit Policy)

Yerel güvenlik ilkesi > güvenlik ayarları > denetim ilkesi ile de domain ortamında olan biteni görebileceğimiz policy bölümü olan denetim ilkesine geliriz. Bu bölümde dizin hizmeti, hesap yönetimi, nesne erişimi, oturum açma vb. olayları denetleyerek daha güvenli hale getirebiliriz.

Kullanıcı Hakları Aşaması(User Right Assignment)

Kullanıcı haklarıyla ilgili tedbirlerin alındığı yerdir. Aygıt sürücüleri, belirteçler, bilgisayara ağ üzerinden bağlantı, nesne etiketleri gibi birçok ilke olmakla birlikte önemli ilkelerden uzak sistemden kapatmaya zorla ve aynı oturumda farklı bir kullanıcı için bir kimliğe bürünme ilkelerinin örneklerini alacağız.
Yerel güvenlik ilkesi > güvenlik ayarları > yerel ilkeler > kullanıcı hakları ataması yolunu izleyerek bu sayfaya geliriz. Burada istenilen ayarlar yapılabilir. Uzak sistemden kapatmak için buraya kullanıcı adı girilmelidir. Çünkü Administrator dışında herhangi bir kullanıcı böyle bir hakka sahip değildir.

Aynı oturumda farklı bir kullanıcı için bir kimliğe bürünme ilkesi için

Yerel güvenlik ilkesi > güvenlik ayarları > yerel ilkeler > kullanıcı hakları ataması yolunu izleyerek yine şekildeki sayfaya ulaştık. Burada da diğer ilkelerde olduğu gibi kullanıcıya yetki vermemiz
gerekiyor. Kullanıcı adımız olan “amele” yi buraya yazarak adları denetle diyoruz ve tamam diyerek bu hakkı amele kullanıcısı ile paylaşmış oluyoruz.

Kullanıcı hakları aşamasında dikkat etmemiz gereken birkaç ilkeyi şöyle sıralayabiliriz:
● Çapraz geçiş denetimi
● Saat dilimi kontrolü
● Sayfaları bellekte kilitleme
● Kalıcı paylaşılan nesneler
● Aynı oturumda farklı bir kullanıcı için bir kimliğe bürünme
● Sistemi kapatmak
● Toplu iş ilkeleri
● Yerel olarak oturum açma
● Zamanlama önceliği

Bu ilkelere öncelik vererek bütün ilkeleri gözden geçirmeliyiz.

Güvenik Seçenekleri(Security Options)

Burada çok fazla ayar yapılabilir. Kişisel güvenlik için çok önemli seçenekler vardır. Dikkatli bir şekilde seçim yapılmalıdır.

Yerel güvenlik ilkesi> güvenlik ayarları > yerel ilkeler> güvenlik seçenekleri diyerek bu sayfaya erişiriz. Konuk hesabı ile ilgili ayarlar, kullanıcı hesabı denetimi, etkileşimli oturum açma, Microsoft ağ istemcisi ve sunucusu, ağ erişimi , ağ güvenliği, aygıtlar vb birçok önemli konuda birçok alt dalda konfigürasyonlar vardır.

Burada aygıtları oturum açma gibi işlemler yapmadan çıkarma işlemi için izin ayarları var.

Ortak Anahtar İlkesi(Public Key Policies)

Bu ilke sayesinde her türlü şifreleme ayarları yapabiliriz. Şifreleme algoritma türü veri koruması vb. birçok şifre ayarlarını yapılandırabiliriz.
Yerel güvenlik ilkesi > güvenlik ayarları > ortak anahtar ilkeleri diyerek bu sayfaya ulaşabiliriz.

Ağ(Network)

Yerel güvenlik ilkesi > güvenlik ayarları > administrator şablonları > ağ yolu ile bulunur ve sistemdeki ağ güvenliği hakkında yapılandırmamız gereken ayarları içerir. DNS Server ayarlamalar vb. burada yapılır.

Burada şirket vb. topluluklar için ortak DNS adresi atayabiliriz. Burada şirket DNS araştırma adresi yazan yere adresi yazarız. DNS araştırması için kullanılan ana bilgisayarın adının beklenen adresini belirtmemizi sağlar. Ana bilgisayar adının bu adrese başarıyla çözümlenmesi şirket bağlantısının olduğunu gösterir.

Bu bölümde her türlü güvenlik ilkelerini kullanarak Windows işletim sistemimizi çok daha güvenilir hale getirerek sıkılaştırabiliriz.

