MCSE (Microsoft Certified System Engineer)

Ana Sayfa | MCSE Nedir?

Grup İlkeleri: (Group Policy)

small logo

Grup İlkeleri: (Group Policy)


1.Bilgisayar Yapılandırmaları:
İlkenin etkiledigi bilgisayarlar için geçerlidir. OU yada domain içerisinde kullanıcıları ve grupları direk etkilemez. Ancak ilkeden etkilenen bilgisayarlarda oturum açılırsa ilkeden etkilenilebilir.

1.a. Yazılım Yüklemesi:

Hem kullanıcı hemde bilgisayar yapılandırması olarak kullanılabilir.
msi, exe, zap uzantılı kurulum paketlerini dagıtmak için kullanılır.

1.b.Windows Ayarları:
1.b.1.Güvenlik Ayarları:

1.b.1.a.hesap-parola ilkeleri
en az parola geçerlilik ilkesi: 5
5 degeri kullanıcı 5 gün içerisinde yeni parola kullanamaz.
en fazla parola geçerlilik: 40
kullanıcı parolayı 40 gün içinde degiştirmelidir.
EnAzPArolaUzunlugu: Bu kural karmaşıklık gerekleri ile beraber çalışır ve 5 verilirse en az parola 5 karakter olmalıdır.

Parola Geçmişini Uygula:10
10 degeri kullanıcı en fazla 11 önceki parolayı tekrar kullanabilir. 10 ve daha yeni kullanılan parolalar kullanılamaz.

Karmaşıklık Gerekleri: etkin
etkin olursa parolalar "Büyük Harf, Küçük Harf, Sayı ve Karakter dizelerinden en az üçünü barındırmalıdır."
       "k7y*-?2" gibi

ters çevrilebilir şifreleme: parola:"şafak" MD5 hash="89172398071209389012"
ise MD5 hash den "şafak" elde edilmesi isteniyorsa ayar "etkin" olmalıdır.
Bu hash dosyalarına Active Directory veritabanından ulaşılabilir.

1.b.1.b. Hesap Kilitleme ilkeleri.
eşik degeri: kullanıcının logon ekranında kaç kez parola deneyebilecegini ve degeri aşması durumunda sistemin ne kadar süre oturum kabul etmeyecegini ayarlar.

1.b.2.a Yerel ilkeler-Denetim
Üç farklı denetim ilkesi vardır. Bunlar
hata: yapılan işlemlerde yalnızca hata kayıtlarını tutar.
Başarı:Yapılan işlemlerde yalnızca başarı kayıtlarını tutar.
Yapılandırılmadı: hiçbirşeyi tutmaz.
Bu raporlara, olay görüntüleyicisi bölümünden ulaşılır.

1.b.2.b Kullanıcı Hakları Ataması:
Bilgisayarda oturum açan kullanıcıların hangi oturum açma özellikleri ile çalışacagını belirten ayarlar vardır.
sistemi açma, kapama, ag erişimleri, saat degiştirme ayarları gibi...

1.b.2.c Güvenlik Seçenekleri:
Bilgisayarın donanım, hesap, servis, domain üyeliği, network erişimi, sertifikalar ile ilgili güvenlik ayarlarını tanımlar.

örnegin kullanıcıların USB bellek takıp kullanmasını önlemek için:
Allowed be format and eject removable media yalnızca administrators grubu için ayarlanır.

1.b.3 Olay Günlüğü:
Olay görüntüleyicisinde tutulacak olan kayıtlar ile ilgili ayarlar vardır.

1.b.4 Kısıtlı Gruplar:
Eklenen gruplar için bilgisayar üzerinde erişim kısıtlanır, diger kurallar ne olursa olsun bu gruba üye olan kullanıcılar registry degişikligine neden olabilecek hiçbir ayarı degiştiremez.
Ayarı daha da özelleştirmek için kayıt defteri bölümü kullanılır.

1.b.5 Sistem Hizmetleri:
Windows başlangıcında devreye giren servislerle ilgili başlangıç ayarları yapılır.

1.b.6 Kayıt Defteri:
Registry ayarları ile ilgili güvenlik secenekleridir.
Class Root: Dosya uzantıları ile ilgili ayarlardır.
Machine   : Bilgisayar yapılandırmaları ile ilgili ayarlar.
User     : Kullanıcı yapılandırmaları.

kullanıcı bilgisayarda oturum açtıgında kullanıcı ve bilgisayara atanan ilkeler registry e anahtar olarak yüklenir.

1.b.7 Dosya Sistemi:
Kullanıcıların bilgisayar üzerinde hangi klasorlere ve dosyalara hangi izinler ile girebilecegini belirten yerdir.

Örnegin: "Müdür" kullanıcısı tüm bilgisayarların c: dizinini izleyebilmek istiyor.
Bu işlem için.
Dosya sistemi > Dosya Ekle > c: dizini seçilir.
Açılan güvenlik özelliklerinden "müdür" eklenir ve tam denetim hakkı verilir.


