CyberFlow Logo CyberFlow BLOG
Soc L2 Infra Ad Cloud

Group Policy Objects (GPO) ve Güvenlik Sıkılaştırma: Siber Güvenlikte Temel İlkeler

✍️ Ahmet BİRKAN 📂 Soc L2 Infra Ad Cloud

GPO'lar, Active Directory ortamında güvenliği artırmak için kritik bir bileşendir. Eğitimimizle tüm yönlerini öğrenin.

Group Policy Objects (GPO) ve Güvenlik Sıkılaştırma: Siber Güvenlikte Temel İlkeler

Group Policy Objects (GPO), kullanıcı ve bilgisayar yapılandırmalarını merkezi bir şekilde yönetmenin yanı sıra güvenliği sıkılaştıran önemli bir araçtır. GPO'ların nasıl çalıştığını keşfedin.

Giriş ve Konumlandırma

Giriş

Siber güvenlik alanında, bilgi sistemlerinin yapılandırılması ve yönetimini etkili bir şekilde gerçekleştirmek, kurumların bütünlüğünü ve veri güvenliğini sağlamak adına kritik bir öneme sahiptir. Bu bağlamda, Group Policy Objects (GPO) olarak adlandırılan yapı, Active Directory ortamlarında kullanıcı ve bilgisayar yapılandırmalarını merkezi olarak yönetmeye olanak tanıyan bir sistem sunar. GPO'lar, işletim sistemleri üzerinde belirli politikaların uygulanması, kullanıcılara çeşitli kısıtlamaların getirilmesi ve güvenlik düzeyinin artırılması amacıyla kullanılır.

GPO'nun işlevi, birçok güvenlik önleminin ve yapılandırmanın sürekli bir şekilde uygulanmasını sağlamak üzerine kuruludur. Özellikle siber güvenlik alanında, sistemin çeşitli zayıflıklarına karşı alınacak önlemleri belirlemekte ve uygulamakta önemli bir rol oynar. Kurumlar için, GPO'lar kullanılarak oluşturulan güvenlik sıkılaştırma politikaları, önemli bir güvenlik katmanı sağlar.

GPO ve Siber Güvenlik Açısından Önemi

Siber saldırıların ve veri ihlallerinin artması, organizasyonların güvenlik önlemlerini gözden geçirmesini zorunlu kılmıştır. GPO'lar, bu tehditlerle başa çıkmak için kurumların siber güvenlik stratejilerinin merkezinde yer alır. Kullanıcıların yetkisiz erişimlerini sınırlandırmak, sistem güncellemelerini zorunlu hale getirmek ve güvenlik açıklarını minimize etmek için GPO kullanmak, hem savunma mekanizmalarını güçlendirir hem de potansiyel saldırı yüzeyini daraltır.

Ayrıca, belirli güvenlik politikalarının uygulanması, içeriden gelen tehditlere karşı bir önlem olarak da öne çıkmaktadır. Örneğin, "Account Lockout Policy" (Hesap Kilitleme Politikası) ve "AppLocker", belirli kurallar çerçevesinde kullanıcı davranışlarını denetleyip kısıtlayarak, sistemin daha güvenli bir hale gelmesine katkıda bulunur. Özellikle büyük organizasyonlarda bu tür yapılandırmalar kritik önemi haizdir.

Teknik İçeriğe Hazırlık

GPO'lar, yönetimsel ve teknik açıdan iyi bir anlama gerektiren bir konudur. GPO ile yapılandırılan ayarlar arasında yer alan "Restricted Groups" veya "Loopback Processing" gibi kavramlar, siber güvenliğin temel yapı taşlarına işaret etmektedir. Bu yazıda yer alan içerikler; GPO'nun işleyişi, uygulama sıralaması, öncelik sıralaması ve güvenlik ayarları hakkında detaylı bilgilendirmeler içermektedir.

Ek olarak, "GPO Yönetim Konsolu" (GPMC) aracılığıyla GPO’nun nasıl yönetileceği, çeşitli ayarların nasıl yapılandırılacağı ve değişikliklerin nasıl izleneceği konusunda da bilgiler verilecektir. Bu bilgiler, siber güvenlik alanında giriş seviyesinden ileri seviye uygulamalara kadar geniş bir yelpazede okuyucuya katkı sağlamayı hedeflemektedir.

