Windows Firewall Yapılandırması için GPO Kullanımı

Group Policy Object (GPO) kullanarak, domain ortamındaki istemci bilgisayarların Windows Firewall yapılandırmalarını merkezi olarak yönetmek mümkündür. Bu yazıda, Windows Firewall’u GPO ile nasıl devre dışı bırakabileceğinizi ve çeşitli firewall yapılandırmalarını nasıl uygulayabileceğinizi adım adım anlatacağım.

GPO ile Windows Firewall Yönetimi

Windows Firewall, güvenlik açısından önemli bir bileşen olsa da, test ortamları, belirli uygulamaların çalışması veya diğer güvenlik çözümlerinin kullanılması gibi çeşitli durumlarda devre dışı bırakılması gerekebilir. Ancak penetrasyon testleri sırasında genellikle firewall’un aktif olması istendiğini unutmayın.

GPO ile Windows Firewall’u Devre Dışı Bırakma Adımları

1. Group Policy Management Console’u Açın
   • Server Manager > Tools > Group Policy Management
2. Yeni GPO Oluşturun
   • Forest > Domains > [Domain Adınız] > Group Policy Objects konteynerini seçin
   • Sağ tıklayın ve “New” seçeneğini tıklayın
   • GPO’ya anlamlı bir isim verin (örn. “Firewall-Configuration”)
3. GPO’yu Düzenleyin
   • Yeni oluşturduğunuz GPO’ya sağ tıklayın ve “Edit” seçeneğini tıklayın
4. Windows Firewall Ayarlarına Gidin
   • Computer Configuration > Policies > Windows Settings > Security Settings > Windows Defender Firewall with Advanced Security > Windows Defender Firewall with Advanced Security – LDAP yolunu takip edin
5. Firewall’u Devre Dışı Bırakın
   • Windows Defender Firewall Properties’i tıklayın
   • Domain Profile, Private Profile ve Public Profile sekmeleri için aşağıdaki ayarları yapın:
     • Firewall State: Off
     • Inbound Connections: Allow
     • Outbound Connections: Allow
   • Apply ve OK düğmelerine tıklayın
6. GPO’yu Hedef OU’ya Bağlayın
   • GPO’yu uygulamak istediğiniz OU’ya gidin (örn. bilgisayarların bulunduğu OU)
   • OU’ya sağ tıklayın ve “Link an Existing GPO” seçeneğini tıklayın
   • Oluşturduğunuz “Firewall-Configuration” GPO’sunu seçin

Windows Firewall için Gelişmiş Yapılandırmalar

1. Belirli Portları Açma

Tüm firewall’u devre dışı bırakmak yerine, sadece belirli portları açabilirsiniz:

1. “Windows Defender Firewall with Advanced Security – LDAP” üzerine sağ tıklayın
2. “Inbound Rules” seçeneğini tıklayın
3. Sağ panel menüsünden “New Rule” seçeneğini tıklayın
4. “Port” seçeneğini işaretleyin ve “Next” düğmesine tıklayın
5. TCP veya UDP protokolünü seçin
6. “Specific local ports” seçeneğini işaretleyin ve açmak istediğiniz portu girin (örn. 3389 RDP için)
7. “Allow the connection” seçeneğini işaretleyin ve “Next” düğmesine tıklayın
8. Kuralın hangi profiller için geçerli olacağını seçin
9. Kurala bir isim ve açıklama verin
10. “Finish” düğmesine tıklayın

2. Belirli Uygulamalara İzin Verme

Belirli uygulamaların firewall’dan geçmesine izin vermek için:

1. “Inbound Rules” üzerine sağ tıklayın ve “New Rule” seçeneğini tıklayın
2. “Program” seçeneğini işaretleyin ve “Next” düğmesine tıklayın
3. “This program path” seçeneğini işaretleyin ve uygulamanın yolunu girin (örn. %ProgramFiles%\Application\app.exe)
4. “Allow the connection” seçeneğini işaretleyin ve “Next” düğmesine tıklayın
5. Profilleri seçin ve kurala bir isim verin
6. “Finish” düğmesine tıklayın

3. IP Adreslerine Göre Kısıtlama

Belirli IP adreslerinden gelen trafiği engellemek veya izin vermek için:

1. Yeni bir kural oluşturun (Port veya Program tabanlı)
2. Kural oluşturma sihirbazında “Scope” aşamasına geldiğinizde
3. “Remote IP addresses” bölümünde, “These IP addresses” seçeneğini işaretleyin
4. “Add” düğmesine tıklayarak IP adreslerini veya IP aralıklarını ekleyin

Penetrasyon Testleri İçin Öneriler

Penetrasyon testleri sırasında, gerçek bir ortamı simüle etmek için firewall’un genellikle açık olması istenir. Bu durumda şu yaklaşımları uygulayabilirsiniz:

1. Test için Ayrı GPO
   • Penetrasyon testi için ayrı bir GPO oluşturun
   • Firewall’u açık tutun ancak belirli portları veya servisleri açın
   • Bu GPO’yu sadece test edilecek bilgisayarların bulunduğu OU’ya bağlayın
2. WMI Filtrelemesi
   • GPO’lara WMI filtreleri ekleyerek belirli bilgisayarları hedefleyin
   • Örnek WMI Sorgusu: SELECT * FROM Win32_ComputerSystem WHERE Name LIKE "TEST-%"
3. Geçici Politika Değişiklikleri
   • Test sırasında değişiklikleri geçici olarak uygulayın
   • Test tamamlandıktan sonra normal güvenlik politikalarına dönün

GPO Uygulanma Durumunu Kontrol Etme

Firewall ayarlarının başarıyla uygulandığını kontrol etmek için:

1. İstemci bilgisayarda komut istemini yönetici olarak açın
2. gpupdate /force komutunu çalıştırın
3. gpresult /r komutunu çalıştırarak uygulanan GPO’ları kontrol edin
4. Windows Defender Firewall durumunu kontrol etmek için:

   netsh advfirewall show allprofiles
   

Güvenlik Uyarısı

Windows Firewall’u tamamen devre dışı bırakmak, güvenlik risklerini artırabilir. Bu nedenle:

• Firewall’u yalnızca gerektiğinde ve kontrollü ortamlarda devre dışı bırakın
• Mümkünse tüm firewall’u devre dışı bırakmak yerine belirli portlar veya uygulamalar için istisnalar oluşturun
• Test veya sorun giderme tamamlandıktan sonra normal güvenlik ayarlarına geri dönün
• İnternet’e doğrudan bağlı bilgisayarlar için firewall’u devre dışı bırakmaktan kaçının

Windows Firewall’u GPO ile yönetmek, BT yöneticilerine ağ genelinde tutarlı güvenlik politikaları uygulama esnekliği sağlar. Ancak bu güçlü araç, güvenlik ve işlevsellik arasında uygun dengeyi sağlayacak şekilde dikkatli bir şekilde kullanılmalıdır.