Active Directory yapısı mevcut olan ortamlarda alınması gereken bir çok önlem mevcuttur. Kurumun yapısına ve tutumuna göre bu önlemler tabiki değişiklik gösterecektir. Bu yazıda herkesin ihtiyacı olacağını düşündüğüm bir kaç güvenlik önleminin GPO ile nasıl yapılandırılacağından bahsedeceğim.
Hash bilgisinin tutulmaması
Windows’un SAM(Security Accounts Manager) veritabanında tuttuğu hesapların hash bilgisi zaafiyet oluşturan ve çok kolay bir şekilde istismar edilebilen bir ortam sunmakta bu yüzden makinelerin hash bilgilerini tutmaması için GPO ile bir önlem alınabilir.
DC makinesinde Group Policy Management Editor açıyoruz;
Computer Configuration ==> Windows Settings ==> Security Settings ==> Local Policies ==> Security Options
Menüsü altında “Network security: Do not store LAN Manager hash value on next password change” kuralına çift tıklayarak düzenliyoruz ve
“Define this policy setting” seçeneğini ve “Enabled” kısmını seçili hale getiriyoruz.
Bu ayarları “Apply” ve “OK” diyerek uyguluyoruz.
Bu ayarlama bilgisayarlar policyi aldıkça bilgisayarlara uygulanacaktır.
CMD ye erişimin engellenmesi
Son kullanıcıların komut satırına erişmeleri sorun teşkil edebilecek bir durum olduğu için regülasyonlarda bu durumun kapatılması önerilmektedir. Bunun için aşağıdaki gibi bir GPO hazırlanarak kullanıcıların bu erişimi kısıtlanabilir. Bunun için Group policy management editor arayüzünde
User Congifuration ==> Policies ==> Administrative Templates ==> System Sekmesine geliyoruz ve burada yer alan “Prevent access to command prompt” kuralını enable yapıyoruz.
Policy’nin uygulandığı ou içersinde giriş yapan kullanıcının olması gerektiğini unutmamak gerekir.
Bu uygulanan kural tüm kullanıcıları kapsayacağı için bilgi işlem kullanıcılarını hariç tutmak istiyoruz. Bunun için CmdEngelle illkesine geliyoruz ve Delegation sekmesini açıyoruz. Burada Advanced butonu ile yeni pencere açıyoruz. Açılan pencerede hariç tutmak istediğimiz kullanıcı ya da grubu Add butonu ile ekliyoruz ve ilgili kayıt seçiliyken aşağıdaki yetki matrisinden “Apply group policy” seçeneğinde Deny kutucuğunu işaretliyoruz. Bu sayfayı Apply ve Ok diyerek kapatıyoruz.
Yapılan bu ayarlamaların istenilen cihazda güncellemesini sağladıktan sonra aşağıdaki kontrol yöntemleri ile policynin güncelliğini kontrol edebiliriz.
Misafir hesapların kapatılması
Bilgisayarlarda misafir hesapların engellenmesi için oluşturduğumuz GPO görüntüsü aşağıdaki gibidir.
Group policy management editor arayüzünde Computer Configuration ==> Policies ==> Windows Settings ==> Security Settings ==> Local Policies ==> Security Options
menüsü içerisinde “Accounts: Guest account status” kuralının disable yapılması gerekmekte.
GPO ların uygulanması ve kontrol edilmesi
Oluşturulan kurallar bilgisayarlara dağıtılırken bilgisayarın açık olması, oturumun kapanmaması vs gibi sebeplerle 1-2 saat gibi sürelerde uygulanabilir. Bu sürenin kısaltımlasını gpupdate /force komutu ile sağlayabiliriz. Bu sayede bilgisayarın mevcut policiyleri bir an önce almasını zorlayabiliriz.
Bilgisayarın gpo ları alması sağlandıktan sonra client tarafında kontrolleri yapabilmemiz için başlata rsop.msc yazarak bilgisayara ve kullanıcıya uygulanan policyleri görüntüleyebiliriz. Kullanıcı admin yetkisi olmadığı zaman sadece o kullanıcı için geçerli kurallar görüntülenecektir.
Ayrıca gpresult /Scope User /v komutu ya da gpresult /Scope Computer /v komutları ile de uygulanan kuralları komut satırı üzerinden görüntüleyebiliriz.
gpresult /H C:\Users\ali.eren\Desktop\gporesult.html komutu ile bilgisayarın ve kullanıcının etkilendiği gpo ları html dosyası olarak çıkartabiliriz.
kaynaklar:
İlk Yorumu Siz Yapın