Şirkette bulunması gereken örnek Group Policy(GPO) ayarları

Merhabalar, makalemizde bir şirkette bulunması gereken gpo ayarlarını gerçekleştireceğiz. Bu makalede, password policy, run cmd yasaklama, usb yasaklama, istenmeyen programların çalışmaması, denetim masası yasaklama, gibi ayarları uygulayacağız ve nereden nasıl yapıldığını göreceğiz. Yapınızda bu düzenlemeleri yaparak daha güvenli ve sağlıklı bir düzene sahip olabilirsiniz.

Bu yapıyı 8 ayrı işlemde topladım.

1).PASSWORD POLİCY

Bu bölümde kullanıcıların complex ve güvenli bir şifre almalarını sağlayacağız . çünkü kullanıcı bilgisayarının güvenliği her zaman şirket güvenliğini oluşturur. Aşağıda hepsini değil ancak sıklıkla kullanılanı örnek göstereceğim.

Aşağıdaki yönergeleri takip edip PASSWORD POLİCY tab ına geliyoruz

090414_2156_irkettebulu1.jpg

Minimum Password age: şifremizin en az kaç karakter olduğunu rakamsal olarak belirtiriyoruz

Password must meet complex: şifrenin karmaşık olup olmamasını yani hem harf hem rakamsal değer olmasını sağlıyoruz. Bu özelliği enable edip okey’ e tıklıyoruz

Ayrıca Password policy tab’ından userlar için bütün şifre ve güvenlik ayarlarını sağlayabiliriz.

2) AUDİT POLİCY

Bu bölümde genel olarak bilgisayar logları tutulmaktadır.bu loglar, user ların ne zaman oturum açtıkları, kaç veya kaç defa yanlış giriş yaptığı gibi birçok bilgiyi içermektedir.

Bütün domain ortamındaki hareketleride bu bölümdeki loglardan inceleyebiliriz.

kötüye kullanımı engellemek ve takip yapmak için güvenlik açısından önemlidir .Burada hangi logların tutulup tutulmayacağını belirliyoruz.

Resimdeki kırmızı işaretli yönergeleri takip edip AUDİT POLİCY tab’ına geliyoruz

audit account logon events: bu özelliği aşağıdaki adımda ki gibi tıklayarak user giriş çıkış loglarını kayıt altına alabiliriz

audit object acces : bu sekmede ise paylaşımda ki dosyalara kimlerin erişip işlem yaptığını görebiliriz.

090414_2156_irkettebulu2.jpg

3.  Change System Time (Saat senkronizasyonu)

Kullanıcı bilgisayar saatlerinin merkezi bir şekilde aynı olması gerekmektedir. Farklı veya yanlış bir saat tarih diliminde bulunursa, paylaşılan dosyalarda erişim problemleri çıkabileceği gibi, makine iletişimleri arasında doğru replikasyon olmayacaktır.

Bu sebeple GPO’ daki userların saat ve tarih ayarlarını değiştirememesini sağlayacağız.

Kırmızı işaretli yönergeleri izleyip ‘user right assigment’ tab ına geliyoruz burada sağ tarafta bulunan ‘chance the system time’ sekmesine tıkladığımızda aşağıdaki gibi bir ekran geliyor

090414_2156_irkettebulu3.png

Browse seçeneğine tıklayıp, bu ayardan etkilenmesini istediğimiz user’ları veya daha önceden oluşturduğumuz user gruplarını ekliyoruz.Ben örnek olarak ‘sefilkullanıcı’ olarak oluşturduğum grubu ekledim. Ok butonuna basıyoruz.

090414_2156_irkettebulu4.jpg

Yukarıda ki gibi domaindeki ‘sefilkullanici’ adlı user grubu saat ve tarih ayarları kapandı

 

4) USB BELLEK ENGELLEME

Şirket yapısı içerisinde Usb belleklerden gelebilecek zararlı yazılımları, virüsleri veya şirket bilgilerinin kopyalanmasını taşınmasını önlemek için usb bellek engelleme işlemi yapıyoruz.

NOT: Aşağıda gösterdiğim yol 2008r2 ve sonrası için geçerlidir. Daha önceki yapılarda farklı yol ile kod yazılarak yapılmaktadır.

Windows settings bölümünden sonra aşağıdaki yönergeleri takip edip ‘removable storage acces’ bölümüne geliyoruz.

Removable storage acces tabı ından usb dışında bir çok sürücüyü engelleyebiliriz.

Burada bizi ilgilendiren USB bellek engelleyecek bölüm kırmızı işaretli 3’lü yerdir.3 sekmenin içerisine girip enabled deyip aktif ediyoruz.

 

090414_2156_irkettebulu5.png

Configurasyon aşağıdaki gibi olmalıdır.

090414_2156_irkettebulu6.jpg

5) CMD VE RUN YASAKLAMA

a)Cmd yasaklama

Şirket çalışanlarınızın komut satırından veya ctrl+r ile run ekranından kısayolu olmayan uygulamaları açmalarını önlemek için alabileceğiniz önlemlerdir .Cmd yasaklama işlemlerini yönergeleri takip ederek;

system tab’ında ‘ prevent access to the command prompt’ sekmesini tıklayıp enable hale getirmemiz yeterli olacaktır.

090414_2156_irkettebulu7.jpg

 

b) Run yasaklama

yönergeleri takip ederek ;

‘start menü and takskbar’ bölümünden remove run menü seçeneğini enable hale getiriyoruz.

090414_2156_irkettebulu8.jpg

 

6) UYGULAMA YASAKLAMA

Şirket yapısı içerisinde çalışan verimliliğini arttırmak veya herhangi bir sebeple, bazı programlarını yasaklanmasını engelleyebiliriz.

Bunun için yönergeleri izleyerek ‘additional rules’ sekmesine gelip sağ, > new path rule seçeneğini seçiyoruz.

090414_2156_irkettebulu9.jpg

Daha sonra aşağıda ki gibi gelen tab’da browse diyerek engellenecek uygulamanın yolunu seçip ok diyoruz. Ben burada örnek olarak internet explorer ı yasakladım. Ok dedikten sonra alta eklenecektir.090414_2156_irkettebulu10.jpg

7) LOCAL ADMİN ŞİFRE DEĞİŞTİRME

Güvenlik için yapı içerisinde ki local admin şifrelerini değiştirmek gereklidir. local admin şifresini değiştirmek için aşağıdaki yönergeleri izleyip local users and groups ekranına geldikten sonra sayfa içerisinde boş alan üzerinde

Sağ tık new> local user a tıklıyoruz

090414_2156_irkettebulu11.jpg

Gelen tab’da ise user name bölümüne administrator yazıp, aşağıdaki password bölümüne belirlediğimiz şifreyi girip okey diyoruz.

090414_2156_irkettebulu12.jpg

 

8) DENETİM MASASI YASAKLAMA

Kullanıcılar kendi isteğine göre bilgisayar ayarlarını düzenlemesini önlemek veya herhangi bir olumsuz durum ile karşılaşmasını önlemek için denetim masasını da yasaklamalıyız.

Aşağıdaki yönergeleri izleyerek ‘prohibit access to control panel’ sekmesine tıklayıp enable seçeneğini işaretlediğimizde denetim masasını yasaklayabiliriz

090414_2156_irkettebulu13.jpg

 

 

NOT: Yapılan işlemlerin etkili olması için policy uygulanacak user’ların oturum kapatıp yeniden açmasını gerekir veya client pc de cmd ekranına gelip “gpupdate /updatforce” komutunu yazabilirsiniz.