Bize uygun olan ayarları Group Policy sayesinde yaparak sistemimizi dış saldırılardan koruyabiliriz.

TR | Group Policy CypmUni İYTE

Dosya ve Yazıcı sistemlerini güvende tutmak için basit önlemler;

• Sunucularınızı fiziki olarak güvende tutun.
• NTFS dosya sistemini bütün sürücülerinizde kullanın . Sisteminizi güncel tutun
• İşinize yaramayan servisleri ve uygulamaları sistemden kaldırın.
• Kullanıcılar sadece dosyalara erişimini ve yazdırma sistemini kullanmalarına yetecek izinler verilmelidir.
• Password Policy security kullanarak kullanıcıların güçlü şifreler seçmelerini zorunlu kılın.
• Administrator ve Guest hesaplarını güçlü şifrelerle koruyun.
• Sunucularınızda işlem yaparken mümkün olduğunca az izinle çalışın.
• Sunucunun kullanıcılar tarafından kullanılabilmesi için print spooler servisinin aşağıdaki gibi yapılandırılması gereklidir.

Windows + R kombinasyonuna services.msc yazarak erişebilirsiniz.

Services.msc  penceresinde aşağıdaki bölümden kullanıcıların kullanacağı şifrelerin güvenliğini arttırabilirsiniz.

Enforce password history : kullanıcıların şifre değiştirecekleri zaman seçecekleri şifrenin önceki şifrelerle aynı olmamasını sağlamak için kullanılır. Windows Server 2008de her kullanıcı için önceki 24 şifresi hatırlatılabilir.
Maximum password age : Bir şifre atandıktan sonra belirlenen gün sonrası şifrenin tekrar değiştirilmesi istenir.
Minimum password age : Atanan şifrenin tekrar değiştirilmesi için gereken minimum süre. Kullanıcıların sürekli şifre değiştirerek eski şifresini tekrar atamasını engellemek için kullanınız.

Password must meet complexity requirements: Aktifleştirildiğinde şifrelerin karşılaması gereken özellikler şu şekilde değiştirilir;

• Kullanıcı adı, tam adının kendisi ya da bir parçasını içeremez.
• En az 6 karakter uzunluğunda olmalı
• Bu 4 koşuldan en az üçünü karşılamalı;Büyük harfler,küçük harfler,rakamlar,özel karakterler

Kullanıcı izinleri

Varsayılan izinler aşağıda gösterilmiştir.

• Administrators:Full Control
• System: Full Control
• Users: Read, Read and Execute
• Creator Owner: Herhangi bir izni yok
• Everyone: Herhangi bir izni yok

Dosya izinlerini düzenlemek için;

1. İzinleri düzenlenecek dosyaya sağ tıklayın.> Özellikler > Güvenlik
2. Ekle  bölümünden yukarıdaki nesneleri ekleyin.
3. İzinleri istediğiniz şekilde düzenleyin. Tam kontrol seçeneği altındaki bütün izinleri aktif hale getirir.Read & Execute  seçeneği otomatik olarak Read  seçeneğini de aktifleştirir.

DESX algoritmasını daha güvenli olan 3DES algoritmasıyla değiştirin. Regedit penceresinden ilerleyin.

1. Kayır Defteri Düzenleyicisi’ni açınız
2. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/EFS  alt anahtarına girin.
3. Yeni DWORD  değeri açın.
4. İsmini AlgorithmID , değerini 0x6603  olarak kaydedin.
5. Restart the computer

TR | Windows Sunucu Güvenliği ile İlgili Öneriler CypmUni İYTE

Teknoloji gün geçtikçe hayatımızın ayrılmaz bir parçası oldu.Teknoloji ne kadar hızlı gelişiyorsa, kişisel verilerimizi koruma ihtiyacımızda aynı hızla artmıştır. Koruma ihtiyacımızla beraber parola, şifre, pin, TAN gibi kavramları daha çok duymaya başladık. İlk başta bunlar arasındaki farkları açıklamak istiyorum.

• Parola: Herkesin erişmesini istemediğimiz bir kaynağa, erişebilmek için önceden belirlenmiş karakter dizisidir.
• Şifre: Gizli haberleşmeye yarayan işaretlerin tümüne verilen isimdir.
• Pin: Kişisel tanıtım numarası diye Türkçe çevirebiliriz. 4 veya 6 rakamdan oluşur.
• TAN: Genelde bankacılıkta kullanılan tek seferlik parolalar dır.

