Win 7′nin kendi içindeki araçlarla güvenlik seviyenizi nasıl artırabileceÄŸinizi anlatıyoruz…

Windows 7 standart kurulu haliyle tam anlamıyla güvence altına alınmış değil. Problem: Microsoft birçok yerde güvenlikten feragat ederek kullanım rahatlığını arttırmaya çalıştı. Fakat korkulacak bir şey yok; sistemin kendi içerisinde sunduğu araçları uygun biçimde ayarlayarak dayanıklı bir güvenlik çemberi oluşturabilirsiniz.

Windows, çok yaygın olması sebebiyle siber suçluların ana hedefi olmaya devam ediyor. Bununla birlikte Microsoft daha fazla kullanıcıya daha rahat bir Windows sunmak için güvenlik pahasına bazı ayarlardan feragat etmek zorunda kaldı.

Windows 7′yi mühürlemek
CHIP Online güvenlik rehberi Windows 7′nin zayıf noktalarını ortaya çıkarıyor. Ayrıca söz konusu risklerin teknik arka planını anlatıp bu güvenlik açıklarını nasıl kapatabileceÄŸinizi gösteriyor.

Kullanıcı Hesabı Denetimi (UAC) sayesinde kullanıcılar sınırlı haklara sahip olmasına rağmen rahatça çalışabiliyor. Ne yazık ki Microsoft bu fonksiyonun standart ayarını yeterince iyi yapılandırmadı.

Yönetici haklarıyla çalıştırılan programlar güvenlik riski haline gelebilir ve farkında olunmadan arka kapılar oluşturabilir, güvenlikle alakalı Windows ayarlarını değiştirebilir veya korunan belgeleri ifşa edebilir.

Her ne kadar ilk kurulum sırasında oluÅŸturulan yönetici hesabı UAC kapsamına dahil olsa da günlük iÅŸlerinizi halledeceÄŸiniz standart bir kullanıcı hesabında çalışmak PC’nizin güvenlik kalkanını bir kat daha kalınlaÅŸtıracaktır. Bu sebeple eski bir hamleye baÅŸvuracağız: Yönetici ve standart kullanıcı için ayrı hesaplar oluÅŸturmak.

İlke: Ayrı bir çalışma hesabı oluşturmak

Neden? Windows 7′yi ilk kurduÄŸunuzda “yönetici benzeri” haklara sahip bir hesap oluÅŸturulur. UAC sorgu penceresine tıkladığınız anda iÅŸlemler, güvenlikle alakalı tüm alanlara eriÅŸim hakkı elde eder. Microsoft tarafından sertifikalanmış iÅŸlemler ise ek bir tıklamaya gerek kalmadan çalışabiliyor; iÅŸte bu da, saldırganların kullanabileceÄŸi bir güvenlik riski oluÅŸturuyor. Günlük iÅŸleri için kendine standart bir kullanıcı hesabı oluÅŸturanlar bu güvenlik problemini aÅŸabilir ve yönetici parolası ile yine yönetimsel görevleri ve ayarları onaylayabilir.

Ä°ÅŸte böyle: Denetim Masasına girip “Kullanıcı Hesabı Ekle/Kaldır” bölümüne girin. Bunun üzerine açılan pencerenin alt kenarında “Yeni hesap oluÅŸtur” seçeneÄŸi belirir. Buna tıklayıp hesaba bir isim verin ve hesap türü olarak “Standart kullanıcı”yı seçin. Åžimdiyse yeni hesabınız için güvenli bir parola belirleyin. Bunu da Denetim Masasından yapabilirsiniz.