Sonuç

Sonuç olarak, GPO'lar siber güvenlik alanındaki en temel bileşenlerden biri olma niteliği taşımaktadır. Güvenlik sıkılaştırma adı altında yapılan uygulamalar ve yapılandırmalar, kurumların siber savunma alanında ne denli hazırlıklı olduğunu gösterecek ve güvenlik risklerini minimize edecektir. Bu blog serisi kapsamında incelenecek olan konu başlıkları, okuyucuların hem teorik bilgilerini pekiştirmelerine hem de pratik uygulamalar yapmalarına olanak tanıyacaktır. İleriye dönük olarak, GPO ile ilgili bilgi birikimini artırmak, siber güvenlik profesyonellerinin günümüz tehditlerine karşı daha etkili bir şekilde mücadele etmesine yardımcı olacaktır.

Teknik Analiz ve Uygulama

Group Policy (GPO) Nedir?

Group Policy Objects (GPO), Active Directory ortamında kullanıcı ve bilgisayar yapılandırmalarını merkezi olarak yönetmeye, kısıtlamaya ve güvenliği sıkılaştırmaya yarayan kurallar bütünüdür. GPO'lar, çeşitli güvenlik ayarlarını ve politika yönetimini basit ve etkili bir şekilde yapmanızı sağlar. Örneğin, bir organizasyonun tüm kullanıcılarının belirli bir şifre karmaşası standartlarına uymasını istiyorsanız, bunu bir GPO aracılığıyla merkezi olarak tanımlayabilirsiniz.

GPO Uygulama Sırası (LSDOU)

GPO'ların uygulanma sırası, Local, Site, Domain ve Organizational Unit (LSDOU) mantığına dayanır. Bu sıralama, birden fazla GPO uygulandığında hangi kuralların geçerli olacağını belirler. Örneğin, bir OU'ya bağlı bir GPO, aynı domain içinde tanımlı bir GPO'dan önce uygulanır. Bu, özellikle kullanıcı ve bilgisayar yapılandırmalarınızı yönetirken kritik bir öneme sahiptir. 

gpresult /h report.html

Yukarıdaki komutla GPO'yla ilgili detaylı bir rapor elde edebilirsiniz. Bu rapor, üzerinde çalıştığınız bilgisayara uygulanan GPO'ları gösterir.

GPO Önceliği (Precedence)

GPO'lar arasında çakışmalar yaşandığında, hangi GPO'nun geçerli olacağı hususu önem kazanmaktadır. Birden fazla GPO çakıştığında, her zaman en son uygulanan, yani nesneye en yakın olan kural geçerli olur. Bu durum, GPO'nun ayrıntılı bir şekilde tasarlanmasını ve uygulanmasını gerektirir. Çakışmanın hoş karşılanmadığı durumlarda doğru önceliği ayarlamak için GPMC (Group Policy Management Console) kullanılabilir.

GPO Yönetim Konsolu (GPMC)

GPO'larınızı oluşturmak, düzenlemek ve domain yapınıza bağlamak için kullanılan merkezi yönetim aracına GPMC (GPMC.msc) denir. GPMC, GPO'larınızı yönetmek için kullanıcı dostu bir arayüz sunar. GPO'larınızı uygulamak için ihtiyacınız olan tüm ayarları bu konsoldan kolayca yapılandırabilirsiniz.

GPO Yönetim Konsolunun Temel İşlevleri

  • GPO oluşturma ve düzenleme
  • GPO'nun domain yapısına bağlanması
  • GPO'lar arasında öncelik belirleme
  • GPO güncellemelerini takip etme

Sıkılaştırma Ayarları

GPO aracılığıyla yapılandırılabilecek kritik güvenlik sıkılaştırma başlıkları arasında “Account Lockout Policy” ve “AppLocker” yer alır. Account Lockout Policy, ardışık hatalı giriş denemeleri sonrası hesabın otomatik olarak kilitlenmesini sağlar. Bu, kaba kuvvet saldırılarına karşı bir savunma mekanizması olarak işe yarar.

AppLocker ise hangi uygulamaların veya scriptlerin çalışmasına izin verileceğini denetleyen bir mekanizmadır. Uygulama beyaz listesi oluşturarak, yalnızca belirli yazılımların çalışmasına izin verdiğinizden emin olabilirsiniz.