Bilgisayarlarımızın her gün biraz daha güçlenmesiyle beraber parola kırma güçleri de artmıştır.

Parola uzunluğu ve çözmek için gereken süreler;

• 3 haneli →yaklaşık 0,2 Saniye
• 5 haneli →yaklaşık 14 Dakika
• 58 haneli →yaklaşık 53252 Saat
• 510 haneli →yaklaşık 1179469 Hafta
• 512 haneli →yaklaşık 84168853 Yıl
• 515 haneli →yaklaşık 19 104 730 610 573 Yıl

Verilerimizi emanet ettiğimiz bu karakter dizisini daha güvenli hale getirmek için belli başlı yollar var.

• Parolamız en az 8 karakterden oluşmalıdır.
• Büyük ve küçük harfler içermelidir.
• Harflerin yanı sıra rakam ve özel karakterlere yer verilmelidir.
• Kişisel bilgilerimizi parola olarak KULLANMAMALIYIZ.(Örneğin adınız, soyadınız, doğum tarihiniz)
• Sözlükteki kelimeler değiştirilmeden parola olarak kullanılmamalıdır.
• Parolanın akılda kalıcı olması gerekir. Not olarak tutulan parolalar erişildiği zaman hiçbir anlam ifade etmez.

Hatırlanması kolay güçlü parola oluşturma ipuçları;

• Cümlelerin baş harflerini birleştirebiliriz.
  • Bir elin nesi var, iki elin sesi var. 1Env,2Esv.
  • Ben 1980 yılında Ankara’da doğdum. B1980yAd.
• Harf yerine rakam kullabiliriz.
  • B → 8
  • Z → 2
  • I, İ,L, → 1
  • O → 0
  • S → 5
  • G → 6
• Bir cümledeki sadece sesli veya sadece sessiz harfleri kullabiliriz.
  • Bu örnek 1 parola.  brnk1prl.
  • Bu örnek 1 parola.  uöe1aoa.
• Klavyedeki tuşlara sırasıyla basılarak oluşturulan parolalar GÜVENSİZDİR.
  • 123qwe  , qwe123 , asdqwe  gibi karakter dizilerinin kullanılması önerilmez.

ÖRNEK
Kullanacağımız site: https://howsecureismypassword.net

• Siteye girdiğimizde böyle bir ekran bizi karşılıyor.

• İlk başta şifremiz canyoupwnme  olsun;

• Bu şifrenin kırılması 1 gün olacakmış. Şimdi CanYouPwnMe  yazıyorum;

• Görüldüğü üzere sadece kelimelerin baş harflerini büyük yazarak süreyi 6 yıla çıkardım. Bir de işin içine rakam ve özel karakterleri katalım. C@nY0uPwnM3  yeni parolamız;

• Parolamızın kırılması için 400 yıl gerekiyor ki bu gerçekten çok uzun bir süre

Güçlü bir parola oluşturduk fakat bunun kötü niyetli kişiler tarafından öğrenilmemesi için ne yapmalıyız. İlk başta bizim parolamıza başka insanlar nasıl erişebilir onların yollarına bakalım.Kötü amaçlı kişiler, gizli bilgilerinize ulaşmak için keylogger denilen küçük ve sizler tarafından farkedemeyeceğiniz programlardan faydalanırlar.
Bu programlar virüs niteliğinde olup, bilgisayarlarınıza resim, ses dosyası, video dosyası, mail ve çeşitli dosyalarla bulaştırılırlar. Keyloggerin görevi, sizin klavye kullanırken bastığınız tuşların harf ve rakam karşılıklarını, kötü amaçlı korsan kişiye yollamaktır. Böylelikle gizli bilgileriniz ve şifreleriniz ele geçirilmiş olur.

KeyScrambler , sizi bu duruma karşı koruyabilecek önemli bir güvenlik yazılımıdır. KeyScrambler Personal, sizin klavye ve tuş verilerinizi 38 farklı tarayıcıda koruyacak şekilde yapılmıştır. Artık siz klavyede yazmaya başladığınız andan itibaren, klavye vuruşlarınız şifrelenmeye başlayarak bilgilerinize ulaşılmasını engelleyecek. Özellikle şifre ve parola kullanarak girdiğiniz çok önemli sitelerde, gizlilik oldukça önemlidir. Bununla beraber online bankacılık güvenliği anlamında hayati önem teşkil eden güvenlik sorunlarının başında keyloggerlar gelir. Bu yazılım sayesinde, online bankacılık işlemlerinizi güvenle yapabileceksiniz.

