Professional Documents
Culture Documents
2016 Merve Özüdoğru - Microsoft Active Directory Ve PFSense Ile Kullanıcı Bilgisayarı Kısıtlama
2016 Merve Özüdoğru - Microsoft Active Directory Ve PFSense Ile Kullanıcı Bilgisayarı Kısıtlama
SEYH
BILEC
IK
EDEBALI NIVERS
ITES
I
IK
FAKLTESI
MHENDISL
I BLM
ISAYAR
IG
BILG
MHENDISL
KULLANICI KISITLAMA
Merve ZDOGRU
PROJE II ALISMASI
PROJE II DANISMANI
BILEC
IK
31 Aralk 2016
T.C.
SEYH
BILEC
IK
EDEBALI NIVERS
ITES
I
IK
FAKLTESI
MHENDISL
I BLM
ISAYAR
IG
BILG
MHENDISL
KULLANICI KISITLAMA
Merve ZDOGRU
PROJE II ALISMASI
PROJE II DANISMANI
BILEC
IK
31 Aralk 2016
ZET
Projenin Amac
................................................................................
................................................................................
Projenin Kapsam
................................................................................
................................................................................
Sonular
................................................................................
................................................................................
ii
ABSTRACT
Project Objective
................................................................................
................................................................................
Scope of Project
................................................................................
................................................................................
Results
................................................................................
................................................................................
iii
TESEKKR
Merve ZDOGRU
31 Aralk 2016
iv
INDEK
I
ILER
ZET
ii
ABSTRACT
iii
TESEKKR
iv
LISTES
I
SIMGE
vii
LISTES
SEK
IL
I
xii
TABLO LISTES
I
xiii
IS
1 GIR
2 WINDOWS
SERVER 2012
2.1
zellikleri . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.2
3 HYPER-V
3.1
Hyper-V Kurulumu . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
WSUS Kurulumu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5
11
12
28
33
37
8 PORT ENGELLEME
45
9 PAROLA KARMASIKLI
GI
57
10 PARENTAL CONTROLS
63
11 PFSENSE KURULUMU
70
v
70
70
71
IS SAATLERIN
I KISITLAMA
12 KULLANICININ INTERNET
GIR
75
13 KULLANICI LOGLAMA
80
14 SONULAR VE NERILER
85
15 EKLER
86
KAYNAKLAR
87
ZGEMIS
88
vi
SIMGE
LISTES
I
vii
LISTES
SEK
IL
I
1
Rol Ekleme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Sunucu seme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Hyper-V rol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
zellikler ekran . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
10
10
11
Restart blm . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
10
12
Hyper-V kurulmas . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
11
13
12
14
13
15
13
16
Sunucunun seilmesi . . . . . . . . . . . . . . . . . . . . . . . . . . . .
14
17
14
18
zellik ekleme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
15
19
15
20
16
21
16
22
17
23
17
24
Wsus Kurulumu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
18
25
Wsus yaplandrmas-1 . . . . . . . . . . . . . . . . . . . . . . . . . . .
18
26
Wsus yaplandrmas-2 . . . . . . . . . . . . . . . . . . . . . . . . . . .
19
27
Wsus yaplandrmas-3 . . . . . . . . . . . . . . . . . . . . . . . . . . .
19
28
Wsus yaplandrmas-4 . . . . . . . . . . . . . . . . . . . . . . . . . . .
20
29
Wsus yaplandrmas-5 . . . . . . . . . . . . . . . . . . . . . . . . . . .
20
viii
30
Wsus yaplandrmas-6 . . . . . . . . . . . . . . . . . . . . . . . . . . .
21
31
Wsus yaplandrmas-7 . . . . . . . . . . . . . . . . . . . . . . . . . . .
21
32
Wsus yaplandrmas-8 . . . . . . . . . . . . . . . . . . . . . . . . . . .
22
33
Wsus yaplandrmas-9 . . . . . . . . . . . . . . . . . . . . . . . . . . .
22
34
Wsus yaplandrmas-10 . . . . . . . . . . . . . . . . . . . . . . . . . . .
23
35
Wsus yaplandrmas-11 . . . . . . . . . . . . . . . . . . . . . . . . . . .
23
36
Wsus yaplandrmas-12 . . . . . . . . . . . . . . . . . . . . . . . . . . .
24
37
24
38
25
39
Client ekleme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
25
40
GPO dzenleme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
26
41
26
42
27
43
27
44
GPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
28
45
28
46
29
47
29
48
GPO dzenleme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
30
49
Tm programlar yasaklama . . . . . . . . . . . . . . . . . . . . . . . .
