Kontrol Listeleri

Windows Sunucu Güvenliği Kontrol Listesi

8 Ekim 2018

Windows Sunucu Güvenliği Kontrol Listesi

Windows sunucunuz üzerinde güvenlik önlemlerinin alınması hakkında yapılması gereken olmazsa olmazlarımızı yazacağım, yapıp yapmadığınızı bu liste aracılığı ile kontrol edebilirsiniz. Ayrıca eklemek istediklerinizi yorum olarak belirtirseniz sevinirim.

  1. Destek verilmesi durdurulan windows işletim sistemlerini yenileri ile güncelleyin
  2. BIOS alanını şifreleyin
  3. Otomatik güncelleştirme özelliklerini aktif edin, mümkünse SSCM kullanın
  4. Hiyerarşiyi takip edecek listeler oluşturun(excel vb)
  5. Mümkünse sunucuları yerel modda kullanmaya özen gösterin
  6. Sunucuları mümkünse Active Directory üzerine aktarın
  7. Sunucular arasında iletişim kurulacaksa Ipsec gibi VPN teknolojileri kullanın
  8. Parola güvenliğini sağlamak amacı ile 90 günde bir parola değiştirmeye zorlayın
  9. Parola uzunluklarını minimum 12 karekter olacak şekilde ayarlayın
  10. Sunucularda 15 dakikada 2 kez geçersiz parola denemesi yapılırsa hesabı devre dışı bırakın
  11. Logon eventlerini belirli aralıklarla takip edin
  12. Ataklara karşı koymak için sunuculara EMET kurulumunu gerçekleştirin
  13. Sunucular üzerinde kullanılan 3.parti yazılımların güvenlik güncelleştirmelerini mutlaka gerçekleştirin
  14. Anti-virüs uygulamaları kullanımına özen gösterin(Kaspersky, Sophos, Eset vb)
  15. Sistemde yüklü olan antivirüs uygulaması ile belirli aralıklarla tarama işlemi gerçekleştirin
  16. Sistemde günlük tutmayı aktif hale getirin
  17. Güvenlik duvarı kullanımına özen gösterin, ihtiyacınız olmasa bile güvenlik duvarını açın
  18. Kullanılmayan portlara erişimleri kalıcı olarak kapatın
  19. RDP bağlantısı yapılacaksa mutlaka portunu değiştirin
  20. Uzak masaüstü bağlantılarında IPSEC gibi VPN teknolojileri kullanın
  21. Sunucuda kullanılmayan bütün özellikleri devre dışı bırakın(yazıcı sunucusu, yazıcı paylaşımı, dosya paylaşımı)
  22. Tüm İnternet tarayıcılarını kaldırın veya devre dışı bırakın
  23. Kimlik avı saldırılarına karşı korumak için sunucudaki tüm e-posta istemcilerini kaldırın
  24. Kullanıcı hesap denetimini etkinleştirin ve kuralları operatörlere göre düzenleyin
  25. Web sunucusu üzerinde kullanılacak bütün web sitelerinde TLS kullanımına özen gösterin
  26. Yedekleme için en az iki DNS sunucusu ve komut isteminden nslookup kullanarak çift onay ad çözümlemesi yapılandırın
  27. Sunucunun, istediğiniz adla birlikte DNS’de geçerli bir A kaydının yanı sıra geriye doğru aramalar için bir PTR kaydının olduğundan emin olun.
  28. Sunucuda eğer IPv6 kullanılmayacaksa interface üzerinden kalıcı olarak devre dışı bırakın
  29. ihtiyacınız olan her şeyin kurulu olduğundan emin olun.
  30. İhtiyacınız olmayan her şeyi kaldırın. Sunucunun saldırı yüzeyini gereksiz yere arttırmayın.
  31. Sunucuda varsayılan olarak yüklü gelen uygulamaları kaldırın
  32. Windows oturum açmalarını ve kerberos güvenliğine dayalı çeşitli diğer işlevler tamamen aksayacağından dolayı NTP kullanımına özen gösterin
  33. Powershell ve SSH gibi diğer uzaktan erişim mekanizmaları eğer kullanılacaksa sadece VPN üzerinden kullanılacak şekilde ayarlayın
  34. Şifrelenmemiş protokolleri kullanmayın(telnet, FTP)
  35. Mümkünse dosya yükleme işlemlerini SFTP üzerinden gerçekleştirin
  36. 2008 ve 2003 gibi eski sürümlerde bulunan servisleri özellikle kontrol edin, gerekli olmayanları kapatın
  37. Önemli servisleri otomatik olarak başlayacak şekilde ayarlayın
  38. Kurtarma konsoluna otomatik yönetimsel oturum açmayı devre dışı bırak
  39. Alternatif medyadan izinsiz olarak önyükleme yapılmasını önlemek için aygıt önyükleme sırasını yapılandırın
  40. Misafir hesaplarını devre dışı bırak
  41. “everyone” olarak geçen izinleri gerekmedikçe asla kullanmayın
  42. Anonim SID ve Ad çeviri özelliğini devre dışı bırak
  43. Kullanılmayan kullanıcı hesaplarını derhal devre dışı bırakın veya silin
  44. Ncacn_ip_tcp kaldırın
  45. TCP / IP üzerinden NetBIOS’u devre dışı bırak
  46. Herhangi bir paylaşımın anonim olarak erişilmesine izin vermeyin
  47. Yerel Sistemin NTLM için bilgisayar kimliğini kullanmasına izin ver
  48. LAN Manager kimlik doğrulama seviyesini sadece NTLMv2’ye izin vermek ve LM ile NTLM’yi reddetmek için ayarlayın
  49. NTFS veya BitLocker ile yerleşik dosya şifrelemesini etkinleştirin
  50. Windows Server 2016/2012/2008/2003 lisans anahtalarınızı mutlaka girin
  51. Gereksiz tüm yürütülebilir dosyaları ve kayıt defteri aracılığı ile kaldırın
  52. Fiziksel sunucu güvenliğinizi mutlaka tamamlayın
Yorum yap

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir