Microsoft Office ve Windows Sürümleri Arasında Güvenlik Karşılaş

2011-11-11 23:54:00

Microsoft Office ve Windows Sürümleri Arasında Güvenlik Karşılaştırması Office 97’nin ve Windows 98’in piyasaya sunulduğu tarihten beri nelerin değiştiğini anlayabilmenin en iyi yollarından biri de farklı Office ve Windows sürümleri arasında güvenlik özellikleri karşılaştırması yapmaktır. Günümüzde entegre ve otomatikleşmiş bilgiişlem özelliğine yönelik talebin giderek artmasıyla birlikte güvenlik konusundaki algılayışımız tamamen değişti. Günümüzün tehditlerini bertaraf edebilecek şekilde tasarlanan XP masaüstü önceki sürümlerle karşılaştırıldığında yazılımda önemli mimari değişiklikler yapmak zorundaydı. Aşağıdaki tabloda Office ve Windows’daki önemli güvenlik özellikleri Office 97 ve Windows 98’den XP masaüstüne kadar sürüm bazında karşılaştırılmaktadır. Tablo 1 Office ve Windows sürümleri bazında Önemli Güvenlik Özellikleri :-:~~~~~~~~:-: Microsoft Masaüstü Güvenliği Microsoft® Office XP Professional Microsoft Windows® XP Professional Güvenlik Tehditlerinin Evrimi Microsoft Office ve Windows Sürümleri Arasında Güvenlik Karşılaştırması Microsoft’un Güvenlik Tehditlerine ve Zaaflarına Karşı Geliştirdiği Önlemler Endüstri İnisiyatifleri Kapsamlı Yaklaşım Gereksinimi Güvenlik Varlığı Yapıtaşı Mimarisi Son Sistemler Yerel Haberleşme Sistemleri Yönetim Yetkisi Özel Ağlar Internet Güvenlik, Performans ve Verimlilik Dengesi Kurumsal Güvenlikte XP Masaüstünün Rolü Windows XP’deki Güvenlik Özellikleri Şifrelenmiş Dosya Sistemi Grup Politikaları Veri Yedekleme Çevrimdışı Dosya Zaman Uyumu Dijital Sertifikalar ve PKI Akıllı Kartlar Güvenlik Olaylarının Denetlenmesi Entegre Kablosuz Ağ ... Devamı

Microsoft’un Güvenlik Tehditlerine ve Zaaflarına Karşı Geliştird

2011-11-11 23:51:00

Microsoft’un Güvenlik Tehditlerine ve Zaaflarına Karşı Geliştirdiği Önlemler Tüm saldırı ve tehdit türlerine karşı etkin koruma sağlayan nitelikli yazılım geliştirmek Microsoft’un bir numaralı önceliği olmuştur. Bununla birlikte, Microsoft çağın sorunlarına çözüm getirebilen güvenli ve güçlü ürünler ve hizmetler geliştirme konusunda uzun bir geçmişe sahiptir. Microsoft kendi yazılımını hem dahili hem de harici olarak sınayarak potansiyel güvenlik zaaflarını ve yazılım hatalarını gidermektedir. Aslında, Microsoft saldırılar oluştuğunda hem CERT ekibiyle hem de harici organizasyonlarla çalışmaktadır. Microsoft mümkün olan her zamanda ilgili ürünler ve hizmetler için anında güncelleştirme veya yama sağlamaktadır. Güvenlik tehditlerinin ve saldırıların giderek karmaşık hale gelmesi nedeniyle Microsoft’un tüm potansiyel zaafları giderebilecek bir güncelleştirme yayınlayabilmesi her zaman mümkün olamamaktadır. Bazı durumlarda, potansiyel zaafı önleyebilmek için yazılımın yapısında temel değişiklikler yapmak gereklidir. Bu gibi durumlarda, Microsoft başarılı saldırı olasılığını en aza indiren yöntemler sunmakta ve teamüller tavsiye etmektedir. Bilgi güvenliği konusundaki en yaygın batıl inanışlardan biri de sistemlerin ve uygulamaların tamamen güvenli hale getirilebileceğidir. İnsan unsurunu ortadan kaldırırsak bu inanış doğru olabilir ama ne yazık ki hem programlama hem de kullanıcı eylemlerindeki hata potansiyeli nedeniyle en güvenli yazılım sistemi bile bazı zaaflar taşıyacaktır. Günümüzün dünyasında sistemin tamamen güvenli olacağına inanmak gerçekçi olmayan bir tavırdır. Yeterli motivasyona sahip yazılım korsanları mutlaka bir yolunu bulacaktır. :-:~~~~~~~~:-: Microsoft Masaüstü Güvenliği Microso... Devamı

