Güvenlik

Selamlar,

Bu ay ki yazımda sizlere bizim müşterilerimize her fırsatta anlattığımız "Defense In Depth" modelinin ağ güvenliği başlığından bahsetmek istiyorum. "Defense In Depth" yaklaşımı bilgisayar sistemleri güvenliği konusunda kapsamlı ve katmansal bir yaklaşımın uygulanmasını önerir. Çoğu zaman sistem güvenliğini tek bir güvenlik programının varlığı ile eşleştirilmesi en çok karşılaştığımız problemlerden biri. Bilgisayar sistemleri tek bir yazılım ile korunayamacak kadar karmaşıktır ve dolayısıyla sistem güvenliği katmanlı bir model içinde incelenmeli ve incelemeyi yapan uzman tüm parçalar hakkında en azından sahip oldukları arayüzler adına bilgi sahibi olmalıdır. İşte bilgisayar ağları güvenliği bu aşamada yapılacak çalışmalar dahilinde en önemli parçalardan biridir ve Microsoft işletim sistemleri size bu konuda ciddi seviyede güvenlik olanakları sunar.

Bir çok ticari amaçlı çalışan organizasyon incelendiğinde, ilk kurulum sonrasında amacın doğrudan işlevsellik olduğunu ve bunu takiben yapılan network ve sistem yönetimi tasarımlarının güvenliği ön planda tutmadıklarını görürsünüz. Tam bu sebepten dolayı, güvenlik ve bunu etkinleştiren teknolojiler sistem tasarımlarına çoğu zaman sonradan eklenirler. Aynı fikirden hareketle ağ yapıları incelendiğinde, ağa erişimin herkes için açık olduğu ve ağın güvenli alanlarının bulunmadıklarını görürsünüz. Öncelikle şu soru cevaplandırılmalı, ağıma bağlı olan sistemlerin önceliklerinin hepsi aynı mı? Her sistem, güvenlik açısından, aynı anlamda mı önemli? Bu soruya hayır diye cevap verdiğinizi umuyorum. Tüm kaynakların eş erişilebilirlik ve güvenlikle yönetildiği sistemler, solucan, trojan ya da benzeri bir saldırı olduğunda tümden çöküntüye uğrarlar. Kaynaklar arasında sınırsız geçişin bulunduğu ağlarda Defense In Depth modelinin uygulandığı söylenemez.

Ağ yapılarının segmentasyonu güvenlik açısında ciddi faydalar sağlar. Doğrudan her sisteme erişimin olduğu, tüm sistemlerinin birbirleriyle denetimsiz iletişim kurabildiği sistemlerde, bir kaç saldırı mümkün olabilir:

• Ağ üzerinde hareket eden trafik izlenebilir. Bu trafik, saldırgan için bir çok ilginç bilgiye ulaşılmasını sağlar. Bir örnek vermek gerekirse, diyelim ki ağınız üzerinde dosya sunucularınız var ve fakat herhangi bir ağ katmanı güvenliği teknolojisi kullanmıyorsunuz. Örneğin ağınız üzerinde IPSec şifrelemesi kullanılmıyor. Böyle bir ağ üzerinde saldırgan ne yapabilir? Varolan teknolojiler ve araçları kullanarak, saldırgan çok basit biçimde erişimi olmayan dosyalar ağ üzerinde hareket ederken bunları kopyalayabilir. Erişim denetim listeleri ile güvenli hale getirdiğiniz dosyalar, istemediğiniz biçimde erişimi olmayan kullanıcıların eline geçebilir. Buna olanak sağlayan şey ise, dosya transfer halinde iken Windows’un dosya transfer protokolu olan SMB protokol paketleri içinde dosya datasının bulunmasıdır.
• Ağa bağlı olan sunucular, doğrudan saldırıya açık durumdadırlar. Bağlantıları kabul ederken herhangi bir denetim mekanizması kullanmadıkları için, sunucu ağa bağlı herhangi bir sistem tarafından saldırıya maruz bırakılabilir.
• Ağ üzerinde hareket eden paketler saldırgan bir kullanıcı tarafından değiştirilebilir.

