BİTLOCKER

Bitlocker windows’un bizler için sunduğu disk şifrelemeye yarayan bir araçtır. Eğer bitlockerı aktif ederseniz tüm diskiniz şifrelenmiş olacaktır ve makinenizdeki diğer işletim sistemleri tarafından bu diske ulaşım engellenecektir. Sistem dosyalarına erişemeyecekler ve sürücünüzü bilgisayarınızdan fiziksel olarak kaldırıp başka bir bilgisayara yükleseler bile erişmelerini yine engellemiş olacağız.
Bitlocker sürücü şifrelemesi yalnızca Windows 8/10 Pro , windows 8/10 enterprise ve windows 10 education sürümlerinde kullanılabilir. Ayrıca bitlockerin düzenli çalışması için diskinizde iki tane NTFS bölümü olmalıdır.Bunlardan sistem için gerekli olan bölümün ise en az 350 MB büyüklüğünde ve Aktif olarak işaretlenmiş olması gerekir.
BitLocker ile korunan bir sürücünün imajını alır veya bu sürücüdeki kişisel verilerinizi yedeklerseniz bunlar şifreli olarak kaydedilecektir.
Yeni dosyalar diskimize eklendiğinde bitlocker otomatik olarak onları da şifreleyecektir. Ancak bu dosyalar başka disklere kopyalanırsa şifreleri otomatik olark çözülür.BitLocker ile korunan bir sürücünün imajını alır veya bu sürücüdeki kişisel verilerinizi yedeklerseniz bunlar şifreli olarak kaydedilecektir.
BitLocker 2 seviye şifreleme algoritması sunar: AES 128 bit ve AES 256 bit. AES 128 bit son derece yeterli bir seviyedir ve normal kullanıcılar tarafından kesinlikle kırılamaz. Ancak tüketicinin ulaşamayacağı çok özel programlar ve çok güçlü bilgisayarlarla kırılabilir. Bu yüzden de Windows 8/10 varsayılan olarak AES 128 bit şifreleme kullanılır. Fakat isterseniz 256 bit kullanacak şekilde de ayarlayabilirsiniz. Bunu BitLocker’ı ilk etkinleştirmenizden önce yapmalısınız. Hali hazırda BitLocker’ın etkinleştirildiği bir bilgisayarda 256 bit şifreleme seviyesini seçseniz bile 128 bit şifrelemeye devam edecektir.

Bitlocker Kurulumu

İlk olarak Bilocker’ı yönete giriyoruz.

Bu pencereyle karşılaştıktan sonra Bitlocker’ı aç diyoruz.

Bitlockerı başlatırken bu hatayla karşılaştık bunun nedeni güvenilir platform modülünü kullanamamamız. Bu modüller ilgili ayarlarımızı yapalım.

Çalıştıra gpedit.msc yazıyoruz.

Yerel Gup İlkesi Düzenleyicisi konsolunda Bilgisayar Yapılandırması > Yönetim Şablonları  > Windows Bileşenleri > BitLocker Drive Encryption > İşletim Sistemi Sürücüleri  yolunu takip ettik ve Başlangıçta ek kimlik doğrulama iste ayarına tıklıyoruz.

Ayarlarımızı bu penceredeki gibi düzeltiyoruz.

Ardından tekrar bitlocker sayfasına geliyoruz ve bu sefer bitlockerı aç diyoruz ve bu pencere ile karşılaşıyoruz.
Eğer bilgisayarınızda TPM yongası varsa USB flash sürücü seçeneği çıkmayacaktır.

Eğer USB flash seçersek bu USB her bilgisayarı açışımızda yanımızda olmalıdır!
Eğer USB den yapmayacaksak parola gire tıklayarak parolamızı seçiyoruz. parolamızın minimum 8 karakter olması gerekiyor.
Parolayı unutmanız veya USB flash sürücünüzü kaybetmeniz durumunda kurtarma anahtarı sayesinde dosyalarınızı kurtarabilirsiniz. Eğer bu anahtarı birden fazla yere yedeklerseniz işinizi daha fazla garantiye almış olursunuz tavsiye ederim.

