Bu rehberde Group Policy ile paylaşılan klasörlere erişmek için kullanılan Sunucu İleti Bloğu 1.0 (SMBv1) ağ protokolü ve Aktarım Katmanı Güvenliği (TLS 1.0) protokolü güvenli olmayan sürümlerini varsayılan olarak devre dışı bırakmayı anlatacağım.
1. Group Policy ile SMBv1 İstemcisini ve Sunucusunu Devre Dışı Bırakma
Active Directory domain ortamında, group policy ilkeleri ile tüm sunucu ve istemci bilgisayarlarında SMBv1 devre dışı bırakılabilir. Windows group policy’de ayrı bir SMB yapılandırma ilkesi bulunmadığından regedit policy aracılığı ile devre dışı bırakmamız gerekecektir.
- Group Policy Management konsolu açın, DisableSMBv1 adında bir gpo oluşturun ve devre dışı bırakmak istediğimiz bilgisayarların bulunduğu OU’ya link’leyin,
- Oluşturduğunuz DisableSMBv1 gpo’suna sağ tuş ile edit dedikten sonra sırasıyla Computer Configuration -> Preferences -> Windows Settings -> Registiry yoluna gidin,
- Aşağıdaki ayarlarla yeni bir Registry öğesi oluşturun.
Action: Update
Hive: HKEY_LOCAL_MACHINE
Key Path: SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
Value name: SMB1
Value type: REG_DWORD
Value data: 0
Bu ilke, tüm bilgisayarlarda kayıt defteri aracılığıyla SMBv1 sunucu bileşeni desteğini devre dışı bırakacaktır.
Domain’e dahil bilgisayarlarında SMB istemcisini GPO aracılığıyla devre dışı bırakmak istiyorsanız, iki ek kayıt defteri parametresi oluşturun:
Action: Update
Hive: HKEY_LOCAL_MACHINE
Key Path: SYSTEM\CurrentControlSet\Services\mrxsmb10
Value name: Start
Value type: REG_DWORD
Value data: 4
Action: Update
Hive: HKEY_LOCAL_MACHINE
Key Path: SYSTEM\CurrentControlSet\Services\LanmanWorkstation
Value name: DependOnService
Value type: REG_MULTI_SZ
Value data: Bowser, MRxSmb20, NSI
Group Policy ayarlarını güncellemek için gpupdate /force komutunu kullanın.
2. Group Policy ile TLS 1.0 ve TLS 1.1 İstemcisini ve Sunucusunu Devre Dışı Bırakma
Kullanımdan kaldırılan TLS 1.0 ve TLS 1.1 versiyonlarını aynı SMBv1 de olduğu gibi Active Directory group policy ilkeleri ile tüm sunucu ve istemci bilgisayarlarında devre dışı bırakılabilirsiniz.
- Group Policy Management konsolu açın, DisableTLS1.0 adında bir gpo oluşturun ve devre dışı bırakmak istediğimiz bilgisayarların bulunduğu OU’ya link’leyin,
- Oluşturduğunuz DisableTLS1.0 gpo’suna sağ tuş ile edit dedikten sonra sırasıyla Computer Configuration -> Preferences -> Windows Settings -> Registiry yoluna gidin,
- Aşağıdaki ayarlarla yeni bir Registry öğesi oluşturun.
Action: Update
Hive: HKEY_LOCAL_MACHINE
Key Path: SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client
Value name: Enabled
Value type: REG_DWORD
Value data: 0
Action: Update
Hive: HKEY_LOCAL_MACHINE
Key Path: SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server
Value name: Enabled
Value type: REG_DWORD
Value data: 0
Action: Update
Hive: HKEY_LOCAL_MACHINE
Key Path: SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client
Value name: Enabled
Value type: REG_DWORD
Value data: 0
Action: Update
Hive: HKEY_LOCAL_MACHINE
Key Path: SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server
Value name: Enabled
Value type: REG_DWORD
Value data: 0
Action: Update
Hive: HKEY_LOCAL_MACHINE
Key Path: SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client
Value name: DisabledByDefault
Value type: REG_DWORD
Value data: 1
Action: Update
Hive: HKEY_LOCAL_MACHINE
Key Path: SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server
Value name: DisabledByDefault
Value type: REG_DWORD
Value data: 1
Action: Update
Hive: HKEY_LOCAL_MACHINE
Key Path: SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client
Value name: DisabledByDefault
Value type: REG_DWORD
Value data: 1
Action: Update
Hive: HKEY_LOCAL_MACHINE
Key Path: SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server
Value name: DisabledByDefault
Value type: REG_DWORD
Value data: 1
Registry kayıtlarınız aşağıdaki gibi olmalıdır.
Group Policy ayarlarını güncellemek için gpupdate /force komutunu kullanın.
Hepsi bu kadar. Umarım yardımcı olmuştur. Bir sonraki active directory güvenlik rehberinde görüşmek üzere…
Kaynak Bilişim Notları | thesecmaster