Bu liste kesinlikle tam bir liste değildir. Buna ek olarak yapılabilecek bir çok saldırı yöntemi mevcut. Eğer Microsoft’a ait IPSec şifreleme teknolojisini kullanırsanız, yukarıdaki saldırılardan korunmuş olursunuz. Her ne kadar teknoloji olarak çok fazla bilinmese de aslında IPSec, Windows tabanlı ağlarda uygulanması gerçekten çok da zor olmayan bir teknolojidir. Mimari olarak incelendiğinde gerçekten karmaşık bir yapıya sahip olmasına karşın, IETF organizasyonu tarafından standart haline getirilen IPSec, ilke tabanlı bir uygulama ve yapılandırma sistemine sahiptir. Dolayısıyla ilk yapılandırma sırasında Windows’un sunduğu standart ilkeleri kullanarak çok hızlı biçimde uygulamaya geçilebilir.

Sonraki yazılarımda IPSec teknolojisi hakkında daha detaylı bilgiler vermeye çalışacağım, fakat bu yazıyı bitirmeden önce, şunu da eklemek istiyorum. IPSec ağ trafiğinde kimlik denetimi ve şifrelemeyi sağlar. Tek başına kullanıldığında sistemlerin güvenli şekilde izolasyonuna izin verir. Buna ek olarak ağa erişimin diğer organizasyon güvenlik ilkelerine göre takip edilmesini istediğinizde Network Access Protection teknolojisini kullanmalısınız. Sorularınızı bekliyorum :)

İyi çalışmalar,

Oğuzhan Filizlibay

Security Escalation Engineer

Microsoft EMEA CSS United Kingdom – Security IR Team

Malware konusunda son yıllardaki eğilimleri incelediğimizde, kötü amaçlı yazılımların genel olarak ticari ve kriminal amaç için üretilmeye başlandıklarını görürüz. Bu konuda en güzel raporlardan bir tanesini Microsoft, SIR – Security Intelligence Report adı altında yayınlıyor. Bu rapora http://www.microsoft.com/security/portal/sir.aspx adresinden ulaşabilirsiniz. Bu raporda Conficker virüsünden bahsedildiğini göreceksiniz. Bu solucanın halen tam olarak ne amaçla internet üzerinde yayınlandığını anlayabilmiş değiliz. Microsoft ve bir çok sorumlu güvenlik organizasyonu biraraya gelerek Conficker Cabal denilen grubu oluşturdu ve bu grup çalışmaları dahilinde, solucanın internet üzerinden yönetilmesini engellemeye yönelik bir çok önlem alındı; solucanın kullandığı domain isimlerinin engellenmesi ve kayıtlarının kaldırılması gibi.

Conficker solucanından etkilenmemiş networkler olmadı mı? Kesinlikle oldu, bazı networklerin başından beri Conficker’dan etkilenmediklerini, ya da bir şekilde solucanın bulaşmış olduğu bir sistem o networke girmiş olsa bile etkin olamadığını gördük. Burada Conficker gibi network üzerinden saldırı ve bulaşma yöntemlerini kullanarak yayılan solucanlardan korunmak için bir kaç önemli etkili savunma yöntemi var. Bu ve benzerlerine karşı korunmuş olan networklerde aşağıdakilerin olduğunu görüyoruz:

1. Raporlama ve yönetim özellikleri güçlü olan bir antivirüs yazılımı.

2. Microsoft ve diğer yazılım üreticilerine ait yazılımlara ait etkin bir güncelleme altyapısı.

3. Network Access Protection – NAP mekanizması.

29 Aralık 2008 günü Conficker.B variantına ait müşterilerimizden caseler almaya başladık. Bunları takiben bir çok müşterimizde AV programlarının gerekli imzayı üretme konusundaki gecikmeleri, virüsün ciddi şekilde yayılmasına neden oldu. Burada parmakla herhangi bir fimanın gösterilmesi doğru olmaz ve bir çok AV firması da kısa süre içinde ilgili imzalarını yenilediler fakat, Forefront Client Security gerçekten de ilk 6 saat içerisinde virüsün çıkışını takiben imzalarını Microsoft Update üzerinden yayınlamaya başladı ve FCS’in başarılı şekilde solucanı kontrol altına aldığını ve engellediğini biliyoruz.

Güvenlik hiç bir zaman tek bir ürünün kurulu olmasına bırakılacak kadar basit değildir; sadece Antivirüs ya da Firewall yazılımları ile bir network korunamaz ve Defense In Depth olarak da adlandırdığımız model dahilinde incelenmesi ve yönetilmesi gerekir. Bu anlamda ikinci noktayı incelersek, Microsoft’un bildiğiniz gibi her ayın ikinci Salı’sında yayınladığı güvenlik güncellemeleri var. Bu konuda diğer yazılım üreticilerinin de takip etmesi gereken, sistem yöneticilerine belirli bir takvim vermek ve güncelleme sistemine ait standartların oturtulmasıdır.