Microsoft hesabına kaydet seçeneği bilgisayarınız bir etki alanında kullanılamaz.

Açıklamalar açık bir şekilde belirtiliyor tam güvenlik için tüm sürücüyü…. seçeneği seçilebilir.

Sadece windows 10 sürümler için bu seçenek vardır. Sabit sürücüler için yeni şifreleme metodu , taşınabilir(USB) cihazlar için uyumluluk modunun seçilmesi önerilir.

Son olarak bitlocker sistem denetimini çalıştır kutusuna tik atmayı unutmayalım ve devam edelim.

Suan komutlarımız alındı ve yeniden başlatmamız gerekiyor.

Bilgisayarımızı yeniden başlatınca bitlockerın çalıştığını görüyoruz ve bizden parolamızı istiyor.

Şuan şifreleme oluşturuluyor ve bu işlem biraz uzun sürebilir fakat bu işlem arka planda olurken biz başka işlerimizi yapabiliriz.

Şifreleme bittikten sonra bitlocker açık yazısını gördük. Tam anlamıyla kurmuş olduk.
Bu korumayı askıya alabiliriz, parolayı değiştirebiliriz, parolayı kaldırabiliriz, kurtarma anahtarımızı yedekleyebiliriz, ve bitlockerı tam olarak kapatabiliriz.

Kurtarma dosyalarımızı yedeklemek için yine aynı seçeneklerimiz var.

Bitlocker korumasını askıya almak için bu pencereyi kullanıyoruz.

Son olarak bitlockerı kapatmak için bu pencereyi kullanıyoruz.

Ek olarak administer yetkisine sahipsek bilgisayarda bitlocker durumunu öğrenmek için cmd ekranını açıyoruz ve manage-bde -status X komutunu yazıyoruz. buradaki X istediğimiz sürücünün adıdır. Eğer bitlocker etkinse protection on etkin değilse protection off yazar. Böylelikle bitlockerimizin durumunu da öğrenebiliriz.

TR | Bitlocker CypmUni İYTE

 

• Disk yönetiminden USB belleğimizin harfini A  olarak değiştiriyoruz.

• Şimdi Syskey ‘i etkinleştirebiliriz, başlat’a Syskey  yazarak çalıştırıyoruz,

TR | Windows Hesap Parola Yönetimi CypmUni İYTE

Group Policy; ihtiyaçlar doğrultusunda güvenlik ayarları, kısıtlamalar, standart konfigürasyonlar, kullanıcı güvenliği gibi işlemlerin gerçekleştirildiği, merkezi yönetimi kolaylaştıran bir takım düzenlemelerin yapıldığı bölümdür. Group Policy, Active Directory ile gelen
bir özelliktir. Group Policy domain seviyesinde ve organizational unit seviyesinde uygulanır. Farklı organizational unitler oluşturup bunlara organizational unit seviesinde Group Policy uygulamak çok daha kolay olmaktadır. Örneğin 2000 bilgisayara aynı programı yüklemeniz veya kaldırmanız gerekirse ayrı ayrı yapmak kesinlikle çok zor olacağı için kısayol bulmalısınız. Böyle durumlarda aynı program yüklenecek bilgisayarlar aynı organizational unitlere eklenirse kolaylıkla toplu kurulum yapılabilir, yönetim sağlanabilir.

Group Policy Management (Temel Güvenlik Ayarları)

Password Policy (Parola İlkesi)

Yerel güvenlik ilkesi > güvenlik ayarları > hesap ayarları > parola ilkesi yolu izlenerek buraya ulaşılır. Buradaki password policy(parola ilkesi) bilgisayar ayarları altında çalışan bilindik bir policy tipidir. Domaine üye bilgisayarlarda oturum açabilen kullanıcılarla ilgili  uygulanabilecek bütün kuralları içerir.