Set-AppLockerPolicy -PolicyFilePath "C:\Path\To\Policy.xml" -Merge

Yukarıdaki PowerShell komutu, belirli bir politikayı uygulamak için AppLocker kullanımıyla ilgilidir.

GPP Şifreleri (MS14-025)

GPO ile yönetilen grup ilkesi tercihlerinde saklanan şifreler, SYSVOL içinde AES ile şifrelense de anahtarın bilindiği için kolayca çözülebilir durumdadır. Bu bağlamda, hassas verileri yönetirken daha dikkatli olunması gerekir. MS14-025 güvenlik bülteni, bu tür durumların güvenli bir şekilde yönetilmesi için gerekli önlemleri belirtmektedir.

WMI Filtreleme

GPO'ların belirli koşullara göre uygulanmasını sağlamak için WMI Filtreleme kullanılabilir. Bu, bir GPO'nun sadece belirli bir işletim sistemi sürümüne veya donanım özelliğine sahip cihazlara uygulanmasını sağlayan dinamik filtreleme yöntemidir. Örneğin, yalnızca Windows 10 işletim sistemiyle çalışan bilgisayarlara GPO uygulamak istiyorsanız, WMI filtreleri kullanarak bunu kolayca yapabilirsiniz.

SELECT * FROM Win32_OperatingSystem WHERE Version LIKE '10%'

WMI Filtrei Oluşturma

Bu SQL benzeri sorguyu, GPO'nuza eklediğinizde yalnızca uygun kriterlere uyan sistemlere uygulanacaktır.

Varsayılan GPO'lar

Active Directory kurulumuyla otomatik gelen temel GPO'lar, tüm domain kullanıcılarını ve bilgisayarlarını etkileyen, parola politikalarının tanımlandığı ilke gibi önemli ayarları içerir. Örneğin, "Default Domain Policy” isimli GPO, tüm domain içindeki kullanıcı ve bilgisayarların temel güvenlik ayarlarını yönetir.

GPO Değişiklik İzleme

GPO'larınızda yapılan değişikliklerin izlenmesi, güvenlik gereksinimleri açısından büyük önem taşır. Event ID 5136, bir grup ilkesi nesnesinde yapılan değişiklikleri ve eski-yeni değerleri detaylıca gösterir. Bu sayede, şüpheli değişikliklerin tespiti sağlanır.

Politika Güncelleme

Yeni atanan bir kuralın istemci bilgisayarlarda hemen aktif olması için gpupdate /force komutu kullanılmaktadır. Bu komut, GPO'ların geçerli ayarlarının güncellenmesini sağlamak için kritik bir araçtır.

gpupdate /force

Bu komut çalıştırıldığında, kullanıcı ve bilgisayar üzerindeki tüm GPO ayarları yeniden uygulanır. Bu, özellikle değişikliklerin hemen devreye girmesi gerektiği durumlarda faydalıdır.

Sonuç olarak, GPO’ların doğru bir şekilde uygulanması, siber güvenlik önlemlerinin etkili bir şekilde yönetilmesini sağlar. Kapsamlı bir GPO yönetimi, organizasyonların güvenliğini artırmanın yanı sıra, yönetimsel verimliliği de artırır.

Risk, Yorumlama ve Savunma

Risk Değerlendirmesi ve Yorumlama

Siber güvenlikte risk değerlendirmesi, sistemin zayıf noktalarının ve potansiyel tehditlerin analiz edilmesi sürecidir. Group Policy Objects (GPO), bir organizasyonun güvenlik politikalarını merkezi bir biçimde yönetmesini sağlar. Ancak yanlış yapılandırmalar veya bilinen zafiyetler, sistemlerin güvenliğini ciddi biçimde zayıflatabilir. Bu bölümde, elde edilen bulguları yorumlayarak riskleri, etkilerini ve önlemleri ele alacağız.

Elde Edilen Bulguların Güvenlik Anlamı

GPO'lar, organizasyonların güvenlik politikalarını uygulamak için önemli bir araçtır. Elde edilen bulgular arasında, şifrelerin doğru bir biçimde saklanıp saklanmadığı, kullanıcı rollerinin ve erişim izinlerinin doğru tanımlanıp tanımlanmadığı önemli yer tutar. Yanlış yapılandırılmış bir GPO, şifrelerin kolayca ele geçirilmesine veya yetkisiz kullanıcıların sisteme erişim sağlamasına yol açabilir.

