Grup İlkesi Yönetimi

Kurumdaki bilgisayarların ve kullanıcıların yönetimini sağlayan grup ilkeleri
Bilgisayarları ve kullanıcıları merkezi bir noktadan yönetmenizi sağlayan kurallar bütünüdür.
Grup ilkeleri bilgisayara ve kullanıcılara sınır getirilebilir yada ortamınıza daha fazla özellik eklenmesini
sağlayabilir.
Grup İlkeleri Üç şekilde uygulanır.
1-Etki Alanına
2-Etki Alanı içindeki yapısal birimlere
3-Sitelere

Bilgisayarları ve kullanıcıları etkileyen bir politikayı uygulamak için öncelikle Grup İlkesİ Nesnesi (Group Policy Object - GPO) adını verdiğimiz kurallar listesine ihtiyacımız var.

GPO aslında grup ilkesi nesneleri kapsayıcısı içinde bulunur.Ancak farklı kapsayıcılara bağlanabilirler.

Kapsam (Scope) :Grup ilkesinin nereye uygulanacağa hangi kullanıcıları veya grupları etkileyeceği bilgileri bu sekmede yer alır.
Ayrıntılar (Details) :Grup ilkesinin oluşturma tarihi;geçerli sürümü ve benzersiz kimligi gibi bilgiler yer alır.
Ayarlar (Settings)  :Grup ilkesinin ne gibi kurallar içerdiği bu sekmede görürüz.
Temsilçi seçme (Delegation)  :Grup ilkesi üzerine hangi kullanıcıların yada grupların yetkili olduğu bu sekmede görürüz.

GPO DÜZENLEME

Bir grup ilkesini düzenlemek için sağ tıkla.Düzenleme seçimini yapın.Grup ilkesi yönetimi düzenleyicisi adında yeni bir pencere açılacaktır.Bu pencere kuruluşumuzdaki bilgisayarı ve kullanıcıları etkileyen kuralların  tamamı Hiyeraşik bir yapıda yer alır.GPO iki ana bölümden oluşur.

USB DEPOLAMAYI KAPATMA

Bilgisayar yapılandırması-ilkeler-Yönetim şablonları-Sistem-Çıkarılabilir Depolama Erişimi

Grup İlkeleri bir-iki saat arası ile bir süre ile kullanıcılara tekrar tekrar gönderir.Yani bu ayrı yaptıktan sonra 2 saat beklicez.Bu işlemin hemen aktif olması için (Yönetici)çalıştır-GPUPDATE /FORCE  enter.
Her bilgisayar yapılandırmasında hemde kullanıcı yapılandırmasında iki kapsayıcı vardır.

Windows server 2012 kurulumu

Burda 2 seçenek var.Üsteki kolay kurulum.Custom ise detaylı kurum.

      Burda ise iso dosyasının nerde olduğunu seçiyoruz.

     Burda bilgisayarın datacenter yada standart mı yapacagımızı belirliyoruz.Bilgisayara kullanıcı adı ve şifre              veriyoruz.

      Burda Kurdugumuz windowsun bilgilerinin nereye kayıt edeceğini belirliyoruz.

    Windowsun ne kadar hdd gerekliyse onu seçiyoruz.

    Burdada kurduğumuz windowsun hangi özellikte oldugunu görebiliriz.

GPO Yazılım Ayarları

İlkeler: Uyulması zorunlu kurallar yer alır.

Tercihler : Tavsiye niteliğindeki kurallar yer alır.

Kuruluşların amacına daha uygun olduğu için genellikle ilkeler bölümü kullanılır.İlkeler bölümünde 3 kapsayıcıdan oluşur.

Yazılım Ayarları :Bilgisayarlar program kurmak için kullanılır.

Windows Ayarları: Tarayıcı seçenekleri ve güvenlik ayarları gibi windowsu etkileyen düzenlemeler için kullanılır.

Yönetim Şablonları: Windowsa hükmettiğimiz bölümdür.Bilgisayardaki pek çok özellik için burada kurallar tanımlamak mümkündür.

                                     YAZILIM AYARLARI

Bilgisayarlara yazılım kurmak için grup ilkelerinden yararlanabiliriz.Yazılım Ayarları kapsayıcısı bu amaçla geliştirilmiştir.

Yüklenecek yazılımlar msi dosyasına sahip olmalıdır.

Grup ilkeleri msi uzantıları kullanarak yazılım yüklemeleri yapar.

