Windows Server ortamlarının güvenliği, modern bilgi işlem altyapılarının temel taşıdır. Sunucularınızdaki verilerin, uygulamaların ve hizmetlerin korunması, herhangi bir siber saldırı veya yetkisiz erişim denemesine karşı hayati önem taşır. Bu bağlamda, Windows Server Güvenlik Politikaları, sunucuların ve bağlı tüm sistemlerin güvenlik duruşunu merkezi olarak yönetmek ve güçlendirmek için kullanılan güçlü bir araç setidir. Bu politikalar, Active Directory tabanlı ağlarda Grup İlkesi Nesneleri (GPO) aracılığıyla uygulanarak, organizasyon genelinde tutarlı bir güvenlik seviyesi sağlar. Amacımız, sunucularınızın yalnızca işlevsel değil, aynı zamanda olası tehditlere karşı da dayanıklı olmasını garanti etmektir. Bu rehber, Windows Server güvenlik politikalarının temel prensiplerini, uygulanabilirliğini ve en iyi uygulamalarını detaylı bir şekilde inceleyecektir. Sistem yöneticileri ve güvenlik uzmanları için kapsamlı bir başvuru kaynağı olmayı hedeflemektedir.
Grup İlkesi Nesneleri (GPO'lar), Windows etki alanlarında kullanıcı ve bilgisayar yapılandırmalarını merkezi olarak yönetmek için kullanılan temel bileşenlerdir. GPO'lar, güvenlik politikalarından yazılım dağıtımına, masaüstü özelleştirmelerinden ağ ayarları kontrolüne kadar geniş bir yelpazede görevleri yerine getirebilir. Bir GPO, etki alanındaki belirli bir kuruluş birimine (OU), etki alanına veya siteye bağlanabilir ve bu kapsamdaki tüm kullanıcılar veya bilgisayarlar üzerinde etkili olur. Güvenlik politikalarının uygulanmasında GPO'ların rolü tartışılmazdır, çünkü binlerce sunucu ve iş istasyonunda tutarlı güvenlik standartlarının sürdürülmesini sağlar. GPO yönetimini gerçekleştirmek için genellikle "Grup İlkesi Yönetim Konsolu" (GPMC) kullanılır.
Yukarıdaki temsilci görsel, GPMC'nin arayüzünü göstermektedir. Bu arayüz üzerinden yeni politikalar oluşturulabilir, mevcut politikalar düzenlenebilir ve etki alanına uygulanabilir.
Windows Server güvenlik politikaları, geniş bir yelpazeyi kapsar ve genellikle aşağıdaki ana kategorilere ayrılır:
Hesap politikaları, kullanıcı kimlik doğrulama süreçlerinin temelini oluşturur ve yetkisiz erişimi engellemek için kritik öneme sahiptir.
Parola Politikası:
Bu politika, kullanıcıların oluşturduğu parolaların karmaşıklığını, uzunluğunu ve ömrünü belirler. Zayıf parolalar, siber saldırganlar için en kolay giriş noktalarından biridir. Bu nedenle, güçlü bir parola politikası uygulamak mutlaka gereklidir. Önerilen ayarlar şunları içerir:
Bu ayarlar, Brute-Force ve sözlük saldırılarına karşı önemli bir direnç sağlar. Her kuruluşun kendi risk değerlendirmesine göre bu değerleri ayarlaması önemlidir.
Hesap Kilitleme Politikası:
Bu politika, belirli bir süre içinde yapılan hatalı parola denemelerinin sayısını sınırlayarak Brute-Force saldırılarını önlemeye yardımcı olur.
Bu ayarlar, saldırganların çok sayıda parola tahmini yapmasını engelleyerek sisteminize yönelik riskleri azaltır. Aşırı katı bir ayar, meşru kullanıcıların hesaplarının sık sık kilitlenmesine neden olabilirken, çok gevşek bir ayar güvenliği zayıflatır. Dengeyi bulmak anahtardır.
Kerberos Politikası:
Active Directory ortamlarında kimlik doğrulamanın temelini oluşturan Kerberos protokolünün ayarlarını yönetir. Genellikle varsayılan ayarlar çoğu senaryo için uygun olsa da, belirli güvenlik gereksinimleri için bu politikalar gözden geçirilebilir.