30
50
GPO dzenleme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
31
51
Olusan kurallar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
31
52
GPO dzenleme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
31
53
Skype kurma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
32
54
32
55
Skype kurulmas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
32
56
33
57
34
58
Uzaktan Kurulum-3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
34
59
Uzaktan Kurulum-4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
35
60
Uzaktan Kurulum-5 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
35
ix
61
Uzaktan Kurulum-6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
36
62
Uzaktan Kurulum-7 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
36
63
Uzaktan Kurulum-8 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
37
64
37
65
38
66
38
67
39
68
39
69
40
70
40
71
41
72
41
73
42
74
42
75
43
76
44
77
44
78
45
79
Port Engelleme-1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
45
80
Port Engelleme-2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
46
81
Port Engelleme-3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
46
82
Port Engelleme-4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
47
83
Port Engelleme-5 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
47
84
Port Engelleme-6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
48
85
Port Engelleme-7 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
48
86
Port Engelleme-8 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
48
87
Port Engelleme-9 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
49
88
Port Engelleme-10 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
49
89
Port Engelleme-11 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
50
90
Port Engelleme-12 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
50
91
Port Engelleme-13 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
51
92
Port Engelleme-14 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
51
93
Port Engelleme-15 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
52
94
Port Engelleme-16 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
52
95
Port Engelleme-17 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
53
96
Port Engelleme-18 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
53
97
Port Engelleme-19 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
54
98
Port Engelleme-20 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
54
99
Port Engelleme-21 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
55
55
56
56
57
58
58
59
60
61
61
62
62
63
63
64
64
65
65
66
66
67
67
68
xi
68
69
69
71
71
72
72
73
73
73
74
74
75
76
76
77
77
78
78
79
79
80
80
81
82
82
83
83
84
84
84
xii
TABLO LISTES
I
xiii
IS
GIR
WINDOWS
SERVER 2012
Windows Server 2012, Microsoft tarafndan sunulan Windows Server serisinin bir srmdr.4 Eyll 2012 tarihinde tam srm yaynlanmstr, deneme srm ise 9 Eyll
2012 tarihinde MSDN kullanclarna sunulmustur. Bu srmn en avantajl yan zel
Bulut sistemine entegre olmus olmasdr.
2.1
zellikleri
2.2
1. Windows Server 2012 Datacenter yksek derecede sanallastrlms zel Bulut ortamlar iindir.
2. Windows Server 2012 Standart fiziksel veya az derecede sanallastrlms ortamlar
iindir.
3. Windows Server 2012 Essentials en fazla 25 kullanc ve 50 aygta sahip kk
isletmeler iin idealdir.
4. Windows Server 2012 Foundation en fazla 15 kullanc iin Windows Server deneyimi sunar.
Bizim kullandgmz srm Windows Server 2012 Datacenter. zerine kurulu olan HyperV rol ile istedigimiz miktarda sanal bilgisayar kurabiliyoruz. Projemizi Hyper-V zerinden kurdugumuz sanal bilgisayarlar ile devam edecegiz.
HYPER-V
3.1
Hyper-V Kurulumu
Server Manager konsolunu ayoruz. Dashboard ekraninda Add roles and Features tklyoruz. Dilerseniz sag st ksedeki Manage mensnden Add Roles and Features ile rol
ekleme sihirbazn aabiliriz.
Sekil
1: Rol Ekleme
Add Roles and Features Wizard bilgi ekrani geliyor karsmza kuruluma devam etmek
iin Next diyerek devam ediyoruz.
5
Sekil
Sekil
Select destination server ekraninda kurulumu hangi sunucu zerinde yaplacak ise o su6
nucuyu sememiz gerekiyor. Ben WIN-LG5I1HEMSOV zerinde Hyper-V roln kurulumunu yaparak yaplandracagm iin bu sunucumu seiyorum ve Next diyerek yaplandrmaya devam ediyoruz.
Sekil
4: Sunucu seme
Sekil
5: Hyper-V rol
7
Hyper-V roln setigimizde Add Roles and Features Wizard ekran geliyor karsmza
Hyper-V rol ile birlikte Remote Server Administration Tools zelligi iinde bulunan
Hyper-V Management Tools ve altinda bulunan Hyper-V Module for Windows PowerShell, Hyper-V GUI Management Tools zelliklerinin kurulmas gerektigini belirtiyor bizlere kurulumu devam etmek iin Add Required Features diyerek Remote Server Administration Tools altinda bulunan bu zelliginde kurulmasi saglyoruz.
Sekil
Select features ekraninda Hyper-V rol ile birlikte kurulacak olan Features ( zellik )
gryoruz. Hyper-V rolnn kurulumu iin herhangi bir Features ( zellik ) gerekli olmadigi iin bu ekranda herhangi bir seim yapmiyoruz ve Next diyerek yaplandramaya
devam ediyoruz.
