Bu makalede group policy ile istemci makinelerde istenmeyen programların çalışmasını nasıl engelleyebileceÄŸimizi anlatacağım. Ä°stenmeyen programlar; wormlar, virusler veya scriptler olabileceÄŸi gibi kullanıcının çalıştırmasını istemediÄŸiniz bir uygulama da olabilir.

Software Restriction Policies Kullanarak Kısıtlama;

Ä°nternet eriÅŸimimizin geliÅŸmesiyle paralel olarak güvenlik ihtiyacımız giderek artıyor. Her ne kadar internet trafiÄŸimizi antivirüs programları, güvenlik duvarları ile kontrol ediyor olsak da, worm ve virüsler gibi zararlı kodlar ile istemci tarafında da mücadele etmemiz gerekiyor. Ayrıca sistem yöneticisi olarak, istemci makinelerde çalışan uygulamaları kontrol altında tutmamız gerekiyor. Ä°ÅŸte bu gibi amaçlar için Microsoft’un bize sunduÄŸu seçeneklerden biri de Software Restriction Policies kullanmak.

Software Restriction Policies, Microsoft’un Windows Server 2003 ve Windows XP ile gelen, geliÅŸtirilmiÅŸ güvenlik ayarlarından biridir. Bu politika ile istemci makinelerinizde çalışacak uygulamaları tanımlayabilir ve kontrol altında tutabilirsiniz.

Ne yapar?

Software restriction policy, istemcilerinizde çalışan uygulamaları tanımlayarak, koyduÄŸunuz kurallara göre, uygulamanın çalışıp çalışmayacağına izin verir. Bu politikayı yerel makineye uygulayacağınız gibi OU, domain veya site bazında, bilgisayar veya kullanıcı nesnelerine uygulayabilirsiniz.

Nasıl Uygulanır?

Software Restriction Policies’i, varolan bir GPO’nun üzerinden veya uygulamak istediÄŸiniz obje üzerinde yeni bir GPO oluÅŸturarak etkinleÅŸtirebilirsiniz. Ayarlara GPO_name Policy/Computer Configuration ya da User Configuration/Windows Settings/Security Settings/Software Restriction Policies yolundan ulaÅŸabilirsiniz.

Åžekil-1

Politikayı, ÅŸekil-1’de verdiÄŸim yol ile, Software Restriction Policies klasörüne saÄŸ tıklayıp, New Software Restriction Policies seçeneÄŸi ile yaratıyoruz. Bu iÅŸlemi yaptığınızda politika altına aÅŸağıdaki seçenekler gelecektir.

Security Levels (folder)

Additional Rules (folder)

Enforcement

Designated File Types

Trusted Publishers

Åžekil-2

Software Restriction Policies’i yarattığınızda bir varsayılan güvenlik seviyesi (default security level) belirlenir. Bu seviye, Unrestricted (Kısıtlanmamış) ve Dissallowed (Ä°zin verilmeyen) seviyelerinden biridir. Organizasyon yapınıza, istemcilerinizde çalışan uygulamalarınıza veya internet baÄŸlantınıza baÄŸlı olarak bu varsayılan güvenlik seviyelerinden birini seçip diÄŸer kuralları bu seviyeye göre oluÅŸturmalısınız. Bu seçime tasarım aÅŸamasında karar vermeniz gerekiyor. Bu varsayılan güvenlik seviyesini Security Levels klasörü altından yapıyoruz. Åžimdi bu güvenlik seviyelerini biraz inceleyelim;

Åžekil-3

· Unrestricted (Kısıtlanmamış): Bu varsayılan güvenlik seviyesi seçildiÄŸinde, varsayılan olarak tüm uygulamaların, kullanıcının eriÅŸim izni olduÄŸu sürece (Ntfs rights) çalışmasına izin verilir. Siz, çalışmasını istemediÄŸiniz programları tanımlayıp, Additional Rules kısmından dissallowed kurallar yaratmanız gerekir.

Büyük bir organizsayonu yönetiyor ve kullanıcıları çalıştırdıkları uygulamalara göre sınıflandıramıyorsanız, bu seviyeyi seçmeniz iÅŸinizi kolaylaÅŸtıracaktır. Daha sonra, organizasyon bazında bir yasaklanacak program listesi yapıp, bu programlara göre kurallar oluÅŸturmanız yeterlidir.

