Windows Server 2019 İçin Güvenlik Tavsiyeleri

Windows Server 2019 İçin Güvenlik Tavsiyeleri

Windows Server 2019, önceki Windows Server işletim sistemlerine kıyasla önemli ölçüde daha güvenli olan mevcut bir güçlendirme düzeyiyle birlikte gönderilir ve yüklenir.

İşletim Sistemi (OS) güçlendirmesi, hem yetkisiz değişikliklere hem de erişime karşı ek güvenlik katmanları ve önleyici tedbirler sağlar. Güçlendirme, bir işletim sisteminin güvenliğini sağlama ve saldırılacak noktaları azaltmada kritik öneme sahiptir.

Dikkat edin! Bir işletim sistemini çok fazla güçlendirirseniz, anahtar işlevselliğini bozma riskiniz vardır.

Windows Server 2019 sunucularınızı veya sunucu şablonlarınızı aşamalı olarak güçlendirin. Her seferinde başka bir açıdan güçlendirin ve ardından tüm sunucu ve uygulama işlevlerini test edin.

Kaçınılması gereken hatalar

Güvenlik açığının yüzey alanının azaltılması, işletim sisteminin güçlendirilmesinin amacıdır. Alanı olabildiğince küçük tutmak, yaygın kötü uygulamalardan kaçınmak anlamına gelir.

  1. Kullanıcı Erişim Kontrolünü (UAC) kapatmayın. UAC kaydırıcısını en üste taşımalısınız. Yeni bir uygulama yüklemeye veya sistem ayarlarını değiştirmeye çalışırken yapılacak birkaç ekstra tıklama, gelecekte sistemin güvenliğinin aşılmasını önleyebilir.
  2. Eğer başka bir uygulamanın çalışması için gerekli değilse, Windows Server 2019 işletim sistemlerine Google Chrome, Firefox, JAVA, Adobe Flash, PDF görüntüleyiciler, e-posta istemcileri vb. yüklemeyin.
  3. Windows Server 2019 sunucularınıza gereksiz roller ve özellikler yüklemeyin. IIS gibi bir rol yüklemeniz gerekiyorsa, yalnızca gereken minimum özellikleri etkinleştirin ve tüm rol özelliklerini etkinleştirmeyin.

Windows Server 2019 işletim sisteminizi tamamen patchlemeyi ve sunucularınızı aylık olarak patchleyip yeniden başlatan bir arayüz oluşturmayı unutmayın.

Windows 2019 Server Core

Windows Server 2019’un temeli olarak, Windows Server 2019’un temel sürümü kurulmalıdır. Bu sürüm Windows 2019 Server Core’dur. Sunucu Core, geleneksel GUI arayüzünü işletim sistemine kaldırır ve aşağıdaki güvenlik avantajlarını sağlar.

• Sunucu Çekirdeği, GUI’li Sunucudan daha küçük bir saldırı yüzeyine sahiptir

• Daha az yazılım güncellemesi ve yeniden başlatma gerektirir

• Yeni Windows Yönetim Merkezi kullanılarak yönetilebilir

Geleneksel Windows yöneticileri, PowerShell aşinalık eksikliği nedeniyle Server Core’u çalıştırmak konusunda endişeli olabilir. Yeni Windows Yönetim Merkezi, sunucuları, kümeleri, hiper yakınsama altyapısını ve Windows 10 bilgisayarları yönetmek için ücretsiz, local, tarayıcı tabanlı bir uygulama sunar. Windows Yönetim Merkezi, Windows’un ötesinde hiçbir ek ücret ödemeden gelir ve üretimde kullanıma hazırdır.

Windows Yönetim Merkezi’ni Windows Server 2019’a, Windows 10 ve önceki Windows ve Windows Server sürümlerine yükleyebilir ve Windows Server 2008 R2 ve sonraki sürümlerini çalıştıran sunucuları ve kümeleri yönetmek için kullanabilirsiniz.

Yerel Yönetici Hesabını Güven Altına Al

Local Administrator Password Solution (LAPS)

Windows Server’ın güvenliği ihlal edilirse, saldırgan son derece değerli sistemler ve bilgiler bulmak için ağınızda hızla hareket etmeye çalışır.

Pass-the-hash gibi kimlik bilgileri hırsızlığı saldırıları, bir saldırganın güvenliği ihlal edilmiş bir bilgisayardan oturum açma bilgilerini ele geçirdiği ve daha sonra bu yakalanan kimlik bilgilerini ağdaki diğer bilgisayarlarda kimlik doğrulaması yapmak için kullandığı bir saldırı çeşitidir.

Microsoft  2015’te Local Administrator Password Solution (LAPS)’i ücretsiz olarak yayınladı. LAPS, her bilgisayarın yerel yönetici hesabı parolasını düzenli olarak rastgele ve benzersiz değere ayarlayan Active Directory etki alanına katılmış sistemler için hafif bir araçtır. Parolalar, yalnızca yetkilendirilmiş kullanıcıların alabileceği Active Directory’deki ilgili bilgisayar nesnesindeki güvenli gizli bir öznitelikte depolanır.  Parolalar PowerShell aracılığıyla veya LAPS GUI kullanılarak alınabilir.

Özellikle LAPS çözümü, tüm sunucularda ve iş istasyonlarında aynı yerel yönetici hesabını ve parola kombinasyonunu kullandığınızda ortaya çıkan yanal yükselme riskini azaltır.

