XP SP2 (Service Pack 2) İnce Ayarları

[qarizma]

xp HAKKINDA HER ŞEYY XP SP2 (Service Pack 2) İnce Ayarları

Windows’un en son toplu güncellemesi olan XP SP2, birçoğumuz tarafından büyük merakla bekleniyordu. Çoğumuzun beklentilerini yeterli düzeyde aşamadığını düşündüğümüz SP2, aslında görüldüğü gibi sistemlerimize çokta kötü özellikler getirmedi. Sistem veya bağlantı hızındaki yavaşlamalar SP2’nin antipati kazanmasına neden olmakta. Nihayetinde sistemimizde oluşturacağımız güvenlik çemberi dâhilinde, sistemimizde belirli kısıtlama ve yavaşlamanın görülmesi kaçınılmaz olacaktır. SP2 bunu sizin yerinize yapıyor. Daha ne istiyorsunuz

SP1 yamasının içeriğinin ortalama %60’ı Windows içerisinde bulunan güvenlik açıklarının ve zayıflıklarının kapatılmasıyla sınırlıydı. Diğer %40 ise ileriye dönük kullanıcı memnuniyetini düşünülmüştür. Ancak Microsoft SP2 ile bu kavramı yıkarcasına kullanıcı için elinden gelen her şeyi yapıyormuş gibi gözükmek istemiş. Bana göre de amaçlarına ulaşmışlar. Çünkü SP2 ile Windows yeni bir güvenlik anlayışına dâhil edilmiş gibi davranıyor. Bununla beraber SP2 “Ağ Koruması, Sistemin Gözetlenmesi, Bellek koruması, Mail koruması” gibi servisleri çalıştırabiliyor. SP2 ile Microsoft bazı rakiplerinin kullandığı güzel uygulamaları da kendi bünyesinde toparlamış. Örneğin Linux severlerin çokça kullandığı TAB tuşu ve adres tamamlama özelliği sistem dosyalarında da kullanılmaya başlanmış. İnternet Explorer adres çubuğuna önceden ziyaret ettiğiniz bir adresi yazarken adres TAB tuşu ya da otomatik kendini tamamlar. İşte Windows’ta bu özelliği kendi sistem dosyalarına uyarlamış. Tek fark dizini tamamlayan adreslerin önceden açılmamış olması. Yani yeni bir dizin açarken bile adres çubuğu kendisini tamamlayabiliyor. Tıpkı linux’te olduğu gibi.
Sistemimize renk getiren güvenlik merkezine bir bakalım başlat>çalıştır>Wscui.cpl yazıyoruz
Kurulumda Oluşabilecek Problemler
*Kurulumda oluşabilecek hatalardan dolayı SP2 tam yüklenemeyebilir. Bu nedenle kurulum sonrası Program Ekle/ Kaldır bölümüne bakın, SP2 burada görülüyor mu? Eğer görülüyor iseniz Windows arama kutucuğunu çalıştırın ve
C: içerisinde %windir%\system32\lsass.exe
yazın ve aratın eğer lsass.exe eklentisini bulursa, eklentiye sağ tıklayın ve özellikler>sürüm diyin. Burada görülen sürüm 5.1.2600.2096'dan küçük ise SP2 sorunsuz yüklenmiştir demektir.
**Örneğin İnternet Explorer düzgün çalışmıyor ise, bazı .dll dosyaları düzgün kaydedilmemiştir demektir.Sisteminizde düzgün çalışmayan ve doğruluğu kanıtlanamayan bazı dosyalar olabilir bu nedenle sisteminizi elle denetlemeniz gerekmektedir. Bu işlem için ilk önce administrators grubuna dahil kişi olarak sistemi açın ve sisteminize Windows XP CD sini CD_ROM’a yerleştirin ve başlat>çalıştır>CMD> sfc /scannow komutunu verin. SFC.EXE aracı sisteminizin doğruluğunu ve bütünlüğünü denetleyip eksikleri tamamlayacaktır.
***SP2 kurulum sonrası detayları logluyor. Bu logları c:\windows\ “setupapi.log – svcpack.log – spunins.log “ içerisinde bulabilirsiniz.

NOT: Ben SP2 kurulumu öncesi belgelerim klasörünün içindekileri D: sürücüsüne taşıdım, ardında Win XP SP1’li CD ile sistemi onar dedim, ardından SP2’yi sorunsuz bir şekilde kuruldu. Sistem ilk haliyle biraz hantallaştı ama birkaç ince ayar sonrasında sistemim normal haline döndü diyebilirim.




