Windows Sunucu Güvenliği Kontrol Listesi

Windows sunucunuz üzerinde güvenlik önlemlerinin alınması hakkında yapılması gereken olmazsa olmazlarımızı yazacağım, yapıp yapmadığınızı bu liste aracılığı ile kontrol edebilirsiniz. Ayrıca eklemek istediklerinizi yorum olarak belirtirseniz sevinirim.

1. Destek verilmesi durdurulan windows işletim sistemlerini yenileri ile güncelleyin
2. BIOS alanını şifreleyin
3. Otomatik güncelleştirme özelliklerini aktif edin, mümkünse SSCM kullanın
4. Hiyerarşiyi takip edecek listeler oluşturun(excel vb)
5. Mümkünse sunucuları yerel modda kullanmaya özen gösterin
6. Sunucuları mümkünse Active Directory üzerine aktarın
7. Sunucular arasında iletişim kurulacaksa Ipsec gibi VPN teknolojileri kullanın
8. Parola güvenliğini sağlamak amacı ile 90 günde bir parola değiştirmeye zorlayın
9. Parola uzunluklarını minimum 12 karekter olacak şekilde ayarlayın
10. Sunucularda 15 dakikada 2 kez geçersiz parola denemesi yapılırsa hesabı devre dışı bırakın
11. Logon eventlerini belirli aralıklarla takip edin
12. Ataklara karşı koymak için sunuculara EMET kurulumunu gerçekleştirin
13. Sunucular üzerinde kullanılan 3.parti yazılımların güvenlik güncelleştirmelerini mutlaka gerçekleştirin
14. Anti-virüs uygulamaları kullanımına özen gösterin(Kaspersky, Sophos, Eset vb)
15. Sistemde yüklü olan antivirüs uygulaması ile belirli aralıklarla tarama işlemi gerçekleştirin
16. Sistemde günlük tutmayı aktif hale getirin
17. Güvenlik duvarı kullanımına özen gösterin, ihtiyacınız olmasa bile güvenlik duvarını açın
18. Kullanılmayan portlara erişimleri kalıcı olarak kapatın
19. RDP bağlantısı yapılacaksa mutlaka portunu değiştirin
20. Uzak masaüstü bağlantılarında IPSEC gibi VPN teknolojileri kullanın
21. Sunucuda kullanılmayan bütün özellikleri devre dışı bırakın(yazıcı sunucusu, yazıcı paylaşımı, dosya paylaşımı)
22. Tüm İnternet tarayıcılarını kaldırın veya devre dışı bırakın
23. Kimlik avı saldırılarına karşı korumak için sunucudaki tüm e-posta istemcilerini kaldırın
24. Kullanıcı hesap denetimini etkinleştirin ve kuralları operatörlere göre düzenleyin
25. Web sunucusu üzerinde kullanılacak bütün web sitelerinde TLS kullanımına özen gösterin
26. Yedekleme için en az iki DNS sunucusu ve komut isteminden nslookup kullanarak çift onay ad çözümlemesi yapılandırın
27. Sunucunun, istediğiniz adla birlikte DNS’de geçerli bir A kaydının yanı sıra geriye doğru aramalar için bir PTR kaydının olduğundan emin olun.
28. Sunucuda eğer IPv6 kullanılmayacaksa interface üzerinden kalıcı olarak devre dışı bırakın
29. ihtiyacınız olan her şeyin kurulu olduğundan emin olun.
30. İhtiyacınız olmayan her şeyi kaldırın. Sunucunun saldırı yüzeyini gereksiz yere arttırmayın.
31. Sunucuda varsayılan olarak yüklü gelen uygulamaları kaldırın
32. Windows oturum açmalarını ve kerberos güvenliğine dayalı çeşitli diğer işlevler tamamen aksayacağından dolayı NTP kullanımına özen gösterin
33. Powershell ve SSH gibi diğer uzaktan erişim mekanizmaları eğer kullanılacaksa sadece VPN üzerinden kullanılacak şekilde ayarlayın
34. Şifrelenmemiş protokolleri kullanmayın(telnet, FTP)
35. Mümkünse dosya yükleme işlemlerini SFTP üzerinden gerçekleştirin
36. 2008 ve 2003 gibi eski sürümlerde bulunan servisleri özellikle kontrol edin, gerekli olmayanları kapatın
37. Önemli servisleri otomatik olarak başlayacak şekilde ayarlayın
38. Kurtarma konsoluna otomatik yönetimsel oturum açmayı devre dışı bırak
39. Alternatif medyadan izinsiz olarak önyükleme yapılmasını önlemek için aygıt önyükleme sırasını yapılandırın
40. Misafir hesaplarını devre dışı bırak
41. “everyone” olarak geçen izinleri gerekmedikçe asla kullanmayın
42. Anonim SID ve Ad çeviri özelliğini devre dışı bırak
43. Kullanılmayan kullanıcı hesaplarını derhal devre dışı bırakın veya silin
44. Ncacn_ip_tcp kaldırın
45. TCP / IP üzerinden NetBIOS’u devre dışı bırak
46. Herhangi bir paylaşımın anonim olarak erişilmesine izin vermeyin
47. Yerel Sistemin NTLM için bilgisayar kimliğini kullanmasına izin ver
48. LAN Manager kimlik doğrulama seviyesini sadece NTLMv2’ye izin vermek ve LM ile NTLM’yi reddetmek için ayarlayın
49. NTFS veya BitLocker ile yerleşik dosya şifrelemesini etkinleştirin
50. Windows Server 2016/2012/2008/2003 lisans anahtalarınızı mutlaka girin
51. Gereksiz tüm yürütülebilir dosyaları ve kayıt defteri aracılığı ile kaldırın
52. Fiziksel sunucu güvenliğinizi mutlaka tamamlayın