· Dissallowed (Ä°zin verilmeyen): Bu güvenlik seviyesini seçtiÄŸinizde, istemcide çalışacak tüm uygulamaların, kullanıcının eriÅŸim yetkilerine bakılmaksızın çalışması engellenir. Çalışmasını istediÄŸiniz programları tanımlayıp, Additional Rules kısmından unrestricted kurallar oluÅŸturmanız gerekmektedir. EÄŸer, istemci makineleriniz sadece belirli uygulamaları çalıştırmak için kullanılıyorsa bu varsayılan güvenlik seviyesi daha uygundur. Ä°nternete açık, küçük networkler için uygun ve güvenli bir seviyedir.

Yukarıdaki ÅŸekilde güvenlik seviyesi olarak Unrestricted belirlenmiÅŸ (üzerindeki siyah iÅŸaretten anlıyoruz). Yani bu seviye ile istemcilerde tüm uygulamalara izin verilmiÅŸ oluyor. Biz, Additional Rules kısmından çalışmasını istemediÄŸimiz uygulamalar için kısıtlayıcı kurallar oluÅŸturacağız.

OluÅŸturacağımız kural listesi, daha önce seçtiÄŸimiz varsayılan güvenlik seviyemizin tersi ÅŸeklinde olmalıdır. Yani varsayılan güvenlik seviyemizi Unrestricted olarak belirlemiÅŸsek, kural listemizi çalışmasını istemediÄŸimiz uygulamalar için dissallowed (izin verilmeyen) kurallar, aynı ÅŸekilde varsayılan güvenlik seviyemiz dissallowed ise kurallarımız, çalışmasını istediÄŸimiz programlar için Unrestricted (kısıtlanmamış) ÅŸeklinde olmalıdır.

Åžekil-4

Åžimdi bu kuralları nasıl oluÅŸturacağımıza bakalım. Dört yönteme göre kural oluÅŸturabiliriz. Bunlar;

· Hash Kuralı (Hash Rules): Uygulamanın MD5 veya SHA-1 algoritmasına göre ÅŸifrelenmiÅŸ hash deÄŸeri kullanılarak yaratılan kuraldır. Ä°stemci çalışan uygulamanın hash deÄŸerini hesaplar ve politikadan almış olduÄŸu kurala göre çalışmasına izin verir veya reddeder.

Additional Rules klasöründe saÄŸ tıklayıp, New Hash Rule ile kuralımızı yaratıyoruz. Hash deÄŸerini alacağımız uygulamayı gösterdiÄŸimizde aÅŸağıdaki formatta bir veri oluÅŸur.

[MD5 ya da SHA1 hash deÄŸeri]:[dosya uzunluÄŸu]:[hash algoritma id]

7bc04acc0d6480af862d22d724c3b049:126:32771

Hash kuralını, kullanıcının adını veya yolunu deÄŸiÅŸtirerek çalıştırmasını istemediÄŸimiz bir uygulama için veya bir yazılımın uyumsuzluk yaratan bir sürümünün çalışmasını engellemek için kullanabiliriz. Uygulamanın hash deÄŸeri, uygulama bir daha derlenmedikçe deÄŸiÅŸmeyeceÄŸi için, isim deÄŸiÅŸikliÄŸinden veya çalıştığı yoldan bağımsız olarak bizim kuralımız çalışacaktır.

· Sertifika Kuralı (Certificate Rules): Uygulama için yayımcı veya ticari sertifika otoritesi tarafından verilen sertifikaya göre yaratılan kuraldır. Sizde istediÄŸiniz uygulamalar için sertifika yaratabilirsiniz. Fakat sertifika zaten uygulamanın Hash kodunu içerdiÄŸi için Hash kuralı oluÅŸturmanız daha kolay olacaktır.

Sertifika kural’ını hash kuralına benzer ÅŸekilde oluÅŸturuyoruz. Bu tür kuralı yazdığınız scriptler için kullanabilirsiniz. Script için bir sertifika üretip, bu sertifika ile kural oluÅŸturabilirsiniz.