İnternet Explorer Özelliklerinde Upgrade
***SP2 ile gelen özelliklerin ilki açılır pencereleri engelliyebilmesidir. Artık istemimiz doğrultusunda farklı bir pencere daha açılmayacak. Bu ayar için İnternet Explorer » İE seçenekleri » Gizlilik » Açılır Pencere Engelle seçeneğini işaretli tutmanız gerekmekte. Ek olarak güvendiğiniz adreslere, örneğin www.cyber-security.org için özel bir durum oluşturabilirsiniz. Bu adresleri güvenilen adres olarak belirleyebilirsiniz. Duyuru veya bilgilendirmeler için açılabilecek ek pencereleri görebilirsiniz.
Güvenilen siteler sınıfının oluşturulması bağlantı hızınızı etkileyecektir. İnternet Explorer » İE seçenekleri » Güvenlik » Güvenilen siteler » Siteler burada bulunan “ Bu bölgede bulunan tüm sitelerden HTTPS sunucusu doğrulaması iste” seçeneğinin işaretli olması gerekmektedir. Bu güvenlik önlemi internet üzerinden bankacılık işlemleri yapan kullanıcı veya internet üzerinden alış – veriş yapan birçok kullanıcıyı doğrudan etkilemektedir. Çünkü sizin aslında güvendiğinizi sandığını adresler bir banka şubesi olmayabilir. Yalnız o adrese benzetmeye çalışanların bir tuzağı olacaktır. Bu özellik kullanılan sertifikaları çağıracak, istediği cevabı alamayınca işlemi sonlandıracaktır.
***Eğer internet bağlantısı süresinde istenmeyen bağlantıların açılması, reklam bloklarının gelmesi durumunda İE seçenekleri » Gelişmiş » üçüncü kişilerin tarayıcı eklentilerini etkinleştir seçeneğini kaldırın reboot sonrası, soruna neden olan program için İE Özellikleri » Programlar » Eklentileri Yönet » İE Tarafından kullanılan eklentileri seçeneklerindeki hatalı programın dll’sine devre dışı deyin.
***Ek olarak kullanıcılardan kaynaklanan bir sorundan dolayı internet bağlantılarında sorun oluşması mümkün, bu nedenle sorun oluşturan kullanıcı hesabını silip, yenisini oluşturmak çoğu zaman birçok sorunu ortadan kaldıracaktır.
***İE içerisinde bulunan eklentiler. Yazılım bileşenleridir. Yani Web sitelerini ziyaret ettiğinizde gerekli eklentiler karşıdan otomatik/manuel olarak yüklenir. Bu eklentileri güncellemek için ilgili eklentiye gelin İE » Araçlar » Eklentileri Yönet burada istediğiniz eklentiye gelip “ activeX’i güncelleştir “ seçeneğini kullanabilirsiniz.
Herhangibir sorun karşısında başlat » çalıştır » regedit
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Ext\Settings içerisinde bulunan ve eklentinin engellenmesine neden (CLSID) anahtarında gösterilir. Eğer probleme neden olan eklentiyi bulursanız. HKEY_CLASSES_ROOT içerisinde aramanız gerekmekte. Böylece gösterilen eklentiyi belirleyebilirsiniz.
***Eğer eklenti yönetimine erişimi engellemek isterseniz. Yani değişikliklerin yapılmasını önlemek için;
HKEY_CURRENT_USER\Software\Policies\Microsoft\Inte rnet Explorer\Restrictions anahtarında NoExtensionManagement adında yeni bir DWORD değeri oluşturun ve değerine “ 1 “diyin.

Outlook’la Daha Güvenli E-posta Sistemi
***Bir Microsoft aracı olan Outlook SP2 ile daha da güvenli bir hale getirilmiş. İlk bakışta pek bir farkın olmadığı görülüyor. Ancak gelen maillerin postalardaki resimlerin ve dış içeriği engelle seçeneğinin aktif olması bunun öyle olmadığını gösteriyor. Böylelikle postalardaki dış içerik engellenebiliyor ve istenmeyen içerikler kullanıcının güvenliği doğrultusunda çalıştırılmıyor. Resim eklentilerinin zarar ihtiva ettiğini anladığı an bunu size X harfini sembolize ederek sunuyor. Güvenilen bir adresten gelen içeriği ise direk gösteriyor. Outlook’un spam önleme unsurlarının kuvvetli olduğunu biliyorsunuz. Ancak Microsoft yine yetinmeyip bu özelliğe de biraz katkıda bulunmuş gibi görülüyor.
***Outlook içerisinde göndermek istediğiniz bazı postalar “ giden kutusunda” umduğunuzdan daha uzun durabilir. Bu soruna geçici olarak önlem alabilirsiniz.
Sürüm numarası 11.0 ise Outlook 2003
Sürüm numarası 10.0 ise Outlook 2002
Sürüm numarası 9.0 ise Outlook 2000
HKEY_CURRENT_USER\Software\Microsoft\Office\11.0(s ürüm numarası)\RPC anahtarına ForcePolling regedit girdisi eklenmelidir.