Sekil
7: zellikler ekran
8
Eger bu asamada ds dnya ile haberlesebilen bir Virtual Switch yaratmak istiyorsanz,
asagdaki pencerede bir fiziksel Network Adapter seebilirsiniz. Bu adm opsiyoneldir.
Virtual Switchler sanal makinelerin ag protokolleri ile kendi aralarnda veya ds dnya ile
konusmalar iin gerekli bilesenlerdir. Eger Virtual Switchler konusunda yeterince bilgi
sahibi degilseniz bu adm atlayn. Kurulumun ardndan da kolayca Virtual Switchler
olusturabilirsiniz.
Sekil
Sekil
Asagdaki pencerede, yeni sanal makine olusturma islemleri srasnda belirtmeniz gereken
sanal makine bilesen dosyalarnn (XML, VHD/x, vb.) bulunacag dizinler ile ilgili n
tanm yapabilirsiniz. Yeni sanal makine olusturma islemi srasnda size nerilen dizin
olarak burada belirttiginiz dizinler getirilir. Bu tanmlar yeni sanal makine olusturma
annda veya herhangi bir anda da degistirme sansnz var. Opsiyonel bir admdr. Simdilik
Sekil
Confirm installation selections ekraninda Install diyerek Hyper-V rolnn kuruluma baslyoruz. Hyper-V rolnn kurulumu tamamlandiktan sonra sunucunun otomatik olarak
restart etmek istersek eger Restart the destination server automatically if required seeneg ini isaretlememiz gerekiyor. Ben kurulum tamamlandiktan kendim restart etmek istedig im iin bu seenegi isaretlemiyorum.
Sekil
Kurulumun tamamlanmas ardndan sunucuyu restart edin. Duruma gre art arda iki restart gereklesebilir. (Ikinci restart otomatik olarak gereklesir) Sunucu aldgnda artk
bir Hyper-V Host durumundadr ve sanal makineler olusturup alstrmak iin hazrdr.
Sekil
Bir ok Windows Client olsun server olsun Microsoft zerinden bir ok gncelleme ekmektedir. Ufak yaplar iin bu durum fazla sknt olmayacaktr lakin; byk isletmelerde bu durum byk bir sknt teskil etmektedir. Dsnsenize bulundugunuz lokasyon
zerinde 300 veya 400 adet client bilgisayar oldugunu her bir client ayn anda internet
zerinde gncelleme ekmeye alstgnda eger bu gncellemeler byk paketlerden olusuyorsa lokasyon ierisinde tm web alsmalar duracaktr. Mailler artk gncellemeler
bitene kadar mail alamayacaktr. Bu durumu asmann en kolay yolu WSUS servisini kurmaktr. Windows Server Update Services yani WSUS tm gncellemeleri belirlediginiz
gncellemeleri WSUS sunucu olarak yaplandrdgnz makineye indirmenizi ve client
makinelere gelen bu gncellemelerini dagtmanz saglayacaktr.
WSUS kurulduktan sonra Microsoft Gncellemeleri tek bir bilgisayar zerine iner ve
WSUS roln stlenen sunucumuz client bilgisayarlara gncellemelerin dagtmamz saglayacak ve lokal network ierinde tm gncellemeler daha hzl bir sekilde daglms olacaktr. Bu durumun en byk avantaj gncellemeler tm bilgisayarlar zerine daha hzl
11
4.1
WSUS Kurulumu
Sekil
Before you begin ekrannda gerekli aklamalar okuduktan sonra Next diyerek devam
edelim.
12
Sekil
Select installation type ekrannda hibir ayara dokunmadan Next diyerek ilerlemeye devam ediyorum.
Sekil
Server havuzumda her hangi bir sunucu yok PC-1 isimli makinem zerine kurulum yapacagm. Next diyelim.
13
Sekil
Windows Server Update Services (WSUS) seelim gerekli bilesenler iin Add Features
tklayalm. Wsus setikden sonra otomatik olarak Web Sunucusu (IIS) da seilecektir.
Sekil
Sekil
Bu ekranda Web Server Role (IIS) hakknda gerekli aklamalar okuduktan sonra Next
diyerek devam edelim.
Sekil
IIS iin yklemek istediginiz baska bir bilesen yoksa Next diyerek devam edelim.
15
Sekil
Sekil
WSUS iin gerekli bilesenlerin seili oldugundan emin olduktan sonra Next diyoruz.
16
Sekil
Sekil
Confirmation ekranna geldigimizde hangi bilesenler hangi rollerin yklenecegi konusunda zet bir tablo grebiliriz. Install diyerek WSUS kurulumuna baslayabiliriz.