Genel olarak stealer ve keyloggerlar TCP yerine UDP protokollerini kullanır. UDP daha az güvelidir bunun sebebi ise UDP debugging ve veriyi yeniden yollamayı desteklemez. Programınız TCP protokolünü desteklemiyor ise bu bir problem olabilir.

Phishingler

Phishinglere gelecek olursak phishingler de bir web sitenin kopyasıdır dersek yeridir. Phishingler sayesinde kullanıcılara girmek istedikleri web sitenin kopyasını açtırırlar. Bu web siteye girdiğiniz zaman da kullanıcı adı ve şifre paneline herhangi bir kullanıcı adı veya şifre girerseniz kötü niyetli kişilere ulaşır ve kötü niyetli kişiler de bu verilerinizi ele geçirmiş olurlar. Bütün bu zararlılardan korunabilmeniz için yine sağlam bir anti virüs yazılımına ihtiyacınız vardır. Anti virüs yazılımı olarak da sizlere Avira veya ESET gibi anti virüs yazılımlarını önerebiliriz. Bu anti virüs yazılımlarının içerilerinde anti – phishing gibi özellikler vardır. Zaman içerisinde anti virüs yazılımları da bu virüslerin türevlerini tespit etmiş ve bu türevlere göre de özellikler sunmaya başlamışlardır.

Stealer Nedir?

Stealer analizi diğerlerine göre daha zor olan bilgisayar güvenliğini tehdit eden zararlı yazılımdır. Stealer açıldığında kayıtlı şifreleriniz ftp veya gmail adresine gönderilir. Başlangıca eklenmez bir defa çalıştıktan sonra kendini yok eder. Tabiki bu genel stealer tanımı. Artık yeni özellikler eklendi. Özel bir hedef için hazırlanır ve şifre alındıktan sonra dosya kendini siler. Tabiki bu silme tam anlamıyla olmaz, geri getirilebilir. Local stealerlar ise genelde unuttuğunuz şifreleri görmek için kullanılır. Yazılımı açtığınızda kayıtlı şifrelerin hepsi gösterilir.

Nasıl çalışır?

Bir builder vardır. Gerekli ayarları yaparsınız ve size bir server oluşturur. Karşı tarafa bu dosya sosyal mühendislik ile açtırılır. Açıldığı anda stealerın özelliğine göre bilgisayardaki kayıtlı şifreleri gönderir ve kendini siler. Antivirüsler yakalayamayabilir. Güvenlik duvarınız güçlüyse diske eriştiğini ve bağlantı verdiğini gösterecektir. Bağlantıyı iptal edemezseniz bütün şifrelerinizi değiştirmelisiniz.

Nasıl korunuruz?

Serveri not defterinde veya hex workshop‘da açarsanız genellikle bilgilere ulaşırsınız. Şifreler genelde base64 ile şifrelenir. İnternetten decode edebilirsiniz. Onun dışında antivirüsün yanında sağlam güvenlik duvarı gerekli. Bağlantınızı şifrelemeniz çeşitli stealerlara karşı korusada %100 koruma sağlamıyor. En sağlam önlem ise çerez tutmamak. Tarayıcınız her zaman gizli modda olsun, hem geçmişi kaydetmez hem de çerez tutmaz böylelikle kayıtlı şifreniz olmaz.

TR | Parola Güvenliği CypmUni İYTE

Fiziksel Güvenlik Nedir?

Sistem güvenliğinde pek de önemsenmeyen fiziksel güvenlik çok küçük ve kolay hatalarla bütün uğraşlarımızın boşuna gitmesine neden olabilir. Çok kolay bir şekilde istismar edilebilecek zafiyetlere sahiptir ve kolay önlemleri vardır.şimdi sırayla bunları inceleyelim.

Bilgisayar/Sunucu Fiziksel Güvenliği:

Fiziksel güvenlik denince ilk olarak makinenin güvenilir bir ortamda saklanması gerekir. Ortamı güvenilirhale getirmek için güçlü kilit sıstemleri ve sağlam malzemeler kullanılabilir. Bu odalara giriş parolalı sistemlerle olmalıdır ve üst üste hatalı parola girişinde sistem kendiliğinden kilitlenmelidir. Ayrıca bilgisayar(sunucu) kesinlikle dışarıdan DC/DVD/USB girişlerine kapalı olmalıdır. Ve aynı şekilde mouse klavye takılı halde bırakılmamalıdır.