Bu ayarlar, oturumların ne kadar süreyle geçerli olacağını ve ne sıklıkla yeniden kimlik doğrulaması gerekeceğini belirler.
Yerel politikalar, sunucu üzerindeki belirli güvenlik ayarlarını ve denetleme davranışlarını düzenler.
Denetim Politikası:
Bu politikalar, sunucu üzerinde hangi olayların (başarılı veya başarısız) günlüğe kaydedileceğini belirler. Güvenlik olay günlüklerinin doğru bir şekilde yapılandırılması, bir güvenlik ihlali durumunda soruşturma ve analiz için hayati önem taşır.
Önemli denetim kategorileri şunlardır:
Kullanıcı Yetki Ataması:
Bu bölüm, belirli kullanıcıların veya grupların hangi sistem görevlerini gerçekleştirebileceğini (örneğin, "Bilgisayarı Kapat", "Ağdan Bu Bilgisayara Erişim", "Hizmet Olarak Oturum Açma") belirler. En az ayrıcalık prensibi burada kritik öneme sahiptir. Yalnızca belirli görevleri yerine getirmesi gereken kullanıcılara veya hesaplara gerekli yetkileri vermek, bir hesabın ele geçirilmesi durumunda potansiyel zararı minimize eder. Örneğin, bir web sunucusunun hizmet hesabına "Hizmet Olarak Oturum Açma" yetkisi verilirken, sıradan bir kullanıcıya bu yetkinin verilmemesi esastır. Ayrıca, "Ağdan Bu Bilgisayara Erişimi Engelle" politikası, hassas sunuculara kimlerin erişim sağlayamayacağını belirlemek için kullanılabilir.
Güvenlik Seçenekleri:
Bu geniş kategori, sunucu davranışını etkileyen bir dizi güvenlik ayarını içerir. Örnekler şunları içerir:
Olay günlükleri, sunucu üzerindeki faaliyetlerin kaydıdır ve güvenlik olaylarını izlemek için temel bir kaynaktır. Bu politikalar, güvenlik, uygulama ve sistem günlüklerinin boyutunu ve saklama süresini yapılandırır. Günlüklerin dolmasını önlemek ve önemli bilgilerin silinmemesini sağlamak için yeterli boyut ve doğru saklama politikaları ayarlanmalıdır. Örneğin, güvenlik günlüğünün boyutu en az 512MB olarak ayarlanmalı ve "Gerekirse olayları üzerine yaz" yerine "Eski olayları üzerine yazma (günlük dolana kadar)" veya "Günlüğü otomatik olarak yedekle ve sil" seçenekleri tercih edilmelidir. Bu, adli analizler için önemli verilerin korunmasını sağlar.
Bu politika, belirli yerel grupların (örneğin, Yöneticiler, Uzak Masaüstü Kullanıcıları) üyeliklerini kontrol etmek için kullanılır. Örneğin, "Yöneticiler" grubunun yalnızca yetkili hesapları içerdiğinden emin olmak için bu politikayı kullanabilirsiniz. Bu, yetkisiz kullanıcıların ayrıcalıklı gruplara eklenmesini engelleyerek yetki yükseltme saldırılarına karşı koruma sağlar. Belirli bir kullanıcı veya grubun bu yerel grubun üyesi olması gerektiğini belirtebilir veya bu yerel grubun yalnızca belirli kullanıcıları içermesini zorlayabilirsiniz.
Sunucu üzerindeki gereksiz hizmetlerin devre dışı bırakılması, saldırı yüzeyini önemli ölçüde azaltır. Sistem Hizmetleri politikası, belirli hizmetlerin başlangıç türünü (Otomatik, Manuel, Devre Dışı) veya hizmet izinlerini GPO aracılığıyla yapılandırmanıza olanak tanır. Örneğin, bir web sunucusunda SQL Server hizmetlerinin devre dışı bırakılması veya bir etki alanı denetleyicisinde DHCP sunucusu hizmetlerinin durdurulması gibi. Her hizmetin rolü dikkatlice değerlendirilmeli ve yalnızca gerekli olanlar çalışır durumda bırakılmalıdır.
