EN
EN

Microsoft Güvenlik İncelemeleri


Windows Güvenlik Altyapısının Önemli Bileşenleri

Güvenli Kimlik

Güvenli kimlik mekanizması, rol tabanlı erişim sistemi uygulanarak adminlerin sadece bazı özel yönetici ayrıcalıklarını yalnızca ihtiyaç duydukları zaman dilimi içinde kullanmalarını sağlamaktadır. Böylelikle kullanıcı kimliğinin korunması, erişim alanlarının ve zamanlarının kısıtlanması hedeflenmektedir. Just Enough ve Just In Time Administration servisleri bu amaç için geliştirilmiştir.

Aktif Dizin(Active Directory), kimlik bilgilerinin ele geçirilmesini engellemek için geliştirilen bir çözüm olarak artan siber saldırılara karşı savunma hizmeti sağlamaktadır. Saldırgan sisteme erişimi sağlasa bile Windows Server 2016 ele geçirilen bu makineden kimlik bilgilerinin kopyalanmasını ve bu makinenin diğer makinelere sızma girişimleri için kullanılmasını engellemektedir.

Credential Guard çözümü ile sanallaştırma tabanlı teknolojiler uygulanarak login bilgilerinin izole edilmesi ve korunması amaçlanmaktadır. Böylece login bilgilerinin pass-the-hash veya pass-the-ticket yöntemleri kullanılarak çalınması engellenmeye çalışılmaktadır.

Ağ Güvenliği

Yazılım Tanımlı Ağ (Software Defined Networking -SDN) uygulaması, içerdiği dağıtık ağ güvenlik duvarı bileşenin yardımıyla ağ içinden ya da dışından gelebilecek saldırılara karşı güvenlik politikaları ve kuralları oluşturmaya yardımcı olmaktadır. Bu kurallar bireysel sistemlerin ve birden fazla alt ağın yanı sıra VM-virtual machine ile VM arası, VM ile anamakine(host) arası ve VM ile internet arasındaki trafiği izole etmek için de çözüm sunmaktadır.

Sanal Makine Güvenliği

Windows sunucularda sanal makinelerin şifrelenmesi ve güvensiz hostlar üzerinde çalıştırılmasının engellenmesi sağlanabilmektedir. Host ve sanal makinelere gelebilecek saldırılara karşı koruma sağlamanın yanı sıra Windows Server 2016 Shielded VM servisi ile daha etkili bir koruma hedeflemektedir. Shielded VM verilerin ve sanal makinenin admin haklarına sahip kullanıcılar tarafından yapılabilecek tarama, bilgi çalma ve kurcalama girişimlerine karşı korunması gibi hizmetleri sunmaktadır. Shielded VM kurumların fiziksel makinelerine sağladıkları servislerin aynısını sanallaştırma altyapılarına da uygulamalarını sağlar. Bu servisler arasında güvenli başlatma(Secure Startup); Trusted Platform Module (TPM) bazlı şifreleme; ele geçirilen depolama alanları, ağ atakları, güvensiz adminler ve hostlar üzerinde çalışan zararlı yazılımlar gibi risk faktörlerine karşı koruma teknikleri sayılabilir.

Konteynerleştirme bir başka yaygın sanallaştırma teknolojisidir. Windows Server 2016 güvenlik gereksinimlerini karşılamak için daha iyi bir izolasyon sağlayan Hyper-V konteynerlerini kullanabilmektedir.

Tehdit Yönetimi

Kod Bütünlüğü(Code Integrity), sanallaştırma tabanlı güvenlik kullanılarak Kod Bütünlüğü servisinin kernelden izole edilmesine ve sistem üzerinde hangi binary’lerin çalışabileceğini kurumun belirlediği kurallara göre kontrol ederek sınırlandırma işlemi uygulanmasına yardımcı olmaktadır. Belirtilen binary’lerin dışında bir yazılım çalıştırma girişimi gerçekleşirse, Windows Server 2016 bunu engeller ve başarısızlığa uğrayan bu girişimi loglayarak adminlerin olası bir saldırı girişimi gerçekleştiğini saptamalarına yardımcı olur. Sunucuya fiziksel bir erişim olmadıkça silinemeyecek sıkılaştırılmış bir Kod Bütünlüğü kuralı da ayrıca oluşturulabilmektedir.