17
Sekil
WSUS kurulumu ve gerekli bilesenlerin kurulum islemi baslams durumda biraz beklememiz gerekecektir. Kurulumu bitirdikden sonra Windows Server Update Services baslatabiliriz.
Karsmza ncelikle WSUS yaplandrabilmemiz adna bir sihirbaz ekran alacaktr.
Windows Server Update Services Configuration Wizard ekran WSUS hakknda gerekli
bilgileri okuduktan sonra Next diyerek devam edelim.
Sekil
Sekil
Sekil
Sekil
Simdi
ise WSUS servisinin Microsoft ile haberlesmesini saglayabilmek iin Start Connceting butonuna basalm. Bu islem birka dakika srecektir. Sabredip beklememiz gerekecektir.
Sekil
Sekil
Baglant islemi basarl bir sekilde tamamlandgna gre Next diyerek devam edebiliriz.
Sekil
Choose Languages ekranna geldigimizde update alacagmz dilleri sememiz gerekmektedir. Ben Trke seiyorum. Next diyerek devam ediyorum.
21
Sekil
Choose Products ekranna geldigimizde yapmz ierisinde hangi rnler var ve hangi
gncellemeleri almak istedigimizi belirtiyoruz.
Sekil
Sekil
Sekil
WSUS kurulumunun son admlarna yaklasms bulunmaktayz Next diyerek devam edelim.
23
Sekil
Sekil
Sekil
Karsmza kan ekran da hangi bilgisayardan gncelleme alcaksan onun adn giriyoruz. Ben suanlk bir client zerinden alsyorum. Bilgisayarmn ad "Merve". Seurity
Filtering ksmnda "Merve" bilgisayarn ekliyoruz.
Sekil
Sekil
Sag tarafda bulunan Configure Automatic Updates ksma tklayarak karsmza kan ekranda ayarlar yapacagz. Bu ksm Enable yapyoruz. Burada hangi gn ve hangi saat
aralgnda gncellemelerimiz yapmas gerektigini belirliyoruz. Ve OK tusuyla islemi kaydediyoruz.
Sekil
Specify intranet Microsoft update service location ksmna gelerek buray ap ierinde islem yapacagz. Policy enable yapalm Set the intranet update service for detecting pdates
26
Sekil
Sekil
Internet erisimimizin gelismesiyle paralel olarak gvenlik ihtiyacmz giderek artyor. Her
ne kadar internet trafigimizi antivirs programlar, gvenlik duvarlar ile kontrol ediyor
olsak da, worm ve virsler gibi zararl kodlar ile istemci tarafnda da mcadele etmemiz
gerekiyor. Ayrca sistem yneticisi olarak, istemci makinelerde alsan uygulamalar kontrol altnda tutmamz gerekiyor. Bu yzden kullanclarn yetkisini kstlayarak program
kurmalarn engelliyoruz. Kullanclar program kurmak istediklerinde onlar admn yetkisi
sorulacak. Eger paralo bilinmiyorsa program kuramcaklar. Tabikide parolay kimseye
vermiyoruz. Islemimize baslyalm. Server 2012 de Tool mensnden Group policy Management konsolunu ayoruz.
Sekil
44: GPO
Sekil
Olusturdugumuz GPO zerine sag tklayarak Edit diyoruz. Karsmza kan ekran da birka ayar yapmamz gerekecek. Computer Configuration>Windows Settings> System Services tklayarak sag tarafda kan ksmda Application Identity ksmna tklyoruz.
Sekil
Policynin dzgn alsyor olmas iin Application Identitiy servisinin automatic durumda olmas gerekir.
Sekil
Computer Configuration >Windows Settings > Security Settings > Application Control
Policies ksmnda Applocker sag tklayp Properties giriyoruz.
29
Sekil
Sekil
diyoruz.
Sekil
Create Default Rules dedigimiz de sag tarafda kuralmzn basarl sekilde tanmlandgn
gryoruz. Burada bulunan programlar etkilemedigini sylyor. Windows klasrndeki
dosyalarn da etkilenmedigi sylyor. Sadece sonradan yklenicek dosyalara admin yetkisi olmas gerektigini biliyoruz.
Sekil
Sekil
Sekil
Sekil
Sekil
Bir domain ortamnda Clientlara otomatik olarak yazlm dagtmann en kolay yollarndan biride Group Policyde ki Software deployment islemidir. Ben rnek olarak skypei
clientlara dagtyor olacagm. Dagtlacak programn paylasmdaki bir klasrde olmas
gerekir minimum read hakk verilmedir.
GPOnun tm kullanclara (tm etki alanna) uygulanmasn istedigim iin, Merve.com
etki alannn zerine sag tklayarak Create a GPO in this domain, and Link it here komutunu tklayalm.