· Yol Kuralı (Path Rules): Uygulamanın çalışacağı yola göre yaratılan kuraldır. Yol olarak klasörün yolunu, uygulamanın yolunu (UNC veya yerel) veya uygulamanın kullandığı registry yolunu da verebilirsiniz. Yol olarak registry verdiÄŸinizde, uygulamanın kurulduÄŸu yoldan bağımsız olarak verdiÄŸiniz registry tanımından uygulamanız tanımlanacaktır.

Varsayılan güvenlik seviyeniz dissallowed ise uygulamaların çalıştığı klasörler için yol kuralı oluÅŸturmanız iÅŸinizi kolaylaÅŸtıracaktır. Veya çalışan uygulamaları bir network share üzerine koyup, UNC yoluna göre kural oluÅŸturabilirsiniz.

Åžekil-5

· Zone Kuralı (Zone Rules): Uygulamanın, indirildiÄŸi internet explorer zone’una göre tanımlandığı kuraldır. Bu zone’lar internet explorer’ın güvenlik tabında belirtilen zone’lardır; Ä°nternet, Intranet, Restricted Sites, Trusted Sites, My Computer. Bu kural ile istemcide çalışacak ActiveX’leri kontrol altında tutmanız kolaylaÅŸacaktır.

Åžekil-6

Enforcement SeçeneÄŸi:

Bu seçenek ile policy’nin hangi kullanıcılara ve hangi dosyalara uygulanacağını seçebiliyoruz. Burada uygulanacak yazılımlar kısmında All software files except libraries seçeneÄŸini öneriyorum. Çünkü eÄŸer varsayılan güvenlik seviyemiz dissallowed ise tüm kütüphane (dll dosyaları vb) dosyaları için ek kurallar oluÅŸturmamız gerekecek.

Ayrıca yerel yönetici (local administrators) grubunun politikadan etkilenmemesi için, Apply software restriction policies to the following users kısmında All users except local administrators seçeneÄŸini seçmeliyiz.

Åžekil-7

Designated File Types SeçeneÄŸi:

Designated File Types seçeneÄŸi ile policy’nin hangi dosya türleri için uygulanacağını belirliyoruz. Varsayılan güvenlik seviyesi dissallowed olduÄŸunda, policy’den etkilenecek dosya türlerini bu kısımdan ayarlayabiliriz. Böylece ek olarak ekleyeceÄŸimiz kural sayısı azalacaktır.

Åžekil-8

Trusted Publishers SeçeneÄŸi:

Trusted Publishers seçeneÄŸi ile ActiveX veya diÄŸital imzalı uygulamaların çalışıp çalışamayacağının belirleme hakkını kime vereceÄŸimizi ayarlıyoruz. Yerel yönetici grubuna bu hakkı vermenizi öneriyorum. Alttaki seçenek ile ayrıca kullanıcı buna izin vermeden önce sertifika üzerindeki timestamp’ın veya publisher’ın kontrolünü yaptırabilirsiniz.

Åžekil-9

Kuralları oluÅŸturduk ve seçenekleri belirledik. Artık istemcide çalışan uygulamalar tanımlanıyor ve politika kurallarımıza göre izin veriliyor veya engelleniyor. Engellenen yazılımlar için istemci makinelerde aÅŸağıdaki gibi uyarı penceresi çıkacaktır.

Åžekil-10

Sonuç

Ä°letiÅŸim yeteneklerimizin artmasıyla birlikte istemci makinelerde çalışan uygulamaları kontrol altında tutmak en temel güvenlik ihtiyaçlarımızın başında gelmeye baÅŸladı. Software Restriction Policies bu ihtiyacı politika ile yapabilmemizi saÄŸlıyor.

Bu makalede Software Restriction Policies kullanımının temel kavramlarını vermeye çalıştım. AÅŸağıdaki linklerden politikanın uygulanması ile ilgili ayrıntılı bilgilere ulaÅŸabilirsiniz.

Referanslar

NASIL YAPILIR: Windows Server 2003'te Yazılım Kısıtlama İlkeleri Kullanma

http://support.microsoft.com/kb/324036/tr

Using Software Restriction Policies to Protect Against Unauthorized Software

http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/rstrplcy.mspx