Yaygın olarak kullanılan Microsoft Windows işletim sistemlerinde denetlenmeyen yetkiler ciddi kayıplara neden olabilmektedir. Denetlenmeyen yetkilerin sebep olabileceği olumsuzlukların arasında dosya erişimleri, dosya kayıpları ve sistem değişiklikleri yer almaktadır. Bu yazımızda Windows sistemlerde denetimin önemi, denetim süreci ve yöntemini anlatacağız.
Gartner’ın 2008 yılında yaptığı bir araştırmaya göre Microsoft Windows işletim sistemleri, günümüzde kurumsal olarak kullanılan işletim sistemlerinin %88’ini, bireysel olarak kullanılan işletim sistemlerinin %96’sını oluşturmaktadır. Her işletim sisteminde olduğu gibi Windows işletim sistemlerinde de denetlenmeyen yetkiler ciddi bir sorun olabilmektedir.
Windows işletim sisteminde yetkilerin denetlenmesinin önemini, denetlenebilirliği sağlama yöntemlerini ve denetim sürecini daha ayrıntılı biçimde gözden geçirmemiz yerinde olacaktır.
Windows Denetim Kayıtlarının Önemi
Denetim kayıtları, Windows sistemlerinde genellikle yeterince kullanılmayan bir araçtır. Çoğunlukla kriz anlarında hatırlanan ancak önceden gerekli ayarların yapılmamış olmasından dolayı istenen faydayı sağlayamayan bir araç durumundadır. Bu durumun kurumlarda denetim kayıtları ile ilgili süreçlerin sağlıklı işlememesinin yanında çeşitli sebepleri vardır:
• Çok fazla denetim kaydı vardır.
Windows sistemleri varsayılan ayarları ile çok fazla denetim kaydı oluşturmaktadır ve bu kayıtların tamamının incelenerek yorumlanması ciddi bir iş gücü gerektirmektedir.
• Denetim kayıtları merkezi değildir.
Windows sistemleri varsayılan ayarları ile denetim kayıtlarını yerel olarak oluşturmaktadır. Merkezi olmayan kayıtların denetimi son derece zahmetlidir.
• Denetim kayıtlarını inceleme süreci tanımlı değildir / işlemiyordur.
Birçok kurumda denetim kayıtları tutuluyor olsa da tutulan kayıtların dönemsel olarak incelenmesi, yorumlanması ve ilgili hareketlerin yapılması ile ilgili süreçler tanımlı değildir. Bu süreçlerin tanımlı olduğu kurumlarda ise sürecin hayata geçirilmesi ile ilgili sıkıntılar bulunmaktadır.
• Denetim kayıtları için ayrılan sabit disk alanları sık sık doluyordur.
Denetim kayıtları için ayrılmış olan sabit disk alanı, dönemsel olarak kayıt incelemesi ve arşivlenmesi yapılmadığından dolmakta, çok önemli olabilecek denetim kayıtlarının üzerine yeni kayıtların yazılması söz konusu olabilmektedir.
Windows denetim kayıtları aracılığıyla işletim sistemi tarafından tutulabilen kayıtlar aşağıdaki gibidir:
1. Uygulama Kayıtları (Application Log): Uygulamalar tarafından oluşturulan kayıtlardır.
2. Güvenlik Kayıtları (Security Log): İşletim sistem kaynaklarının kullanımı ile ilgili kayıtlardır. Kimlik doğrulama işlemleri, dosya okuma, silme, değiştirme gibi nesne erişim kayıtlarının tutulduğu kısımdır.
3. Sistem Kayıtları (System Log): Sistemin çalışması ile ilgili kayıtlardır.
Yukarıda sıralanan kayıtlara ek olarak işletim sisteminin sahip olduğu özelliklere göre farklı kayıt başlıkları da bulunmaktadır. Örneğin DNS sunucusu olarak kullanılan bir makinede “DNS” kayıt başlığı bulunmaktadır.
Denetim kayıtları, sistem kaynaklarına olan erişim, uygulamalar, ağ işlemleri ve sunuculara has özellikler hakkında çok değerli bilgiler içermektedir. Denetim kayıtlarının dönemsel olarak incelenmesi ile birçok yetkinin denetlenmesi mümkündür.
Varsayılan kurulumda her kullanıcının uygulama ve sistem kayıtlarını inceleme hakkı bulunur. Yalnızca yönetici hakkına sahip kullanıcıların güvenlik kayıtlarına erişimi bulunmaktadır.
Windows Denetim Kayıtlarının Devreye Alınması
Windows denetim kayıtları, domain yapılarında grup politikaları, domain yapısı bulunmayan sistemlerde ise ilgili makineler üzerinde teker teker gerçekleştirilir.
Windows denetim kayıtlarını devreye almak için grup politikası yönetim konsolu (“Group Policy Management Console”) veya yönetici araçları (“Administrative Tools”) aracılığıyla Güvenlik Ayarları kısmından Denetleme Politikası (“Audit Policy”) başlığı aracılığıyla ilgili ayarlar yapılmalıdır.