Sekil
Alan New GPO penceresine GPOnun islevi ile alakal hatrlatc bir isimlendirme yapn. Ben ProgramYukleme yapyorum.
33
Sekil
Sekil
Sekil
Sekil
Alan pencerede programn paylasmdaki yolu gsterilir unutulmamas gereken bir durumda yklenecek programn msi uzantl olmasdr. Exe veya baska uzantl programlarn
deployment gpo ile yaplmaz.
35
Sekil
Assigned seenegi ile kullanclara policy atanr. Kulanclar assign edilir. Advanced seenegi ile policynizi daha da zellestirebilirsiniz. Ok diyerek devam ediyoruz.
Sekil
Programmz buraya eklemis olduk. Client bilgisayarlarn yeniden baslatyoruz. Sistemimizin als esnasnda, olusturmus oldugumuz uygulamann da client bilgisayarmza
yklendigini greceksiniz.
36
Sekil
Kullanclarn disk alanlarn kstlamay da group policy ile yapabiliriz. Bizi istedigimiz
miktarda alan kullanabilirler. Bunun iin Server 2012 tools ksmndan Active Directory
Users and Computers ksmna girip bir kullanc tanmlcaz. Tanmladgmz kullanc
bizim belirledigimiz disk alanna sahip olucak.
Sekil
Merve.com a sag tklayp New>Group diyoruz. Muhasebe adnda bir grup olusturduk
bunun iine kullanclarmz olusturacagz.
Sekil
Sekil
Sekil
Karsmza Password ekran geliyor. Kullanc iin bir password belirliyoruz. Next diyerek
kullancmz olusturuyoruz.
Sekil
Sekil
Simdi
Sekil
70: GPO
Burada yeni bir GPO olusturmak istiyorum. Olusturdugum muhasebe blm burada gzkyor. Ben suanlk sadece muhasebe blmnde olan kisilerin disk alanlarn kstlamak istiyorum. Muhasebe klasrne sag tklayp Create GPO in this domain, and Link it
here tklyoruz.
40
Sekil
Sekil
Olusan diskkotaya sag tklayp Edit diyorum. Buradan Computer Configuration > Administrative Templates > System > Disk Quotas ksmna tklyoruz.
41
Sekil
Enable Disk Quotas blmne tklyoruz ve Enable yapyoruz. Buradaki amacmz kullanclar dokunmasn kota ksmna.
Sekil
Sekil
Specity default quota limit and warning level ksmna tklayarak buradan kullancmzn
disk alan kstlamasna yapacagz. Enable yapyoruz. Asagdaki ksm bizeaktif olarak
geliyor. Default quota limit ksm kullancya ne kadarlk bir alan vermemiz gerektigini
burada belirtiyoruz. Default warning level ise bize ne zaman uyar verecegini soruyor. Ben
ona 1 GB verdim. 1 Gb doldugu zaman haber ver. Yada onu daha dsk yapp dolmadan
da bize haber verebilirdi.
43
Sekil
Olusturdugumuz veli adndaki kullanc ile giris yapyoruz. Giris yaptgmzda C diskine
baktgmzda bizim belirttigimiz gibi 1 GB alan kalms olacak.
Sekil
Sekil
PORT ENGELLEME
Sekil
Burada merve.com sag tklayp bir grup olusturacagz. Bunun iin Organizational Unit
ksmna tklyoruz.
45
Sekil
Sekil
Sekil
Olusturdugumuz gruplara sag tklayp New > User diyerek kullanc olusturuyoruz. Birine
Mustafa adnda bir kullanc digerine Mehmet adnda bir kullanc olusturuyoruz.
Sekil
Sekil
84: GPO
IT blmne sag tklayp yeni bir GPO ekleyecegiz. Ben adn Port-engelleme olarak
adlandrdm.
Sekil
Ayn sekilde Muhasebe diye ayrdgmz ksmada GPO ismi verecegiz. Buna da ben Portengelleme1 adn verdim.
Sekil
Port-engellemeye sag tklayp Edit diyoruz. Buradan Computer Configuration > Win48
dows Settings > Security Settings > Windows Firewall with. ksmnda OutBound Rules
diyoruz. Bizim dsar kmamamz engelleyecek. Kural eklemek iin New Rule diyoruz.
Sekil
Sekil
Sekil
Sekil
Burada kural ismini veriyoruz. Ben kural ismi olarak PortEngelleme diyorum.
50
Sekil
Sekil
Mustafa adndaki kullancya giris yapyorum bakcam burada http portuna girecek mi.
51
Sekil
Sekil
Bu kullanc da https portunu engellemedigim iin https portu ile siteye giris yaptm.
52
Sekil
Ayn islemi Muhasebe blmnde olan kullanc iin yapacgm. Muhasebe blmndekiler Https portuna giremesin ama http portuna girebilsinler. Port engellemesi yapacagm
iin Port ksmn aktif ediyorum.