Her ne kadar ayın ikinci Salı’sına güncellemeler takvimlendirilmiş olsa da MS08-067 gibi Kasım 2008 de çıkan Windows güncellemesi normal akışın dışında bir güncelleme idi. Böyle bir durumda belirli kabuller var ya da aşağıdakileri varsaymak faydalı olabilir: Microsoft normal takviminin dışına çıkıp böyle bir güncelleme yayınlıyor ise,

1. Tanımlanmış olan açığa dair deneysel kod internette açığa vurulmuş olabilir,

2. Açıktan faydalanarak çalışan kötü niyetli yazılımların üretilmesi ve başarılı olma olasılıkları yüksektir.

Conficker virüsünün kullandığı yayılma yöntemlerinden birisi bu açığın kullanılmasıydı. Her ne kadar analiz ettiğimiz virüse ait kodun uzun süredir geliştirildiğine dair ipuçları olsa da, MS08-067’nin kapatılmasını hemen takiben çıkması, solucanın bu güncellemeyi kurmayan sistemleri hedefleyerek yayılmayı hedeflediğini bize gösteriyor. Out-Of-Band güncellemelerin Critical sınıflandırmasının da üzerinde bir şiddeti olduğunu varsaymak doğru olur. Conficker solucanı hakkında daha fazla bilgi ve korunma yöntemleri için http://www.microsoft.com/protect/computer/viruses/worms/conficker.mspx adresini incelemenizi tavsiye ederim.

Bunlara ek olarak Windows Server 2008 ürünü ile birlikte çıkardığımız Network Access Protection ve benzeri teknolojiler bu tip durumlarda değerlerini ortaya koyuyorlar. Networkunuze ait güvenlik ilkelerine uymayan,  uzun süredir güncellenmemiş ya da antivirüs yazılımı devre dışı bırakılmış sistemlerin, ayrılmış bir network içinde karantinaya alınmaları, networkunuzun geri kalanını koruyacaktır. NAP sistemine sahip bir networkte, Conficker başarılı olamaz. Conficker ve benzeri tehditler başarılı olamaz. İleriye dönük olarak, sistemlerimi ve yatırım yaptığım teknolojiyi nasıl daha güvenli hale getiririm sorusunu kendinize sık olarak soruyorsanız, NAP teknolojisini değerlendirmeniz içine almanız çok önemli.

Eğer malware reverse engineering konusu ile ilgileniyorsanız, aşağıdaki adresler de ilginizi çekecektir, fakat bu adreslerde ki dokumanlar ileri düzeyde assembler, c ve sistem programlama bilgilerine sahip olmanızı gerektiriyor, şimdiden uyarımızı yapalım :)  Microsoft Malware Protection Center portalı, 3. link, kötü niyetli yazılımlar ile ilgili olarak analizlerin yayınladığı web sitemiz, bu sayfada virüsün davranış şekli ile ilgili olarak daha genel bir değerlendirmeyi de bulabilirsiniz.

Herkese iyi haftalar!

An Analysis of Conficker

Conficker - Wikipedia, the free encyclopedia

Worm:Win32/Conficker.B Microsoft Malware Protection Center

Oğuzhan Filizlibay

Security Escalation Engineer

Microsoft EMEA CSS United Kingdom – Security IR Team

Bu ay 3 güvenlik güncellemesi yayınladık ve bunlardan bir tanesi Critical diğer ikisi Important olarak sınıflandırıldı.

MS09-006 Windows

Bu bülten Critical olarak derecelendirildi ve Windows işletim sistemi çekirdeğinde görüntü işleme yeteneğini sağlayan GDI, Graphical Driver Interface komponentindeki 3 açık kapatıldı. Bu açığı kullanacak saldırıların sisteme özel olarak hazırlanmış bir EMF dosyasını göndermesi ve bu dosyanın kullanıcı tarafından açılması gerekiyor. Resim dosyalarının görüntülenmesi işlemi kendi başına sık karşılabilecek bir işlem olduğu için ve bu tip dosyaların el değiştirmesindeki kolaylıktan dolayı bültenin derecesi Critical.