Bu adımları tamamlayıp taze bir çalışma hesabı oluÅŸturduÄŸunuzda saldırganların iÅŸi çok daha zorlaÅŸacaktır. Konfordan daha fazla feragat ederek yeni standart kullanıcı hesabının yönetimsel haklara eriÅŸimini tamamen kısıtlayabilir ve güvenliÄŸi arttırabilirsiniz. Bunu yapmanın en kolay yolu Güvenlik Ä°lkeleri’ni kullanmak oluyor. BaÅŸlat menüsündeki arama kutucuÄŸuna “secpol.msc” yazıp çıkan sonuca tıklayın. “Yerel ilkeler”deki “Güvenlik seçenekleri”nde bulunan “Kullanıcı hesabı denetimi: Standart kullanıcılar için yükseltme isteminin davranışı” girdisinin deÄŸerini “Yükseltme isteklerini otomatik olarak reddet” biçiminde deÄŸiÅŸtirin. Windows 7′nin Home sürümlerini kullananlar ne yazık ki bu ayarı daha karmaşık olan kayıt defteri düzenleyicisiyle halletmek zorunda; çünkü Grup Ä°lkesi Düzenleyicisi Win 7′nin sadece Professional ve üzeri sürümlerde sunuluyor (gerekli anahtar ve deÄŸerini aÅŸağıdaki tabloda görebilirsiniz). Bu ayarı yaptıktan sonra sistem ayarlarını deÄŸiÅŸtirmek istediÄŸinizde hızlı kullanıcı deÄŸiÅŸtirme fonksiyonu kullanarak yönetici hesabına geçmelisiniz.

İpucu: Bu adımla sadece sistemi ilk kurduğunuzda muhatap olacaksınız. Önemli ayarları yapıp gerekli programları kurduktan sonra UAC pencerelerini standart kullanıcı olsanız dahi çok ender göreceksiniz.

İlke: Windows 7 kurulumunda oluşturulan hesabı güvence altına almak

Neden? Sistem yöneticisi ve günlük işlerinizi halletmek için kullanacağınız iki ayrı hesap çok etkili bir çözüm olabilir; ama pek şık olduğu söylenemez. Bu sebeple tek bir kullanıcı hesabıyla çalışmayı yeğleyenler kurulum sırasında oluşturulan hesaba ek koruma sağlamalı.

Ä°ÅŸte böyle: Ä°ÅŸlem Merkezi’ni açın. Merkezin sol kenarında “Kullanıcı Hesabı Denetimi ayarlarını deÄŸiÅŸtir” seçeneÄŸini bulacaksınız. Sonrasında çıkan pencerede kaydıracı en üst seçeneÄŸe, yani “Her zaman uyar”a getirin. Böylece iÅŸlemlerin siz farkında olmadan yönetici haklarına sahip olmasını engellemiÅŸ olursunuz; zira Kullanıcı Hesabı Denetimi her iÅŸlem sırasında sizi uyaracaktır.

Fakat tek bir tıklamayla programlara onay verme problemi hala devam ediyor. Durumun böyle olması bir yandan daha fazla güvenlik sağlayabilir; çünkü sahte bir UAC penceresinin en azından parolanıza ulaşmasının önüne geçilmiş olur. Diğer yandan aceleyle yaptığınız bir tıklama sisteminize zararlı bulaşmasına neden olabilir. Tek tıkla güvenlikle ilgili bir karar vermek istemeyenler yönetici parolasının talep edilmesini sağlayabilir. Professional ve Ultimate sürüme sahip olanlar gerekli adımları rahatlıkla Güvenlik İlkeleri üzerinden gerçekleştirebilir.

Yine baÅŸlat menüsüne “secpol.msc” komutunu vererek Güvenlik Ä°lkelerine geçiÅŸ yapın. Aradığınız ayar “Yerel ilkeler | Güvenlik seçenekleri | Kullanıcı hesabı denetimi: Yönetici onay modundaki yöneticiler için yükseltme isteminin davranışı” arkasında gizleniyor. Girdiye çift tıklayın ve deÄŸerini “Güvenli masaüstünde kimlik bilgilerini iste” olarak deÄŸiÅŸtirin.

EÄŸer daha düşük Windows 7 sürümlerine sahipseniz güvenlik ilkeleri konsolunu kullanamıyorsunuz. Burada ancak kayıt defteri düzenleyicisi yardımcı oluyor. Düzenleyiciyi baÅŸlat menüsündeki arama kutucuÄŸuna “regedit” yazıp baÅŸlatın. Gerekli anahtar ve deÄŸeri aÅŸağıdaki tabloda yer alıyor.