1.b.8 Kablosuz Ağ Yönetimi:

Yapı: Network ortamında 1 Active Directory ve DHCP sunucusu
          1 Wireless ADSL DHCP özelliği olan modem
          20 pc ethernet baglantılı
          10 laptop wireless baglantılı.
          5 pda


Yapı modem ------- Sunucu -------- bilgisayarlar şekline getirilir.

    192.168.1.1-----192.168.1.2(Sunucu)192.168.100.1 ---------- 192.168.100.X


x.X.x.x

Durum1:her iki DHCP de açık?
  20 PC         : 192.168.100.X
  10 laptop (kablosuz)   : 192.168.1.X

Durum2:yalnızca Server DHCP açık
  20 PC         : 192.168.100.X
  10 laptop (kablosuz)   : 169.254.X.X

Durum3:yalnızca Modem DHCP açık ve modem ethernet kablosu switche baglandı.

  20 PC         : 192.168.1.X
  10 laptop (kablosuz)   : 192.168.1.X

Bu işlemde DHCP ayarlarını ve DNS ayarlarını bozdugu için olmaz!

Durum4: yapı yalnızca Server DHCP açık şekline getirilir. GPO ilkelerinden

Kablosuz Ağ Yönetimi > yeni kablosuz ag ilkesi > yapılandır >
tercih edilen aglar > SSID girilir (sirketkablosuz) gibi > şifreleme türü seçilir
WEP, WPA gibi. İlke eklenir.
Bu işlemden sonra Laptop ve diger wireless kullanıcıları burada belirtilen ilkelere
göre çalışır ve ip adreslerini modem üzerinden sunucuya baglanarak 192.168.100.X
şeklinde alabilir.

Son Durumda:
  20 PC         : 192.168.100.X
  10 laptop (kablosuz)   : 192.168.100.X

olarak kullanıcılar Active Directory üzerinden çalışmaya devam ederler.

1.b.9 Ortak Anahtar İlkeleri:
Güvenlik sertifikaları ve bunların dagıtımı ile ilgili ayarların yapıldıgı ilkelerdir.
IPSEC konusunda işlenecek.

1.b.10 Yazılım Kısıtlama İlkeleri:
Sertifika Kuralı: Bilgisayarların hangi sertifikalara güvenecegi yada güvenmeyecegini listeler. Sertifikanın kopyasının serverda yüklü olması gerekir.

Karma Kural: Bilgisayarlarda hangi programların çalışıp çalışmayacagını belirler.
Kuralın atanması için saglayıcı dosya bilgisine ihtiyac vardır yani program serverda yüklü olmalıdır.
Kural tanımlanan programın adıyla degil saglama numarası ile çalışır. Versiyon degişikliklerinde numara degişecegi için kural çalışmaz.
İnternet Bölgesi Kuralı: Güvenilen, internet, yasak siteler için erişim kısıtlamalarını belirler. Bu siteler server internet seceneklerinde belirtilmiş olması gerekir.
Yeni Yol Kuralı: NTFS hakları ile kullanıcıların hangi dosyalara ve dizinlere erişebilecegi belirlenir.

Yol Kuralında tanımlanan kuralda NTFS hakkı ne olursa olsun ilk olarak bu kural çalışmaya başlar.


Güvenlik Düzeyleri: iki tür çalışma şekli vardır.
izin verilmeyen: seçili ise herşey yasaklanır ve yalnızca izin verilecek olanlar kural olarak atanır.
Kısıtlamasız: Herşey açıktır ve izin verilmeyecek olanlar kural olarak atanır.


1.b.11. Active Directory Üzerinde Güvenlik İlkeleri:

IP Security ilkelerini çoklu olarak dagıtmak için kullanılır. Temel firewall özellikleri içerir. Baglantıyı istenilen algoritmalara göre şifreler.

Server (Request Security)
Ataması yapıldıgında bilgisayar kendisi ile baglantıya geçmek isteyen bilgisayardan güvenlik yapılandırması arar. Yapılandırma varsa baglantı güvenli gerçekleşir yoksa güvensiz devam eder.


Client (Respond Only)
Hedef bilgisyarda IPSEC acık durumuna karşı atanır. Bu sayede bilgisayarın require securty yapılandırması ile karşılaşması durumunda baglantısının kesilmesi önlenir.

Server (Require Secuirty)
Bilgisayarda IPSEC baglantısı açıktır. Her baglantı yapmak isteyen bilgisayardan IPSEC isteyecektir. Yoksa baglantıyı sonlandıracaktır.

Güvenlik Şablonları:
Bilgisayar Güvenlik İlkelerine hızlı bir şekilde şablon yüklemek için kullanılır.
Hazır ayarlar içerisinde

compatws.inf: dosyası uyumlu şablondur ve basit düzey güvenlik ilkeleri tanımlar.
Tüm bilgisayarların uyumlu şablonda çalışması baglantı sorunlarını minimuma indirir ancak güvenli bir yapı saglamaz.

hisecdc.inf: Domain Controller için hazır şablondur. Yüksek düzey güvenlik ayarları vardır.

hisecws.inf: Domain bilgisayarları için şablon. Yüksek düzey güvenlik..
setup security.inf: güvenlik yapılandırmaları aktif ancak ayarları minimumda tanımlanmıştır.

