Dosya ve Yazıcı sistemlerini güvende tutmak için basit önlemler;

• Sunucularınızı fiziki olarak güvende tutun.
• NTFS dosya sistemini bütün sürücülerinizde kullanın . Sisteminizi güncel tutun
• İşinize yaramayan servisleri ve uygulamaları sistemden kaldırın.
• Kullanıcılar sadece dosyalara erişimini ve yazdırma sistemini kullanmalarına yetecek izinler verilmelidir.
• Password Policy security kullanarak kullanıcıların güçlü şifreler seçmelerini zorunlu kılın.
• Administrator ve Guest hesaplarını güçlü şifrelerle koruyun.
• Sunucularınızda işlem yaparken mümkün olduğunca az izinle çalışın.
• Sunucunun kullanıcılar tarafından kullanılabilmesi için print spooler servisinin aşağıdaki gibi yapılandırılması gereklidir.

Windows + R kombinasyonuna services.msc yazarak erişebilirsiniz.

Services.msc  penceresinde aşağıdaki bölümden kullanıcıların kullanacağı şifrelerin güvenliğini arttırabilirsiniz.

Enforce password history : kullanıcıların şifre değiştirecekleri zaman seçecekleri şifrenin önceki şifrelerle aynı olmamasını sağlamak için kullanılır. Windows Server 2008de her kullanıcı için önceki 24 şifresi hatırlatılabilir.
Maximum password age : Bir şifre atandıktan sonra belirlenen gün sonrası şifrenin tekrar değiştirilmesi istenir.
Minimum password age : Atanan şifrenin tekrar değiştirilmesi için gereken minimum süre. Kullanıcıların sürekli şifre değiştirerek eski şifresini tekrar atamasını engellemek için kullanınız.

Password must meet complexity requirements: Aktifleştirildiğinde şifrelerin karşılaması gereken özellikler şu şekilde değiştirilir;

• Kullanıcı adı, tam adının kendisi ya da bir parçasını içeremez.
• En az 6 karakter uzunluğunda olmalı
• Bu 4 koşuldan en az üçünü karşılamalı;Büyük harfler,küçük harfler,rakamlar,özel karakterler

Kullanıcı izinleri

Varsayılan izinler aşağıda gösterilmiştir.

• Administrators:Full Control
• System: Full Control
• Users: Read, Read and Execute
• Creator Owner: Herhangi bir izni yok
• Everyone: Herhangi bir izni yok

Dosya izinlerini düzenlemek için;

1. İzinleri düzenlenecek dosyaya sağ tıklayın.> Özellikler > Güvenlik
2. Ekle  bölümünden yukarıdaki nesneleri ekleyin.
3. İzinleri istediğiniz şekilde düzenleyin. Tam kontrol seçeneği altındaki bütün izinleri aktif hale getirir.Read & Execute  seçeneği otomatik olarak Read  seçeneğini de aktifleştirir.

DESX algoritmasını daha güvenli olan 3DES algoritmasıyla değiştirin. Regedit penceresinden ilerleyin.

1. Kayır Defteri Düzenleyicisi’ni açınız
2. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/EFS  alt anahtarına girin.
3. Yeni DWORD  değeri açın.
4. İsmini AlgorithmID , değerini 0x6603  olarak kaydedin.
5. Restart the computer

TR | Windows Sunucu Güvenliği ile İlgili Öneriler CypmUni İYTE

Fiziksel Güvenlik Nedir?

Sistem güvenliğinde pek de önemsenmeyen fiziksel güvenlik çok küçük ve kolay hatalarla bütün uğraşlarımızın boşuna gitmesine neden olabilir. Çok kolay bir şekilde istismar edilebilecek zafiyetlere sahiptir ve kolay önlemleri vardır.şimdi sırayla bunları inceleyelim.

Bilgisayar/Sunucu Fiziksel Güvenliği:

Fiziksel güvenlik denince ilk olarak makinenin güvenilir bir ortamda saklanması gerekir. Ortamı güvenilirhale getirmek için güçlü kilit sıstemleri ve sağlam malzemeler kullanılabilir. Bu odalara giriş parolalı sistemlerle olmalıdır ve üst üste hatalı parola girişinde sistem kendiliğinden kilitlenmelidir. Ayrıca bilgisayar(sunucu) kesinlikle dışarıdan DC/DVD/USB girişlerine kapalı olmalıdır. Ve aynı şekilde mouse klavye takılı halde bırakılmamalıdır.

