"Enter"a basıp içeriğe geçin

GPO ile Windows Güvenlik Önlemleri

Active Directory yapısı mevcut olan ortamlarda alınması gereken bir çok önlem mevcuttur. Kurumun yapısına ve tutumuna göre bu önlemler tabiki değişiklik gösterecektir. Bu yazıda herkesin ihtiyacı olacağını düşündüğüm bir kaç güvenlik önleminin GPO ile nasıl yapılandırılacağından bahsedeceğim.

Hash bilgisinin tutulmaması

Windows’un SAM(Security Accounts Manager) veritabanında tuttuğu hesapların hash bilgisi zaafiyet oluşturan ve çok kolay bir şekilde istismar edilebilen bir ortam sunmakta bu yüzden makinelerin hash bilgilerini tutmaması için GPO ile bir önlem alınabilir.

DC makinesinde Group Policy Management Editor açıyoruz;

Computer Configuration ==> Windows Settings ==> Security Settings ==> Local Policies ==> Security Options

Menüsü altında “Network security: Do not store LAN Manager hash value on next password change” kuralına çift tıklayarak düzenliyoruz ve 

Define this policy setting” seçeneğini ve “Enabled” kısmını seçili hale getiriyoruz.

Bu ayarları “Apply” ve “OK” diyerek uyguluyoruz.

hash bilgisinin tutulmaması için gpo ayarı

Bu ayarlama bilgisayarlar policyi aldıkça bilgisayarlara uygulanacaktır.

CMD ye erişimin engellenmesi

Son kullanıcıların komut satırına erişmeleri sorun teşkil edebilecek bir durum olduğu için regülasyonlarda bu durumun kapatılması önerilmektedir. Bunun için aşağıdaki gibi bir GPO hazırlanarak kullanıcıların bu erişimi kısıtlanabilir. Bunun için Group policy management editor arayüzünde 

User Congifuration ==> Policies ==> Administrative Templates ==> System Sekmesine geliyoruz ve burada yer alan “Prevent access to command prompt” kuralını enable yapıyoruz. 

Policy’nin uygulandığı ou içersinde giriş yapan kullanıcının olması gerektiğini unutmamak gerekir.

komut satırına erişimi engellemek için gpo ayarı

Bu uygulanan kural tüm kullanıcıları kapsayacağı için bilgi işlem kullanıcılarını hariç tutmak istiyoruz. Bunun için CmdEngelle illkesine geliyoruz ve Delegation sekmesini açıyoruz. Burada Advanced butonu ile yeni pencere açıyoruz. Açılan pencerede hariç tutmak istediğimiz kullanıcı ya da grubu Add butonu ile ekliyoruz ve ilgili kayıt seçiliyken aşağıdaki yetki matrisinden “Apply group policy” seçeneğinde Deny kutucuğunu işaretliyoruz. Bu sayfayı Apply ve Ok diyerek kapatıyoruz. 

gpo da kullacı hariç tutma

Yapılan bu ayarlamaların istenilen cihazda güncellemesini sağladıktan sonra aşağıdaki kontrol yöntemleri ile policynin güncelliğini kontrol edebiliriz. 

Misafir hesapların kapatılması

Bilgisayarlarda misafir hesapların engellenmesi için oluşturduğumuz GPO görüntüsü aşağıdaki gibidir.

guest hesaplarının kapatılması

Group policy management editor arayüzünde Computer Configuration ==> Policies ==> Windows Settings ==> Security Settings ==> Local Policies ==> Security Options

menüsü içerisinde “Accounts: Guest account status” kuralının disable yapılması gerekmekte.

GPO ların uygulanması ve kontrol edilmesi 

Oluşturulan kurallar bilgisayarlara dağıtılırken bilgisayarın açık olması, oturumun kapanmaması vs gibi sebeplerle 1-2 saat gibi sürelerde uygulanabilir. Bu sürenin kısaltımlasını gpupdate /force komutu ile sağlayabiliriz. Bu sayede bilgisayarın mevcut policiyleri bir an önce almasını zorlayabiliriz. 

Bilgisayarın gpo ları alması sağlandıktan sonra client tarafında kontrolleri yapabilmemiz için başlata rsop.msc yazarak bilgisayara ve kullanıcıya uygulanan policyleri görüntüleyebiliriz. Kullanıcı admin yetkisi olmadığı zaman sadece o kullanıcı için geçerli kurallar görüntülenecektir. 

rsop.msc ile mevcut gpo ları görüntüleme

Ayrıca  gpresult /Scope User /v  komutu ya da gpresult /Scope Computer /v komutları ile de uygulanan kuralları komut satırı üzerinden görüntüleyebiliriz.

komut satırından mevcut gpo ları görüntüleme

gpresult /H C:\Users\ali.eren\Desktop\gporesult.html komutu ile bilgisayarın ve kullanıcının etkilendiği gpo ları html dosyası olarak çıkartabiliriz.

kaynaklar

https://www.lepide.com/blog/top-10-most-important-group-policy-settings-for-preventing-security-breaches/

https://www.howtogeek.com/116184/how-to-see-which-group-policies-are-applied-to-your-pc-and-user-account/#:~:text=To%20open%20the%20tool%2C%20hit,for%20applied%20Group%20Policy%20settings.

İlk Yorumu Siz Yapın

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.