Ä°pucu: Kimlik doÄŸrulama için parolanın girilmesi ayrıca bir güvenlik açığı oluÅŸturabilir. Sahte bir kimlik doÄŸrulama penceresi (Spoofing de deniliyor) ile saldırgan parolanızı ele geçirebilir. Bu sebeple tecrübeli kullanıcılara standart ayar olan “Güvenli masaüstünde izin iste”yi kullanmalarını tavsiye ediyoruz.

Saldırgan veya meraklı bir akrabanız: Bilgisayara erişim söz konusu olduğunda yetkili ve yetkisiz kullanıcı arasındaki farkı sadece parola belirliyor. Bu sebeple parolanızı iyi seçin.

Yetkili kullanıcıları doğrulama konusundaki en önemli araç parolalar oluyor. Bu sebeple güvenli bir parolanın taşıması gereken nitelikleri bilmelisiniz.

İlke: Güvenli parolalar oluşturmak

Neden? Kullanıcılar genellikle fazla parola kullanmamaya gayret eder. Halbuki sayısız cracker-aracı parolalarınızı ortaya çıkarma amacına hizmet eder. En kötü durumda saldırgan sadece sistem üzerinde kontrolü ele geçirmekle kalmaz, aynı zamanda e-posta, banka hesapları veya online alışveriÅŸ maÄŸazalarında kullandığınız kimlik bilgilerini de ele geçirir. Bu sebeple özellikle notebook’larda ve genel olarak yönetici haklarıyla çalışan tüm hesaplarda güvenli parolalar kullanın.

Ä°ÅŸte böyle: Windows (yönetici olarak) kullanabileceÄŸiniz ön tanımlı parola ilkeleri sunuyor. EÄŸer PC’nizde birçok kiÅŸinin hesabı varsa belli bir parola ilkesi kullanmak akıllıca olacaktır. Gerekli ayarı yine güvenlik ilkesi düzenleyicisinde (secpol.msc) “Hesap ilkeleri | Parola ilkesi” altında bulabilirsiniz.Burada karmaşıklık ilkelerini etkinleÅŸtirebilir, minimum parola uzunluÄŸunu veya parola geçerlilik süresini belirleyebilirsiniz.

İlke: Karmaşık parolalar için hatırlatıcı

Neden? Karmaşık parolalar ancak bunları hatırlayabildiğinizde anlamlı olur. Önereceğimiz KeePass aracı ile sadece tek bir karmaşık parolayı hatırlamanız yeterli oluyor.

Ä°ÅŸte böyle: Ãœcretsiz KeePass yazılımını PC’nize kurun ve güçlü bir parola ile koruyacağınız yeni bir veritabanı oluÅŸturun. Bundan sonra hatırlamak zorunda olduÄŸunuz tek parola bu olacak. E-posta, çevrimiçi bankacılık ve alışveriÅŸ iÅŸlemleri gibi tüm hizmetler için parolalarınızı oluÅŸturun. Yeri geldiÄŸinde araç size güvenli bir parola önerisinde bulunacaktır. KeePass’i web tarayıcısında parolaları otomatik girecek biçimde de ayarlayabilirsiniz.

Download: KeePass

İlke: Oturum açma sürecini daha güvenli hale getirmek

Neden? Saldırgan bilgisayarınıza eriÅŸmeyi baÅŸardığında standart oturum açma süreci iÅŸini kolaylaÅŸtıracaktır. Windows 7 oturum açma sırasında kullanıcı adını göstererek oturum bilgisinin yüzde 50′sini açığa çıkarmış oluyor. Ayrıca zararlı yazılımlar sahte oturum açma ekranlarıyla parola ve kullanıcı adınızı ele geçirebilir.

Ä°ÅŸte böyle: Windows 7 Professional veya Ultimate sürümdeki güvenlik ilkeleri konsolu ile (secpol.msc) gerekli ayarları kolaylıkla yapabilirsiniz. “Yerel ilkeler | Güvenlik seçenekleri | EtkileÅŸimli oturum açma: CTRL + ALT + DEL gerektirme” girdisini devre dışı bırakın. Artık herhangi bir zararlı yazılım oturum açma ekranını tetiklemeye çalıştığında [CTRL]+[ALT]+[DEL] komutu oturum açma ekranına deÄŸil Görev Yöneticisini açar. Bu, sizin için önemli bir sinyal olacaktır.

