Windows Server Güvenlik Denetim Listesi

Microsoft 29 Eylül 2017
Share

Windows Sunucunuzu Güçlendirin

İster kodla buluta yüzlerce Windows sunucusu dağıtın, küçük bir işletme için fiziksel sunucuları elden geçirirken, güvenli, güvenilir bir ortam sağlamak için uygun bir yöntem kullanmak başarı için çok önemlidir. Herkes, Microsoft’un her sunucu sürümünde varsayılan yapılandırmayı iyileştirmesine rağmen, kullanıma hazır bir Windows sunucusunun üretime girmesi için gereken tüm güvenlik önlemlerine sahip olmayabileceğini bilir. Windows sunucularınızın çoğu saldırıya karşı yeterince güvenli olmasını sağlamak için bu 10 adım kontrol listesini sunar.

Özel en iyi uygulamalar ihtiyaç duyduğunuza göre farklılık gösterir ancak bir sunucuyu internete götürmeden önce bu 10 alanı ele almak en yaygın saldırılara karşı koruma sağlayacaktır. Bunların birçoğu, herhangi bir sunucu için geçerli olan standart önerilerdir, bazıları Windows’a özgü iken, Microsoft sunucu platformunu sıkıştırmanın bazı yollarını incelemektedir.

Ne Niçin
1. Kullanıcı Yapılandırması Kimlik bilgilerinizi koruyun.
2. Ağ Yapılandırması İletişim kur.
3. Özellikler ve Rol Yapılandırması İhtiyacınız olanı ekleyin, yapmadığınız şeyleri kaldırın.
4. Güncelleme Yükleme Yama güvenlik açıkları
5. NTP Yapılandırması Saat kaymasını önleyin.
6. Güvenlik Duvarı Yapılandırması Harici ayak izini en aza indirin.
7. Uzaktan Erişim Yapılandırması Uzaktan yönetim oturumlarını güçlendirin.
8. Hizmet Konfigürasyonu Saldırı yüzeyinizi en aza indirin.
9. Daha Fazla Sertleştirme OS ve diğer uygulamaları koruyun.
10. Kayıt ve İzleme Sisteminizde ne olup bittiğini bilin.

 

  1. Kullanıcı Yapılandırması
    Modern Windows Server sürümleri bunu yapmaya zorlar, ancak yerel Yönetici hesabının parolasının güvenli bir yere sıfırlandığından emin olun. Ayrıca mümkün olduğunda yerel yöneticiyi devre dışı bırakın. Bu hesaba ihtiyaç duyulan çok az senaryo var ve saldırı için popüler bir hedef olduğundan, saldırının yapılmasını önlemek için tamamen devre dışı bırakılmalıdır.

Bu hesap yoldan çıktığında, kullanmak için bir yönetici hesabı oluşturmanız gerekir. Sunucunuz bir Active Directory (AD) üyesiyse veya yeni bir yerel hesap oluşturup administrators grubuna koyduysanız, uygun bir etki alanı hesabı ekleyebilirsiniz. Her iki durumda da mümkün olduğunda işinizi yönetmek, Windows sudo eşdeğerini kullanarak yükseltme isteğinde bulunmak, “Farklı Çalıştır” ve istendiğinde yönetici hesabının parolasını girmek için yönetici olmayan bir hesap kullanmayı düşünebilirsiniz.

Yerel konuk hesabının uygun olduğu yerde devre dışı bırakıldığını doğrulayın. Yerleşik hesaplardan hiçbiri güvende değil, belki de en azından herkes misafir olacak, o yüzden kapıyı kapatın. Herkesin nerede olması gerektiği konusunda emin olmak için güvenlik gruplarınızı bir kez daha kontrol edin (örneğin, uzak masaüstü kullanıcıları grubuna alan adı hesapları ekleme.)