Burada parolamız ile ilgili her türlü güvenlik tedbirini alabiliriz. Parolanın geçerlilik süresini ayarlayabilir, parolamızı güçlendirebiliriz. Aynı zamandan parolamızın minimum uzunluğunu da buradan ayarlayabiliriz.

Denetim İlkesi(Audit Policy)

Yerel güvenlik ilkesi > güvenlik ayarları > denetim ilkesi ile de domain ortamında olan biteni görebileceğimiz policy bölümü olan denetim ilkesine geliriz. Bu bölümde dizin hizmeti, hesap yönetimi, nesne erişimi, oturum açma vb. olayları denetleyerek daha güvenli hale getirebiliriz.

Kullanıcı Hakları Aşaması(User Right Assignment)

Kullanıcı haklarıyla ilgili tedbirlerin alındığı yerdir. Aygıt sürücüleri, belirteçler, bilgisayara ağ üzerinden bağlantı, nesne etiketleri gibi birçok ilke olmakla birlikte önemli ilkelerden uzak sistemden kapatmaya zorla ve aynı oturumda farklı bir kullanıcı için bir kimliğe bürünme ilkelerinin örneklerini alacağız.
Yerel güvenlik ilkesi > güvenlik ayarları > yerel ilkeler > kullanıcı hakları ataması yolunu izleyerek bu sayfaya geliriz. Burada istenilen ayarlar yapılabilir. Uzak sistemden kapatmak için buraya kullanıcı adı girilmelidir. Çünkü Administrator dışında herhangi bir kullanıcı böyle bir hakka sahip değildir.

Aynı oturumda farklı bir kullanıcı için bir kimliğe bürünme ilkesi için

Yerel güvenlik ilkesi > güvenlik ayarları > yerel ilkeler > kullanıcı hakları ataması yolunu izleyerek yine şekildeki sayfaya ulaştık. Burada da diğer ilkelerde olduğu gibi kullanıcıya yetki vermemiz
gerekiyor. Kullanıcı adımız olan “amele” yi buraya yazarak adları denetle diyoruz ve tamam diyerek bu hakkı amele kullanıcısı ile paylaşmış oluyoruz.

Kullanıcı hakları aşamasında dikkat etmemiz gereken birkaç ilkeyi şöyle sıralayabiliriz:
● Çapraz geçiş denetimi
● Saat dilimi kontrolü
● Sayfaları bellekte kilitleme
● Kalıcı paylaşılan nesneler
● Aynı oturumda farklı bir kullanıcı için bir kimliğe bürünme
● Sistemi kapatmak
● Toplu iş ilkeleri
● Yerel olarak oturum açma
● Zamanlama önceliği

Bu ilkelere öncelik vererek bütün ilkeleri gözden geçirmeliyiz.

Güvenik Seçenekleri(Security Options)

Burada çok fazla ayar yapılabilir. Kişisel güvenlik için çok önemli seçenekler vardır. Dikkatli bir şekilde seçim yapılmalıdır.

Yerel güvenlik ilkesi> güvenlik ayarları > yerel ilkeler> güvenlik seçenekleri diyerek bu sayfaya erişiriz. Konuk hesabı ile ilgili ayarlar, kullanıcı hesabı denetimi, etkileşimli oturum açma, Microsoft ağ istemcisi ve sunucusu, ağ erişimi , ağ güvenliği, aygıtlar vb birçok önemli konuda birçok alt dalda konfigürasyonlar vardır.

Burada aygıtları oturum açma gibi işlemler yapmadan çıkarma işlemi için izin ayarları var.

Ortak Anahtar İlkesi(Public Key Policies)

Bu ilke sayesinde her türlü şifreleme ayarları yapabiliriz. Şifreleme algoritma türü veri koruması vb. birçok şifre ayarlarını yapılandırabiliriz.
Yerel güvenlik ilkesi > güvenlik ayarları > ortak anahtar ilkeleri diyerek bu sayfaya ulaşabiliriz.

