Microsoft'un Vista için en çok üzerinde durduğu konu, güvenlik adına yapılan iyileştirmeler. Vista'da güvenliği sağlamak adına kullanıcılara önceki Windows sürümlerine nazaran çok daha fazla seçenek sunuluyor. En önemli değişiklik ise Windows Firewall ile yapabildikleriniz.
Farklı ihtiyaçlar için iki arayüz
Vista'daki güvenlik duvarı iki farklı grafik arayüze sahip. Temel konfigürasyonları içeren ilk arayüze Security Center ve kontrol panelinden, gelişmiş konfigürasyonları içeren arayüze ise MMC (Microsoft Management Control) denilen ve içerisine istediğiniz yönetim araçlarını ekleyebildiğiniz konsol pencereleri sayesinde ulaşılabiliyor.
Böylelikle ileri düzey kullanıcıların güvenlik duvarını kişiselleştirmesine ve diledikleri şekilde sistemlerini korumalarına yönelik bir yol sunulurken, acemi kullanıcıların da yanlışlıkla sistemi riske sokmaları veya başlarına bela açmalarının önüne geçiliyor.
Temel konfigürasyon seçenekleri
Temel konfigürasyon seçenekleri
Bu kısımda güvenlik duvarını açma, kapama veya sisteme giriş yapacak tüm programları istisnasız engelleme gibi temel seçenekler yer alıyor.
Dilerseniz bazı program, hizmet veya portların açık kalmasını ve bunların sınırlarını da (sadece internetteki veya mevcut ağ üzerindeki ya da seçtiğim IP adresindeki bilgisayarlarla haberleş şeklinde) belirleyebiliyorsunuz.
Varsayılan ayarlarla güvenlik
Varsayılan ayarlarla güvenlik
Windows Firewall'un varsayılan ayarları da genel anlamda bir koruma sağlıyor. Dışarıdan gelen pek çok bağlantı engellenirken dışarıya sizin tarafınızdan yapılan bağlantılara izin veriliyor.
Vista'nın Windows Service Hardening özelliğiyle paralel çalışan güvenlik duvarı, Hardening hizmetinde belirtilen ağ kurallarına aykırı bir durumu tespit ettiğinde de hemen engelleme konumuna geçiyor. Aynı zamanda Windows Firewall, yeni nesil internet protokolü olarak bilinen IPv6 ortamını da destekliyor.
ICMP ve mesaj engelleme
ICMP ve mesaj engelleme
ICMP, hata, kontrol ve bilgi mesajlarını içeren paketleri destekleyen bir protokol. Örneğin Ping komutu ICMP'yi kullanarak internet bağlantısının durumunu kontrol eder.
Varsayılan ayarlarda ICMP ile gelen tekrar isteklerine güvenlik duvarı üzerinden izin verilirken diğer tüm ICMP mesajları engelleniyor. Bunun nedeni Ping aracının rutin olarak tekrar isteğinde (echo request) bulunup herhangi bir aksaklık olup olmadığını kontrol etmesidir. Buna karşın, hacker'lar da zaman zaman tekrarlama isteklerini içeren mesajlar gönderip kendilerine bir av arayabiliyorlar.
Dilerseniz gelişmiş ayarlar sekmesine geçerek bu tekrar mesajlarını engelleyebilir veya ihtiyaç duyuluyorsa diğer ICMP mesajlarının engelini kaldırabilirsiniz.
Birden fazla güvenlik profili yaratma
Birden fazla güvenlik profili yaratma
Daha önce de bahsettiğimiz MMC konsol pencereleri sayesinde birden fazla güvenlik profili yaratmanız da mümkün.Yani buradan, farklı durumlar için farklı seviyelerde güvenlik duvarına ihtiyacınızın olabileceği anlamını çıkarabilirsiniz.
Bu durum genellikle taşınabilir bilgisayarlar için kullanışlı olabilir. Örneğin ücretsiz internet hizmeti verilen havaalanı veya restoran gibi halka açık bir alanda otururken dizüstü bilgisayarınızla kablosuz internet erişimi yapmak istediğinizde evinizdekine oranla çok daha güvenli bir ortama ihtiyacınız olacaktır.
Hal böyle olunca isterseniz üç farklı güvenlik profili yaratabilirsiniz. Birincisi sadece Windows oturumunu kullanabilir şekilde, ikincisi özel bir ağa bağlanabilen, üçüncüsü de kablosuz internet örneğinde olduğu gibi halka açık bir yerdeki internet bağlantınız için ayarlanabilir.