Yapılandırmaların alınması için
güvenlik > sag tıklanır ve "ilke al" ile templates klasorunden alınır.

Uygulama:
ilk olarak domain policy ilkesinden parola uzunlugunu 0 karakter olarak ayarlayın.
             mcse.com

siyah OU      beyaz OU      mavi OU
________      ________      ________
user1         user2         user4
user2         user3         user1
PC1         pc2         pc3
pc2

GPO ayarları:
_____________
siyahGPO:
________
1. parola: 5 krktr, süre:30-40, eşik: 8
2. Domaine PClerinin sunucuyla arasındaki saat farkı: 4 dakika
3. user2 de oturum açma saatleri hergun 12:00-18:00 arasında ve bu süre bittiginde
oturumdan çıkmaya zorlanacak.
BeyazGPO
________

1..Guest Hesapları Etkin
2.Kullanıcı giriş ekranında bilgisayarı kapat secenegi olmayacak

MaviGPO
________

1.Kullanıcı giriş ekranında "Hoşgeldiniz.." mesajı yazılacak.
2.CD-Rom Erişimi kapalı
3.İşletim sistemini kapatamayacaklar.
4.User4 ve user1 haricinde kimseler pc de oturum açamayacak
user4 ve1 pc3 haricinde oturum açamasın.
5.Sistem, oturum olaylarında hata durumları denetlenecek ve 12 MB log boyutu ile tutulacak


__________________________________________________________________________
Domainle ilgili yapılandırmaları YeniDomainGPO üzerinde yapınız.
Tüm Domainde DHCP client servisi etkin olacak.
USer6 Kullanıcısı tüm domain bilgisayarlarının c:\ dizini üzerinde tam denetim izni olacak.
domaindeki hiçbir kullanıcı c:\gizli\dizini üzerinde erişim hakkı olmayacak.
Tüm domaine "kablosuz" SSID si olan ve WPA şifrelemesi olan aga giriş izni saglanacak.
pc2 ve pc4 üzerinde güvenilen siteler haricindeki internet sitelerine erişim kısıtlanacak.




1.c.1. Yönetim Şablonları
1.c.1.1 Windows Components

Kurulabilir windows bileşenleri ile ilgili ayarların yapıldıgı bölümdür.
Windows Update:
WSUS kurulumunda windows update ayarları:
WSUS (Windows Software Update Service) kurulduktan sonra domain için bu bölüme gelinir ve

*Configure Automatic Updates:
     etkin
    4-auto download and schedule seçilir
    saat ve zamanlama aralıgı belirlenir.


*Specify intranet services location:
   
    etkin
    intranet services url   : http://server/wsus
    intranet statistics url   : http://server/wsus

olarak konfigurasyonu yapılır.

1.c.1.2 System
İşletim sisteminin kurulamayan/kaldırılamayan bileşenlerinin ayarlarını taşır.
Örnegin: İstenilen gruba disk kotalarını ayarlamak için

Disk Quotas:
enable    : etkin
enforce   : etkin
Default QuotaLimit: 100MB
Apply Policy removble Media: etkin (USB bellek gibi çıkarılabilir cihazlardada çalıştır)

şeklinde ayarlanırsa etkilenen tüm pclerde kota 100mb olur.


Örnek2:
Oturum açma işleminde network baglantılarının beklenmemesi için:
Logon > Always wait for the network at computer start up and logon senegi devre-dışı bırakılır.


1.c.1.3 Network
Network baglantılarını sınırlandırma ve güvenlik altına alma ayarları vardır.
Örnegin: windows firewall açık ancak radmin programının portunu (4899TCP-UDP) açmak için

   
Windows firewall: protection: etkin
       : define port exception: etkin
       : tanımlaması:
          4899;TCP;0.0.0.0;enabled;radmin
          4899;UDP;0.0.0.0;enabled;radmin

olarak ayarlandıgında 0.0.0.0(tüm networklere) 4899 radmin portu açılır(enabled)
NOT: firewall baglantıları yalnızca inbound (giriş) trafigini kısıtlar. Outbound trafik açıktır.

Örnek2:
internet explorer üzerinden web sitelerine yapılan erişimler kapansın.
1860-1870 arasındaki çıkış portları kapatılır.


Örnek3: kullanıcıların network baglantı sınırını %20 kullanımla sınırlandırmak için.
QoS paket Scheduler:
Limit Reservable Bandwith: %80 olarak ayarlanır. (100-20=80)

Kullanıcının sınırsız olarak bantgenişliği kullanması istenirse aynı ayar:0

 

Ana Sayfa | Kurs İçeriği | Notlar | Ödevler | ©2009 A. Alper Şahan