Windows File Server Güvenliği Rehberi

Kurumsal yapılarda Windows File Server güvenliği, veri bütünlüğü ve iş sürekliliği açısından kritik öneme sahiptir. Yanlış yapılandırılmış bir file server; yetkisiz erişim, veri sızıntısı ve ransomware saldırıları için en zayıf halka olabilir.

Bu rehberde, Windows Server üzerinde çalışan bir file server için uygulanması gereken hardening adımlarını, güvenlik best practice’leri ve gerçek senaryolara dayalı önerileri detaylı şekilde ele alıyoruz.

1️⃣ File Server Güvenliği Neden Kritik?

File server’lar genellikle:

  • Finans verileri

  • İnsan kaynakları belgeleri

  • Proje dokümanları

  • Yedek dosyalar

gibi kritik içerikleri barındırır.

Bir saldırgan için domain controller’dan sonra en değerli hedeflerden biridir.

Riskler:

  • Yetki eskalasyonu

  • Yanlış NTFS inheritance

  • SMB exploitleri

  • Fidye yazılımı yayılımı

2️⃣Windows File Server NTFS Permission Best Practices

Temel kural:

Share permission basit, NTFS permission detaylı olmalı.

Önerilen yapı:

  • Share: Domain Users → Change

  • Asıl yetkilendirme NTFS üzerinden yapılmalı

Yanlış yapı:

  • Kullanıcılara direkt NTFS Full Control verilmesi

  • “Everyone” kullanımı

3️⃣ AGDLP Yetkilendirme Modeli

Kurumsal ortamlarda önerilen model:

A → G → DL → P

  • A = Accounts

  • G = Global Group

  • DL = Domain Local Group

  • P = Permission

Örnek yapı:

Muhasebe_Users → GG_Muhasebe
GG_Muhasebe → DL_Muhasebe_Read
DL_Muhasebe_Read → NTFS Read

Avantajları:

  • Yönetilebilirlik

  • Ölçeklenebilirlik

  • Denetlenebilir yapı

4️⃣ SMB Güvenlik Ayarları

SMBv1 Kapatılmalı

PowerShell ile kontrol:

Get-WindowsOptionalFeature Online FeatureName SMB1Protocol

Kapatma:

Disable-WindowsOptionalFeature Online FeatureName SMB1Protocol

SMB Signing Aktif Edilmeli

Group Policy:

Computer Configuration
→ Windows Settings
→ Security Settings
→ Local Policies
→ Security Options

  • Microsoft network client: Digitally sign communications

  • Microsoft network server: Digitally sign communications

Microsoft dokümantasyonuna göre SMB güvenliği modern Windows Server ortamlarında kritik bir güvenlik katmanı sağlar.

Kaynak:
https://learn.microsoft.com/en-us/windows-server/storage/file-server/file-server-smb-overview

5️⃣ Access Based Enumeration (ABE)

ABE aktif değilse kullanıcılar erişemediği klasörleri görebilir.

Aktif etmek için:

Set-SmbShare Name “PaylasimAdi” FolderEnumerationMode AccessBased

Avantaj:

  • Bilgi sızmasını engeller

  • Kullanıcı deneyimini iyileştirir

6️⃣ Audit Policy ve Log İzleme

Audit etkin değilse, erişim takibi mümkün değildir.

Group Policy:

Advanced Audit Policy Configuration
→ Object Access
→ Audit File System

Başarılı ve başarısız loglar açılmalı.

Event Viewer’da takip:

Security Log
Event ID 4663

Kurumsal ortamda öneri:

  • SIEM entegrasyonu

  • Haftalık log kontrolü

  • Kritik klasörlere özel denetim

Windows File Server üzerinde dosya erişimlerini izlemek için Microsoft tarafından önerilen yöntem Advanced Audit Policy kullanmaktır.

Kaynak:
https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/audit-file-system

7️⃣ Ransomware’e Karşı Koruma Stratejileri

1. Shadow Copy Aktif Edilmeli

Volume Shadow Copy Service (VSS) yapılandırılmalı.

2. Immutable Backup

Offline veya immutable storage kullanılmalı.

3. Least Privilege Model

Kullanıcılar Full Control almamalı.

4. Network Segmentation

File server ayrı VLAN’da konumlandırılmalı.

5. Controlled Folder Access

Windows Defender ile korunmalı.

Ransomware saldırıları son yıllarda özellikle dosya sunucularını hedef almaktadır.

Kaynak:
https://www.cisa.gov/ransomware

8️⃣ Ek Hardening Kontrolleri

  • Local admin kaldırılmalı

  • RDP sadece belirli IP’lere açık olmalı

  • Windows Firewall aktif olmalı

  • Gereksiz servisler kapatılmalı

  • Antivirüs exclusion listesi minimal tutulmalı

  • NTFS inheritance kontrol edilmeli

PowerShell ile inheritance kontrol:

(Get-Acl “D:\Paylasim”).AreAccessRulesProtected

9️⃣ Gerçek Hayattan Bir Senaryo

Bir kurumda NTFS yerine share permission üzerinden yetkilendirme yapılmıştı. Ransomware bulaşan bir kullanıcı hesabı, tüm paylaşıma yazma yetkisi sayesinde 2 TB veriyi şifreledi.

Sebep:

  • Yetki fazlalığı

  • Audit eksikliği

  • SMB signing kapalı

Hardening sonrası:

  • AGDLP modeline geçildi

  • ABE aktif edildi

  • Immutable backup devreye alındı

Windows File Server güvenliği yalnızca antivirüs kurmak değildir. Doğru permission modeli, SMB güvenliği, audit politikaları ve yedekleme stratejileri birlikte uygulanmalıdır.

Kurumsal ortamlarda hardening yapılmamış bir file server ciddi güvenlik riski oluşturur.

Windows File Server Güvenliği Sık Sorulan Sorular (FAQ)

Windows File Server’da en önemli güvenlik adımı nedir?

Doğru NTFS permission modeli ve least privilege yaklaşımıdır.

SMBv1 neden kapatılmalıdır?

Güvenlik açıkları nedeniyle exploit riski taşır.

Ransomware’e karşı en etkili yöntem nedir?

Immutable backup ve minimum yetki prensibi.

 

Leave a Reply

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Trend Yazılar

SCCM GPO Cache Temizleme
PowerShell Sistem Envanteri Raporlama
Office 2019 Kurulumu Anlatım
PowerShell Komutları (Profesyonel Rehber)