Günümüzün en önemli ve kritik işlerinden biri olan sunucu güvenlik süreçleri ve güvenlik için yapılması gereken basit detaylardır. Sizler ile bazı öneri ve tavsiyelerimi paylaşmak isterim. 5 adımda inceldiğim güvenlik süreçlerinde dikkat edilmesi gereken bazı detaylara değiniyor olacağım.

Kullanıcı Hesaplarının Yönetilmesi:

AD DS kurulumu sonrası default gelen kullanıcıları kullanılmayacaksa mutlaka kapatınız. Özel yetkisi olan Administrator gibi hesapların koyasını alarak isimlerini değiştirip kullanmanızı tavsiye ederim. Varsayılan Administrator hesabını kapalı duruma getirmeyi unutmayınız.

Kullanıcı şifreleri için bir politika oluşturunuz. DC üzerinde bu işlemi organize ediyorsanız GPO üzerinden bu politikayı oluşturup tüm bağlı cihazlarınıza bu politikayı uygulayabilirsiniz. Şifre politikanız mutlaka karmaşık karakterlerden (büyük harf, küçük harf, rakam ve özel karakterden) oluşmalı. En az 10 karakter oluşması ve bu karakterlerin bütünü bir anlam ifade etmemeli rasgele karakter oluşması güvenliğiniz açısından daha iyi olacaktır.

Admin yetkisi olan kullanıcılarınızı mutlaka diğer kullanıcılardan izole edin. Bu ne demek derseniz şöyle anlatayım. Sizin için oluşturulmuş yada oluşturduğunuz Ozan adında bir kullanıcınız var bu kullanıcı için admin yetkilendirmesi yapmayın. Ozan_Admin olarak yeni bir kullanıcı oluşturun ve ilgili yönetici yetkileri için bu hesabı yetkili olarak oluşturunuz. Bunun sebebi ise Ozan_Admin olarak oluşturduğunuz hesap ile ilgili sunucu üzerinde işlemleri yapabilir. Oturum ve diğer rutin işlemleriniz için Ozan kullanıcısını kullanabilirsiniz. Burada dikkat etmeniz gereken ise yetkili işlem için giriş çıkış yaptığınız kullanıcınız ile standart cihazlarda oturum açmayınız.

Kullanıcılarınız için mutlaka hatalı şifre denemesi sonrası kitlenmesi için bir politika oluşturun. Belirlediğiniz hatalı giriş sayısı üstünde hatalı şifre girişi yapıldığında hesabın kitlenmesi sürekli yapılacak şifre denemesi gibi durumlarda önemli güvenlik önlemi oluşturacaktır.

Yapınızda bulunan kullanılmayan işten ayrılmış, unutulmuş olan eski kullanıcıları mutlaka temizleyin. BGYS yapınızda oluşturacağınız bir talimat ile bunu yapmanızı önemle tavsiye ederim. Eski kullanıcılarınız yada işten ayrılan kullanıcılar için ilk etapta mutlaka şifresini şifre politikanız kapsamında yeniden oluşturunuz. Kullanıcı için ilgili yedeklerinizi aldıktan sonra kullanıcıyı bir süre örneğin 1 hafta disable olarak bekletin. 1 hafta sonunda sizden kullanıcı için ek bir istemde bulunulmaz ise kullanıcıyı siliniz. Bu yapıyı BGYS tarafında oluşturup yayınlarsanız hem sistem güvenliğiniz artırmış hem de ISO27001 standartlarından birini yerine getirmiş olursunuz.

Firewall Yönetimi:

Yapınız için mutlaka firewall kurallarınızı kullanıcılarınızın erişim çeşitliliğine göre şekillendirin. Yetkisiz bir kullanıcının ilgisiz bir sunucuya erişimini firewall üzerinde oluşturabileceğiniz kurallar ile engelleyiniz. Bu firewall donanım bazlı olabilir yada Windows server firewall tarafında kurallar oluşturarak kolayca halledebilirsiniz.

RDS ile erişim sağladığınız sunucularda mutlaka firewall tarafında scope sınırlandırması yaparak erişim sağlanabilecek IP adreslerini belirleyiniz.

Multi-Factor Authentication:

Gelişen Windows server güvenliği için MFA kullanarak iki aşamalı kimlik doğrulaması yöntemini kullanabilirsiniz. MFA azure hizmetini on-primes sistemler içinde kullanıma sunduğu bu yöntem ile SMS doğrulaması alarak sunucu ve cihazlarınızın Windows işletim sistemlerine login olabilirsiniz.

Monitoring:

Kritik sunucu ve sistemlerinizi gerek SCOM ile gerek 3rd party monitoring yazılımları kullanarak izlemeye alınız. Hem güvenlik yönetimi için hem de kaynak kullanımlarınız için anlık monitör edilmesi ve herhangi kriz durumunda mail, sms veya arama ile sizi bilgilendirmesi zamanında müdahale etmenize imkan tanıyacaktır.

Yedekleme Yönetimi:

Sunucu sistemleriniz için mutlaka yedekleme çözümünüz olsun. İlgili yedeklerinizi aynı sistem üzerinde değil mümkünse farklı bir fiziksel cihaz üzerinde saklayınız hatta mümkünse yedeklerinizin bir kopyasını da farklı bir lokasyon da bulundurunuz.