BLOG

Windows Sunucu Güvenliği Kontrol Listesi

Hepimiz güvenli sunuculara sahip olmak isteriz. Bu yazıda Windows Sunucularda kontrol edilmesi gereken tüm adımları tek bir yerde toplamak istedim. Böylelikle unuttuğunuz, gözden kaçırdığınız ya da hiç bilmediğiniz adımları görebilicek ve gönül rahatlığıyla sunucu kurulumuna devam edebiliceksiniz.

Windows Sunucu Güveniği Kontrol Listesi

  • Destek verilen güncel Windows işletim sistemleri kullanının.
  • Basic Input Output System(BIOS) ayarları alanını parola ile koruyun.
  • Sunucuları yerel modda kullanmaya çalışın(mümkünse).
  • Otomatik Güncellemeleri aktif etmeli, SSCM kullanılmalı(mümkünse).
  • Sunucu üzerinde yetkileri belirleyen listeler olmalı ve bu hiyerarjiye uyulmalı.
  • Sunucuların düzenli olarak yedekleri alınmalı.
  • Sunucular Active Directory üzerine aktarılmalı.
Image for post
  • Sunucular arası iletişim için VPN kullanılmalı .
  • Parolaların sık aralıklarla değiştilmesi (3–6 Ay).
  • Büyük ve küçük harfler, sayılar ve özel karakterler (!, #, $ Ve% gibi) içeren en az 12 ila 14 karakterden oluşan güçlü parolalar kullanılmalı.
  • Belli bir zaman aralığında 3 ya da daha fazla geçersiz parola denemesinde user devre dışı bırakılmalı.
  • Logların belli aralıklar ile takip edilmeli.
  • Açıklardan faydalanılmasının önüne geçmek için EMET vb. uygulamalar kurulmalı.
  • Mümkün olduğunca 3. parti yazılımlar kurulmamalı, kurulur ise güvenlik güncellemeleri takip edilmeli.
  • Anti-Virüs uygulamaları kullanılmalı.
Image for post
  • Sistemde kurulu anti-virüs uygulaması ile belli aralıklarla tarama yapılmalı
  • Güvenlik Duvarını aktif edilmeli.
  • Kullanılmayan portlara erişim kalıcı olarak kapatılmalı.
  • RDP bağlantısı yapılıcaksa default portu değiştirilmeli.
  • Uzak masaüstü bağlantılarında VPN kullanılmalı.
  • Sunucunun kullanılmayan bütün özellikleri devre dışı bırakılmalı(yazıcı paylaşımı, dosya paylaşımı vb.)
  • Mümkünse tüm internet tarayıcıları kaldırılmalı.
  • Phishing(Oltalama) saldırılarına mağruz kalmamak için tüm e-posta istemcileri kaldırılmalı
Image for post
  • Kullanıcı hesap denetimini etkinleştirilmeli ve kuralları operatörlere göre düzenlenmeli.
  • Web sunucusu üzerinde kullanılacak bütün web sitelerinde TLS kullanımına özen gösterilmeli.
  • Yedekleme için en az iki DNS sunucusu ve komut isteminden nslookup kullanarak çift onay ad çözümlemesi yapılandırılmalı.
  • Sunucunun, istediğiniz adla birlikte DNS’de geçerli bir A kaydının yanı sıra geriye doğru aramalar için bir PTR kaydının olduğundan emin olunmalı.
  • Sunucuda eğer IPv6 kullanılmayacaksa interface üzerinden kalıcı olarak devre dışı bırakın
  • Sunuculara saldırı düzeyini azaltmak için gereksiz uygulamalar kaldırılmalı.
  • Powershell ve SSH uzaktan erişim için kullanılıcaksa sadece VPN ile kullanılıcak şekilde ayarlanmalı.
Image for post
  • Telnet, FTP gibi şifrelenmemiş protokoller kullanılmamalı.
  • Dosya yükleme işlemleri mümkün olduğunca SFTP üzerinden gerçekleştirilmeli.
  • Sunucumuzda önemli olan servisler otomatik başlayacak şekilde ayarlanmalı.
  • Misafir hesaplar devre dışı bırakılmalı
  • Kullanılmayan user’lar hemen devre dışı bırakılmalı ya da silinmeli.
  • Ncacn_ip_tcp kaldırılmalı.
  • TCP / IP üzerinden NetBIOS’u devre dışı bırakılmalı.
Image for post
  • LAN Manager kimlik doğrulama seviyesini sadece NTLMv2’ye izin vermeli ve LM ile NTLM’yi reddetmek için ayarlanmalı.
  • NTFS veya BitLocker ile yerleşik dosya şifrelemesini etkinleştirin.
  • Windows Server 2016/2012/2008/2003 lisans anahtaları mutlaka girilmeli.
  • Ek olarak fiziksel faktörlerede dikkat edilmeli (Örn: Su baskını, yüksek ısı, kitli odada muhafaza etme, statik elektrik vb.)

TAGS >

Post a comment