BIOS güvenliği:

Basıc Input Output System olarak tercüme edilen bilgisayarın çalışması için gereken temel yapıdır. BIOS yazılımı rom üzerine yazılmasından dolayı anakrt özelliklerini kullanabilr ve diğer donanımlarla
bağ kurabilir. Böylelikle makine başlangicinda donanımlar da kontrol eder.çoğu sistemde BIOS kendiliğinden parola ekli bir şekilde gelir fakat kolay işlemlerle bu parola kaldırılabilir. Bıos işlemini tamamladıktan sonra bootloadera geçiş yapılır farklı işletim sistemleri için farklı bootloaderlar vardır. Windows bootloader windowsun kullandiği bootloaderdır. Fakat bunun yerine grub da kullananbiliriz.

Secure Boot(Güvenli Önyükleme):

Windows 8 ile birlikte gelmeye başlayan bu yeni özellik bilgisayarımızı sadece yetkilendirilen işletim sistemlerinin başlatabilmesini sağlıyor. Normalde güç tuşuna bastıktan sonra BIOS devreye girer ve donanımı kontrol eder.eğer herhengi bir sorun yoksa bootloaderı devreye sokar. Secure boot işte tam olarak bu aşamada devreye giriyor. BIOS görevini bootloadera devrederken secure boot deverye giriyor ve bootloaderın ona verilen veri tabanında olup olmadığına bakıyor. Eğer bu işletim sistemi secure bootun veri tabanındaysa sıkıntısız bir şekilde bootloader devreye giriyor ve işlemler devam ediyor.

Işte kimi sıkıntılar da tam burada çıkıyor. Ya bizim çalıştırmak istediğimiz işletim sistemi bu veri tabanında yoksa ? Öncelikle secure boot özellliğini kullanmak zorunda değiliz. Devre dışı bırakılabilen bir özelliktir. Ayrıca güncel UEFI BIOS larda istenilen işletim sisteminin imzası veritabanına eklenebilecek. Örneğin windows 8 ile birlikte debianı da kullanmak istiyorsak bunları izin verilen işletim sistemleri listesine ekleyebileceğiz , silebileceğiz böylelikle bizim iznimiz dışında hiçbir işletim sistemi çalışmayacak.

Secure Bootun Yararı Nedir?

Yukarıdan da anlaşılacağı gibi Yetkisiz işletim sistemlerinin önyüklenmesini önlemek ilk akla gelen yararı. Bunun la birlikte rootkit denilen, sisteminizdeki önyükleme yöneticisini değiştiren veya önyükleme yöneticisinin yerine geçen bir takım zararlı yazılımlardır. Sistemem yerleşen bu rootkitler henüz sisteminiz çalışmadan istediği gibi kodlarla oynamalar yaparal sistem ayarlarnızı değiştirebilir,verilerinizi internet bağlantısı yoluyla alabilir ve verilerinizin kaybolmasına neden olabilir. Özetle secure boot özelliği sizin izniniz dahilindeki işletim sistemleri dışında hiçbir şeyin çalışmamasını sağlar, gerektiğinde kapatılabilir veya imzaları değiştirilebilir. Bazı sistemlerde sadece secure boot özelliğini kapatmak yetmeyebilir aynı zamanda fast boot özelliğini de kapatmak gerekebilir.

USB Belleklerin Okuma-Yazma Hakkı Kapatılması/Açılması

USB girişi bilgisayarımızın dış dünya ile fiziksel olarak bağlantı kurduğu parçalardan birisidir ve bu nedenle güvenliği son derece önemlidir. Eğer bilgisayarımızın yanında değilsek USB girişlerini kapatmamız gerekir. Ilk olarak başlat menüsündeki arama çubuğuna “regedit” yazarak kayıt defterini açarız.

Açılan defterde LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\RemovableStoragesDevices  pathini izleyerek gerekli dosyamıza erişmiş olduk kimi sistemlerde RemovableStoragesDevices  dosyası olmayabilir. Windows klasörüne sağ tıklayıp yeni anahtar deriz ardından RemovableStoragesDevices  yazarak enter dersek klasörümüz oluşmuş olur.