Parolalarınızı korumayı unutmayın. Sunucudaki hesapların tehlikeye atılmamasını sağlamak için bir şifre politikası kullanın. Sunucunuz AD üyesiyse, parola ilkesi Varsayılan Etki Alanı Politikası’ndaki alan düzeyinde ayarlanır. Stand alone sunucuları yerel politika editöründe ayarlanabilir. Her iki durumda da, iyi bir şifre politikası en az aşağıdakileri oluşturacaktır:

  • Karmaşıklık ve uzunluk gereksinimleri – şifrenin ne kadar güçlü olması gerekir?
  • Parola son kullanma tarihi – parolanın ne kadar süre geçerli olduğu
  • Parola geçmişi – önceki şifrelerin ne kadar süreyle kullanılabileceği
  • Hesap kilitleme – hesabın askıya alınmasından kaç başarısız parola denemesi

Eski şifreler birçok başarılı saldırıyı açıklar, bu yüzden düzenli şifre değişiklikleri gerektirerek bunlara karşı koruma sağlayın.

  1. Ağ Yapılandırması
    Sunucular statik bir IP’ye sahip olmalı, böylece istemciler bunları güvenilir bir şekilde bulabiliyor. Bu IP, güvenlik duvarı arkasında korunan bir segment olmalıdır. Artıklık için en az iki DNS sunucusunu yapılandırın ve komut satırından nslookup kullanarak ad çözümlemesini iki kez kontrol edin. Sunucunun, DNS’de geriye doğru aramalar için bir PTR kaydı yanı sıra istediğiniz adı içeren geçerli bir A kaydına sahip olduğundan emin olun. DNS değişikliklerinin internette yaygınlaştırılmasının birkaç saat sürebileceğini unutmayın; bu nedenle sunucu ip adresleri başlamadan önce kurulmalıdır. Son olarak, sunucularda IPv6 kullanmayan tüm ağ hizmetlerini devre dışı bırakın. Bu, çevrenize bağlıdır ve burada yapılan değişiklikler, sunucu hizmet vermeden önce iyi denenmiş olmalıdır.
  2. Windows Özellikleri ve Rol Yapılandırması
    Microsoft, OS paketlerini yönetmek için rolleri ve özellikleri kullanmaktadır. Roller temel olarak belirli bir amaç için tasarlanmış özelliklerin bir toplamıdır, bu nedenle sunucular birine uyuyorsa roller genel olarak seçilebilir ve ardından özellikler oradan özelleştirilebilir. Yapmanız gereken iki önemli şey 1) ihtiyacınız olan her şeyin kurulu olduğundan emin olun. Bu, .NET framework sürümü veya IIS olabilir, ancak doğru parça olmadan uygulamalarınız çalışmaz. 2) Gereksiz yere dış paketler, sunucunun saldırı yüzeyini genişletir ve mümkün olduğunca kaldırılmalıdır. Bu, sunucuda yüklü olan, kullanılmayacak varsayılan uygulamalar için de geçerlidir. Sunucular, ihtiyaçları akılda tutmak için tasarlanmalı ve gerekli parçaların olabildiğince sorunsuz ve çabuk çalışmasını sağlamak için kullanmalıyız.
  3. Güncelleme Yükleme
    Sunucunuzu güvende tutmanın en iyi yolu güncel tutmaktır. Bu, mutlaka keskin kenarda yaşamak ve çok az testten geçmeksizin piyasaya çıktığında güncellemeleri uygulamak anlamına gelmez, ancak güncellemelerin makul bir pencere içerisinde uygulanmasını sağlamak için bir işleme sahip olmak demektir. En çok sömürülmüş güvenlik açıkları bir yaşın üzerindeyse de, kritik güncellemeler mümkün olduğunca kısa sürede test edilmekte ve sonra üretim aşamasında uygulanmaktadır.

Güncelleştirmelerin çeşitleri vardır: düzeltme ekleri tek bir açığı gidermeye eğilimlidir; roll-up’lar birkaç, belki de ilgili güvenlik açığını giderebilen bir grup pakettir ve hizmet paketleri düzinelerce veya yüzlerce bireysel yamadan oluşan geniş bir açık yelpazesine yönelik güncelleştirmelerdir. Bir güncelleme yayınlandıktan sonra başkalarının sahip olduğu tecrübeleri öğrenmek için birçok Microsoft kullanıcı forumunu inceleyin. OS sürümünün de bir tür güncelleme olduğunu ve eski sürüm sunucusu sürümlerini kullanmanın güvenlik eğrisinin çok gerisinde kaldığını unutmayın.