Örneğin, bir GPO’nun zayıf bir şifre politikası uygulaması durumunda, saldırganlar sıkışık zamanlarda brute force (kaba kuvvet) yöntemleriyle sistemi ihlal edebilir. Bu tür durumlar sistemin güvenliğini tehlikeye atar ve veri ihlali gibi kritik sonuçlarla karşılaşılmasına sebep olabilir.

Yanlış Yapılandırma veya Zafiyetlerin Etkisi

Herhangi bir yanlış yapılandırma veya bilinen bir zafiyet, birçok güvenlik açığına kapı açabilir. Örneğin, GPO'lar içerisinde kullanılan Restricted Groups ayarı yanlış yapılandırıldığında, yerel yöneticiler (Local Admins) grubuna yetkisiz kişilerin eklenmesine yol açabilir. Bu durum, kötü niyetli kullanıcıların kritik sistem kaynaklarına ulaşmalarını kolaylaştırır.

Yine, GPO'lar üzerindeki AppLocker ilkesi doğru uygulanmadığında, kötü amaçlı yazılımların sisteme yüklenmesine engel olunamaz. Dolayısıyla, bu tür yanlış yapılandırmalar, organizasyonda ciddi güvenlik açıklarına yol açabilir.

Sızan Veri ve Servis Tespiti

Sistem üzerinde yapılan GPO değişikliklerinin izlenmesi, potansiyel güvenlik ihlallerini tespit etmek için kritik öneme sahiptir. Event ID 5136, bir GPO nesnesinde yapılan değişiklikleri ve bu değişikliklerin eski ile yeni değerlerini detaylı bir biçimde gösterir. Bu güncellemelerin izlenmesi sayesinde, şüpheli değişiklikler zamanında tespit edilebilir ve gerekli önlemler alınabilir.

Özellikle saldırganlar, sızdığı sistemlerdeki GPO ayarlarını değiştirerek kendi avantajlarına göre düzenlemeler yapabilirler. Bu nedenle, sızan verilerin ve değiştirilen servislerin izlenmesi, organizasyonların güvenliğini sağlamak için hayati bir öneme sahiptir.

Profesyonel Önlemler ve Güvenlik Sıkılaştırma (Hardening) Önerileri

GPO'lar üzerinden uygulanan güvenlik sıkılaştırma önlemleri, sistemlerin güvenliğini artırmada etkili bir yöntemdir. Önerilen bazı sıkılaştırma stratejileri şunlardır:

  1. Parola Politikalarının Sertleştirilmesi: Parolaların karmaşık ve zor tahmin edilebilir olması, güvenliği artırır. GPO'lar aracılığıyla zorunlu kılınması gereken karmaşık parola kuralları uygulanmalıdır.

    secpol.msc

  2. Kullanıcı Hesap Kilitleme Politikasının Uygulanması: Hatalı giriş denemeleri sonrası kullanıcı hesaplarının otomatik olarak kilitlenmesi, brute force saldırılarına karşı koruma sağlar. Bu ayar, Account Lockout Policy ile yönetilebilir.

  3. Uygulama Beyaz Listesi Oluşturma: Kötü amaçlı yazılımların çalışmasına engel olmak için AppLocker kurallarının doğru bir biçimde yapılandırılması gereklidir.

  4. Dinamik Filtreleme Kullanımı: GPO'nun belirli bir işletim sistemi sürümüne veya donanım özelliğine sahip cihazlara uygulanmasını sağlamak amacıyla WMI Filtreleme kullanılmalıdır.

  5. GPO Değişikliklerinin İzlenmesi: GPO'lar üzerindeki değişikliklerin düzenli bir şekilde izlenmesi ve loglamanın yapılması, şüpheli etkinliklerin zamanında tespit edilmesine yardımcı olur.

Sonuç

GPO’lar, bir organizasyonun siber güvenliğini artırmak için kritik öneme sahiptir. Ancak, yanlış yapılandırmalar veya zayıf güvenlik politikaları büyük riskler doğurabilir. Güvenlikleri artırmak için uygulanan sıkılaştırma önlemleri ve doğru risk değerlendirmeleri, sistemlerin güvenliğini pekiştirecek ve olası tehditlere karşı bir savunma mekanizması oluşturacaktır. Bu nedenle, GPO yönetimi konusunda dikkatli olunmalı ve sürekli olarak güncellenmelidir.