Endüstri İnisiyatifleri

2011-11-11 23:51:00

Endüstri İnisiyatifleri Sistemi korumanın en iyi yolu her zaman uyanık olmak ve saldırı oluştuğunda iyi bir eylem planına sahip olmaktır. Microsoft bu girişimlere destek vermek için endüstri inisiyatiflerine katılmakta ve standart planlar, uygulamalar ve güvenlik yöntemleri tanımlamaya çalışmaktadır. Microsoft güvenlik endüstrisi alanındaki diğer liderlerle birlikte güvenlik zaaflarını gidermek üzere endüstri standartları geliştirmekle ve bunları sunmakla görevlendirilecek bir organizasyon kurmak istediğini açıklamıştır. İsmi henüz konmayan bu organizasyon aşağıdaki özelliklere sahip standartlar geliştirmeyi ana hedef olarak benimsemektedir: • Kapsayıcılık – soruşturma ve raporlama süreçlerinin ve uygulamalarının yanı sıra tavsiye gibi güvenlik zaaflarına hitap edebilecek kapsamlı bir yaklaşım. • Birlikte Çalışabilme – Üreticilerin ve güvenlik araştırmacılarının bilgisayar kullanıcılarını korumak için işbirliği içinde çalışabileceği bir çerçeve oluşturulması. • Geniş Kabûl – bu grup tarafından oluşturulacak standartlar açık RFC süreci kapsamında geliştirilecektir. İlgilenen herkes taslakları gözden geçirebilir ve görüş belirtebilir. Son olarak, organizasyon üyeleri temel uygulamalar konusunda karşılıklı mutabakata vararak genel güvenliği artırabilir ve güvenlik zaaflarını belirleme ve giderme konusunda gelişme sağlanabilir. Tamamlandığında, bu yeni standartlar Internet güvenliği ve kurumsal güvenlik konularına önemli katkı sağlayacaktır. Ek bilgi için bakılacak adres: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/news/standard.asp Microsoft aynı zamanda kendi çalışanlarını ve kaynaklarını da Microsoft Strategic Technology Protection Program (STPP, ... Devamı

Kapsamlı Yaklaşım Gereksinimi

2011-11-11 23:50:00

Kapsamlı Yaklaşım Gereksinimi Microsoft uzun süre önce müstakbel saldırganlara ve diğer güvenlik tehditlerine karşı etkili çözümler oluşturabilmek için kullanıcı masaüstü dahil olmak üzere tüm ağ sistemini güvenli kılabilmek için gereken teknolojileri ve özellikleri sunan kapsamlı bir güvenlik altyapısı gerektiğini fark etti. Bu teknolojilerin yönetim politikalarıyla ve kullanıcı uygulamalarıyla eş zamanlı olarak geliştirilmesi ve güvenlik zaafı ve tehdidi riskinin en aza indirilmesi gerekliydi. Sorun o zaman olduğu gibi bugün de tüm güvenlik yönetimi öğelerini kapsayan kapsamlı bir güvenlik yaklaşımı tanımlamakta yatmaktadır. Bu olmadığı takdirde, zaaflar ve tehdit potansiyeli bağımsız olarak ele alınmayacak kadar çok ve yıldırıcı olabilir. Kötü niyetli olan ve olmayan saldırı riskini azaltan güvenlik teknolojilerinin geliştirilmesi sorunların ayrı ayrı tanımlanmasından çok daha basittir. Saldırı sonuçlarının yetkisiz erişim, veri kaybı ve hizmet kesintisi gibi sonuçlar doğurduğu dikkate alındığında saldırganın motivasyonunun ve saldırı türünün önemi yoktur. Güvenlik ortamın sağlamlığını artırarak yüksek hizmet kalitesi ve yetkili kullanıcılar için kesintisiz kullanım olanağı sunmalıdır. Kapsamlı bir yaklaşımda aşağıdaki konular ele alınmalıdır: • Strateji, Planlama ve Mimari – kapsamlı her yaklaşımdan unutulmaması gereken bir konu da birbiriyle tutarlı olan ve anlam ifade eden araçları, teknolojilerin, politikaların, süreçlerin ve uygulamaların nasıl ve neden seçildiğinin anlaşılmasıdır. Özellikle güvenlik alanında genel bir strateji, plan ve mimari tanımlandığı takdirde seçilen çözümün sağlamlığı ve özellikleri değerlendirilebilir. • Araçlar ve Teknoloj... Devamı

Güvenlik Varlığı Yapıtaşı Mimarisi

2011-11-11 23:49:00

Güvenlik Varlığı Yapıtaşı Mimarisi Son bölümde belirtilen tüm konuları kapsayan kapsamlı bir güvenlik çözümü her kurumsal uygulamada farklıdır. Kurumsal politikalar, iş hedefleri ve mevcut kaynaklar uygun risk düzeyinin ve güvenlik gereksiniminin belirlenmesinde önemli rol oynamaktadır. Bununla birlikte, Microsoft, güvenlik değerlendirmesi ve yönetimi için genel bir mimari sunmaktadır. “Güvenlik Varlığı Yapıtaşı Mimarisi” (SEBA) adı verilen bu mimari güvenlik ‘varlıklarını’ veya ‘bölgelerini’ ve bunların birbiriyle ilişkisini tanımlamaktadır. Bu model kullanıldığında, tehditleri ve zaafları genel olarak ele almak, potansiyel riskleri ve gerekli güvenlik özelliklerini değerlendirmek mümkün olabilmektedir. Bu varlıklar aşağıdakileri içermektedir: • Son Sistemler (işletim sistemiyle bilgisayar aygıtları) • Yerel haberleşme sistemleri (ağ işleyişi) • Yönetim yetkisi (merkezi güvenlik yönetimi) • Özel Ağlar (şirketler arasında ağ paylaşımı) • Internet Varlıklar içinde arasında veri akışının incelenmesi zayıf noktaların anlaşılmasını ve yalıtılmasını sağlamaktadır. Bilgisayarın verileri nasıl sakladığı ve yönettiği ile haberleşme ağlarında veri iletimi kurumsal ölçekteki zayıf noktaları oluşturmaktadır. Korumasız bırakılan bu zayıf noktalara veri kaybına, gizli bilgilerin istemeden de olsa üçüncü şahıslara açılmasına veya veri hasarına neden olabilir. Kurumların güçlü ve zayıf noktaları Son Sistemden Internet Varlığına kadar tüm varlıkların birlikte incelenmesiyle tam olarak anlaşılabilmektedir. Güvenlik varlıklarının her biri aşağıdaki alt bölümlerde kısaca açıklanmaktadır. SEBA hakkında daha fazla bilgi için bakılacak yer: Security Entities Bu... Devamı