Denetim Kayıtlarının İncelenmesi
Denetim kayıtları Microsoft Windows işletim sistemi üzerinden Olay İzleyici’nin (“Event Viewer”) veya özel araçların kullanılması ile gerçekleştirilir. Merkezi denetim kaydı toplanması için herhangi bir çözüm kullanılmayan kurumlarda denetim kayıtlarının incelenmesi son derece zahmetli olabilir. Çünkü yerel olarak tutulan kayıtların incelenebilmesi için her makineye bağlanılarak kayıtlara erişilmesi gereklidir.
Denetim kayıtlarının merkezi olarak saklanmaması, herhangi bir makinenin çalınması veya sabit disk arızası yapması halinde tüm ilgili kayıtların da kaybedilmesi anlamına gelebileceği için ayrı bir risk unsuru oluşturur.
Denetim kayıtlarının dönemsel ve olay üzerine incelenmesine yönelik prosedürler kurum yönetimleri tarafından hazırlanmalı ve hayata geçirilmelidir. Denetim kayıtlarının merkezi olarak saklanması ve dönemsel olarak arşivlenmesi için de özelleşmiş çözümlerden yararlanılması yerinde bir çözüm olacaktır.
Windows Güvenlik Ayarları ve Denetim
Windows güvenlik ayarları, domain yapılarında grup politikaları, domain yapısı bulunmayan sistemlerde Yerel Güvenlik Ayarları (“Local Security Settings”) kısmındaki Güvenlik Seçenekleri (“Security Options”) aracılığıyla yapılır. Bu ayarların denetlenmesinde Grup Politikaları Yönetim Konsolu (“Group Policy Management Console”), Microsoft Yönetim Konsolu (“Microsoft Management Console”) kullanılabileceği gibi 3. Parti yazılımlar da kullanılabilir.
Windows güvenlik ayarlarının denetlenmesinde özellikle varsayılan kurulumla gelen ve güvenlik seviyesini düşürebilecek yetkiler denetlenmelidir. Bu yetkilere örnek olarak Misafir (“Guest”) ve Yönetici (“Administrator”) hesapları ve hizmet dışı olarak gelen denetim kayıtlarının tutulması verilebilir.
Grup politikalarının uygulandığı yapılarda grup politikalarının denetlenmesinin önemli olduğu kadar denetlenen makine grubundan örnekleme yapılarak Etkiyen Politika Kümesi’nin (“Resultant Set of Policy”) denetlenmesi de gerekli ve önemlidir.
Kurumlarda CD-Rom ve USB ara yüzlerinin kullanıma kapatılması sık rastlanan bir uygulamadır. CD-Rom veya USB ara yüzlerinin sistem başlangıcında kullanılan betikler (“script” ‘ler) aracılığıyla kapatıldığı ortamlarda denetlenen makinelerin (çoğu zaman dosya sunucularında (“file servers” ) bulunan) betiklere erişimi kontrol edilmelidir.
Denetim Süreci ve Yetkilendirme
Kurumların denetim sürecinin yönetim tarafından tanımlanmış ve/veya onaylanmış dönemsel aralıklarla ve belirlenmiş kapsamlar için gerçekleştirilmesi gerekmektedir. Denetimlerin gerçekleştirilmesinin ardından oluşturulan denetim raporları ile ilgili hareket planlarının oluşturulması ve denetim raporlarının gereğinin yerine getirilmesi bir sürece oturtulması ile denetimlerden optimum fayda sağlanabilir.
Denetçilerin aşırı yetkilendirilmesi çok sık yapılan hatalardan biridir. Denetçilerin tüm ilgili verilere erişim hakkına sahip olması gerekli iken denetçilerin bu verileri değiştirme hakkına sahip olmaması gereklidir. Denetçilerin kapsam dahilindeki verileri değiştirme hakkından yoksun olması ile denetimler esnasında bilgi kayıpları yaşanmasının ve sistem ayarlarının değişmesinin önüne geçilebilir.
Sonuç
Windows sistemlerinde yetkilendirme kullanıcıların erişimleri ve sistemlerin kararlılığı için ne kadar önemli ise, verilen yetkilerin ve sistemlerin güvenliğinin denetlenmesi de en az yetkilendirme kadar önemlidir.
Kurum üst yönetimleri tarafından oluşturulan ve/veya onaylanan denetim dönemleri ve kapsamlarına sadık kalınarak denetimlerin gerçekleştirilmesi ve denetimler ardından ilgili çalışmaların yapılması, kurumları ileriye taşıyabilecek itici bir güçtür.
Denetimlerin gerçekleştirilmesi için iç kadrolar oluşturulabileceği gibi dış kaynak kullanımı ile tarafsız denetçilerin desteği alınması da sağlanabilir.