Denetim Akışı Koruyucusu(Control Flow Guard) ise uygulamanın kodu çalıştırmak için kullanacağı bellek alanlarını kısıtlayarak bellek bozulmalarını istismar eden açıklıkların bazı çeşitlerini engellemektedir. Kontrol Akışı Koruyucusu hangi tür uygulama kodunun çalıştırılacağı üzerine sıkı kısıtlamalar işleterek Kod Bütünlüğü servisine de ek bir koruma katmanı eklemektedir. Kod Bütünlüğü ve Kontrol Akışı Koruyucusu; Windows Server 2016 üzerindeki herhangi bir uygulamaya zararlı yazılım enjekte etmeyi zorlaştırmaktadır.

Windows Defender servisi zararlı yazılımlara karşı koruma sağlamak için Windows sunucu ile varsayılan olarak kurulu gelmektedir. Bu servis etkili bir zararlı tespit mekanizmasına sahiptir, aynı zamanda sunucu üzerinde herhangi bir zararlı yazılımın kurulumunu engellemek için Kod Bütünlüğü ve Denetim Akışı Koruyucusu ile entegre çalışmaktadır.

Güvenli Uygulama ve Veriler

Windows Server 2016, ister bir sanal makine olarak çalışsın ister fiziksel makine üzerinde çalışsın uygulamaların, altyapının ve verilerin korunmasına yardımcı olmakta aynı zamanda tehditleri tespit edip aksiyon almak için denetleme servisleri de sunmaktadır. Windows Server 2016, kernel ve hassas proseslere erişimleri ve aynı zamanda logon girişimlerinde girilen yeni bilgileri de denetleyerek kötü niyetli işlemleri daha iyi bir şekilde saptamayı amaçlamaktadır. Ayrıca bu olay kayıtları SIEM ürünlerine gönderilerek sistemin güvenlik altyapısının daha güçlü olması hedeflenmektedir.

Etki Alanı Denetleyicilerinin(Domain Controller) Güvenlik Yapılandırması için Araçlar

- Güvenlik Yapılandırma Sihirbazı: Windows Sunucularda gömülü olarak gelen bu araç servis, kayıtlar(registry), sistem ve WFAS(Windows Firewall with Advanced Security) ayarlarını yapmaya yardımcı olur.
-AppLocker: Etki alanı denetleyicisi üzerinde çalışmasına izin verilecek uygulama ve servislerin beyaz listeleme(whitelisting) yöntemi ile ayarlanmasına yardımcı olur. Beyaz liste oluşturulurken sadece etki alanı denetleyicisinin hizmetlerini sunması için yeterli olan uygulama ve servisler kapsama alınmalıdır.
-RDP kısıtlamaları: Kullanıcı hakları kuralları ve WFAS konfigürasyonları esas alınarak sadece yetkili kullanıcılardan gelen RDP bağlantılarına izin vermek gibi güvenlik politikalarını oluşturup uygulamayı kolaylaştırır.
-Yama ve sistem yönetimi: Etki alanı denetleyicilerine uygulanacak yama ve sistem yönetimi yapılandırmalarını diğer kritik sunucu sistemlerinden ayırmak bu Domain Controller üzerinde kurulacak yazılım oranını düşürecek ve yönetimlerinin sıkı bir şekilde kontrolünü kolaylaştıracaktır.
-Etki alanı denetleyicilerinde internet erişimi: Bu sunucularda Internet Explorer uygulamasını iç ve dış ağa erişim için kullanmak yanlış yapılandırma olarak tanımlanmaktadır.
-Etki alanı denetleyicisi için Firewall ayarlamaları: Güvenlik Yapılandırma Sihirbazının yardımıyla WFAS ayarlamaları yapılarak oluşturulabilir.

Etki alanı denetleyicilerinden internete erişimi engellemek için AppLocker, “black hole” Proxy yapılandırması ve WFAS ayarları bir arada uygulanarak bu makinelerin internete erişimi ve web tarayıcısı kullanımı engellenebilir.

Daha Fazlası İçin Bizimle İletişime Geçin