Ağ(Network)

Yerel güvenlik ilkesi > güvenlik ayarları > administrator şablonları > ağ yolu ile bulunur ve sistemdeki ağ güvenliği hakkında yapılandırmamız gereken ayarları içerir. DNS Server ayarlamalar vb. burada yapılır.

Burada şirket vb. topluluklar için ortak DNS adresi atayabiliriz. Burada şirket DNS araştırma adresi yazan yere adresi yazarız. DNS araştırması için kullanılan ana bilgisayarın adının beklenen adresini belirtmemizi sağlar. Ana bilgisayar adının bu adrese başarıyla çözümlenmesi şirket bağlantısının olduğunu gösterir.

Bu bölümde her türlü güvenlik ilkelerini kullanarak Windows işletim sistemimizi çok daha güvenilir hale getirerek sıkılaştırabiliriz.

Bize uygun olan ayarları Group Policy sayesinde yaparak sistemimizi dış saldırılardan koruyabiliriz.

TR | Group Policy CypmUni İYTE

Dosya ve Yazıcı sistemlerini güvende tutmak için basit önlemler;

• Sunucularınızı fiziki olarak güvende tutun.
• NTFS dosya sistemini bütün sürücülerinizde kullanın . Sisteminizi güncel tutun
• İşinize yaramayan servisleri ve uygulamaları sistemden kaldırın.
• Kullanıcılar sadece dosyalara erişimini ve yazdırma sistemini kullanmalarına yetecek izinler verilmelidir.
• Password Policy security kullanarak kullanıcıların güçlü şifreler seçmelerini zorunlu kılın.
• Administrator ve Guest hesaplarını güçlü şifrelerle koruyun.
• Sunucularınızda işlem yaparken mümkün olduğunca az izinle çalışın.
• Sunucunun kullanıcılar tarafından kullanılabilmesi için print spooler servisinin aşağıdaki gibi yapılandırılması gereklidir.

Windows + R kombinasyonuna services.msc yazarak erişebilirsiniz.

Services.msc  penceresinde aşağıdaki bölümden kullanıcıların kullanacağı şifrelerin güvenliğini arttırabilirsiniz.

Enforce password history : kullanıcıların şifre değiştirecekleri zaman seçecekleri şifrenin önceki şifrelerle aynı olmamasını sağlamak için kullanılır. Windows Server 2008de her kullanıcı için önceki 24 şifresi hatırlatılabilir.
Maximum password age : Bir şifre atandıktan sonra belirlenen gün sonrası şifrenin tekrar değiştirilmesi istenir.
Minimum password age : Atanan şifrenin tekrar değiştirilmesi için gereken minimum süre. Kullanıcıların sürekli şifre değiştirerek eski şifresini tekrar atamasını engellemek için kullanınız.

Password must meet complexity requirements: Aktifleştirildiğinde şifrelerin karşılaması gereken özellikler şu şekilde değiştirilir;

• Kullanıcı adı, tam adının kendisi ya da bir parçasını içeremez.
• En az 6 karakter uzunluğunda olmalı
• Bu 4 koşuldan en az üçünü karşılamalı;Büyük harfler,küçük harfler,rakamlar,özel karakterler

Kullanıcı izinleri

Varsayılan izinler aşağıda gösterilmiştir.

• Administrators:Full Control
• System: Full Control
• Users: Read, Read and Execute
• Creator Owner: Herhangi bir izni yok
• Everyone: Herhangi bir izni yok

Dosya izinlerini düzenlemek için;

1. İzinleri düzenlenecek dosyaya sağ tıklayın.> Özellikler > Güvenlik
2. Ekle  bölümünden yukarıdaki nesneleri ekleyin.
3. İzinleri istediğiniz şekilde düzenleyin. Tam kontrol seçeneği altındaki bütün izinleri aktif hale getirir.Read & Execute  seçeneği otomatik olarak Read  seçeneğini de aktifleştirir.