Bu politikalar, sunucularda hangi programların, betiklerin ve uygulamaların çalışmasına izin verileceğini belirleyerek, zero-day saldırılarına ve kötü amaçlı yazılımlara karşı güçlü bir savunma hattı oluşturur. AppLocker, Yazılım Kısıtlama Politikalarına göre daha gelişmiş ve granüler kontrol sağlar.
Windows Güvenlik Duvarı, sunucu üzerindeki ağ trafiğini denetlemek için kullanılır. GPO aracılığıyla, güvenlik duvarı kurallarını merkezi olarak yapılandırabilirsiniz. Bu, gelen ve giden bağlantıları kısıtlamanıza, belirli portları açıp kapatmanıza ve uygulamaların ağ erişimini kontrol etmenize olanak tanır. Örneğin, sadece belirli yönetim portlarına (RDP 3389, WinRM 5985) belirli IP adreslerinden erişime izin veren kurallar oluşturabilirsiniz. Bu, sunucularınızın ağ düzeyinde ilk savunma hattını oluşturur. Özel profiller (Etki Alanı, Özel, Ortak) için farklı kurallar tanımlanabilir.
Güvenlik politikalarının doğru bir şekilde uygulanması ve sürdürülmesi, sürekli bir çaba gerektirir.
Windows Server güvenlik politikaları, modern bir bilgi işlem altyapısının vazgeçilmez bir parçasıdır. GPO'lar aracılığıyla uygulanan bu politikalar, sunucularınızın, verilerinizin ve hizmetlerinizin yetkisiz erişime, kötü amaçlı yazılımlara ve diğer siber tehditlere karşı korunmasında merkezi bir rol oynar. Kapsamlı bir stratejiyle, parola karmaşıklığından denetim günlüklerine, uygulama kontrolünden ağ erişimine kadar her yönüyle güvenliği sağlamak mümkündür. Unutulmamalıdır ki, güvenlik statik bir durum değil, sürekli bir süreçtir. Politikalarınızı düzenli olarak gözden geçirmek, test etmek ve güncellemek, hızla değişen tehdit ortamında sunucularınızın güvende kalmasını sağlayacaktır. Doğru yapılandırılmış ve yönetilen güvenlik politikaları, organizasyonunuzun siber güvenlik direncinin temelini oluşturur. Bu rehberin, Windows Server güvenlik politikalarının anlaşılması ve etkili bir şekilde uygulanması konusunda size yardımcı olduğunu umuyoruz.
Grup İlkesi Nesneleri (GPO'lar), Windows etki alanlarında kullanıcı ve bilgisayar yapılandırmalarını merkezi olarak yönetmek için kullanılan temel bileşenlerdir. GPO'lar, güvenlik politikalarından yazılım dağıtımına, masaüstü özelleştirmelerinden ağ ayarları kontrolüne kadar geniş bir yelpazede görevleri yerine getirebilir. Bir GPO, etki alanındaki belirli bir kuruluş birimine (OU), etki alanına veya siteye bağlanabilir ve bu kapsamdaki tüm kullanıcılar veya bilgisayarlar üzerinde etkili olur. Güvenlik politikalarının uygulanmasında GPO'ların rolü tartışılmazdır, çünkü binlerce sunucu ve iş istasyonunda tutarlı güvenlik standartlarının sürdürülmesini sağlar. GPO yönetimini gerçekleştirmek için genellikle "Grup İlkesi Yönetim Konsolu" (GPMC) kullanılır.
Yukarıdaki temsilci görsel, GPMC'nin arayüzünü göstermektedir. Bu arayüz üzerinden yeni politikalar oluşturulabilir, mevcut politikalar düzenlenebilir ve etki alanına uygulanabilir.
Windows Server güvenlik politikaları, geniş bir yelpazeyi kapsar ve genellikle aşağıdaki ana kategorilere ayrılır:
- Hesap Politikaları: Parola ve hesap kilitleme ayarlarını yönetir.