MS09-007 SChannel

Windows’da Schannel(secure channel) komponenti kullanıcı ve domain controller arasında güvenli bir kanalın kurulmasını, SSL ile korunmuş olan web sayfalarına erişimi ve bilgi el değiştirmesini sağlar. Burada kapatılan açık kullanıldığında, saldırgan kullanıcı kimliğini ele geçirebilir ve Spoofing dediğimiz saldırıyı gerçekleştireiblir. Bunun yapılabilmesi için saldırganın kullanıcının public sertifikasına başka bir yolla ulaşmış olması gerekiyor. Sonuç olarak herhangi bir kod çalıştırılması ya da Remote Code Execution mümkün olmadığı için bu bülten Important olarak sınıflandırıldı.

MS09-008 DNS, WINS

Windows tabanlı ağlarda DNS ve NetBIOS isimlerinin çözümlenmesi için kullanılan DNS ve WINS Servislerindeki açıklardan dolayı kullanıcılar saldırganın seçtiği bir sisteme yönlendirilebilirler. DNS ve/veya WINS kullanılan ağlarda güvenli isim çözümlemenin devam etmesi ve Spoofing saldırılarının engellenmesi için bu güncellemeyi en hızlı şekilde sistemlerinize uygulayın.

Bu ay 4 güvenlik bülteni yayınladık ve bunlardan ikisi Critical diğer ikisi de Important olarak derecelendirildiler. Sırayla bültenleri inceleyelim:

MS009-002 Internet Explorer

MS09-002 Internet Explorer ürünü için güncellemelerden oluşuyor. Bu güvenlik bülteni IE için belirlenmiş olan 2 açığın kapatılmasını içeriyor. Güvenlik bültenleri bir veya daha fazla açığa ait yamaları içerebiliyor dolayısıyla farklı IE sürümleri için belirlenmiş olan tehlike derecelerine bültene ait http://www.microsoft.com/technet/security/Bulletin/MS09-002.mspx sayfasından ulaşabilirsiniz.

MS09-002’de belirlenmiş olan açıkları kullanarak gerçekleştirilecek olan saldırılar saldırganın özel olarak hazırlanmış bir web sayfasına kullanıcıyı yönlendirmesini gerektiriyor. Dolayısıyla doğrudan ağ üzerinden bu bültendeki kapatılmış olan açıkları kullanarak bir saldırı gerçekleştirilmesi mümkün değil. Buna ek olarak Microsoft Office Outlook uygulaması email içerisinde bulunan HTML kodunu doğrudan Restricted Sites altındaki güvenlik ayarlarını kullanarak gösterir. Saldırı kodunu bu şekilde email yoluyla gönderen saldırgan bu açıktan faydalanamayacaktır.

Eğer sistemlerinizde High güvenlik ayarlarını kullanıyorsanız, yine bu açıktan faydanılması mümkün olmayacaktır. Açık Remote Code Execution sınıfında bir açık olduğu için eğer saldırgran başarılı olursa, IE hangi kullanıcı kimliği altında çalışıyorsa, uzaktaki sistemde bu kullanıcı kimliğinin yetkisi olan her türlü işlemi gerçekleştirebilir. Dolayısıyla her zaman söylediğimiz gibi sistemlerde normal çalışma zamanında kesinlikle lokal administrator hesabı ile oturum açmamak ve bu hesabı sadece gerektiğinde devreye sokmak genel olarak sistem güvenliğinizi arttırıcı bir yaklaşımdır. Internet Explorer’a ait bu Cumulative bülten ile ilgili olarak güncelleme paketlerini  http://support.microsoft.com/kb/961260  adresinden indirebilirsiniz. Son bir not olarak şunu da belirtmeliyim, Windows Server 2008 Core installationları bu açıktan etkilenmemektedir.

MS09-003 Exchange Server

http://www.microsoft.com/technet/security/bulletin/ms09-003.mspx

Exchange Server için iki adet Microsoft’a gizli olarak bildirilmiş olan açığın kapatıldığı bu bülten, Critical olarak derecelendirilmiştir. Critical bültenlerin diğerlerine göre kesinlikle önceliklendirilmesi tavsiye edilir. Bunun iki sebebi var, birincisi Critical olarak sınıflandırılmış olan bültende bahsi geçen açığı kullanan saldırıların başarı yüzdesi ve saldırı sonucu yapılabilecek olan işlemler.