Not: Yüklenecek yazılımların ilgili tüm dosyaları Ağ paylaşımına açık bir dizinde bulunmalıdır.

Yazılımı yüklenecek kullanıcılara dizin üzerinde okuma izni verilmelidir.

Yeni bir yazılım dağıtmak için yazılım yüklemesi nesnesine sağ tıklayın ve yeni > paket seçimini yapın.

Yazılımın msi uzantılı dosyasını seçip dağıtım yöntemini soran bi ekranla karşılaşacaksınız.

Yayımlanmış: Kurulacak yazılımlar denetim masasında programlar ve özellikleri çercevesinde bulunur.

Atanmış: Yazılımlar sanki yüklenmiş gibi bir davranış sergiler.Kısayolları bilgisayara gönderilir.Kullanıcı bu kısayollara tıkladığında yazılım yüklemeye başlanır.

Gelişmiş:Yayınlama ve atama ile ilgili ayrıntılı yapılandırmayı içerir.

Windows Ayarları

Kullanıcıların ortamlarını düzenlememizi sağlayan altı önemli özellik bu kapsayıcı içerisinde bulunur.
1- Komut dosyaları (oturum açma/kapatma)
Kullanıcı oturum açtığında veya kapattığında yapılacak işlemi bu bölümde belirtiyoruz.Kapsayıcıda 2 bölüm göreceksiniz.Oturum aç - Oturum Kapat.
a).Komut Dosyaları:
Bir exe yada bat gibi çalıştırılabilir.Dosyalar eklenebilir.
b).Oturum açma yada kapatma sırasında bu dosyalar tetiklenir.
Powershell Komut Dosyaları :
Powershell komutlarının yer aldığı dosyalar bu sekmede eklenir. (mspaint.exe)
2 -Güvenlik Ayarları
Güvenlik Ayarları kapsayıcısında 2 katagori bulunuyor.
a).Ortak Anahtar ilkeleri:İstemcilerin güvendiği sertifika otoritileri kişiler bu bölümden ayarlanır.
b).Yazılım Kısıtlama ilkeleri:Bilgisayarda çalışacak yazılımlarla ilgili kısıtlamalar yapmanızı sağlayan bölümdür.Bu bölümü kullanarak programları yasaklayabiliriz veya programların kullanımını kısıtlayabilirsiniz.
Yeni bir ilke oluşturmak için yazılım kısıtlamaları ilkeleri kapsayıcısına sağ tıklayın ve yeni yazılım kısıtlama ilkeleri seçimi yapılır.
3- Güvenlik Düzeyleri
Güvenlik Düzeyleri kapsayıcısında yazılımlarla ilgili var sayılan davranışları belirliyoruz ve davranış yazılım çalışmasını engelleme serbest bırakma, kısıtlama şeklinde oluyor.

GPO İle Cmd Yasaklama

Merhaba ,

Bugün ki yazımızda Group Policy ile kullanıcılarımızda exe leri yasaklayacağız.

Peki bunu ne için kullanabiliriz diye soracak olursanız eğer örneğin windows Server 2012 altındaki oyunları vs yasaklayabiliriz.

1-Grup İlkesi Yönetimini seçiniz.(Resimde okla gösterdiğim simgeyi seçiniz.)

2-Sol tarafta etkilenmesini istediğimiz etki alanın üstüne tıklayıp yeni Gpo acınız ve yeni gpo ya isim veriniz.

3-Sol tarafta yeni policymizin oluştuğunu göreceksiniz policy’imiz üzerinde gelip sağ tıklayıp“Düzenle” kısmına basalım.

4-Bu GPO kullanıcılarına uygulanan bir gpo olduğundan dolayı aşağıdaki yönergeyi izleyiniz.

5-Sol taraftan “Etkin” işaretini seçip “Uygula” butonuna basınız.Daha sonra ise yasaklamak istediğiniz Programları sırasıyla giriniz.

7-Son olarakta gpupdate/force komutunu kullanınız.Etkilenmesini istediğiniz kullanıcıların User objectlerini oluşturduğunuz Organiation Unit altına atıp kullanıcının bilgisayarını yeniden başlattığınızda Policyinin uygulandığını göreceksiniz.

8-Ve cmd çalışmıyor.

Windows server 2012 Açılış Mesajı verme

1-İlk önce etki alanın üstüne tıklayın.Etki alanını oluştur ve buraya bagla'ya tıklayın.Etki alanını oluşturunuz.