BIOS güvenliği:

Basıc Input Output System olarak tercüme edilen bilgisayarın çalışması için gereken temel yapıdır. BIOS yazılımı rom üzerine yazılmasından dolayı anakrt özelliklerini kullanabilr ve diğer donanımlarla
bağ kurabilir. Böylelikle makine başlangicinda donanımlar da kontrol eder.çoğu sistemde BIOS kendiliğinden parola ekli bir şekilde gelir fakat kolay işlemlerle bu parola kaldırılabilir. Bıos işlemini tamamladıktan sonra bootloadera geçiş yapılır farklı işletim sistemleri için farklı bootloaderlar vardır. Windows bootloader windowsun kullandiği bootloaderdır. Fakat bunun yerine grub da kullananbiliriz.

Secure Boot(Güvenli Önyükleme):

Windows 8 ile birlikte gelmeye başlayan bu yeni özellik bilgisayarımızı sadece yetkilendirilen işletim sistemlerinin başlatabilmesini sağlıyor. Normalde güç tuşuna bastıktan sonra BIOS devreye girer ve donanımı kontrol eder.eğer herhengi bir sorun yoksa bootloaderı devreye sokar. Secure boot işte tam olarak bu aşamada devreye giriyor. BIOS görevini bootloadera devrederken secure boot deverye giriyor ve bootloaderın ona verilen veri tabanında olup olmadığına bakıyor. Eğer bu işletim sistemi secure bootun veri tabanındaysa sıkıntısız bir şekilde bootloader devreye giriyor ve işlemler devam ediyor.

Işte kimi sıkıntılar da tam burada çıkıyor. Ya bizim çalıştırmak istediğimiz işletim sistemi bu veri tabanında yoksa ? Öncelikle secure boot özellliğini kullanmak zorunda değiliz. Devre dışı bırakılabilen bir özelliktir. Ayrıca güncel UEFI BIOS larda istenilen işletim sisteminin imzası veritabanına eklenebilecek. Örneğin windows 8 ile birlikte debianı da kullanmak istiyorsak bunları izin verilen işletim sistemleri listesine ekleyebileceğiz , silebileceğiz böylelikle bizim iznimiz dışında hiçbir işletim sistemi çalışmayacak.

Secure Bootun Yararı Nedir?

Yukarıdan da anlaşılacağı gibi Yetkisiz işletim sistemlerinin önyüklenmesini önlemek ilk akla gelen yararı. Bunun la birlikte rootkit denilen, sisteminizdeki önyükleme yöneticisini değiştiren veya önyükleme yöneticisinin yerine geçen bir takım zararlı yazılımlardır. Sistemem yerleşen bu rootkitler henüz sisteminiz çalışmadan istediği gibi kodlarla oynamalar yaparal sistem ayarlarnızı değiştirebilir,verilerinizi internet bağlantısı yoluyla alabilir ve verilerinizin kaybolmasına neden olabilir. Özetle secure boot özelliği sizin izniniz dahilindeki işletim sistemleri dışında hiçbir şeyin çalışmamasını sağlar, gerektiğinde kapatılabilir veya imzaları değiştirilebilir. Bazı sistemlerde sadece secure boot özelliğini kapatmak yetmeyebilir aynı zamanda fast boot özelliğini de kapatmak gerekebilir.

USB Belleklerin Okuma-Yazma Hakkı Kapatılması/Açılması

USB girişi bilgisayarımızın dış dünya ile fiziksel olarak bağlantı kurduğu parçalardan birisidir ve bu nedenle güvenliği son derece önemlidir. Eğer bilgisayarımızın yanında değilsek USB girişlerini kapatmamız gerekir. Ilk olarak başlat menüsündeki arama çubuğuna “regedit” yazarak kayıt defterini açarız.

Açılan defterde LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\RemovableStoragesDevices  pathini izleyerek gerekli dosyamıza erişmiş olduk kimi sistemlerde RemovableStoragesDevices  dosyası olmayabilir. Windows klasörüne sağ tıklayıp yeni anahtar deriz ardından RemovableStoragesDevices  yazarak enter dersek klasörümüz oluşmuş olur.