Sekil
Sekil
Sekil
Sekil
Sekil
Sekil
Sekil
PAROLA KARMASIKLI
GI
Kullanc parola karmasklgnn 5-10 karakter olacak sekilde ayarlanmas. Sadece harfler veya rakamlar kullanlsa bile yeterli olmaldr. zel isarete gerek kalmamaldr. Sifre
ile ilgili senaryomuz su sekilde Kullanc sifre olusturmak istediginde biz baz sartlara
uymasn istiyoruz.
Sifre
en az 5 karakter olmal
Sifre
Server Manager > Tools yolunu izleyerek Group Policy Management konsolunu aalm.
GPOnun tm kullanclara (tm etki alanna) uygulanmasn istedigim iin, Merve.com
etki alannn zerine sag tklayarak Create a GPO in this domain, and Link it here komutunu tklayalm.
Sekil
Alan New GPO penceresine GPOnun islevi ile alakal hatrlatc bir isimlendirme yapn. Ben Sifreleme yapyorum.
57
Sekil
Kurdugumuz kurallar kimler uymasn gerektigini belirtiyoruz. Benim elimde bir tane
client var ad MervePC. Bu kullancm ekleyerek kurdugum kurallara uymasn bekliyorum.
Sekil
Sekil
Alan Group Policy Management Editor penceresinde su yolu izleyin: Computer Configuration > Policies > Windows Settings > Security Settings > Account Policies > Password Policy
Store passwords by using reversible encryption : zel yazlmlar tarafndan kullanlan bir
zellik.
Account lockout treshold : Hesabn kilitlenmesi iin maximum hatal giris adedi
Account lockout duration : Hesabn kilitli kalma sresi
Reset account lockout counter after : Hatal girisler arasnda ki geen sreyi belirtir. rnegin hesabn kilitlenmesi iin maximum hatal giris adedini 4 belirlediniz ve kullanc 3
defa hatal giris yapt. Bu 3 hatal girisin kaytlarnn silinmesi ve 4 giris hakknn tekrar
verilmesi iin gerekli sreyi bu ilke ile ayarlyabilirsiniz.
Sekil
Kullanclarn parolalarda Byk/kk harf ve rakam kullanmasn saglamak iin, Password must meet complexity requirements ilkesine sag tklayn ve Properties komutunu
alstrn. Define this policy setting ve Enabled kutularn onayladktan sonra OK butonuna tklayn.
60
Sekil
Kullanclarn sifre uzunluklarn en az 5 olmasn istiyoruz bunun iin, Minumum Password Length ilkesine sag tklayn ve Properties komutunu alstrn. Define this policy
setting seip kutucuga 5 yazyoruz ve OK diyoruz.
Sekil
Simdi
Sekil
Bu sefer de sifreyi 5 karakterden fazla ve rakam kullanarak yapyoruz. Sistem bunu kabul
ediyor ve sifreyi vermemi saglyor.
Sekil
10
PARENTAL CONTROLS
Istedigimiz kullanclarn belirledigimiz sitelere girmesini nliyecegiz. Tabi burada yaptgmz islemler sadece internet Explorer iin geerli. Eger baska tarayc kullanyorsa
bunun iin Pfsense kullanabiliriz. Ilerleyen konularda onunla da rnek yapacagz. Simdi
bir tane kullanc olusturuyoruz. Server 2012 Tools mensnden Active Directory Users
and Computers ksmna tklyoruz. Muhasebe adnda bir grubumuz vard bunun iine
New>Users diyoruz.
Sekil
Sekil
Sekil
Kullancmz olusturduk simdi bu kullancya Group Policy basacagz. Server 2012 Tools
blmnden Group Policy Management tklyoruz.
Sekil
Muhasebe blmne sag tklayp yeni bir Group Policy ekleyecegiz. Bunun iin Create a
GPO in this domain and Link it here tklyoruz.
64
Sekil
Yeni GPO isim veriyorum. Ben Site-engelleme olarak verdim. Ok diyerek ilerliyoruz.
Sekil
Sekil
Karsmza kan ekranda User Configuration >Administrative Temlates>Windows Components>Internet Explorer>Internet Control Panel>Content Page tklyoruz.
Sekil
Sag tarafda kan ekranda Show Content Adsivor on Internet Options tklayarak ebeveyn
denetimlerini aktif ediyoruz.
66
Sekil
Sekil
Sekil
Internet Options blmnden Content ksmna tklayacagz. Az nce buray aktif etmistik.
Settings diyerek hangi siteye girmemesi gerektigini belirtecegiz.