USB Belleklerin Okunmasını Engellemek:

RemovableStoragesDevices  klasörünün içine sağ tıklayarak yeni anahtar oluşturuyoruz ve anahtara {53f56311-b6bf-11d0-94f2-00a0c91efb8b}  diyip entera basıyoruz

Ardından dosyaların olduğu yere sağ tıklayıp DWORD (32-bit)  değeri seçeneğini seçeriz. Isim olarak Deny_Read  kullandık. Deny_Read  sağ tıkladık değiştir dedik ve buradaki default 0  değerini 1  yaptık.

Kayıt defterini kapattık ve bilgisayarı yeniden başlatarak usb bellek okumasını kapatmış oluruz. Eğer oluşturulan DWORD (32-bit)  değeri silinirse tekrar eski haline dönerek USB bellek
okumayı açarız.

USB Belleklere Yazılmayı Engelleme:

RemovableStoragesDevices  klasörünün içine sağ tıklayarak yeni anahtar oluşturuyoruz ve anahtara {53f56311-b6bf-11d0-94f2-00a0c91efb8b}  diyip entera basıyoruz. Ardından dosyaların olduğu yere sağ tıklayıp DWORD (32-bit)  değeri seçeneğini seçeriz. Isim olarak Deny_Write kullandık. Deny_Write sağ tıkladık değiştir dedik ve Ve buradaki default 0  değerini 1  yaptık.

Kayıt defterini kapattık ve bilgisayarı yeniden başlatarak usb belleğe yazılmasını engellemiş olduk.Eğer oluşturulan ”DWORD (32-bit) değeri” silinirse tekrar eski haline dönerek USB belleğe
yazmayı açabiliriz.

Bu şekilde bilgisayarımıza gelebilecek fiziksel saldırılardan daha iyi bir şekilde
korunabiliriz. Sistemimizi daha güvenli hale getirebilir saldırılardan bir nebze korunabiliriz.

TR | Fiziksel Güvenlik CypmUni İYTE

Baskı Cihazları Güvenliği

• Ekstra güvenilirlik ve performans artışı için sisteminize print server cluster kurun. (https://technet.microsoft.com/en-us/library/cc771509(v=ws.10).aspx)
• IPSec protokolünü sunucularınıza kurun. (http://www.it.cornell.edu/services/managed_servers/howto/ipsec.cfm).
• Print permissionları gözden geçirip ayarlayın. Print permissions çıktı izinlerini belirtir ve print servislerine hak verip, engelleme olanağı sunar.

Şimdi ise yazıcı ve fakslara istenilen izinleri nasıl vereceğimizi görelim.

yazıcı ve fakslar bölümüne geldikten sonra ekli olan yazıcılarımız ekranda çıkacaktır.şuan bizde herhangi bir yazıcı ekli olmadığı için listeyi yeniliyoruz eğer yine yazıcımız bulunamazsa yazıcı adıyla, TCP/IP adresi veya ana bilgisayar adresi ile, veya el ile yazıcımızı ekleyebiliriz.

yazıcımızı CYPMprinter adıyla yazıcılarımıza ekledik.

Yazıcı ve faks klasöründe istenilen yazıcıya sağ tıklayıp yönet diyerek  bu ekrana ulaştık

güvenlik penceresinden kullanıcılara aşağıdaki izinleri atayabilirsiniz.

• Yazdır; Kullanıcının yazıcıdan çıktı almasını sağlar.
• Bu yazıcıyı yönet; Bir kullanıcı ya da gruba aşağıdaki izinleri sağlar:
  • Yazdırma izinlerini değiştirme.
  • Print spooler ayarlarını değiştirme.
  • Yazıcıyı paylaşma.
  • Yazıcıyı başlatma,durdurma,duraklatma ve devam ettirme.
• Belgeleri Yönet; Bir kullanıcı ya da grubun yazdırma sırasındaki dosyaları kontrol etmesini sağlar.
• Özel izinler: kullanıcılara özel izinler atamamızı sağlar
• Kullanıcılara yazdırma iznini atarken, Varsayılan olarak herkese yazdırma izni verilir. Bunu önlemek için yazıcılardan “Everyone” grubuna verilen izni kaldırın.

burada önemli olan her kullanıcıya yazdırma hakkı vermemektir. Sadece gerekli kullanıcılara yazdırma hakkı vererek güvenliğimizi sağlamış oluruz.

gelişmiş ayarları seçerek buradaki izinleri düzenleyebiliriz.

TR | Print Services CypmUni İYTE