DESX algoritmasını daha güvenli olan 3DES algoritmasıyla değiştirin. Regedit penceresinden ilerleyin.

1. Kayır Defteri Düzenleyicisi’ni açınız
2. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/EFS  alt anahtarına girin.
3. Yeni DWORD  değeri açın.
4. İsmini AlgorithmID , değerini 0x6603  olarak kaydedin.
5. Restart the computer

TR | Windows Sunucu Güvenliği ile İlgili Öneriler CypmUni İYTE

Fiziksel Güvenlik Nedir?

Sistem güvenliğinde pek de önemsenmeyen fiziksel güvenlik çok küçük ve kolay hatalarla bütün uğraşlarımızın boşuna gitmesine neden olabilir. Çok kolay bir şekilde istismar edilebilecek zafiyetlere sahiptir ve kolay önlemleri vardır.şimdi sırayla bunları inceleyelim.

Bilgisayar/Sunucu Fiziksel Güvenliği:

Fiziksel güvenlik denince ilk olarak makinenin güvenilir bir ortamda saklanması gerekir. Ortamı güvenilirhale getirmek için güçlü kilit sıstemleri ve sağlam malzemeler kullanılabilir. Bu odalara giriş parolalı sistemlerle olmalıdır ve üst üste hatalı parola girişinde sistem kendiliğinden kilitlenmelidir. Ayrıca bilgisayar(sunucu) kesinlikle dışarıdan DC/DVD/USB girişlerine kapalı olmalıdır. Ve aynı şekilde mouse klavye takılı halde bırakılmamalıdır.

BIOS güvenliği:

Basıc Input Output System olarak tercüme edilen bilgisayarın çalışması için gereken temel yapıdır. BIOS yazılımı rom üzerine yazılmasından dolayı anakrt özelliklerini kullanabilr ve diğer donanımlarla
bağ kurabilir. Böylelikle makine başlangicinda donanımlar da kontrol eder.çoğu sistemde BIOS kendiliğinden parola ekli bir şekilde gelir fakat kolay işlemlerle bu parola kaldırılabilir. Bıos işlemini tamamladıktan sonra bootloadera geçiş yapılır farklı işletim sistemleri için farklı bootloaderlar vardır. Windows bootloader windowsun kullandiği bootloaderdır. Fakat bunun yerine grub da kullananbiliriz.

Secure Boot(Güvenli Önyükleme):

Windows 8 ile birlikte gelmeye başlayan bu yeni özellik bilgisayarımızı sadece yetkilendirilen işletim sistemlerinin başlatabilmesini sağlıyor. Normalde güç tuşuna bastıktan sonra BIOS devreye girer ve donanımı kontrol eder.eğer herhengi bir sorun yoksa bootloaderı devreye sokar. Secure boot işte tam olarak bu aşamada devreye giriyor. BIOS görevini bootloadera devrederken secure boot deverye giriyor ve bootloaderın ona verilen veri tabanında olup olmadığına bakıyor. Eğer bu işletim sistemi secure bootun veri tabanındaysa sıkıntısız bir şekilde bootloader devreye giriyor ve işlemler devam ediyor.

Işte kimi sıkıntılar da tam burada çıkıyor. Ya bizim çalıştırmak istediğimiz işletim sistemi bu veri tabanında yoksa ? Öncelikle secure boot özellliğini kullanmak zorunda değiliz. Devre dışı bırakılabilen bir özelliktir. Ayrıca güncel UEFI BIOS larda istenilen işletim sisteminin imzası veritabanına eklenebilecek. Örneğin windows 8 ile birlikte debianı da kullanmak istiyorsak bunları izin verilen işletim sistemleri listesine ekleyebileceğiz , silebileceğiz böylelikle bizim iznimiz dışında hiçbir işletim sistemi çalışmayacak.