Bu bülten dediğim gibi iki açığı kapatıyor. Açıklardan ilki saldırı sonrasında saldırganın sistemde Exchange Server’a ait servis kimliğinin yetkilerine sahip olmasına diğeri ise Denial Of Service’a sebep olabiliyor. Genel olarak Denial of Service a sebep olan güvenlik açıkları diğer açıklara göre daha düşük derecenlendirilse de, aynı bülten içinde kapatılan diğer açık sisteme ağ üzerinden yapılabilecek bir saldırıyı ve sonuç olarak da Remote Code Execution’a sebep olacağı için bültenin tamamı Critical olarak sınıflandırılmış. Eğer ağınızda Exchange Server kullanıyorsanız, MS09-003’ü en kısa süre içerisinde kurmanızı tavsiye ediyoruz.

MS09-004 SQL Server

http://www.microsoft.com/technet/security/bulletin/ms09-004.mspx

Important derecesi ile yayınlanan bülten SQL Server a ait bir adet güvenlik açığını kapatıyor. Bu bültendeki kapatılmış olan güvenlik açığının bir saldırıda kullanılması diğer bültenlere göre çok daha zor ve saldırının başarılı olarak gerçekleştirilebilmesi için bir çok değişik faktörün yan yana gelmesi gerekiyor. Bu sebepten dolayı bülten Important olarak derecelendirilmiştir.

MS09-005 Microsoft Office Visio

http://www.microsoft.com/technet/security/bulletin/ms09-005.mspx

Bu bülten de Important derecesine sahip ve saldırının gerçekleştirilebilmesi için özel olarak hazırlanmış olan bir Visio dosyasının kurbanın sistemine email, ya da bir web sayfasında host edilerek gönderilmesi gerekiyor. Bu dosya sistemde açıldıktan sonra, saldırgan, sistemde Visio’nun çalıştığı güvenlik kimliği ne ise, onu kullanarak sistem üzerinde kullanıcı hesabı oluşturma, sistem yapılandırmasını değiştirme ve sistem üzerinde uygulama kurulumu yapma gibi işlemler gerçekleştirebilir.

Oğuzhan Filizlibay

Security Escalation Engineer

Microsoft EMEA CSS – Security IR Team

Microsoft olarak bu ay 3 güvenlik açığını kapatan bir güvenlik bülteni yayınladık. Bu bültene makalenin sonundaki linkten ulaşabilirsiniz. Bu güvenlik bülteni iki adet gizli bildirilen ve bir tane de açık olarak bilinen bir güvenlik açığını kapattı.

SMB protokolu, Windows tabanlı ağların temelini oluşturan bir protokoldur. Bu protokolu kullanarak kullanıcılar dosya ve yazıcılara ağ üzerinden ulaşır, Windows sistemlerinin uzaktan yönetimini sağlar ve buna ek olarak RPC ve benzeri bir çok diğer işlevselliğe de bu protokol üzerinden ulaşırlar. Genel anlamda incelendiği zaman protokolun sıklıkla devrede olması ve aktif olarak bir çok ağ işlevini yerine getirmede zorunlu olmasından dolayı bu güncellemeyi en kısa zamanda sistemlerinize uygulamanızı tavsiye ediyoruz.

Bu açıktan faydalanma olasılığı 

Şu ana kadar MS09-001 bülteninde kapatmış olduğumuz SMB Remote Code Execution açığı ile ilgili olarak internet üzerinde bunu kullanan bir malware’e rastlamadık. Bu tabi saldırganların bu konu üzerinde çalışma yapmadıklarını kesinlikle göstermez. Kısa süre önce SMB protokolundeki benzer bir açıktan dolayı Conficker solucanının ne kadar etkili olduğunu gördük ve bu solucanın hala sistemleri etkilediğini de biliyoruz. Conficker özelinde yapılan en büyük hata Windows kullanıcılarının ve sistem yöneticilerinin MS08-067 bültenindeki sistem güncellemesini kurmakta gecikmeleri idi. Ekim 2008 ayında yayınlanan bu güncellemeyi 3 ay boyunca kurmayan sistem yöneticileri, Conficker solucanından kritik biçimde etkilendiler.

MS08-067 ile bu bültenin benzerliği ağ üzerinden saldırının gerçekleştirilebilme olasılığından kaynaklanıyor. Yani siz her ne kadar sistemlerinizi ve iç ağ altyapınızı internet üzerinden gerçekleşebilecek saldıralara karşı korumuş olsanız da, ağınız dışında çalışır iken bu açığı kullanan bir virüs mobil sistemlerinizden birini etkiler ise, o sistem ağınıza geri geldiğinde diğer bütün sistemleri enfekte edebilir.

