Merhaba,
Bildiğiniz gibi dizüstü bilgisayarlar kullanıcılar tarafından Kurum/Şirket dışında da kullanılmakta ve taşınabilir olmaları nedeniyle unutulma veya çalınma risklerini de beraberlerinde taşımaktadırlar. Yetkisiz bir kişinin eline geçen dizüstü bilgisayarın hard diski eğer kriptolu değilse bu hard disk üzerindeki verilere de kolaylıkla erişilebilmektedir. Bu durum, bilgi güvenliği açısından büyük riskler barındırmaktadır.
Bu nedenle, kurumsal dizüstü bilgisayarların hard diskleri mutlaka kriptolanmalıdır.
Bu nedenle, kurumsal dizüstü bilgisayarların hard diskleri mutlaka kriptolanmalıdır.
Bu makalemizde, Kaspersky Total Security for Business kullanılarak Kurumsal dizüstü bilgisayarların harici disklerini nasıl kriptolayacağımızı göreceğiz.
1) Dizüstü bilgisayarlar için bir grup oluşturma ve politikaları belirleme
Öncelikle hard disk kriptolama yapacağımız bilgisayarlarda kurulacak olan antivirüs ve ajan paketinin özelliklerine bakacağız ve "Encryption of hard drives" özelliği eğer aktif değilse aktifleştireceğiz:
Advanced --> Remote installation --> İnstallation Packages altında ilgili pakete sağ tuş yapıp "Properties" tıkladıktan sonra açılan ekranda "Properties" sekmesine geçelim ve açılan pencerede "Encryption of hard drives" seçeneğindeki kutuyu seçili hale getirelim. OK dedikten sonra bu paketi ilgili bilgisayarlara uzaktan kurmalı ya da standalone paketini kullanarak manuel olarak kurulum yapmalıyız:
Daha sonra ise, Kaspersky Security Center (KSC) arayüzünü açıyoruz. İlgili dizüstü bilgisayarlarımız için bir "Grup" oluşturmalı ve bu grubun altında "Policies" bölümüne girerek bu gruba özel politikaları (endpoint security ve agent politikaları) oluşturmalıyız. "Client" grubu üzerinde iken sağ tuş yapıp New --> Group seçiyoruz ve gelen ekranda dizüstü bilgisayarlarımıza kurulmuş olan KES versiyonunu seçiyoruz (örnekte: Kaspersky Endpoint Security 10 Service Pack 2)
Oluşturduğumuz grubun "Policies" sekmesine giriş yapıp "Create Policy" tıkladıktan sonra gelen ekranda bilgisayarlarımıza kurulu olan KES uygulamasını seçiyoruz:
Politikamıza isim verip ve aşağıdaki ayarları sırayla yapıp, karşılaştığımız diğer ekranlardaki ayarları değiştirmeden tüm adımları tamamlıyoruz:
Şimdi, ilgili bilgisayarlarımız için ajan politikası tanımlayacağız. Bunun için "Create Policies" tıkladıktan sonra ilgili ekranda, bilgisayarlarımızın üzerinde kurulu olan ajan programını seçiyoruz:
Diğer adımları da aşağıdaki şekilde tamamlıyoruz:
"Use uninstall password" seçeneğini işaretleyip bir şifre veriyoruz. Bu sayede, kullanıcılar bu şifreyi doğru giremeden ajan programını kaldıramayacaklar:
Bundan sonra açılan tüm ekranlardaki ayarlara dokunmuyor ve son ekranda "Finish" e tıklayıp bitiriyoruz.
2) Politikadaki hard disk kriptolama özelliklerini ayarlama
Öncelikle AD üzerinde, şifre çözme işlemleri için bir hesap belirliyoruz.
Burada açıklanan adımlar uygulandığında elde edeceğimiz sonuç şu olacak; Dizüstü bilgisayarımızı bu "şifre çözme" hesabıyla açacağız ve oturum açma ekranında ise asıl kullandığımız AD hesabına ait kullanıcı adı ve şifreyi gireceğiz. Şifre çözme hesabına ait giriş bilgilerini, sistem yöneticileri saklamalıdır (kullanıcılar şifreyi unuttuğunda hatırlatmak için)
Şimdi, "endpoint security" politikamızın ayarlarına giriş yaparak "Data encryption" sekmesine geçiyoruz ve aşağıdaki ayarları gerçekleştiriyoruz:
Şimdi, "Password settings" bölümündeki "settings" altındaki ayarlara bakalım.
Yanlış şifre girişleri nedeniyle şifrenin bloklanması sonrasında yeni şifre alma prosedürü oldukça zaman alıcı olduğundan, "Block password after..." değerini 10 yaptık ve bilgisayarımızı ayrı bir şifre açma hesabıyla açmak istediğimizden, "single sign on" özelliğini devre dışı bıraktık.