Windows 7′nin Home sürümlerini kullananlar bu ayarları kayıt defteri düzenleyicisinden yapmak zorunda. Alttaki tablo gerekli anahtarı ve kullanmanız gereken deÄŸeri gösteriyor. EÄŸer bahsedilen deÄŸeri bulamıyorsanız boÅŸ bir alana saÄŸ tıklayıp “Yeni | DWORD (32 bit) deÄŸeri” yolunu takip ederek deÄŸeri kendiniz oluÅŸturun.

Windows 7 yetenekli ve en ince ayrıntısına kadar yapılandırılabilen, çift yönlü bir güvenlik duvarı sunuyor. Bundan faydalanıp ek ayar yapanlar ağ bağlantıları üzerinde daha fazla kontrole sahip olacaktır.

Windows Güvenlik Duvarı iki aÄŸ stratejisini birleÅŸtiriyor: Koruma duvarı gelen baÄŸlantıları sadece açıkça izin verildiÄŸi takdirde kabul ediyor (beyaz liste metodu). Giden baÄŸlantılarda ise “kara liste” metoduna baÅŸvuruluyor. Açıkça yasaklanmamış tüm baÄŸlantılar dışarıyla iletiÅŸim kurabiliyor.

İlke: Giden bağlantılar için de beyaz liste metoduna başvurmak

Neden? Windows Güvenlik Duvarı temel ayarlarıyla internet erişimine sahip bir PC için yeterli koruma sunuyor. Fakat size hangi uygulamanın ne zaman ve nasıl dışarıyla iletişim kurduğunu bildiren bir kontrol mekanizması yok. Daha fazla kontrol sahibi olmak isteyenler bu sebeple giden bağlantılarda da beyaz liste metodunu kullanmalı. Bu metot konforunuzu düşürse de bilgisayarınızdaki ağ etkinliklerinin şeffaflığını arttırır.

Ä°ÅŸte böyle: Güvenlik Duvarını baÅŸlat menüsündeki arama kutucuÄŸuna “wf.msc” komutunu vererek açın. Sonrasında açılan pencerenin orta kısmında, “Genel bakış” baÅŸlığı altında bulunan “Windows Güvenlik Duvarı Özellikleri” linkine tıklayın. Açılan yeni pencerede “Etki alanı”, “Özel” ve “Ortak” profilleri için (sekmeler) “Giden baÄŸlantılar” kısmında “Engelle” girdisini seçin. Artık güvenlik duvarı açıkken aÄŸ baÄŸlantıları çalışmayacaktır. Kendi oluÅŸturacağınız kurallar ile iletiÅŸimi adım adım açacaksınız.

Bu iÅŸ için Güvenlik Duvarı konsolunun sol tarafındaki “Giden kuralları” kısmına tıklayın. Bunu yaptığınızda orta kısımda mevcut tüm “giden kuralları” listelenir. “Eylemler” kısmındaki “Yeni kural” ile yeni bir kural oluÅŸturabilirsiniz. Yeni açılan sihirbazda kural türü olarak “Program”ı seçin. “Gözat” butonu ile programın konumunu belirtin ve “BaÄŸlantıya izin ver”i seçin.

Kural oluÅŸturma sihirbazındaki “Özel” seçeneÄŸi ile daha spesifik iletiÅŸim kuralları belirleyebilirsiniz. Burada protokolü, yerel ve uzaktan eriÅŸim portunu ve izin verilen IP adreslerini belirleyebiliyorsunuz. ÖrneÄŸin Internet Explorer’ın TCP iletiÅŸimini sadece 80 (HTTP) ve 443 (HTTPS) uzaktan eriÅŸim portlarıyla sınırlandırabilirsiniz. Sürekli güncellenen Internet Assigned Numbers Authority (IANA) listesinden önemli portları öğrenebilirsiniz.

Ä°pucu: “Yanlış” güvenlik duvarı kuralları ile tüm internet eriÅŸiminizi engelleyebilirsiniz. Bu yüzden deÄŸiÅŸiklik yapmadan önce sistem geri yükleme noktası oluÅŸturun. Sorun çıktığında bu noktaya geri dönebilirsiniz.