Bülten kritiklik endeksi

Bu bülten SMB konusundaki bir çok diğer bülten gibi, Kritik sınıflandırmasını içeriyor. Göz ardı edilmemesi gereken konu, kritik olarak sınıflandırılmış olan güncellemelerin, kesinlikle uygulanmasında gecikilmemesi gerekliliğidir. Saldırganlar, sistem yöneticilerinin güncellemeleri geç uygulamalarını fırsat bilerek, Microsoft her ne kadar o açığı sistem güncellemeleri yoluyla kapatmış olsa da, saldırılarını o yayınlanmış ve kapatılmış açıkları kullanarak gerçekleştiriyorlar.

Malware yazarları, bu tip programları geliştirirken “0-day exploit” olarak da bilinen açıkları gitgide azalan bir sıklıkla kullanıyorlar. “0-day exploit” olarak tanımlanan sistem açıklarının azlığı, sorumlu bildiri yöntemlerini kullanan güvenlik araştırmacılarının sayısının artması ve yazılım üreticilerinin kodlarını güncellemedeki aktifliği ve etkinliklerindeki artıştan kaynaklanıyor. Tabi burada dikkatli olmamız gereken bir bilgi de “0-day exploit” ların tamamen ortadan kalktıklarını ya da bunların sayısının gerçekte tamamen azaldığı anlamında bir sonuca varmamız gerektiğidir. Bunlar halen vardır fakat yazılım sektörü bunları karşılama ve kapatma konusunda günümüzde çok daha etkin olarak davranmaktadır.

Açıklar hakkında teknik bilgi

Bu ay kapatılan açıklar, dediğimiz gibi SMB protokolunu kullanarak ağ üzerinden gerçekleştirilebiliyorlar. Kritik olarak endeks verilmesinin sebeplerinden biri de bu özel olarak hazırlanmış SMB paketlerini gönderen sistemin, hedefteki sistemde kimliğinin onaylanmış olmasına gerek yok. Yani, bir misafir sistem geldi, kendisine erişim izni verdiniz, network’unuze girdi ve çalışıyor. Eğer bu kişi isterse ve gerekli paketleri üretecek bir yazılımı kullanıyor ise açığı kullanarak girdiği sistemlerin kontrolunu ele geçirecektir.

Korunma yöntemleri

Güncellemeyi kurun. Bazı konfigurasyonlarda güncelleme kurulumu sonrasında sorunların çıkmasından korkulduğu için güncellemenin kurulmamasına karar verilebiliniyor. Eğer güncellemeyi kurmadığınız süre içerisinde SMB protokolunu ve makinalardaki Server servisini kesinlikle kullanmamayı kabul ediyosanız, evet güncellemeyi kurmayı geciktirebilirsin.

Buna ek olarak, ağınızdaki SMB protokolune dair güvenliği arttırabilmek için yapabileceğiniz şeyler var. Örneğin Microsoft kendi iç ağında tamamen IPSec tabanlı bir network katmanı güvenliği kullanır. Bu ağa dışarıdan giren sistemler, Microsoft domainlerinin parçası olmadıkları ve ilgili güvenlik kimliğine sahip olmadıkları için kesinlikle bizim tarafımızdan yönetilen sistemler ile iletişim kuramazlar. Siz de ağınızda benzer bir network katmanı güvenliği kurabilirsiniz. Benim önerim, bu bülten özelinde şu iki şeyi yapmanız:

- IPSec kullanın

- Network Access Protection – NAP kullanın

Bu iki teknolojinin networkunuzu koruyabileceği bir çok açı var. NAP sisteminize, güncellemeleri tam olmayan, Antivirüs programındaki definition dosyası eski olan ya da sizin tanımladığınız bir güvenlik ayarına sahip olmayan bir makinanın ağınıza doğrudan erişim sağlamasını engelleyecektir.

Eğer Conficker outbreak’i sırasında sistem yöneticileri NAP kullanıyor olsalardı, ve ağlarına MS08-067 güncellemesini kurmamış olan sistemlerin girmesini engelleselerdi o zaman, Confciker virüsü bu kadar etkin ve başarılı olamazdı.

Bu ay ki güncellemeler hakkındaki genel bilgiler böyle, buna ek olarak http://www.microsoft.com/technet/security/Bulletin/MS09-001.mspx adresinde yayınlanmış olan bültenin detaylarını gözden geçirmenizi ve incelemenizi tavsiye ederim.

Sorularınızı bekliyorum :) !

Oğuzhan