IPSec özellikleri
IPSec özellikleri
Gelişmiş konfigürasyon arayüzünde dilerseniz IPSec ayarlarını yaparak veri iletişimindeki kimlik doğrulama ve şifreleme için uygulanacak güvenlik metodunu belirleyebilirsiniz.
IPSec özellikle uzaktan erişimler esnasında makinelerin güvenliğini sağlamak için kullanılır. İki bilgisayar IPSec üzeriden iletişime geçmek istediğinde öncelikle karşılıklı olarak bir doğrulama işlemi yapılır ardından da verilerin nasıl bir şifrelemeyle değiş tokuş edileceği belirlenir.
IPSec bağlantıları için veri şifreleme işlemi varsayılan olarak seçili değildir. Dilerseniz bunu aktif hale getirip oturum süresi, Diffie-Hellman (bir çeşit şifreleme protokolü) anahtar değişimi algoritması gibi ileri düzey kullanıcılar için gelişmiş seçenekleri düzenleyebilirsiniz.
Güvenlik kuralları tanımlama
Güvenlik kuralları tanımlama
Bir sihirbaz sayesinde adım adım ilerleyip belirleyeceğiniz bilgisayar veya kullanıcı grupları arasında oluşacak güvenli bağlantıların nasıl ve ne zaman olacağını, kurallar tanımlayarak belirleyebilirsiniz.
Sihirbaz ekranında çeşitli kriterlere göre kısıtlamalara gidebileceğinizi göreceksiniz. Bunların arasında aynı domain içerisinde olma, programa veya porta göre kısıtlamalar yapma, istediğiniz bilgisayarlarla veya sunucudan sunucuya bağlantı oluşturma gibi seçenekler ve tünelleme, ağ geçitleri arasında kimlik doğrulama yaptırma gibi çeşitli metodlar var.
Özelleştirilmiş kimlik doğrulama kuralları
Özelleştirilmiş kimlik doğrulama kuralları
Belirlediğiniz kişisel bilgisayarlar veya tanımladığınız (IP adresi veya adres aralığına göre) gruplar için özelleştirilmiş kimlik doğrulama kuralı oluşturabilirsiniz. Hatta gelen veya giden bağlantılar (ve her ikisine birden) için doğrulama isteği veya gerekliliği de belirleyebilirsiniz.
Örneğin bilgisayarınıza yapılacak bağlantılarda doğrulamayı gerekli kılıp, dışarı yapacağınız bağlantılarda doğrulama için sadece istekte bulunulması yeterli diyebilirsiniz. Böylece kimlik doğrulama işleminde yetkili taraf olacaksınız.
Gelenler ve giden veriler için kurallar
Gelenler ve giden veriler için kurallar
Bağlantılardaki gelen ve giden veriler için keskin sınırlar çizerek seçtiğiniz program veya portları engelleyen ya da onlara izin veren kural tanımlaması yapmanız mümkün. Bunun için hazırda tanımlanmış kuralları seçebileceğiniz gibi dilerseniz kendiniz yeni bir kural da tanımlayabilirsiniz.
Burada da karşınıza bir sihirbaz çıkıyor ve birkaç adımda kolaylıkla isteklerinizi sıralayabiliyorsunuz. Bir program için tüm bağlantı ve erişimleri engelleyebilir, izin verebilir ya da sadece güvenli bağlantılara ve verilerin bu bağlantı üzerinden gönderilirken şifrelemeyle koruma yapılmasına olanak sağlayabilirsiniz.
Active Directory kuralları
Active Directory kuralları
Active Directory, ağdaki kaynakların (mesela yazıcı), hizmetlerin (mesela e-posta hesapları) ve kullanıcıların (hesaplar, bireyler veya gruplar) erişim derecelerini ve güvenlik seviyelerini belirleyebildiğiniz yerdir. Burası sayesinde yönetici olarak erişim hakkı olan kullanıcı, grup veya bağlantıların sınırları hakkında kural tanımlamaları yapabilir, istenmeyen hesapların istenmeyen bölümlere ulaşmasına da engel olabilirsiniz.
Kontrol panelindeki ağ ve internet seçeneğine girdiğinizde açılan pencerede, Active Directory için bir arama bağlantısı göreceksiniz. Burası üzerinden ilerleyerek tanımladığınız ayarlar doğrultusunda kullanıcı ve/veya grupları aratıp doğrudan onları görebilir ve sağ tıklayarak özelliklerini, erişim sınırlarını inceleyebilirsiniz.