Yanlış şifre girişleri nedeniyle şifrenin bloklanması sonrasında yeni şifre alma prosedürü oldukça zaman alıcı olduğundan, "Block password after..." değerini 10 yaptık ve bilgisayarımızı ayrı bir şifre açma hesabıyla açmak istediğimizden, "single sign on" özelliğini devre dışı bıraktık.
"Endpoint security" politikamızın "Encryption of Hard Disks" sekmesine geçerek aşağıdaki ayarları yapıyoruz:
Bu ekrandaki "Automatically create Authentication Agent accounts for users" kutucuğunu işaretleyerek "users" linkine tıklıyoruz ve açılan ekran aşağıdaki ayarları yapıyoruz:
Bilgisayarda "kriptolama işlemi öncesi" oturum açmış olan tüm lokal ve domain kullanıcıları için "Authentication Agent" hesabı tanımlamış oluyoruz böylece kriptolanmış olan hard diski bu kullanıcılar sayesinde çözebilecek ve sistemi açabileceğiz:
Politikanın uygulandığı bir dizüstü bilgisayarı ilk kez başlattığımızda aşağıdaki ekranla karşılaşacağız. CONTINUE basarak restart ettikten sonra artık hard diskimiz şifrelenecektir.
Daha sonra "şifre açma işlemleri için AD üzerinde belirlediğimiz domain hesabımızla" bilgisayara girdiğimizde aşağıdaki ekranla karşılaşacağız. "Authentication Agent" için şifre girmemiz isteniyor. Şifre açma hesabına ait şifreyi iki kez arka arkaya giriyoruz:
Makinemizi yeniden başlattığımızda artık Authentication Agent ekranı bizi karşılıyor olacak:
"Domain" kutusuna domain adımızı, "login" bölümüne şifre açma işlemi için belirlenen kullanıcı adımızı, "password" bölümüne ise şifremizi girip "Continue" tuşuna basıyoruz. Şifreyi doğru girdiysek oturum açma ekranına düşeceğiz. Kurumsal kullanıcı adı ve şifremizi bu ekranda girerek bilgisayarımıza giriş yapabiliriz.
3) Bilgisayar açılamadığı durumlarda
Kullanıcı bir şekilde "Authentication Agent" ekranını geçemez ise ;
"Authentication agent" ekranındaki "Forget your password?" linkine tıklayıp açılan penceredeki sayıları sistem yöneticisine bildirildiğinde,
Sistem yöneticisi, Kaspersky Security Center arayüzünde ilgili bilgisayarın üzerinde sağ tuş yaparak
"Grant access to devices....." seçeneğini seçecek ve
ilgili sayıları açılan ekrandaki yerlerine girecek ve oluşan "Access key" değerlerini "şifresini unutan kişiye" iletecektir.
Bu keyler, sırayla bilgisayardaki yerine girildiğinde artık şifre değiştirme işlemi yapılabilecektir:
Not: Bilgisayar sahibinin AD üzerindeki hesabı ile de kriptolama yapabilir ve bilgisayarı bu hesapla single sign on şeklinde açabilirdik (authentication agent ekranında şifre girdiğimizde bilgisayar doğrudan açılabilirdi) . Fakat tecrübelerimiz gösteriyor ki, şifre değişiklikleri sonrasında "Authentication Agent" ile AD üzerindeki hesabın güncel şifresi birbiriyle senkron olmadığı durumlarda sorun oluşabilmektedir. Mesela kullanıcı şifresini unuttuğunda AD üzerinde resetlesek bile "Authentication Agent" ekranında yeni şifre ile girilememektedir. Diğer bir örnek; kullanıcıya ait olan şifre, kullanıcı oturumu aktif iken admin tarafından değiştirildiğinde ve kullanıcı bilgisayarı kapatıp açtığında admin tarafından verilmiş yeni şifre ile Authentication agent ekranında giriş yapamamaktadır. Ayrıca, Authentication agent, makine üzerinde kriptolama öncesi bilgisayarda oturum açmış hangi hesaplar var ise o hesaplara Authentication Agent ekranında giriş yetkisi vermektedir. Yani kriptolama sonrasında AD üzerinde oluşturulmuş bir hesapla giriş yapılamamaktadır. Yukarıda anlatılan şifre kurtarma prosedürü ise bu tür durumlarda çok uzun zaman alabilmektedir.
Bu nedenle, hard diskin şifresini çözmek için yani "Authentication Agent" ekranında giriş için ayrı bir "şifre çözme hesabı" kullanmak ve "single sign on" özelliğini devre dışı bırakmak, windows oturum açma ekranı geldiğinde ise AD üzerindeki kullanıcı hesaplarıyla giriş yapmak daha mantıklı bir çözüm olarak durmaktadır.
Murat TAŞ
Hiç yorum yok:
Yorum Gönder