Windows kurulum sırasında sistem ve kullanıcı dosyalarını birbirinden ayırma imkanı sunmuyor. Bu adımı daha sonra gerçekleştirmeniz mümkün.

KiÅŸisel dosyaları güvence altına almak sadece Güvenlik Duvarı ayarlarına ve güçlü parolalara baÄŸlı deÄŸildir. Düzenli aralıklarla alınan yedekler ve mantıklı bir veri yönetimi genellikle üşenilen güvenlik çabalarıdır. Ancak Windows düzgün çalışmamaya baÅŸladığı ve kiÅŸisel dokümanlara, fotoÄŸraflara ve filmlere eriÅŸim zorlaÅŸtığında “keÅŸke veri yedeklemesi yapsaydım” dersiniz. Ama iÅŸ iÅŸten geçmiÅŸtir.

İlke: Kişisel dosyaları ve sistemden ayırmak

Neden? Microsoft sistemlerindeki dev ilerlemeye rağmen istikrar konusuna sıra geldiğinde kişisel dosyaları sistemden ayırmanız akıllıca olacaktır. Zira böyle yaptığınızda verileriniz bir sistem çökmesi sonrasında sırra kadem basmaz. Hatta kişisel dosyalarını ikinci bir fiziksel diskte saklayanlar sistemin kurulu olduğu sabit disk çökse dahi hiçbir veri kaybı yaşamaz. Eğer sadece tek bir sabit diskiniz varsa en azından kişisel dosyalarınızı ayrı bir disk bölümünde saklamalısınız. Sonrasında dosyaları yedeklemek ve şifrelemek daha rahat hale gelecektir.

Ä°ÅŸte böyle: Windows 7 ile Microsoft, ÅŸimdiye kadar kullandığı “kiÅŸisel dosyalar” klasör konseptini yeniliyor. Belgeler, fotoÄŸraflar ve müzikler sabit diskin istenilen bölümünde bulundurulabiliyor ve hepsi “Kitaplıklar” ile tek bir çatı altında görüntülenebiliyor. EÄŸer sisteminizi yeni kurduysanız dosyalarınızın yeni konumlarını Kitaplıklara eklemek çok daha kolay olacaktır. Çokça kiÅŸisel dosyası bulunanlar kiÅŸisel klasörlerin hedefini deÄŸiÅŸtirerek de Kitaplıklara dahil edebilir.

KiÅŸisel klasörlerin hedefini deÄŸiÅŸtirmek için Windows Explorer’ı açın “C:\Kullanıcılar\KullanıcıAdınız” dizinine girin. İçerik menüsüne girip (saÄŸ tık) istediÄŸiniz kiÅŸisel klasörün (mesela Resimler) Özelliklerine girin. “Konum” sekmesine geçip “Taşı” butonuna basın. Åžimdiyse resimlerinizi depoladığınız yeni konumu gösterin ve onaylayın. Bu adımları istediÄŸiniz tüm öğeler için tekrarlayın. Windows bu klasörlerin ait olduÄŸu kitaplığı otomatikman uyarlayacaktır.

İlke: Kişisel klasörler için yedeklemeyi etkileştirin

Neden? Windows 7 yeni disk bölümlerinde veya harici disklerde otomatikman yedekleme oluşturmaz. Bu yüzden dosyaların önceki sürümlerine geri dönmenizi sağlayan gölge kopyalar özelliğini elle etkinleştirmelisiniz. Böylece gölge kopyalar özelliğini yeni disk bölümüne taşıdığınız dosyalar için de kullanabilirsiniz.

Ä°ÅŸte böyle: Öncelikle [Windows]+[PAUSE] kombinasyonu ile sistem özeti penceresini açın ve soldaki görev listesinden “Sistem koruması”nı açın. Çıkan pencerede gölge kopyaları etkinleÅŸtirmek istediÄŸiniz disk bölümünü seçin ve “Yapılandır”a basın. Bu sefer ikinci seçeneÄŸi, yani “Yalnızca dosyaların önceki sürümünü geri yükle” iÅŸaretleyin. Sonrasında yedekleme için ayıracağınız disk alanı yüzdesini belirleyin. “Tamam”a bastığınızda gölge kopyalar etkileÅŸtirilmiÅŸ demektir. EÄŸer bu bölümdeki dosyalar herhangi bir nedenle silinirse klasör özelliklerine girip “Önceki sürüm” sekmesinden hemen istenilen gölge kopyasını geri yükleyebilirsiniz.