Secure Bootun Yararı Nedir?

Yukarıdan da anlaşılacağı gibi Yetkisiz işletim sistemlerinin önyüklenmesini önlemek ilk akla gelen yararı. Bunun la birlikte rootkit denilen, sisteminizdeki önyükleme yöneticisini değiştiren veya önyükleme yöneticisinin yerine geçen bir takım zararlı yazılımlardır. Sistemem yerleşen bu rootkitler henüz sisteminiz çalışmadan istediği gibi kodlarla oynamalar yaparal sistem ayarlarnızı değiştirebilir,verilerinizi internet bağlantısı yoluyla alabilir ve verilerinizin kaybolmasına neden olabilir. Özetle secure boot özelliği sizin izniniz dahilindeki işletim sistemleri dışında hiçbir şeyin çalışmamasını sağlar, gerektiğinde kapatılabilir veya imzaları değiştirilebilir. Bazı sistemlerde sadece secure boot özelliğini kapatmak yetmeyebilir aynı zamanda fast boot özelliğini de kapatmak gerekebilir.

USB Belleklerin Okuma-Yazma Hakkı Kapatılması/Açılması

USB girişi bilgisayarımızın dış dünya ile fiziksel olarak bağlantı kurduğu parçalardan birisidir ve bu nedenle güvenliği son derece önemlidir. Eğer bilgisayarımızın yanında değilsek USB girişlerini kapatmamız gerekir. Ilk olarak başlat menüsündeki arama çubuğuna “regedit” yazarak kayıt defterini açarız.

Açılan defterde LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\RemovableStoragesDevices  pathini izleyerek gerekli dosyamıza erişmiş olduk kimi sistemlerde RemovableStoragesDevices  dosyası olmayabilir. Windows klasörüne sağ tıklayıp yeni anahtar deriz ardından RemovableStoragesDevices  yazarak enter dersek klasörümüz oluşmuş olur.

USB Belleklerin Okunmasını Engellemek:

RemovableStoragesDevices  klasörünün içine sağ tıklayarak yeni anahtar oluşturuyoruz ve anahtara {53f56311-b6bf-11d0-94f2-00a0c91efb8b}  diyip entera basıyoruz

Ardından dosyaların olduğu yere sağ tıklayıp DWORD (32-bit)  değeri seçeneğini seçeriz. Isim olarak Deny_Read  kullandık. Deny_Read  sağ tıkladık değiştir dedik ve buradaki default 0  değerini 1  yaptık.

Kayıt defterini kapattık ve bilgisayarı yeniden başlatarak usb bellek okumasını kapatmış oluruz. Eğer oluşturulan DWORD (32-bit)  değeri silinirse tekrar eski haline dönerek USB bellek
okumayı açarız.

USB Belleklere Yazılmayı Engelleme:

RemovableStoragesDevices  klasörünün içine sağ tıklayarak yeni anahtar oluşturuyoruz ve anahtara {53f56311-b6bf-11d0-94f2-00a0c91efb8b}  diyip entera basıyoruz. Ardından dosyaların olduğu yere sağ tıklayıp DWORD (32-bit)  değeri seçeneğini seçeriz. Isim olarak Deny_Write kullandık. Deny_Write sağ tıkladık değiştir dedik ve Ve buradaki default 0  değerini 1  yaptık.

Kayıt defterini kapattık ve bilgisayarı yeniden başlatarak usb belleğe yazılmasını engellemiş olduk.Eğer oluşturulan ”DWORD (32-bit) değeri” silinirse tekrar eski haline dönerek USB belleğe
yazmayı açabiliriz.

Bu şekilde bilgisayarımıza gelebilecek fiziksel saldırılardan daha iyi bir şekilde
korunabiliriz. Sistemimizi daha güvenli hale getirebilir saldırılardan bir nebze korunabiliriz.