2-Oluşturduğunuz Etki alanının üstüne sağ tıklayıp düzenle deyiniz.

3-Aşağıdaki resimdeki okların oraya sırasıyla tıklayınız.

3- Yapacağımız ilkeyi seçiniz.Üstüne tıklayınız.Konuyu yazınız.

4-Windows PowerShell Active kullanıcaz.(Activty directory 2 saat'e bir yenileniyor.Bunun için kullanıcağımız komut hemen yaptığımız işlemiş aktif edecek.) Gpupdate /force komutunu kullanınız.

5-Güvenlik uyarısı geldi.

                                                  

Windows server 2012 CTRL+ alt Delete tuşunu kaldırma.

1-Etki alanına sağa tıklayıp.Etki alanımızın içinde Yeni GPO oluşturunuz.

2-Oluşturduğumuz Etki alanının üstüne sağa tıklayıp düzenle deyiniz.

3-Aşağıdaki adımları takip edip uygulayınız.

4-İlkenin üstüne gelip düzenle ye tıklayıp Etkin'e tıklayın ve uygula deyin.

5-Burdada test ettik ve oldu.

Windows Server 2012 sürücü bağlama

1-Etki alanının üstüne tıklayıp etki alanı oluşturunuz.Oluşturduğunuz etki alanını düzenle deyiniz.

2-Burada Boş yerleri Kendi klasörünüze göre doldurunuz

Başarılı ...

Sunucu Güvenliği

Bir işletim sistemi üzerinde çalıştırdığı onlarca servis ve uygulama nedeniyle kötü niyetli kullanıcılara geniş bir saldırı yüzeyi sağlar.Klasör paylaşım izinlerinden uygulama bağlantı noktalarına kadar sistemi oluşturan tüm parçalar güvenli temeller üzerine kurulmalıdır.Windows server'da güvenliği sağlamak için çeşitli araçlar var.
1-ERİŞİM DENETİM
Bir dosyanın güvenliğini sağlamanın ilk kuralı o dosyaya erişim yetkisine sahip kişilerin iyi tespit edilmesidir.Kim hangi hakka sahip olacak? Eğer erişim denetimlerini iyi yapılandırırsanız kuruluşuluzdaki pek çok veri için endişelenmenize gerek kalmaz.Bilgisayar * dizin * Aygıt * grup * vb. yetkilendirme işlemlerini yapabilirsiniz.
a)ERİŞİM DENETİM BİLGİLERİ
Bir nesne ile ilgili ne tip erişim yetkileri olacağını belirler.
Örneğin:Bir dosya için okuma*yazma*silme gibi ACE'Ler vardır.

b)ERİŞİM DENETİM LİSTESİ
Bir nesne ile ilgili ACE'lerin yer aldığı listedir.Bu listeye bakarak nesne üzerinde kimin hangi yetkiye sahip olduğunu görebiliriz.

c)ERİŞİM BELİRTECLERİ
Kullanıcıyı  tanımlayan bilgileri içerir.Sisteme kendini tanıtmak için erişim belirtecini kullanılır.
Nesne üzerinde bir işlem yapılmak istendiğinde sistem tarafından o nesnenin ACL sine bakılır.
ACL' deki tüm ACE'ler kullanıcının erişim belirteciyle karşılaştırılır.Kontrol sonucunda izin verilip verilmeyeceği ortaya çıkar.Eğer tüm kontrole rağmen netlik kazanmamışsa izin verilmez.
d)ERİŞİM DENETİMLERİNİ İZLEMEK
Erişim denetimlerini yapılandırdıktan sonra düzenli olarak kontrol etmenizi öneririm ''Kim hangi haklarla hangi nesnelere erişmiş? '' Bilgisini alabileceğimiz güzel bir araç bulunuyor.Bu aracın ismi olay görüntüleyici si yolunu izleyin.Açılan pencerede windows günlükleri > güvenlik kapsayıcısına geçtik.Burada erişim denetimleri kapsamına giren tüm olayları bulabilirsiniz.

  

Güvenlik Yapılandırma Sihirbazı

Güvenlik yapılandırma sihirbazıyla bilgisayar yapılandırmasında bazı değişiklikler yaparak güvenlik seviyesini,artırabilirsiniz.
Bu değişiklikler kullanılan uygulamalar dikkate alınarak yapılır.Ortaya çıkan güvenlik ilkeleri kayıt defterinde, hizmetlerde ve diğer bilgisayar yapılandırmasında degişiklikler içerir.
Örneğin:Gereksiz hizmetler devre dışı bırakılabilir.
NOT=Güvenlik ilkeleri;etki alanındaki grup ilkeleriyle birlikte dağıtılabilir.
Adım 1:başlat > Yönetimsel araçlar > güvenlik yapılandırma sihirbazı  yolunu takip ederek sihirbazı başlatabilirsiniz.Hoşgeldiniz ekranını ileri düğmesine basarak geçin.

