Günümüzün en kritik süreçlerinden biri olan güvenlik süreçleri ve güvenlik için yapılması gereken bazı önerileri sizin ile paylaşmak isterim. 5 gündem başlığı ile inceldiğim güvenlik süreçlerinde bir çok dikkat edilmesi gereken detay ve işleyişten sizlere bahsediyor olacağım.

Kullanıcı hesaplarının yönetilmesi

AD DS kurulumu sonrası default gelen kullanıcıları kullanılmayacaksa mutlaka kapatınız. Özel yetkisi olan Administrator gibi hesapların koyasını alarak isimlerini değiştirip kullanmanızı tavsiye ederim. Varsayılan Administrator hesabını kapalı duruma getirmeyi unutmayınız.

Kullanıcı şifreleri için bir politika oluşturunuz. DC üzerinde bu işlemi organize ediyorsanız GPO üzerinden bu politikayı oluşturup tüm bağlı cihazlarınıza bu politikayı uygulayabilirsiniz. Şifre politikanız mutlaka karmaşık karakterlerden (büyük harf, küçük harf, rakam ve özel karakterden) oluşmalı. En az 10 karakter oluşması ve bu karakterlerin bütünü bir anlam ifade etmemeli rasgele karakter oluşması güvenliğiniz açısından daha iyi olacaktır.

Admin yetkisi olan kullanıcılarınızı mutlaka diğer kullanıcılardan izole edin. Bu ne demek derseniz şöyle anlatayım. Sizin için oluşturulmuş yada oluşturduğunuz Ozan adında bir kullanıcınız var bu kullanıcı için admin yetkilendirmesi yapmayın. Ozan_Admin olarak yeni bir kullanıcı oluşturun ve ilgili yönetici yetkileri için bu hesabı yetkili olarak oluşturunuz. Bunun sebebi ise Ozan_Admin olarak oluşturduğunuz hesap ile ilgili sunucu üzerinde işlemleri yapabilir. Oturum ve diğer rutin işlemleriniz için Ozan kullanıcısını kullanabilirsiniz. Burada dikkat etmeniz gereken ise yetkili işlem için giriş çıkış yaptığınız kullanıcınız ile standart cihazlarda oturum açmayınız.

Kullanıcılarınız için mutlaka hatalı şifre denemesi sonrası kitlenmesi için bir politika oluşturun. Belirlediğiniz hatalı giriş sayısı üstünde hatalı şifre girişi yapıldığında hesabın kitlenmesi sürekli yapılacak şifre denemesi gibi durumlarda önemli güvenlik önlemi oluşturacaktır.

Yapınızda bulunan kullanılmayan işten ayrılmış, unutulmuş olan eski kullanıcıları mutlaka temizleyin. BGYS yapınızda oluşturacağınız bir talimat ile bunu yapmanızı önemle tavsiye ederim. Eski kullanıcılarınız yada işten ayrılan kullanıcılar için ilk etapta mutlaka şifresini şifre politikanız kapsamında yeniden oluşturunuz. Kullanıcı için ilgili yedeklerinizi aldıktan sonra kullanıcıyı bir süre örneğin 1 hafta disable olarak bekletin. 1 hafta sonunda sizden kullanıcı için ek bir istemde bulunulmaz ise kullanıcıyı siliniz. Bu yapıyı BGYS tarafında oluşturup yayınlarsanız hem sistem güvenliğiniz artırmış hem de ISO27001 standartlarından birini yerine getirmiş olursunuz.

Firewall yönetimi

Yapınız için mutlaka firewall kurallarınızı kullanıcılarınızın erişim çeşitliliğine göre şekillendirin. Yetkisiz bir kullanıcının ilgisiz bir sunucuya erişimini firewall üzerinde oluşturabileceğiniz kurallar ile engelleyiniz. Bu firewall donanım bazlı olabilir yada Windows server firewall tarafında kurallar oluşturarak kolayca halledebilirsiniz.

RDS ile erişim sağladığınız sunucularda mutlaka firewall tarafında scope sınırlandırması yaparak erişim sağlanabilecek IP adreslerini belirleyiniz.

Multi-Factor Authentication

Gelişen Windows server güvenliği için MFA kullanarak iki aşamalı kimlik doğrulaması yöntemini kullanabilirsiniz. MFA azure hizmetini on-primes sistemler içinde kullanıma sunduğu bu yöntem ile SMS doğrulaması alarak sunucu ve cihazlarınızın Windows işletim sistemlerine login olabilirsiniz.

Monitoring

Kritik sunucu ve sistemlerinizi gerek SCOM ile gerek 3rd party monitoring yazılımları kullanarak izlemeye alınız. Hem güvenlik yönetimi için hem de kaynak kullanımlarınız için anlık monitör edilmesi ve herhangi kriz durumunda mail, sms veya arama ile sizi bilgilendirmesi zamanında müdahale etmenize imkan tanıyacaktır.

Yedekleme yönetimi

Sunucu sistemleriniz için mutlaka yedekleme çözümünüz olsun. İlgili yedeklerinizi aynı sistem üzerinde değil mümkünse farklı bir fiziksel cihaz üzerinde saklayınız hatta mümkünse yedeklerinizin bir kopyasını da farklı bir lokasyon da bulundurunuz.