TR | Fiziksel Güvenlik CypmUni İYTE

Baskı Cihazları Güvenliği

• Ekstra güvenilirlik ve performans artışı için sisteminize print server cluster kurun. (https://technet.microsoft.com/en-us/library/cc771509(v=ws.10).aspx)
• IPSec protokolünü sunucularınıza kurun. (http://www.it.cornell.edu/services/managed_servers/howto/ipsec.cfm).
• Print permissionları gözden geçirip ayarlayın. Print permissions çıktı izinlerini belirtir ve print servislerine hak verip, engelleme olanağı sunar.

Şimdi ise yazıcı ve fakslara istenilen izinleri nasıl vereceğimizi görelim.

yazıcı ve fakslar bölümüne geldikten sonra ekli olan yazıcılarımız ekranda çıkacaktır.şuan bizde herhangi bir yazıcı ekli olmadığı için listeyi yeniliyoruz eğer yine yazıcımız bulunamazsa yazıcı adıyla, TCP/IP adresi veya ana bilgisayar adresi ile, veya el ile yazıcımızı ekleyebiliriz.

yazıcımızı CYPMprinter adıyla yazıcılarımıza ekledik.

Yazıcı ve faks klasöründe istenilen yazıcıya sağ tıklayıp yönet diyerek  bu ekrana ulaştık

güvenlik penceresinden kullanıcılara aşağıdaki izinleri atayabilirsiniz.

• Yazdır; Kullanıcının yazıcıdan çıktı almasını sağlar.
• Bu yazıcıyı yönet; Bir kullanıcı ya da gruba aşağıdaki izinleri sağlar:
  • Yazdırma izinlerini değiştirme.
  • Print spooler ayarlarını değiştirme.
  • Yazıcıyı paylaşma.
  • Yazıcıyı başlatma,durdurma,duraklatma ve devam ettirme.
• Belgeleri Yönet; Bir kullanıcı ya da grubun yazdırma sırasındaki dosyaları kontrol etmesini sağlar.
• Özel izinler: kullanıcılara özel izinler atamamızı sağlar
• Kullanıcılara yazdırma iznini atarken, Varsayılan olarak herkese yazdırma izni verilir. Bunu önlemek için yazıcılardan “Everyone” grubuna verilen izni kaldırın.

burada önemli olan her kullanıcıya yazdırma hakkı vermemektir. Sadece gerekli kullanıcılara yazdırma hakkı vererek güvenliğimizi sağlamış oluruz.

gelişmiş ayarları seçerek buradaki izinleri düzenleyebiliriz.

TR | Print Services CypmUni İYTE

Applocker Nedir? Nasıl kullanılır?

Applocker Windows Yüklü makinelerde bulunur. Sistem içerisindeki yüklü bulunan programları kullanıcıya yönelik bir şekilde kısıtlar ve bu kısıtlamayı uygulamanın adı, yayımcısı ve versiyonuna göre farklı şekillerde gerçekleştirir. Applocker ile birlikte istenilen uygulamaya sadece izin verilen kişiler erişebilir ve kullanabilir. Örneğin MS Office programlarından sadece MS Word ve MS Excel kullanıyoruz ve MS Powerpoint açılmasını engellemek istiyoruz. Böyle durumlarda applocker bize yardım eder.

Applocker kullanarak lisansız program kullanımının önüne geçebilir, lisansız programların çalışmasını engelleyebiliriz. Böylelikle herhangi bir virüsten korunmuş oluruz. Aynı zamanda kullanılan programlardan doğacak açıklıkları engelleriz ve son olarak bir nebze kişisel güvenliğimizi sağlamış oluruz.

Örneğin kişisel bilgisayarımızda birden fazla kullanıcı hesabı var ve biz bir kullanıcı olan “CYPM” isimli kullanıcının internet explorer kullanmasını engellemek istiyoruz.

İlk olarak win+r  basarak çalıştır ekranını açarız.

gpedit.msc yazarak yerel grup ilkesi(group policy) düzenleyicisini açarız.