Windows Defender Kimlik Bilgisi Korumasını Etkinleştir

Windows Defender Kimlik Bilgisi Koruması, kimlik bilgilerini izole ermek için kutu içi sanallaştırma tabanlı güvenlikten yararlanır, NTLM şifre karmaları,Kerberos biletleri işletim sisteminden izole ayrı sanal kapsayıcısında. Kimlik Bilgisi Koruması, yalnızca hassas kimlik bilgileri içeren bu yalıtılmış kapsayıcıya ayrıcalıklı sisten yazılımı erişimine izin verir. İşletim sisteminde yüklü ve çalışan kötü amaçlı yazılımlar(malware), sanallaştırma tabanlı güvenlikle korunan kimlik bilgilerini ve sırları çıkaramaz. Kötü amaçlı yazılım veya işlem yöneticisi ayrıcalıklarıyla çalışıyor olsa bile.

Windows Defender Credential Guard etkinleştirilerek aşağıdaki özellikler ve çözümler sağlanır:

  • Donanım güvenliği: NTLM, Kerberos ve Kimlik Bilgisi Yöneticisi, kimlik bilgilerini korumak için Güvenli Önyükleme ve sanallaştırma dahil platform güvenlik özelliklerinden yararlanır.
  • Sanallaştırma tabanlı güvenlik: Windows NTLM ve Kerberos kimlik bilgileri, Windows 2019 işletim sisteminin çalışmasından ayrılan korumalı bir ortamda çalışır.
  • İleri Kalıcı Tehditlere (APT) karşı daha iyi koruma: Kimlik Bilgisi Yöneticisi etki alanı kimlik bilgileri, NTLM, ce Kerberos’tan türetilen kimlik bilgileri sanallaştırma tabanlı güvenlik kullanılarak korunur, hedefli saldırıların çoğunda kullanılan kimlik bilgisi hırsızlığı saldırı teknikleri ve araçları engellenir.

Windows Defender Exploit Guard’ı Etkinleştirme

Antivirüs algılama yeteneklerindeki teniliklere rağmen, saldırganlar sonsuz bir şekilde adapte oluyor ve uç noktalardan taviz vermek, kimlik bilgilerini çalmak ve diske herhangi bir şey yazmaya gerek kalmadan fidye yazılımı saldırıları gerçekleştirmek için teknikler geliştiriyorlar. Tüm tehditlerin 50%’inden   fazlasını oluşturan bu telsiz saldırı eğilimi son derece tehlikelidir, sürekli değişmektedir ve geleneksel antivirüslerden kaçınmak için tasarlanmıştır.

Telsiz Saldırıların iki türü vardır: geleneksel olmayan yürütülebilir dosyalar (ör. İçinde etkin içerik bulunan belgeler) ve güvenlik açıklarından yararlananlar.

Windows Defender Exploit Guard kötü amaçlı yazılımları ve etkin açıkları tespit etmek için Intelligent Security Graph (ISG) ‘den gelen sinyalleri ve istihbaratu kullanır ve bu tür saldırıları çeşitli aşamalarda durdurur. Eğer şimdi kullanımdan kaldırılan Enhanced Mitigation Experience Toolkit(EMET)’ i kullandıysanız, Exploit Guard, Windows Defender ile birlikte gelen EMET’in modern sürümüdür. Exploit Guard, olayları, ISG kullanarak kötü niyetli davranışlarla ilişkilendirerek çalışır. Windows Defender Exploit Guard, bu tür mevcut ve ortaya çıkan tehditleri ele almak için gereken yetenek ve kontrolleri sağlar.

Windows Defender Exploit Guard’ın dört bileşeni şunlardır:

  • Saldırı Yüzeyi Azaltma (ASR): İşletmelerin MS Office, komut dosyaları ve e-posta tabanlı tehditleri engelleyerek kötü amaçlı yazılımların makineye girmesini önleyebilecekleri bir dizi denetim
  • Ağ koruması: Windows Defender SmartScreen aracılığıyla aygıttaki güvenilmeyen ana bilgisayarlara / IP’ye giden tüm işlemleri engelleyerek uç noktayı web tabanlı tehditlere karşı korur
  • Kontrollü klasör erişimi: Güvenilmeyen işlemlerin korumalı klasörlerinize erişmesini engelleyerek hassas verileri fidye yazılımlarından korur
  • Exploit koruması: Sisteminizi ve uygulamalarınızı korumak için kolayca yapılandırılabilen (EMET’in yerini alan) bir dizi exploit azaltma

Exploit Guard’ı yerel olarak Grup İlkesi, SCCM, Microsoft Endpoint Manager (InTune) dahil olmak üzere bir dizi kontrol noktasından etkinleştirebilirsiniz. Yararlı admin alışkanlıkları edinin

E-posta okumak ve rapor oluşturmak için kullanılan günlük hesabınız standart kullanıcı hesabı olmalıdır. Bu hesap, Active Directory veya yerel sunucu gruplarındaki yükseltilmiş erişim gruplarına eklenmemelidir. Yerel Yönetici Grubu üyesi olmamalısınız. Yönetici görevlerini gerçekleştirmek için yalnızca ayrıcalıklı hesapları kullanın.

Özetlemek gerekirse

Windows Server 2019 sunucularınızı güçlendirmek ve ölçeklendirilebilir güçlendirilmiş sunucu işletim sistemi temeli oluşturmak, kuruluşunuzun başarısı için kritik öneme sahiptir. Konfigürasyonunuz yamalar ve yeni yazılım kurulumlarıyla değiştikçe elinizde güçlendirme sürecinde başvurabileceğiniz bir kaynak olması için yapılan bu değişiklikleri kayıt altına almak önem taşımaktadır.

Kaynak: AT&T Cybersecurity

Related Posts

Facebook Comments