Üretim programınız buna izin veriyorsa, sunucunuzda otomatik güncellemeleri yapılandırmanız gerekir. Ne yazık ki, her yamayı gözden geçirmek ve test etmek için insan gücü pek çok IT mağazasından yoksun ve bu, güncellemeleri yükleme söz konusu olduğunda durgunluğa neden olabilir. Bununla birlikte, bir üretim sistemini, en azından kritik yamalar için otomatik olarak güncellemekten daha eski hale getirmek çok daha tehlikelidir. Test ortamları onları bir hafta kadar sürer ve böylece ekiplere davranışlarını gözlemleme şansını vererek güncellemeler kademeli olarak yapılmalıdır. İsteğe bağlı güncellemeler, genellikle küçük sorunları ele aldığı için manuel olarak yapılabilir.

Diğer MS yazılımı da Windows Update aracılığıyla güncellenir; bu nedenle Exchange, SQL veya başka bir MS sunucu teknolojisini kullanıyorsanız, diğer ürünler için güncellemeleri açtığınızdan emin olun. Her başvuru, düzenli olarak ve testlerle güncellenmelidir.

  1. NTP Yapılandırması

Sadece 5 dakikalık bir zaman farkı, Windows oturum açma işlemlerini ve Kerberos güvenliğine dayanan çeşitli diğer işlevleri tamamen koparacak. Etki alanı üyeleri olan sunucular otomatik olarak etki alanına katılırken zamanlarını bir etki alanı denetleyicisine senkronize eder, ancak bağımsız sunucuların saatin doğru kalması için harici bir kaynağa eşitlenmesi için NTP ayarlamaları gerekir. Etki alanı denetleyicileri, zamanlarının gerçek zamanın çalışma aralığında kalmasını sağlamak için zamanlarını bir zaman sunucusuna senkronize etmelidir.

  1. Güvenlik Duvarı Konfigürasyonu
    Örneğin bir web sunucusu inşa ediyorsanız, yalnızca web portlarının (80 ve 443) internetten o sunucuya açık olmasını isteyeceksinizdir. Anonim internet istemcileri diğer bağlantı noktalarında sunucu ile konuşabiliyorsa, bu büyük ve gereksiz bir güvenlik riski oluşturur. Sunucu, yönetim için uzak masaüstü (RDP) gibi başka işlevlere sahipse, yetkisiz kişilerin ağdan istedikleri noktadan yararlanamayacağından emin olmak için yalnızca bir VPN bağlantısı üzerinden erişilebilir olmalıdır.

Windows güvenlik duvarı, port tabanlı trafiğin OS içerisinde yapılandırılmasına olanak tanıyan iyi bir dahili yazılım güvenlik duvarıdır. Tek başına bir sunucuda veya önünde donanım güvenlik duvarı bulunmayan herhangi bir sunucuda, Windows güvenlik duvarı, saldırı yüzeyini izin verilen bağlantı noktalarına sınırlandırarak en azından ağ tabanlı saldırılara karşı bir miktar koruma sağlayacaktır. Bununla birlikte, bir donanım güvenlik duvarı her zaman daha iyi bir seçimdir, çünkü trafiği başka bir aygıta yükler ve bu trafiği işleme konusunda daha fazla seçenek sunar, böylece sunucuyu ana görevini yerine getirmeye bırakır. Hangisini kullanırsanız kullanın, kilit nokta, trafiği yalnızca gerekli yollara sınırlandırmaktır.

  1. Uzaktan Erişim Yapılandırması
    Yukarıda belirtildiği gibi RDP’yi kullanırsanız, yalnızca mümkünse VPN üzerinden erişilebildiğinden emin olun. İnternet’e açık bırakmak, saldırıya uğrayacağınızı garanti etmez, ancak potansiyel bilgisayar korsanları bu iş için tehlikelidir. RDP’ye yalnızca yetkili kullanıcılar tarafından erişilebilir olduğundan emin olun. Varsayılan olarak, tüm yöneticiler sunucuda etkinleştirildikten sonra RDP kullanabilirler. Ek kullanıcılar Uzak Masaüstü Kullanıcıları grubuna, yönetici olmadan erişmek için katılabilir.

