Windows Sunucu Güvenliği Kontrol Listesi
Windows sunucunuz üzerinde güvenlik önlemlerinin alınması hakkında yapılması gereken olmazsa olmazlarımızı yazacağım, yapıp yapmadığınızı bu liste aracılığı ile kontrol edebilirsiniz. Ayrıca eklemek istediklerinizi yorum olarak belirtirseniz sevinirim.
- Destek verilmesi durdurulan windows işletim sistemlerini yenileri ile güncelleyin
- BIOS alanını şifreleyin
- Otomatik güncelleştirme özelliklerini aktif edin, mümkünse SSCM kullanın
- Hiyerarşiyi takip edecek listeler oluşturun(excel vb)
- Mümkünse sunucuları yerel modda kullanmaya özen gösterin
- Sunucuları mümkünse Active Directory üzerine aktarın
- Sunucular arasında iletişim kurulacaksa Ipsec gibi VPN teknolojileri kullanın
- Parola güvenliğini sağlamak amacı ile 90 günde bir parola değiştirmeye zorlayın
- Parola uzunluklarını minimum 12 karekter olacak şekilde ayarlayın
- Sunucularda 15 dakikada 2 kez geçersiz parola denemesi yapılırsa hesabı devre dışı bırakın
- Logon eventlerini belirli aralıklarla takip edin
- Ataklara karşı koymak için sunuculara EMET kurulumunu gerçekleştirin
- Sunucular üzerinde kullanılan 3.parti yazılımların güvenlik güncelleştirmelerini mutlaka gerçekleştirin
- Anti-virüs uygulamaları kullanımına özen gösterin(Kaspersky, Sophos, Eset vb)
- Sistemde yüklü olan antivirüs uygulaması ile belirli aralıklarla tarama işlemi gerçekleştirin
- Sistemde günlük tutmayı aktif hale getirin
- Güvenlik duvarı kullanımına özen gösterin, ihtiyacınız olmasa bile güvenlik duvarını açın
- Kullanılmayan portlara erişimleri kalıcı olarak kapatın
- RDP bağlantısı yapılacaksa mutlaka portunu değiştirin
- Uzak masaüstü bağlantılarında IPSEC gibi VPN teknolojileri kullanın
- Sunucuda kullanılmayan bütün özellikleri devre dışı bırakın(yazıcı sunucusu, yazıcı paylaşımı, dosya paylaşımı)
- Tüm İnternet tarayıcılarını kaldırın veya devre dışı bırakın
- Kimlik avı saldırılarına karşı korumak için sunucudaki tüm e-posta istemcilerini kaldırın
- Kullanıcı hesap denetimini etkinleştirin ve kuralları operatörlere göre düzenleyin
- Web sunucusu üzerinde kullanılacak bütün web sitelerinde TLS kullanımına özen gösterin
- Yedekleme için en az iki DNS sunucusu ve komut isteminden nslookup kullanarak çift onay ad çözümlemesi yapılandırın
- Sunucunun, istediğiniz adla birlikte DNS’de geçerli bir A kaydının yanı sıra geriye doğru aramalar için bir PTR kaydının olduğundan emin olun.
- Sunucuda eğer IPv6 kullanılmayacaksa interface üzerinden kalıcı olarak devre dışı bırakın
- ihtiyacınız olan her şeyin kurulu olduğundan emin olun.
- İhtiyacınız olmayan her şeyi kaldırın. Sunucunun saldırı yüzeyini gereksiz yere arttırmayın.
- Sunucuda varsayılan olarak yüklü gelen uygulamaları kaldırın
- Windows oturum açmalarını ve kerberos güvenliğine dayalı çeşitli diğer işlevler tamamen aksayacağından dolayı NTP kullanımına özen gösterin
- Powershell ve SSH gibi diğer uzaktan erişim mekanizmaları eğer kullanılacaksa sadece VPN üzerinden kullanılacak şekilde ayarlayın
- Şifrelenmemiş protokolleri kullanmayın(telnet, FTP)
- Mümkünse dosya yükleme işlemlerini SFTP üzerinden gerçekleştirin
- 2008 ve 2003 gibi eski sürümlerde bulunan servisleri özellikle kontrol edin, gerekli olmayanları kapatın
- Önemli servisleri otomatik olarak başlayacak şekilde ayarlayın
- Kurtarma konsoluna otomatik yönetimsel oturum açmayı devre dışı bırak
- Alternatif medyadan izinsiz olarak önyükleme yapılmasını önlemek için aygıt önyükleme sırasını yapılandırın
- Misafir hesaplarını devre dışı bırak
- “everyone” olarak geçen izinleri gerekmedikçe asla kullanmayın
- Anonim SID ve Ad çeviri özelliğini devre dışı bırak
- Kullanılmayan kullanıcı hesaplarını derhal devre dışı bırakın veya silin
- Ncacn_ip_tcp kaldırın
- TCP / IP üzerinden NetBIOS’u devre dışı bırak
- Herhangi bir paylaşımın anonim olarak erişilmesine izin vermeyin
- Yerel Sistemin NTLM için bilgisayar kimliğini kullanmasına izin ver
- LAN Manager kimlik doğrulama seviyesini sadece NTLMv2’ye izin vermek ve LM ile NTLM’yi reddetmek için ayarlayın
- NTFS veya BitLocker ile yerleşik dosya şifrelemesini etkinleştirin
- Windows Server 2016/2012/2008/2003 lisans anahtalarınızı mutlaka girin
- Gereksiz tüm yürütülebilir dosyaları ve kayıt defteri aracılığı ile kaldırın
- Fiziksel sunucu güvenliğinizi mutlaka tamamlayın