Sekil
Settings ksmna tkladgmzda admin girisi istiyor. Yani buraya kullanclar giris yapp
degistiremiyorlar. Admin yetkimizle giris yapyoruz.
68
Sekil
Approved Sites blmnden hangi sitelere giris yapsn ya da hangi sitelee giris yapman
diye belirtecegiz. Facebook.com diyerek never diyorum.Ok diyerek sayfay kapatyorum.
Artk facebook sitesine giremeyecek.
Sekil
11
PFSENSE KURULUMU
11.1
Pfsense Nedir
PfSense, FreeBSD Tabanl bir Firewall (Gvenlik Duvar) dagtmdr. Ak kaynak kodlu
ve cretsizdir. Sisteminizi kurduktan sonra yaplandrma islemleri, gelistiricileri tarafndan hazrlanms olan Web Arayz zerinden yaplr.
11.2
11.3
Pfsense Kurulumu
Iso dosyamz ile kurulum yapacagmz iin gerekli sanal yaplandrmalar yaptktan sonra
iso dosyamz ile kurulumu baslatalm. Ilk olarak asagdaki pencere ile karslasacagz. Bu
admda 1nci seenegi semek iin 1 yazar entera basarz. 1 yazmasakta otomatik olarak
1 seilecektir.
Sekil
Karsmza asagdaki gibi pencere gelecektir. Bu pencerede kurulum iin gerekli disk yaplandrmalar klavye ayarlar gibi ayarlarmz yapmaktayz.
Sekil
Biz quick/easy Install seenegi ile devam edecegiz. Eger disk yaplandrmamz degistirmek boyutlandrmay degistirmek isterseniz install pfsense seenegi ile yola devam etmek
gerekecek. Ancak hi gerek yok nk pfsense bu islemleri bizim iin kendisi yapabilir.
Quick/easy install seerek devam ediyoruz.
Sekil
Burada Bizi Diskin ierisindeki herseyin silinecegine dair uyaryor ok diyerek devam
ediyoruz.
Sekil
OK dedikten sonra pfsense kurulumu baslyor. Burada tek yapmamz gereken sey beklemek.
72
Sekil
Biz gml bir sistem kullanmadgmz iin Standart Kernel seenegi ile devam ediyoruz.
Bu islemlerin ardndan sistemi yeniden baslatyoruz.
Sekil
Makinemizi restart edecegiz ancak bu admda makinemizi restart ettikten sonra mutlaka
cdmizi karmalyz.
Sekil
pfsense iin bize iki bacak gerekliydi. WAN bacagn dhcp ile atamasn sledim. LAN
bacagn ise statik olarak giris yaptm. Pfsense kurulumu bitmistir.
73
Sekil
Yeni Ethernet ekleme, sunucuyu kapatma, sorun oldugunda web ynetim arayzn yeniden baslatma gibi islemler bu ekrandan yaplmaktadr. Bunun dsnda bu ekranla ok fazla
isimiz olmayacaktr. Yerel ag bacag iin verdigimiz IPnin agndan kendi bilgisayarmza
da IP verdikten sonra, taraycmza pfSensein IPsini yazarak web ynetim arayzne
erisim saglayabiliriz. Username admin Password ksmna da pfsense yazp kullanma geebilirz.
Sekil
12
IS SAATLERIN
I
KULLANICININ INTERNET
GIR
KISITLAMA
Kullanclarn internet giris saatlerini kstlanmas istendi. Bunu server zerinden de yaplabilir fakat ordan sadece explorer zerinde ayarlamalar yapabiliyoruz. Kullanc baska
tarayc kullanpda internete giris yapabilir. Bunun iin pfsense zerinden islem yapyoruz. Kullancnn tm internetini kesebiliyoruz. Bunun iin pfsense System>Package
Manager tklyoruz.
Sekil
Karsmza iki sekme kacak. Available Packages : Bu alanda pfSense tarafndan kurabileceginiz mevcut paketler vardr.
Installed Packages : Bu alanda ise kurdugunuz paketler listelenecektir. Bu alan kullanarak kurulu bir paketi silebilir veya yeniden kurabilirsiniz.
Biz yeni paket kuracagz. Bunun iin Available Packeges ksmna tklyoruz. Buradan
squidGuard ve squid yklyoruz. Simdi
75
Sekil
Sekil
Sekil
Add tklyoruz. Zaman ekleyecegiz. Istedigimiz saatlerde kullanclar internet kullanabilecekler. Name ksmna bu kurala bir ad veriyorum. Tm hafta ayn saatlerde internet ak
olsun istiyorum. Saat olarak sadece 10:00-12:00 arasnda internete giris yapsn.
Sekil
ACL tklyoruz ve Add diyoruz. Kuraln adna yasak dedim. Hangi kullanclara bu durumu aktarmak istedigimi seiyorum. Benim elimde bir tane client makine var ve ip si
192.168.2.2 bunu yazdm.