- Yerel Politikalar: Denetim politikaları, kullanıcı yetki atamaları ve güvenlik seçeneklerini içerir.
- Olay Günlüğü Ayarları: Sunucu günlüklerinin boyutunu ve saklama süresini yapılandırır.
- Kısıtlı Gruplar: Belirli güvenlik gruplarının üyeliğini kontrol eder.
- Sistem Hizmetleri: Sunucu üzerindeki hizmetlerin başlangıç durumunu ve izinlerini yönetir.
- Yazılım Kısıtlama Politikaları / AppLocker: Hangi uygulamaların çalıştırılabileceğini kontrol eder.
- Windows Güvenlik Duvarı: Gelen ve giden ağ trafiğini denetler.
- Ağ Listesi Yöneticisi Politikaları: Ağ konumlarını ve profil ayarlarını tanımlar.
- Genel Ağ Erişim Denetimi: Ağ erişim politikalarını yönetir.
Hesap politikaları, kullanıcı kimlik doğrulama süreçlerinin temelini oluşturur ve yetkisiz erişimi engellemek için kritik öneme sahiptir.
Parola Politikası:
Bu politika, kullanıcıların oluşturduğu parolaların karmaşıklığını, uzunluğunu ve ömrünü belirler. Zayıf parolalar, siber saldırganlar için en kolay giriş noktalarından biridir. Bu nedenle, güçlü bir parola politikası uygulamak mutlaka gereklidir. Önerilen ayarlar şunları içerir:
Kod:
Minimum password length: 14 characters
Password must meet complexity requirements: Enabled
Enforce password history: 24 passwords remembered
Maximum password age: 90 days
Minimum password age: 1 day
Depolanan parolaların geri çevrilebilir şifrelemesi: Devre dışıHesap Kilitleme Politikası:
Bu politika, belirli bir süre içinde yapılan hatalı parola denemelerinin sayısını sınırlayarak Brute-Force saldırılarını önlemeye yardımcı olur.
Kod:
Hesap kilitleme eşiği: 10 hatalı oturum açma denemesi
Hesap kilitleme sayacını sıfırlama süresi: 30 dakika
Hesap kilitlenme süresi: 30 dakikaKerberos Politikası:
Active Directory ortamlarında kimlik doğrulamanın temelini oluşturan Kerberos protokolünün ayarlarını yönetir. Genellikle varsayılan ayarlar çoğu senaryo için uygun olsa da, belirli güvenlik gereksinimleri için bu politikalar gözden geçirilebilir.
Kod:
En uzun kullanıcı bilet ömrü: 10 saat
En uzun hizmet bileti ömrü: 600 dakika
Yenilenebilir maksimum yaşam süresi: 7 günYerel politikalar, sunucu üzerindeki belirli güvenlik ayarlarını ve denetleme davranışlarını düzenler.
Denetim Politikası:
Bu politikalar, sunucu üzerinde hangi olayların (başarılı veya başarısız) günlüğe kaydedileceğini belirler. Güvenlik olay günlüklerinin doğru bir şekilde yapılandırılması, bir güvenlik ihlali durumunda soruşturma ve analiz için hayati önem taşır.
Önemli denetim kategorileri şunlardır:
- Hesap Oturum Açma Olaylarını Denetle
- Hesap Yönetimini Denetle
- Dizin Hizmeti Erişimini Denetle
- Nesne Erişimini Denetle
- Ayrıcalık Kullanımını Denetle
- Sistem Olaylarını Denetle
Kullanıcı Yetki Ataması:
Bu bölüm, belirli kullanıcıların veya grupların hangi sistem görevlerini gerçekleştirebileceğini (örneğin, "Bilgisayarı Kapat", "Ağdan Bu Bilgisayara Erişim", "Hizmet Olarak Oturum Açma") belirler. En az ayrıcalık prensibi burada kritik öneme sahiptir. Yalnızca belirli görevleri yerine getirmesi gereken kullanıcılara veya hesaplara gerekli yetkileri vermek, bir hesabın ele geçirilmesi durumunda potansiyel zararı minimize eder. Örneğin, bir web sunucusunun hizmet hesabına "Hizmet Olarak Oturum Açma" yetkisi verilirken, sıradan bir kullanıcıya bu yetkinin verilmemesi esastır. Ayrıca, "Ağdan Bu Bilgisayara Erişimi Engelle" politikası, hassas sunuculara kimlerin erişim sağlayamayacağını belirlemek için kullanılabilir.