USB Belleklerin Okunmasını Engellemek:

RemovableStoragesDevices  klasörünün içine sağ tıklayarak yeni anahtar oluşturuyoruz ve anahtara {53f56311-b6bf-11d0-94f2-00a0c91efb8b}  diyip entera basıyoruz

Ardından dosyaların olduğu yere sağ tıklayıp DWORD (32-bit)  değeri seçeneğini seçeriz. Isim olarak Deny_Read  kullandık. Deny_Read  sağ tıkladık değiştir dedik ve buradaki default 0  değerini 1  yaptık.

Kayıt defterini kapattık ve bilgisayarı yeniden başlatarak usb bellek okumasını kapatmış oluruz. Eğer oluşturulan DWORD (32-bit)  değeri silinirse tekrar eski haline dönerek USB bellek
okumayı açarız.

USB Belleklere Yazılmayı Engelleme:

RemovableStoragesDevices  klasörünün içine sağ tıklayarak yeni anahtar oluşturuyoruz ve anahtara {53f56311-b6bf-11d0-94f2-00a0c91efb8b}  diyip entera basıyoruz. Ardından dosyaların olduğu yere sağ tıklayıp DWORD (32-bit)  değeri seçeneğini seçeriz. Isim olarak Deny_Write kullandık. Deny_Write sağ tıkladık değiştir dedik ve Ve buradaki default 0  değerini 1  yaptık.

Kayıt defterini kapattık ve bilgisayarı yeniden başlatarak usb belleğe yazılmasını engellemiş olduk.Eğer oluşturulan ”DWORD (32-bit) değeri” silinirse tekrar eski haline dönerek USB belleğe
yazmayı açabiliriz.

Bu şekilde bilgisayarımıza gelebilecek fiziksel saldırılardan daha iyi bir şekilde
korunabiliriz. Sistemimizi daha güvenli hale getirebilir saldırılardan bir nebze korunabiliriz.

TR | Fiziksel Güvenlik CypmUni İYTE

Baskı Cihazları Güvenliği

• Ekstra güvenilirlik ve performans artışı için sisteminize print server cluster kurun. (https://technet.microsoft.com/en-us/library/cc771509(v=ws.10).aspx)
• IPSec protokolünü sunucularınıza kurun. (http://www.it.cornell.edu/services/managed_servers/howto/ipsec.cfm).
• Print permissionları gözden geçirip ayarlayın. Print permissions çıktı izinlerini belirtir ve print servislerine hak verip, engelleme olanağı sunar.

Şimdi ise yazıcı ve fakslara istenilen izinleri nasıl vereceğimizi görelim.

yazıcı ve fakslar bölümüne geldikten sonra ekli olan yazıcılarımız ekranda çıkacaktır.şuan bizde herhangi bir yazıcı ekli olmadığı için listeyi yeniliyoruz eğer yine yazıcımız bulunamazsa yazıcı adıyla, TCP/IP adresi veya ana bilgisayar adresi ile, veya el ile yazıcımızı ekleyebiliriz.

yazıcımızı CYPMprinter adıyla yazıcılarımıza ekledik.

Yazıcı ve faks klasöründe istenilen yazıcıya sağ tıklayıp yönet diyerek  bu ekrana ulaştık

güvenlik penceresinden kullanıcılara aşağıdaki izinleri atayabilirsiniz.

• Yazdır; Kullanıcının yazıcıdan çıktı almasını sağlar.
• Bu yazıcıyı yönet; Bir kullanıcı ya da gruba aşağıdaki izinleri sağlar:
  • Yazdırma izinlerini değiştirme.
  • Print spooler ayarlarını değiştirme.
  • Yazıcıyı paylaşma.
  • Yazıcıyı başlatma,durdurma,duraklatma ve devam ettirme.
• Belgeleri Yönet; Bir kullanıcı ya da grubun yazdırma sırasındaki dosyaları kontrol etmesini sağlar.
• Özel izinler: kullanıcılara özel izinler atamamızı sağlar
• Kullanıcılara yazdırma iznini atarken, Varsayılan olarak herkese yazdırma izni verilir. Bunu önlemek için yazıcılardan “Everyone” grubuna verilen izni kaldırın.

burada önemli olan her kullanıcıya yazdırma hakkı vermemektir. Sadece gerekli kullanıcılara yazdırma hakkı vererek güvenliğimizi sağlamış oluruz.

gelişmiş ayarları seçerek buradaki izinleri düzenleyebiliriz.

TR | Print Services CypmUni İYTE