Yapılandırma Eylemi ekranında bu sihirbaz ile ne tür işlem yapacağımızı belirliyoruz.
Adım 2:Sunucu Seç ekranında güvelik ilkelerini hangi sunucuda oluşturacağımızı belirtiyoruz.

Adım 3:Yapılandırma Veri Tabanını Görüntüle düğmesine basın sunucuda kurulu olan veya sunucuya kurulabilecek roller özellikler hizmetler ile ilgili özel bilgilerin yer aldığı güvenlik yapılandırma veri tabanı görüntülenir.Bu pencere yalnızca bilgi amaçlıdır.

Adım 4: İlk olarak role dayalı yapılandırma olacaktır.Sunucumuza yüklü olan roller otomatik olarak yüklenecektir.
İleri düğmesine basın sonraki ekranlarda sunucudaki özellikler hizmetler ve yönetimsel özellikler listelenecektir.Bu ekranlarda herhangi bir değişiklik yapmamız gerekmiyor.
Belirtilmeyen hizmetler işleniyor ekranında önemli bir ayar yapmamız isteniyor.Eğer önceki ekranlarda seçmediğimiz bir hizmet bulunursa ne yapılacak ? Eğer isterseniz Hizmeti devre dışı bırakma seçeneğini işaretleye bilirsiniz.Ancak bu seçiminiz tahmin edilemeyen sorunlara neden olabilir.Biz varsayılan seçeneği işaretli bıraktık.

Adım 5: Hizmet Değişikliklerini Onayla ekranında önceki adımlarda yapılan değişikliklerin bir özeti sunuluyor ve onaylamanız isteniyor.Burada bazı servislerin başlangıç durumlarının değişimini göreceksiniz.Eğer onaylıyorsanız ileri düğmesine basabilirsiniz.
Sıra Ağ Güvenliği Ayarlarında, yani windows güvenlik duvarında
Ağ güvenliği kuralları ekranında hangi kuralları etkinleştirileceğini seçiyoruz.Düzenle düğmesini kullanarak kural ayrıntılarını görüntüleyebilirsiniz.Kurallar önceden tanımlı olduğu için çoğu özelliği değiştiremeyiz.

Adım 6:Kayıt Defteri Ayarları  bölümünden sunucunun diğer bilgisayarlarla iletişiminde kullandığı kuralları ayarlayacağız.
İlk olarak SMB iletişiminde güvenlik imzalarının kullanıp kullanılmamasını bekliyoruz.

İletişim kurulacak bilgisayarların minimum işletim sistemi ne olmalıdır? Eğer ortamınıza listelenen sistemlerden daha düşük sistemler varsa bu seçeneği işaretlemelisiniz.
Dosya ve yazıcı bağlantılarında imza kullanılmalı mıdır? Eğer sunucumuzun işlemci kullanımı %70'şin üzerinde ise bu seçeneği işaretlememelisiniz.

Adım 7 :Dış bağlantıları yapılırken kimlik doğrulama işlemleri için hangi yöntemi kullanacağını en etkili doğrulama yöntemi etki alanını kullanmaktadır.
Ayrıca az önce yaptığımız gibi eski işletim sistemleri kapsam dışı bırakabilirsiniz.Özeti inceleyin ve onaylıyorsanız ileri düğmesine basarak devam edin.

Adım 8:Sunucuda yapılan işlemlerin kayıt altına alınması Denetim İlkesi bölümünden inceleniyor.Sistemimizde aşırı sayıda olay oluşturduğu için yalnızca başarılı değişiklikleri kaydetmemizi öneririm.

Adım 9: Denetim ilkesi özetini inceleyin ve ileri düğmesine tıklayıp ilerleyin.

Adım 10: Oluşturduğumuz güvenlik ilkesini görüntüleyebilir veya kaydedebilirsiniz.İlkeyi xml dosyasına kaydedecektir.

Adım 11: Güvenlik ilkesini isterseniz şimdi uygulayın isterseniz sonra şimdi uygulamak istediğimizde kısa bir sürede ilkeler uygulanacaktır.