AppLocker ve Denetim Donanımları

Uygulamalarla ilgili sorunlu noktalar

Yükselen destek maliyetleri nedeniyleDesteklenmeyen uygulamalar/ versiyonlarStandart olmayan ortamlar

Yazılım lisanslamayla ilgili sorunlarLisanssız uygulamalarSon kullanıcı lisans anlaşması

Digital hırsızlıkMalwareTrojansSosyal mühendislik

Dijital hırsızlardan korunmaGeleneksel yöntemler

Standard kullanıcı,güçlü kimlik doğrulama, …Anti-virus, güvenlik duvarı, IDS, …Veri erişim kontrol politikaları

Erişim kontrol politikaları (ACLs)DRM, şifreleme, …

Fakat… Veriye erişmede kullanıcının sahip olduğu haklarla aynı haklara sahip olan uygulamalarlaE-posta ekleriWeb bağlantılarıKullanıcı yazılımları…

Finansal kayıtlarBağlantı bilgileriHBI dokümanları…

Yazılım Kısıtlama İlkeleri(SRP) Genel Bakış

Çalışma ortamına yönetici kontrolüYetkisiz programlar için blok/reddetme listesi

Mümkün ama etkili değil

Onaylı yazılım listesine izin vermeÇalışmasına izin verdiğiniz uygulamalar, kütüphaneler, scriptler and kurulum paketleriBilinmeyen uygulamalar varsayılan olarak blokeli

SRPWindows XP and Windows 2003 için ilk olarak tanıtılanGrup politikalarını kullanarak merkezi yönetim4 Kural Tipi

Hash, Sertifika, Path ve ZoneFakat…

Zayıf YönetimGüncellenen uygulamalarla karma kuralar baş edemez.Sertifika kuralları yayıncı bilgisini kullanmaz.

Politikaları test etmek için limitli destekKullanıcı modu uygulaması daha az etkilidir

Windows 7 de ApplockerGeliştirilen Yönetim

Yeni kullanıcı deneyimiOtomatik kural oluşturmaPolitikaları test etmek için destekPowerShell desteği

Kernel mod uygulaması

Geliştirilen YönetimYeni kullanıcı deneyimi

Geliştirilen YönetimOtomatik kural oluşturma sihirbazı

Geliştirilen Yönetim(contd)Yayıncı kuralları

Geliştirilen Yönetim(contd)PowerShell Cmdlets

AppLockerPolitikaları ayarlama

Test AppLockerPolitikaları

Yeni AppLockerPolitikaları

AppLockerDosya

bilgisini alın

Olay günlükleri

analizi

Yeni test politikası oluşturun

Hangi dosyaları

n çalıştığını

görün

Domain politikasın

ı ayarlayın

Geliştirilmiş Yönetim(contd)Denetim moduyla basitleştirilmiş dağıtımİstisnalarKullanım koşullarıÖzel hata mesajı

Mimariye Genel Bakış

İşlem 1

Appid.sys

AppIDSRP

Kernel

AppID/SRP Servis

SRP UM

ntoskrnl

İşlem 2

ntdll

İşlem 3

İşlem oluşturma

İşlem bildirimi oluşturma

Kütüphaneyi yükleme SaferIdentityLevel

Sorgu politikası

Windows 7 deki Denetim Donanımları

Denetim için en önemli sebepler

Mevzuata uyumlulukSOX: finansal kayıtları korumaHIPAA: tıbbi bilgileri korumaPCI: müşteri bilgilerini, kredi kartı bilgilerini koruma…

Güvenliği izlemeSistem, Kullanıcı ve Veri Aktivitesi

AraştırmalarKim, Ne, Ne zaman, Nerede, Nasıl, Neden?

Denetim PolitikalarıNeden ihtiyacım var?

Kurumların ilgilendiği aktiviteler, etkinlikler

Neden her şeyi kayıt etmiyoruz?$$$: Oluşturma, toplama and saklama faaliyetleriKaynak kullanımı: İşlemci, disk, vs.

Güvenlik Mimarisi

Uyum

İş birimleri

Adli Tıp

İnsan Kaynakları

…

Gereklilikler

Yönetici

Bütçe

Operasyonlar

Denetim Politikaları

Windows XP deki Denetim Politikaları

XP/Windows Server2003 Güvenlik Politikaları:9 Denetim Kategorisi

SorunlarLimitli olay kaydı(300MB)Düşük boyut

aynı kategoride hem düşük hem yüksek hacimli kayıt

Windows Vista daki Denetim Politikaları

Boyutu ayarlanabilen olay kaydı imkanıParçalı Denetim Politikası(GAP)

50 alt kategoriyi içeren 9 ana kategori

Windows 2003

Windows Vista

Windows Vista daki Denetim Politikaları Sorunlar

GAP, Grup politikalarıyla entegre değilSadece auditpol.exe li logon script kullanarak dağıtılabilir: http://support.microsoft.com/kb/921469

auditpol /set /subcategory:"user account management" /success:enable /failure:enable...

auditpol /backup /file:auditpolicy.txt

xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt% %systemroot%\temp\*.*

auditpol /restore /file:auditpolicy.txt

Yönetici, politika dosyası oluşturur.

Politika, oturum açma sırasında bir komut dosyası kullanılarak yapılır.

Windows 7 Denetim Politikası GP ile entegre GAP

Parçalı denetim politikası yazmaGrup Politikası Yönetim Konsol DeneyimiModelleme

DağıtımKarmaşık ortamlar için birleştirme politikası

Her domaine, siteye ve organizasyon birimine denetim politikası

Uyum ve karar için raporlamaMerkezileştirilmiş yönetim tecrübesi

© 2009 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions,

it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.