RDP’ye ek olarak, Powershell ve SSH gibi çeşitli diğer uzaktan erişim mekanizmaları, kullanılıyorsa ve yalnızca VPN ortamında erişilebilir duruma getirildiğinde dikkatlice kilitlenmelidir. Telnet, bilgiyi düz metin halinde geçirdiğinden ve çeşitli şekillerde güvensizlik içinde olduğundan hiçbir zaman kullanılmamalıdır. FTP için de aynı şey geçerli. Mümkün olduğunca SFTP veya SSH (VPN’den) kullanın ve şifrelenmemiş iletişimleri tamamen önleyin.

  1. Hizmet Yapılandırması
    Windows sunucusu, otomatik olarak başlatılan ve arka planda çalışan varsayılan bir dizi hizmete sahiptir. Bunların birçoğu OS’nin çalışması için gereklidir, ancak bazıları kullanılmadığı takdirde devre dışı bırakılmalıdır. Güvenlik duvarı ile aynı mantığı izleyerek, birincil işlev dışında her şeyi devre dışı bırakarak sunucunun saldırı yüzeyini en aza indirgemek istiyoruz. MS sunucusunun eski sürümleri daha yenisinden çok daha fazla gereksiz hizmete sahiptir, dolayısıyla dikkatli bir şekilde herhangi bir 2008 veya 2003 (!) Sunucularını kontrol edin.

Önemli hizmetler otomatik olarak başlayacak şekilde ayarlanmalıdır, böylece sunucu başarısızlıktan sonra insan etkileşimi olmadan kurtarabilir. Daha karmaşık uygulamalar için, diğer hizmetlere yoğun uygulama hizmetleri başlatmadan önce bir şans vermek için Otomatik (Gecikmeli Başlatma) seçeneğinden yararlanın. Ayrıca bir hizmetin başlatılmadan önce başka bir hizmetin veya hizmetlerin başarıyla başlatılmasını bekleyeceği hizmet bağımlılıklarını da ayarlayabilirsiniz. Bağımlılıklar, bir kerede bir zinciri durdurup başlatmanıza izin verir; bu, zamanlama önemli olduğunda yararlı olabilir.

Son olarak, her hizmet belirli bir kullanıcının güvenlik bağlamında çalışır. Varsayılan Windows hizmetleri için genellikle Yerel Sistem, Yerel Hizmet veya Ağ Hizmeti hesaplarıdır. Bu yapılandırma çoğu zaman işinize yarayabilir, ancak uygulama ve kullanıcı hizmetleri için, en iyi uygulama, bu hizmetleri gereken minimum düzeyde erişerek işlemek üzere ya yerel olarak veya AD’de hizmete özgü hesaplar oluşturmayı belirtir. Bu, bir uygulamanın güvenliğini tehlikeye atan kötü niyetli aktörleri, bu uzlaşmayı sunucunun veya alanın diğer alanlarına genişletmesini engeller.

  1. Daha Fazla Sertleştirme
    Microsoft, rollerini ve sunucu sürümünü temel alarak, tarama ve öneriler yaparak sistemlerinizi daha da güçlendirmenize yardımcı olan en iyi uygulamalar analizcilerini sunar.

Kullanıcı Hesabı Denetimi (UAC) rahatsız edici olabilse de, çalıştırılabilirleri oturum açmış kullanıcının güvenlik bağlamından soyutlamanın önemli amacına hizmet eder. Bu, bir yönetici olarak giriş yaptığınızda bile, UAC, uygulamanızın sizin onayınız olmadan sizin gibi çalışmasını önleyecektir. Bu, zararlı yazılımların arka planda çalışmasını ve kötü niyetli web sitelerinin yükleyicileri veya diğer kodları çalıştırmasını önler. UAC’yi mümkün olduğunca açık tutun.

Bu kılavuzdaki ipuçları Windows işletim sistemini güvence altına almaya yardımcı olur, ancak çalıştırdığınız her uygulamanın da sertleştirilmesi gerekir. MSSQL ve Exchange gibi yaygın Microsoft sunucu uygulamaları, onları korumaya yardımcı olabilecek belirli güvenlik mekanizmalarına sahiptir, maksimum esneklik için her uygulamanın araştırılıp ayarlandığından emin olun. Bir web sunucusu kuruyorsanız, İnternet’e bakan güvenliğini artırmak için sertleştirme rehberimizi de takip edebilirsiniz.