Zamanlanmış Görevlere Doping
***Windows içerisinde çalışan zamanlanmış görev hizmetine yeni eklentilerle, sistemin stabilizesinin arttırılması hedeflenmiş. Sistem içerisinde çalışabilecek gizli görevlerin gösterilmesine imkân tanınmış. Gizli görevleri gerçekleştirebilmek için administrators grubu içine dahil edilmesi gerekmekte. Yeni bir görev oluşturacağınız zaman size birçok seçenek de sunulmakta.

Veri Yürütülmesi Engellenebiliyor.

***SP2 çeşitli kodların, sayfalardan yürütülmesini engellemektedir. Bunun içinde DEP özelliğini kullanmaktadır. Bu sayfalar kodu yürütmeye çalıştığı an Windows özel bir durum oluşturur ve kodun yürütülmesini engeller. Genel amacı internet gelebilecek virüs gibi tehlikelerin oluşturduğu bulaşma veya dağılma gibi bellek konumlarındaki kodların yürütülmesini engellemektir. Bu güvenlik seviyesinin diğer iyi bir özelliği ise adres defterini koruyor olmasıdır. Yani e-posta eklentileri için adres defterini kullanan virüsler bu uygulama sonrasında ilgili listeye ulaşamaz. Ancak yinede belirtim bu uygulama Microsoft’un verdiği talimatlar doğrultusunda gerçekleşir. Aksi hallerde SP2 güvenlik duvarı zarar görebilir.

Virüslere Karşı Önlemler
***Güvenlik merkezinde bulunan Virüsten Korunma adlı bölümde “virüsten koruma yazılımı bilgisayarımı korumaya nasıl yardımcı olur? “isimli yardım linkinde gerekli bilgilendirmeleri alabilirsiniz. Yani size kısaca AV aracı alın diyor

Güvenlik Duvarının Ayarlanması
***SP2 default ayarlarda istediğiniz bağlantılara izin vermeyeceği gibi, tam tersine istemediğiniz bağlantılara da izin verebilir. Bu nedenle iyi şekilde kon figüre edilmesi gerekmektedir. Biz bu değerleri hem komut satırında hemde grafik alanda yapacağız. Yalnız komut satırı için ayrı bir teşekkür isterim. Bu detaya inen yazıları bulmak zor
Şimdi ister denetim masasından firewall özelliği çalıştırın isterseniz, çalıştırfirewall.cpl diyin firewall ekranına geldiniz.
***İlk olarak grafik yüzde Windows güvenlik duvarı sekmesine gelelim. Özel durumlar bölümüne gelin ve firewall’ın çalışmasını istediğiniz alan için, alakalı seçeneği işaretleyin ve düzenle sekmesine geçin. Ardından sizlere kullanma ihtimalli port numaraları sunulacaktır. İlk önce bu portları belirtin. Ardından kapsam değiştir sekmesini seçin ve paylaşımı kimlerin kullanabileceğini belirleyin ama sakın “ herhangibir bilgisayar “ seçeneğini kullanmayın ( 80 numaralı port hariç ) Eğer firewall tümüyle çalışsın diyorsanız hiçbir değeri seçili bırakmıyorsunuz.
***Firewall tüm kayıtlarını default C:\WINDOWS\pfirewall.log dosyasına atar, ama ben size bu dosyanın yerini değiştirmenizi tavsiye ederim. Firewall gelişmişgüvenlik günlüğüfarklı dizin, ek olarak bu bölümde gösterilmiş olan “ bırakılan paketleri günlüğe kaydet ve bağlantıları günlüğe kaydet “ seçeneklerini işaretlemenizi tavsiye edebilirim. Bu işlem sistem güvenliği için atılacak doğru adımlardan biri olur.
***Firewall’da dikkat etmeniz gereken tek şey, eğer ağ ortamında yahut ta size bağlı bir veya birkaç iş istasyonu var ise güvenlik duvarıgelişmişağ bağlantıları ayarlar sekmesini kullanım durumuna göre iyi biçimlendirmek olacaktır.

