Biraz durup düşününce bu tip merkezi çözümlerin ne kadar büyük risk oluşturduğunu hemen anlayabilirsiniz.Düşünsenize her bilgisayara ya da kritik sisteme sınırsız erişimi olan saldırı noktaları,saldırganın işini büyük ölçüde azaltır. Ya da bırakın zararlı kodunuzu yaymakla uğraşmayın, merkezi yama yönetim çözümünüz bunu sizin için yapsa daha iyi olmaz mı? Daha önceki yazıda WSUS'un Microsoft yamalarındaki dijital sertifikaları kontrol ettiğinden, uygun olmayan sertifikalarla imzalanmış yamaları yaymayacağından bahsetmiştik. Ama "flame" virüsü gösterdi ki saldırganlar "MD5-hash collision attack" saldırısıyla microsoft dijital sertifikalarıyla imzalanmış gibi görünen sahte ve virüs barındıran yama paketleri üretmeyi başarabildiler ve bu mümkün.(daha fazlası için )
Bu son saldırı merkezi yama dağıtım çözümlerinin de güvenliğini bir kez daha gündeme getirdi aslında.Bu yazıda WSUS çözümünün nasıl daha güvenli kullanılacağından bahsedeceğim.
- İlk olarak WSUS'un da bir Microsoft ürünü olduğunu ve Windows işletim sistemlerinde çalıştığını akıldan çıkarmamak lazım. Yani hem WSUS hem de WSUS un çalıştığı işletim sistemiyle ilgili güncellemeleri özenle takip edin daima güncel kalın.
- İkinci olarak birden fazla WSUS sunucusu kullanıyorsanız bu sunucular arasında kimlik doğrulamayı (authentication) etkinleştirin. Bu işlem sunucuların aynı domainde olmasını gerektiriyor aksi halde domainler arası trust ilişkisi kurmak gibi ekstra düzenlemeler yapmanız gerekecektir.
- Üçüncü olarak SSL'i etkin hale getirin.
Yama dağıtım sunucusuna yetkisiz erişimin kısıtlanması, kullanılmayan servislerin kapatılması,firewall kullanımı, antivirüs kullanımı gibi varsayılan önlemlerin detayına inmeye gerek olmadığını düşünüyorum.
İlgili Yazılarım
Yama Yönetimi - Nass oluyor da oluyor? Microsoft Güvenlik Bültenleri
Yama Yönetimi - Nass oluyor da oluyor? İdeal Yama Yönetim Süreci
Yama Yönetimi - Nass oluyor da oluyor? Örnek Yama Yönetimi Politikası Dökümanı
Yama Yönetimi - Nass oluyor da oluyor? Masal
Hiç yorum yok:
Yorum Gönder