Güvenlik Seçenekleri:
Bu geniş kategori, sunucu davranışını etkileyen bir dizi güvenlik ayarını içerir. Örnekler şunları içerir:
- Etkileşimli oturum açma: Son oturum açan kullanıcı adını gösterme. (Güvenlik için devre dışı bırakılmalı)
- Ağ erişimi: Anonim erişime izin verme. (Devre dışı bırakılmalı)
- Cihazlar: Çıkarılabilir medyaların otomatik yürütülmesini engelleme.
- Yönetici hesaplarını yeniden adlandırma veya misafir hesabını devre dışı bırakma.
- Oturum açma denemelerinde mesaja metin ekleme.
Olay günlükleri, sunucu üzerindeki faaliyetlerin kaydıdır ve güvenlik olaylarını izlemek için temel bir kaynaktır. Bu politikalar, güvenlik, uygulama ve sistem günlüklerinin boyutunu ve saklama süresini yapılandırır. Günlüklerin dolmasını önlemek ve önemli bilgilerin silinmemesini sağlamak için yeterli boyut ve doğru saklama politikaları ayarlanmalıdır. Örneğin, güvenlik günlüğünün boyutu en az 512MB olarak ayarlanmalı ve "Gerekirse olayları üzerine yaz" yerine "Eski olayları üzerine yazma (günlük dolana kadar)" veya "Günlüğü otomatik olarak yedekle ve sil" seçenekleri tercih edilmelidir. Bu, adli analizler için önemli verilerin korunmasını sağlar.
Bu politika, belirli yerel grupların (örneğin, Yöneticiler, Uzak Masaüstü Kullanıcıları) üyeliklerini kontrol etmek için kullanılır. Örneğin, "Yöneticiler" grubunun yalnızca yetkili hesapları içerdiğinden emin olmak için bu politikayı kullanabilirsiniz. Bu, yetkisiz kullanıcıların ayrıcalıklı gruplara eklenmesini engelleyerek yetki yükseltme saldırılarına karşı koruma sağlar. Belirli bir kullanıcı veya grubun bu yerel grubun üyesi olması gerektiğini belirtebilir veya bu yerel grubun yalnızca belirli kullanıcıları içermesini zorlayabilirsiniz.
Sunucu üzerindeki gereksiz hizmetlerin devre dışı bırakılması, saldırı yüzeyini önemli ölçüde azaltır. Sistem Hizmetleri politikası, belirli hizmetlerin başlangıç türünü (Otomatik, Manuel, Devre Dışı) veya hizmet izinlerini GPO aracılığıyla yapılandırmanıza olanak tanır. Örneğin, bir web sunucusunda SQL Server hizmetlerinin devre dışı bırakılması veya bir etki alanı denetleyicisinde DHCP sunucusu hizmetlerinin durdurulması gibi. Her hizmetin rolü dikkatlice değerlendirilmeli ve yalnızca gerekli olanlar çalışır durumda bırakılmalıdır.
Bu politikalar, sunucularda hangi programların, betiklerin ve uygulamaların çalışmasına izin verileceğini belirleyerek, zero-day saldırılarına ve kötü amaçlı yazılımlara karşı güçlü bir savunma hattı oluşturur. AppLocker, Yazılım Kısıtlama Politikalarına göre daha gelişmiş ve granüler kontrol sağlar.
AppLocker kuralları, dosya yolu, yayıncı veya dosya karması gibi farklı kriterlere göre tanımlanabilir. Örneğin, yalnızca belirli bir yayımcıdan (Microsoft gibi) imzalı uygulamaların çalışmasına izin verebilirsiniz. Bu, özellikle sunucularda gereksiz uygulamaların çalışmasını ve potansiyel güvenlik açıklarını engellemek için kritik öneme sahiptir.