Sekil
Time ksm az nce belirledigimiz kural ekliyoruz. Target Rules ksmnda tm internetin
kapanmas iin Default access ksmna deny diyoruz. Redirect mode ksmna hata mesaj
gelmesini istiyoruz. Redirect ksmna hangi mesajn gelmesi gerektigini yazyoruz.
Sekil
client bilgisayarna
girip internete girmeye alsacagz.
Sekil
Internete giris yapmay deniyoruz. Bizi sayfalara ynlendirmiyor. Hata mesaj veriyor.
Sekil
Simdi
de saat aralgn degistirip internete giris yapmay deneyelim. Saat aralgn 18:0023:00 aras yapacagm.
79
Sekil
Sekil
13
KULLANICI LOGLAMA
"Light Squid" paketini kurup alstrabilmemiz iin iin ncelikle "squid" ve "squidGuard" paketlerinin kurulu olmas gerekir biz bunlar kurmustuk.
LightSquid paketini kurulumuna gemeden nce Light Sguid uygulamasnn alsmas
iin "Services -> Proxy server" admlarn takip ederek alan "Proxy server: General settings" alannda birka ayar yapmalsnz. Bunlar:
paket kurulumu iin "System -> Packages" admlarn takip ederek "System: Package Manager" sayfasn aalm ve buradan Light Squid paketini bularak kurulumunu
gereklestirelim.
Sekil
Sekil
Sekil
82
Sekil
Skip url: Bu alan girilecek Ip adresleri veya girilen internet sitesi adresleri gnlk raporu
ierisinde grntlenmeyecektir.
Refresh sheduler: Raporlarnn ne zamanda bir gncelleneceginin belirlendigi alandr. Bu
alandan seilen bir XX zamannda periyodik olarak gncelleme yaplr. rnegin "2h"
seilirse 0 2 4 ... 24 saatleri arasnda islem yaplr. Sadece ok gl sistemlerde (+)
seeneginin seilmesi nerilmektedir.
Refresh:Son gncellemeden itibaren bulundugunuz ana kadar yeni tm raporlar almak
iin kullanlacak dgmedir.
Refresh diyoruz. Yaplan islemleri kaydetmek iin "Save" dgmesine tklanmaldr.
Sekil
open Lightsquid Sekmesi: Kullanclarn girdigi sitelerin raporlarn grebileceginiz alandr. Bu alanda tutulan gnlkler raporlar halinde anlaslr ve detayl bir sekilde verilmistir.
Istedigimiz tarihe tklyabiliriz.
83
Sekil
Burada pfsense de bulunan client bilgisayarlarmzn ip adresleri var. Istedigimiz bilgisayar burdan logluyoruz. Benim elimde bir tane client makine oldugu iin ona tklyorum.
Sekil
Bir tarihi setim ve ip aresinin o tarihge girmis oldugu tm web sayfalar asagdaki gibi
listeleniyor bu sekilde network zerindeki tm cihazlarnzn girmis oldugu web adreslerini raporlaya bilirsiniz.
Sekil
84
14
SONULAR VE NERILER
Windows Server 2012 R2 de bulunan Active Directory ile burada bulunan kullanclar
istedigimiz sekilde kstlama yapabiliyoruz. Sirket
85
15
EKLER
86
KAYNAKLAR
[1] http://serverfault.com/questions/723789/
block-all-websites-but-one-server-2012
[2] http://www.parlakyigit.net/windows-server-2012-r2-wsus-4-0-kurul
[3] http://www.parlakyigit.net/windows-server-2012-r2-wsus-4-0-kurul
[4] http://www.bakicubuk.com/windows-server-2012-wsus-4-0-kurulumu/
[5] http://www.cozumpark.com/blogs/windows_server/archive/
2012/06/02/windows-server-2012-wsus-kurulumu.aspx
[6] https://rizasahan.wordpress.com/2016/05/17/
kb3159706-wsus-yonetim-konsolu-erisim-hatasi/
[7] http://www.serhatakinci.com/index.php/
gpo-ile-web-sitesi-yasaklama.html
[8] http://social.technet.microsoft.com/wiki/contents/
articles/23651.windows-server-2012-r2-applocker-yaplandrma-tr-tr
aspx
[9] http://ucribrahim.blogspot.com.tr/2015/03/
pfsense-kullanc-bazl-web-filtreleme-url_23.html
[10] http://sefayuksel.com/group-policy-kullanici-guvenlik-ayarlari/
[11] http://www.cozumpark.com/blogs/windows_server/archive/
2014/09/07/windows-server-2012-r2-ile-kullanici-hesaplarinin-yon
aspx
87