Posted in

LGPO.exe ile Security Baseline Uygulamak

by Mustafa Emre GÜL0

Yerel Politikalarla Güvenliği Standartlara Taşımak

Daha önce Yerel Grup İlkesi Yönetiminde LGPO.EXE Aracı yazımda sizlerle LGPO.exe’nin ne olduğunu, ne işe yaradığını ve sahada nasıl kullandığımızı anlatmıştım. Bugün ise LGPO.exe’nin bir adım ötesine, yani Security Baseline uygulamasına geçiyoruz.

Peki Nedir Bu “Security Baseline”?

Basitçe anlatmak gerekirse, Microsoft, belirli Windows sürümleri için önerilen güvenlik ayarlarını bir “baseline” (temel yapılandırma) olarak yayınlar. Bunlar:

  • Gelişmiş güvenlik ilkeleri (örneğin: şifre karma algoritmaları, servis ayarları),

  • Kullanıcı hakları kısıtlamaları,

  • Denetim politikaları gibi birçok ayarı içerir.

Normalde bu yapılandırmaları domain ortamında GPO ile kolayca dağıtabiliriz.
Ama ya makineler domain’e bağlı değilse?
İşte burada LGPO.exe imdada yetişiyor.

Neden LGPO ile Baseline?

  • Offline makineler için uygundur

  • Test ortamlarında GPO taklidi sağlar

  • Güvenlik denetimlerine hazırlık sağlar

  • Manuel işlem gerektirmez

  • Uyumluluk (CIS, Microsoft Security Compliance Toolkit) sağlar

Hazırlık Aşaması

Security Baseline uygulamak için önce şu adımları izliyoruz:

1. Microsoft Security Compliance Toolkit’i İndir

Microsoft’un resmi sitesinden, hedef işletim sisteminize uygun Security Baseline paketini indirin. Örnek:
👉 https://www.microsoft.com/en-us/download/details.aspx?id=55319

2. LGPO.exe’yi İndirin

Aynı toolkit’in içinden LGPO.exe aracına da ulaşabilirsiniz.

Uygulama Aşaması

Benim sistemimde UretimTezgah01 adında Windows Server 2022 olan domainde olmayan bir makine bulunmakta. Security Baseline’ ı bu makine üzerine uygulayacağım. Sunucu bilgisi ve ilke ayarları aşağıdaki gibidir.

1. İlgili GPO Backup klasörünü bulun:

İndirdiğiniz toolkit içinde genellikle şu yapıda olur:

Windows 11 Security Baseline > GPOs > W11-22H2-Security-Baseline

Bu klasörde Backup adında .pol ve .inf dosyaları içeren bir yapı görürsünüz. Bu, LGPO’nun anlayabileceği formattır.

2. Komutla Uygulama:

LGPO.exe ‘nin bulunduğu dizinde aşağıdaki komutla baseline’ı uygulayabilirsiniz:

.\LGPO.exe /g "C:\Windows Server-2022-Security-Baseline"

İşlem çok uzun sürmeyecektir. Bittiğinde makine üzerindeki Yerel Grup İlkesi ayarları artık Microsoft’un önerdiği şekilde yapılandırılmış olur.

3. Doğrulama:

gpresult /h c:\policyreport.html
Komutu ile C dizinin altında oluşan policyreport.html sayfasını incelerseniz, yapılandırmanın uygulandığını görebilirsiniz.
Son yapılandırma sonrası üstteki ilke ayarları aşağıdaki gibi değişmiş olmalıdır.

Dikkat Edilmesi Gerekenler

  • Security Baseline, bazı servisleri devre dışı bırakabilir. Özellikle Bluetooth, WiFi Hotspot veya SMBv1 gibi servisler otomatik kapatılır.

  • Kuruma özel uygulamalar bu ayarlarla çakışabilir. Önce bir test cihazında deneyin.

  • Kullanıcı hakları (user rights assignments) kısmı bazı yönetim araçlarını kısıtlayabilir.

Ekstra: Sadece Belirli Ayarları Almak Mümkün mü?

Evet. İsterseniz baseline içinden sadece istediğiniz .inf veya .pol dosyalarını ayıklayarak kendi “custom baseline”’ınızı oluşturabilirsiniz. Veya LGPO.exe /m ve /u parametreleriyle makine veya kullanıcı bazlı GPO ayarlarını ayrı ayrı uygulayabilirsiniz.

Sonuç

Sahada, özellikle domain dışı makinelerde kurumsal güvenliği yakalamak zordur. Ama LGPO.exe ile Microsoft’un Security Baseline’larını doğrudan uygulayarak bu zorluğu kolayca aşabiliyoruz.

Faydalı olması dileğiyle.

Leave a Reply

Your email address will not be published. Required fields are marked *