Windows Güvenlik Duvarı, sunucu üzerindeki ağ trafiğini denetlemek için kullanılır. GPO aracılığıyla, güvenlik duvarı kurallarını merkezi olarak yapılandırabilirsiniz. Bu, gelen ve giden bağlantıları kısıtlamanıza, belirli portları açıp kapatmanıza ve uygulamaların ağ erişimini kontrol etmenize olanak tanır. Örneğin, sadece belirli yönetim portlarına (RDP 3389, WinRM 5985) belirli IP adreslerinden erişime izin veren kurallar oluşturabilirsiniz. Bu, sunucularınızın ağ düzeyinde ilk savunma hattını oluşturur. Özel profiller (Etki Alanı, Özel, Ortak) için farklı kurallar tanımlanabilir.
Güvenlik politikalarının doğru bir şekilde uygulanması ve sürdürülmesi, sürekli bir çaba gerektirir.
- Politikaları Test Etme: Yeni bir politika uygulamanadan önce, bir test ortamında veya küçük bir pilot grupta dikkatlice test edin. Beklenmeyen yan etkilerden kaçınmak için bu adım hayati önem taşır.
- Düzenli Gözden Geçirme: Güvenlik tehditleri ve iş gereksinimleri zamanla değişir. Politikalarınızı düzenli olarak gözden geçirin ve güncel tutun. Yıllık veya altı aylık denetimler planlayın.
- En Az Ayrıcalık Prensibi: Kullanıcılara ve hizmet hesaplarına yalnızca görevlerini yerine getirmek için kesinlikle gerekli olan en düşük ayrıcalıkları atayın. Bu, bir hesabın ele geçirilmesi durumunda potansiyel zararı sınırlar.
- Yedekleme ve Geri Yükleme: GPO'larınızın düzenli yedeklerini alın. Yanlış yapılandırılmış bir politika, tüm etki alanınızı etkileyebilir. Bir sorun durumunda hızlıca geri yüklenebilir olmak önemlidir.
- Belgeleme: Uyguladığınız tüm güvenlik politikalarını ve kararlarınızı belgeleyin. Bu, yeni ekip üyelerinin öğrenmesini kolaylaştırır ve sorun giderme süreçlerini hızlandırır.
- Sürekli İzleme: Güvenlik olay günlüklerini sürekli olarak izleyin ve anormal faaliyetler için uyarılar ayarlayın. Otomatik izleme araçları ve SIEM çözümleri bu konuda yardımcı olabilir.
- Güvenlik Temelleri: Microsoft, Windows Server için güvenlik temelleri (security baselines) sağlar. Bu temeller, endüstri standartlarına ve en iyi uygulamalara dayalı önceden yapılandırılmış GPO ayarlarıdır ve başlangıç noktası olarak kullanılabilir. Daha fazla bilgi için Microsoft'un GPO En İyi Uygulamaları belgesini inceleyebilirsiniz.
Windows Server güvenlik politikaları, modern bir bilgi işlem altyapısının vazgeçilmez bir parçasıdır. GPO'lar aracılığıyla uygulanan bu politikalar, sunucularınızın, verilerinizin ve hizmetlerinizin yetkisiz erişime, kötü amaçlı yazılımlara ve diğer siber tehditlere karşı korunmasında merkezi bir rol oynar. Kapsamlı bir stratejiyle, parola karmaşıklığından denetim günlüklerine, uygulama kontrolünden ağ erişimine kadar her yönüyle güvenliği sağlamak mümkündür. Unutulmamalıdır ki, güvenlik statik bir durum değil, sürekli bir süreçtir. Politikalarınızı düzenli olarak gözden geçirmek, test etmek ve güncellemek, hızla değişen tehdit ortamında sunucularınızın güvende kalmasını sağlayacaktır. Doğru yapılandırılmış ve yönetilen güvenlik politikaları, organizasyonunuzun siber güvenlik direncinin temelini oluşturur. Bu rehberin, Windows Server güvenlik politikalarının anlaşılması ve etkili bir şekilde uygulanması konusunda size yardımcı olduğunu umuyoruz.