Bilgisayar Yapılandırması > Windows Ayarları > Güvenlik Ayarları > Uygulama Denetim İlkeleri>Applocker diyerek bu aşağıdaki aşağıdaki gibi bir görüntü elde ederiz.

Burada, Applocker’ın içindeki  “Yürütülebilir Kurallar”ın üzerine gelerek sağ tıklayarak “Yeni Kurallar Oluştur” seçeneğini seçeriz.

Böylelikle “Yürütülebilir Kurallar Oluştur” penceresini açılmış olur.

Bu sayfayı tanımak gerekirse ilk önce yapacağımız eylemi belirtmemiz gerekmektedir. Biz Internet Explorer kullanımını engellemek istediğimiz için “reddet” seçeneğini işaretliyoruz.

Kullanıcı adı veya grup adını yazmamız gereken yere kullanıcı adımızı (“CYPM”) yazıyoruz ve adları denetle diyerek kontrol ediyoruz.

İzinler ile ilgili gerekli düzenlemeleri yaptıktan sonra sol menüden Koşullar kısmına geçiyoruz.

Resimde görüldüğü gibi 3 farklı tür koşul vardır. Bunları açıklamak gerekirse;

Yayımcı: Kuralı oluşturmak istediğiniz uygulama yazılım yayıncısı tarafından imzalanmadıysa bu seçeneği seçeriz. Bizim uygulamamızda imzalanmadığı için burayı seçiyoruz.

Yol: Sistemimizdeki dosyalar veya klasörler için kullanılır. Eğer klasör seçersek klasörün içindeki dosyalar da kuraldan etkilenmiş olur.

Dosya Karması:Hiçbir şekilde imzalanmamış bir uygulama için kural oluşturmak istiyorsanız bu seçeneği belirtin.

Türü seçtikten sonra gözat diyerek işlem yapmak istediğimiz uygulamayı seçiyoruz.

Özel değerleri kullan diyerek 11.0.0.0 ve üstünün veya altının çalıştırılmamasını da sağlayabiliriz.

Buradaki özel durumlar ise şuan Internet Explorer için kullanılmıyor fakat ilk verdiğimiz örnekteki Office programları olsaydı Word ve Wxcelin kulllanılması için buraya eklememiz gerekecekti.

Ardından oluşturduğumuz kurala bir isim veriyoruz. İstersek kural ile ilgili açıklama yazabiliriz.

“Oluştur” butonuna bastıktan sonra, kuralları oluştmak için Evet’e basmamız gerekmektedir.

Kuralımızın oluştuğunu bu şekilde görebiliriz.

ÖNEMLİ NOT :Fakat oluşturulan kuralın client bilgisayarlarda çalışması için Application Identity(UygulamaKimliği) servisinin açık ve otomatıkte olması gerekmektir. Bu servisimiz açık değilse şu sekilde açıp otomatik yapabiliriz.

İlk olarak yine çalıştır ekranına services.msc yazalım.

Hizmetler penceresi geldi bu pencereden uygulama kimliği servisini çalıştırmak için başlat dememiz yeterli fakat biz aynı zamanda otomatik olmasını da istiyoruz. Bunun için sağ tuş’a basıp özellikler diyoruz.

Bu ekranda başlangıç türünü otomatik yapıyoruz. “Uygula” ve “Tamam” dediğimizde işlemimiz gerçekleşiyor.

Bundan sonra “CYPM” kullanıcısı Internet Explorer’a erişmek istediğinde “Your system administor has blocked this program. For more information,contact your system administor.” içerikli bir hata ile karşılacağız.

Yaptığımız basit örnekte de görüldüğü gibi, Windows Applocker kullanımı oldukça basit ve rahattır. Oluşturduğumuz kurallar doğrultusunda kullanıcı ve gruplar üzerinde gerekli izin ve kısıtlamaları yapabilmekteyiz.

TR | Applocker Kullanımı CypmUni İYTE