Windows server işletim sistemi ailesinde 2016-2017 yılları arasında yaygınlaşan crypto locker virüs saldırıları geçtiğimiz günlerde yayılan bir haber ile bir grup hacker tarafından günceme getirildiği ve saldırı için hazırladıklarına dair haberler internet ortamında gezinmeye başladı. Aslı nedir bilinmez ancak biz güvenlik önlemlerimizi almayı ihmal etmeyelim. Geçtiğimiz zaman diliminde duyduğumuz petya ve wannacry crypto virüsleri genel olarak sisteme SMBv1 protokolünde bulunan açıktan giriş sağlayıp işletim sisteminde bulunan dosyalarınızı şifreliyor. Bir süre sonra sisteminizi açtığınızda dosya formatlarının değiştiğini ve istediğiniz dosyalara erişmek istediğinizde bir uyarı ekranı geliyor ve sisteminizin şifrelendiğini belli bir ücret karşılığında bu şifrelemenin giderebileceğini içeren bir ekran ile karşılaşıyorsunuz. Geçmiş olduğumuz dönemlerde wannacry ile birçok kullanıcıyı etkileyen saldırının örnek görseli aşağıdaki gibidir.



Crypto virüslerinin hemen hemen hepsinin temeli fidye istemeye dayanmaktadır. İlk olarak bu tip virüslerde görülen ortak özellik Windows dizini altında "perfc" klasörünün oluşması olarak tespit edilmiştir. Data boyutu ve kaynak durumuna göre 10 ile 60 dk arasında tüm sisteminiz şifreleniyor ve sisteminiz yeniden başlatılmaya zorlanıyor. Yeniden başlatma sonrası NTFS partationlarınızın MFT tabloları şifrelenerek virüs tam anlamı ile aktif duruma geliyor. Bu kadar virüsün özeliklerinden bahsettik peki önlem olarak ne yapacağız. Fiziksel bir firewall cihazınız yok ise işletim sisteminizde belli ayarları yapılandırarak işlemlerinizi tamamlayabilirsiniz. Crypto virüslerinden korunmak ve saldırıları engellemek için yapmanız gerekenler.
  1. Windows SMBv1protokolünün devre dışı bırakılması yada takip edilmesi
  2. Windows işletim sisteminizin en güncel süreme sahip olması
  3. Windows firewall açık ve doğru yapılandırılmış olması
  4. Her ihtimal düşünülerek düzenli yedek alınması
Ek bilgi: Genelde bu tip virüsler eski işletim sistemlerinde güncellenmemiş versiyonlarında yaşanmaktadır. Örneğin Windows Server 2008, Windows Server 2012, Windows XP veya Windows7 gibi işletim sistemlerinde çok görülen bir sorundur. Yeni nesil güvenlik seviyesi artırılmış olan Windows Server 2016 veya Windows Server 2019 işletim sistemlerinde bu sorun nerdeyse hiç denecek kadar az seviyede yaşanmıştır. Biz sistem yöneticileri ve ya IT çalışanları yine de bu durumu ciddiye alıp gerekli önlemleri almamızda fayda olacağını düşünmekteyiz. Crypto virüsünden korunmak için sıraladığım maddeler kapsamında neler yapmalıyız aşağıda sizlere bunları anlatacağım. Windows SMBv1 güvenlik önleminin alınması Dosya paylaşımı için çok sık kullanılan bu protokol için eğer işletim sisteminiz eski versiyonlardan birine sahip ise bence hiç riske girmeyin bu servisi kapatın. Client işletim sistemi Windows XP veya Windows 7 gibi SMBv1 kapatmak için aşağıdaki yönergeyi izleyebilirsiniz.
  • Kapatmak için Control Panel açınız.
  • Programs tıklayınız.
  • Sol bölümde bulunan Turn Windows feature on or off linkine tıklayınız.
  • Windows Features penceresinde SMB1.0/CIFS file sharing support checkbox üzerinde bulunan check işaretini kaldırıp OK butonuna basınız.
  • Sistemi yeniden başlatınız. SMBv1 kapatma işleminiz tamamlanmıştır.
Server işletim sistemi kullanıyorsanız aşağıdaki yönergeleri izleyerek SMBv1 kapatabilirsiniz.
  • Server Manager açınız.
  • Manage menüsüne basınız.
  • Remove Roles and Features seçiniz.
  • Features penceresinde SMB1.0/CIFS File sharing support checkbox üzerinde bulunan check işaretini kaldırıp OK butonuna basınız.
  • Sistemi yeniden başlatınız. SMBv1 kapatma işleminiz tamamlanmıştır.
Bir diğer yöntem ethernet ayarlarınızda bulunan file and printer sharing yapılandırmasıdır. Bu bölümde aktif kullanılan connection servislerine dikkat etmek gerekir. Sunucunuz yerel bir network üzerinde bulunuyor ise dikkat etmeniz gereken internet ağı üzerinden bu sunucuya erişim sağlanıp sağlanamadığıdır. Eğer natlama ile bu sunucuya erişim sağlıyor yada sunucunuz public bir IP ile internete çıkıyor ise Ethernet ayarlarınızdan file and printer sharing for Microsoft networks özelliğini kapatmanızı öneririm. Bu yapılandırmada dikkat etmeniz gereken detay bu işlem sonrası sunucu üzerinde bulunan paylaşımdaki printer, klasör yada dosyalara erişim sağlayamazsınız.


Windows işletim sisteminizin güncel olması Kullanmış olduğunuz client yada server işletim sisteminizin Windows Update bölümünden tüm güvenlik ve cumulative güncellemelerinizi yükleyiniz.

 
İşletim sisteminizde eksik yada yüklemekte sorun yaşadığınız güncelleme paketlerini http://www.catalog.update.microsoft.com/home.aspx linkinden indirip yükleyebilirsiniz. Windows güvenlik ayarlarının yapılandırılmış olması
  • Windows Firewall aktif duruma getiriniz.
  • Windows Firewall kurallarını düzenleyin.
  • RDP yada dışardan erişim sağlanan servislerin portlarının değiştirilmesi
Windows güvenlik yapılandırması ile ilgili detaylı bilgiye aşağıdaki linkten erişim sağlayabilirsiniz.

Düzenli yedek alınması Sunucularınızda ki verilerin korumak yada en ön önemlisi herhangi bir failover bir durumda datalarınızın büyük bir bölümünü korumak için düzenli olarak data önemine göre periyotlarının belirlenerek 3rd party yedekleme yazılımları kullanılarak farklı bir sunucu hatta mümkünse farklı bir lokasyon üzerinde yedeklenmesi doğru olacaktır. Sunucunuz yedeklenmiyor ise belki de ilk başta yapmanız gereken sunucunuzun yedeklenmesi için gerekli alt yapı hizmetini sağlamak ve bunlar için gerekli prosedürlerin oluşturulmasıdır. Crypto virüslerinden korunmak ve saldırıları engellemek için bu adımları uygulamanız sizi ciddi zarar görmenizden ve veri kaybetmekten büyük oranda koruyacaktır.

Microsoft RDP Güvenlik Açıkları ve Alınması Gereken Önlemler konulu videoyu izlemek için tıklayınız.