***Komut satırında firewall ayarları için BaşlatÇalıştırCMD diyoruz. Burada netsh firewall set komutunu kullanacağız. İlk önce hangi protokole izin vereceğimize karar verelim.

netsh firewall set portopening tcp
…udp
…all

ardından ilgili portu devamında yazıyoruz
netsh firewall set portopening tcp 445
udp 53
all 139
devamında name yani bağlantı noktasının adını belirtiyorum
netsh firewall set portopening tcp 445 smb
udp 53 dns
all 80 http
Sonrası modu belirtleme lazım yani portlar kullanılacak mı? yoksa kullanılmayacak mı?
netsh firewall set portopening tcp 445 smb enable
smb disable
Buradan sonra hangi kullanıcıların sisteme erişim yapacağına karar verilecek
netsh firewall set portopening tcp 445 smb enable all ( herkez)
enable subnet (subneti ortak)
enable custom ( özel IP adresleri)
sonrasında adresleme eklenecek
netsh firewall set portopening tcp 445 smb enable custom 192.168.0.23,192.168.0.45/ağ maskesi ( istenirse bir etki alanı eklenebilir )
gördüğünüz gibi 2 kişi için istediğim port numarasını enable yaparak yapılandırdım. İzin verilmiyen portlar içinse Disable seçeneğini seçmeniz gerekmektedir.

***Firewall seçeneklerine port değilde program eklemek veya kaldırmak isterseniz. Bu özellikle ağ ortamında otomasyon programları kullananlar veya ağ ortamında ortak program kullananlar için çok sağlıklı bir çalışma ortamı oluşturacaktır.
C:\>netsh firewall add allowedprogram C:\Program Files\Microsoft Office\office11\ Outlook.exe Outlook2003
C:\>netsh firewall add allowedprogram C:\Program Files\Macromedia\Dreamweaver MX 2004\Dreamweaver.exe Dreamweaver
Programı ve ismini belirttikten sonra çalışma modunu belirliyoruz.
C:\>netsh firewall add allowedprogram C:\Program Files\Microsoft Office\office11\ Outlook.exe Outlook2003 enable
C:\>Program Files\Macromedia\Dreamweaver MX 2004\Dreamweaver.exe Dreamweaver disable
Şimdi ağ ortamında kimlerin kullanabileceğini belirleyelim
C:\>netsh firewall add allowedprogram C:\Program Files\Microsoft Office\OFFICE11\ OUTLOOK.EXE Outlook enable subnet 255.255.255.255
All
Custom
devamında bir etki alanına dahilde edebilisiniz.


***Şimdi yönlendirme protokolü için ICMP ayarlarına bakalım,


C:\ >netsh firewall set icmpsetting
İlk olarak hangi tip veri transferine izin verilip verilmeyeceğini belirtiyorum.
C:\ >netsh firewall set icmpsetting 9
All sayıların değerleri aşağıdaki gibi
2 - Giden çok büyük pakete izin ver.
3 - Giden erişilemeyen hedeflere izin ver.
4 - Giden kaynak yavaşlamalarına izin ver.
5 - Yeniden yönlendirmeye izin ver.
8 - Gelen yankı isteğine izin ver.
9 - Gelen yönlendirici isteğine izin ver.
11 - Giden zaman aşımına izin ver.
12 - Giden parametre sorunlarına izin ver.
13 - Gelen zaman damgası isteğine izin ver.
17 - Gelen maske isteğine izin ver.
All tüm seçenekler .
Devamında çalışma modunu belirtiyorsunuz.
C:\ >netsh firewall set icmpsetting 9 disable / enable
Ardından kullanıcı profili oluşturuyorum.
C:\ >netsh firewall set icmpsetting 9 enable current
Gibi bir kural oluşturdum. Devamında boardcast, servisler,loglar hakkındada gerekli ayarlamalar yapılabilir.
***Eğer ortalık çok karıştıysa, firewall default ayarlara dönmek için c:\>netsh firewall reset komutu vermeniz yeterli. Eğer işlemleri doğru yaparsanız size " Tamam. " uyarısı ile işlemin yapıldığını belirtecek.
***Sistemde Firewall çalıştığından msn gibi dosya transferine izin veren ortamlardan, dosya indirmeye çalıştığınızda sistem bunu size soru yoluyla soracaktır. Eğer dosya transferinin kabul edeceksiniz. Dosya içeriğinin kontrol etmeniz sağlıklı olacaktır.
Firewall default olarak çalıştığında, sistem içerisinde değer vermediğiniz bir program yahut ta uygulama firewall tarafından yakalanır. Size bir pencerede uyarı şeklinde ilgili araçlar alakalı işlemin durdurulduğunu söyler, ardından size 3 adet seçenek sunar.
Güvenlik riskine karşın bu programın engellenmesini kaldır.
Bu programı engellemeye devam et
Bu programı engellemeye devam et, daha sonra yeniden sor
Bu sorular doğrultusunda isteminize göre belli ayarlar yapabilirsiniz