  1. Günlüğe Kaydetme ve İzleme
    Sonunda, günlüklerinizin ve izleme sisteminizin yapılandırıldığından ve istediğiniz verileri yakaladığından emin olmanız gerekir; böylece bir sorun olması durumunda, hızlı bir şekilde ihtiyaç duyduğunuz şeyleri bulabilir ve düzeltebilirsiniz. Günlüğü, sunucunuzun bir alanın parçası olup olmadığına bağlı olarak farklı şekilde çalışır. Etki alanı oturum açma işlemleri, etki alanı denetleyicileri tarafından işlenir ve bu denetim günlüğüne, yerel sistem değil bu etkinlik için sahip olurlar. Tek başına sunucular güvenlik denetimlerine açıktır ve geçişleri ve / veya hataları gösterecek şekilde yapılandırılabilir.

Günlüklerinizin maksimum boyutunu kontrol edin ve bunları uygun bir boyuta getirin. Günlük varsayılanları, karmaşık üretim uygulamalarını izlemek için neredeyse her zaman çok küçüktür. Bu nedenle, disk alanı, özellikle MS Exchange gibi uygulamalar için günlüğe kaydetme için sunucu yapıları sırasında ayrılmalıdır. Günlükler, kuruluşunuzun saklama politikalarına göre yedeklenmeli ve daha güncel olaylara yer açmak için temizlenmelidir.

Sunucular üzerinde ayrı ayrı günlükler işlemek çok zorlaşırsa merkezi bir günlük yönetimi çözümü düşünün. Linux dünyasındaki bir sistem günlüğü sunucusu gibi, Windows sunucuları için merkezi bir etkinlik görüntüleyici, orta ve büyük ölçekli ortamlar için sorun giderme ve düzeltme sürelerini hızlandırmaya yardımcı olabilir.

Bir performans taban çizgisi oluşturun ve önemli metrikler için bildirim eşiği ayarlayın. İster dahili Windows performans izleyicisi veya veri toplamak için bir istemci veya SNMP kullanan bir üçüncü taraf çözümü kullanın, her sunucuda performans bilgisi toplamak gerekir. Kullanılabilir disk alanı, işlemci ve bellek kullanımı, ağ etkinliği ve hatta sıcaklık gibi şeyler sürekli analiz edilmeli ve kaydedilmeli böylece anormallikler kolayca tanımlanmalı ve ele alınmalıdır. Üretim takvimlerinin telaşlı doğası nedeniyle bu adım sıklıkla atlanır, ancak belirlenen temel hatalar olmadan sorun giderme işlemi temel olarak karanlıkta çekim yapıyor olduğundan uzun vadede temettü ödeyecektir.

Özet


İdeal durumunuzu tanımlamak, sunucu yönetimi için önemli bir ilk adımdır. Bu ideali karşılamak için yeni sunucular kurmak bir adım daha ileriye götürür. Ancak, güvenilir ve ölçeklenebilir bir sunucu yönetimi süreci oluşturmak, gerçek durumun beklenen idealden sınanmasını gerektirir. Bunun nedeni, yapılandırmaların zamanla sürüklenmesidir: güncellemeler, BT tarafından yapılan değişiklikler, yeni yazılımın entegrasyonu – nedenler sonsuzdur.

BT ortamınıza benzersiz bir görünürlük ve yapılandırma sürüklenmesini istenen duruma karşı kontrol ederek ve varlıkların uyumdan düştüğü zaman sizi uyarması anlamına gelir. Sistemlerin birbirleriyle nasıl karşılaştırıldığını veya bir grupta nasıl yapılandırmaların farklı olduğunu görmek veya geçmiş eğilimleri keşfetmek için zamanla kendiliğinden bir sistemi karşılaştırmak. Kendinize bir deneyin , ilk 10 düğüm serbesttir .

 

(Visited 132 times, 1 visits today)

Tags:

You may also like...

Öğrenmek akıntıya karşı yüzmek gibidir ilerleyemediğiniz taktirde gerilersiniz.

Kategoriler

Example of HTML block level element

Yayımlamamı istediğiniz bir doküman var ise biyohazard@gmail.com e-posta adresimden benimle iletişime geçebilirsiniz.