Ä°pucu: Yedekleme ve Geri Yükleme Merkezi’nden yedekleme yapıldığında ve her sistem geri yükleme noktası oluÅŸturulduÄŸunda dosyalarınızın o anki halini barındıran gölge kopyaları oluÅŸturulur. Sistem görüntüsü oluÅŸturma da bunlara dahildir.

İlke: Yedekleme görevi oluşturmak

Neden? Kişisel dosyalarla sistem dosyalarının ayrılması çökme anında özel dosyalarınızı korur. Fakat her halükarda düzenli aralıklarla (en iyisi harici bir diske) yedek almalısınız. Windows 7 gerekli aracı halihazırda sunuyor.

Ä°ÅŸte böyle: Denetim Masası’nı açın ve “Sistem ve Güvenlik” kategorisi altındaki “Bilgisayarı yedekle” girdisine tıklayın. Hedef olarak sadece bu amaç için kullandığınız harici bir diski seçmeniz sizin iyiliÄŸinize olacaktır. EÄŸer yoksa yine bu iÅŸ için oluÅŸturduÄŸunuz bir sabit disk bölümünü de kullanabilirsiniz. Dosya seçimi kısmında “Ben seçeyim” girdisini iÅŸaretlemeniz kiÅŸiselleÅŸtirme açısından iyi olacaktır. Her defasında yedek almakla uÄŸraÅŸmak istemiyorsanız “Zamanlamayı deÄŸiÅŸtir” ile bu süreci otomatiÄŸe baÄŸlayabilirsiniz. Günlük, haftalık ve aylık yedek alma seçenekleri mevcut.

Dosya uzantılarının görüntülenmesi görsel açıdan hoşunuza gitmeyebilir; fakat sizi tehlikeli bir tıklamaya karşı korur.

Windows senelerdir dosya uzantılarını varsayılan olarak gizler. Özellikle e-postalara eklenmiş dosyalar bu sebeple gereksiz bir güvenlik riski oluşturuyor.

İlke: Dosya uzantılarını her zaman görüntülemek

Neden? Dosya uzantıları olmadan bir dosyanın formatı hemen anlaşılamıyor. Ä°lk bakışta dosya simgesi yardımcı oluyor; fakat e-posta eklerinde bu kritere asla güvenmeyin. Standart ayarlarda Windows “Yarışmayı kazandınız.txt.exe” dosyasını zararsız bir metin dosyası biçiminde gösterir. Bu yüzden dosya uzantılarını sürekli olarak görüntülemenizi tavsiye ediyoruz.

Ä°ÅŸte böyle: Herhangi bir Windows Explorer penceresini açın. Simge çubuÄŸundaki “Düzenle” menüsüne girin ve “Klasör ve arama seçenekleri”ni seçin. “Görünüm” sekmesindeki listede bulunan “Bilinen dosya türleri için uzantıları gizle” girdisinin yanındaki tiki kaldırın. “Tamam” ile onaylayın.

Ä°lke: Windows Update’i yapılandırmak

Neden? Sisteminizi en güncel seviyede tutmak klasik güvenlik püf noktaları arasında yer alır. Sistemine uyan bir güncelleme düzeni kullananlar güncelleştirmeleri çok daha hızlı alır. Bu sebeple standart ayarları kontrol edin ve günlük güncelleme kontrolü saatini sisteminizin açık olduğu bir ana ayarlayın.

Ä°ÅŸte böyle: Denetim Masasına girip Windows Update penceresini açın. Sol taraftaki görev listesinden “Ayarları deÄŸiÅŸtir”i seçin. Önemli güncelleÅŸtirmelerin otomatikman yüklenmesini saÄŸlayın ve bilgisayar kullanımınıza uyan bir yükleme vakti seçin.