File ServerRehberler & DeneyimlerSistem Yönetimi

Windows File Server Güvenliği Rehberi

Tolga CEYHAN
Tolga CEYHAN
windows file server hardening güvenlik mimarisi

Kurumsal yapılarda Windows File Server güvenliği, veri bütünlüğü ve iş sürekliliği açısından kritik öneme sahiptir. Yanlış yapılandırılmış bir file server; yetkisiz erişim, veri sızıntısı ve ransomware saldırıları için en zayıf halka olabilir.

Contents
1️⃣ File Server Güvenliği Neden Kritik?2️⃣Windows File Server NTFS Permission Best Practices3️⃣ AGDLP Yetkilendirme Modeli4️⃣ SMB Güvenlik AyarlarıSMBv1 KapatılmalıSMB Signing Aktif Edilmeli5️⃣ Access Based Enumeration (ABE)6️⃣ Audit Policy ve Log İzleme7️⃣ Ransomware’e Karşı Koruma Stratejileri1. Shadow Copy Aktif Edilmeli2. Immutable Backup3. Least Privilege Model4. Network Segmentation5. Controlled Folder Access8️⃣ Ek Hardening Kontrolleri9️⃣ Gerçek Hayattan Bir SenaryoWindows File Server Güvenliği Sık Sorulan Sorular (FAQ)Windows File Server’da en önemli güvenlik adımı nedir?SMBv1 neden kapatılmalıdır?Ransomware’e karşı en etkili yöntem nedir?

Bu rehberde, Windows Server üzerinde çalışan bir file server için uygulanması gereken hardening adımlarını, güvenlik best practice’leri ve gerçek senaryolara dayalı önerileri detaylı şekilde ele alıyoruz.

1️⃣ File Server Güvenliği Neden Kritik?

File server’lar genellikle:

  • Finans verileri

  • İnsan kaynakları belgeleri

  • Proje dokümanları

  • Yedek dosyalar

gibi kritik içerikleri barındırır.

Bir saldırgan için domain controller’dan sonra en değerli hedeflerden biridir.

Riskler:

  • Yetki eskalasyonu

  • Yanlış NTFS inheritance

  • SMB exploitleri

  • Fidye yazılımı yayılımı

2️⃣Windows File Server NTFS Permission Best Practices

Temel kural:

Share permission basit, NTFS permission detaylı olmalı.

Önerilen yapı:

  • Share: Domain Users → Change

  • Asıl yetkilendirme NTFS üzerinden yapılmalı

Yanlış yapı:

  • Kullanıcılara direkt NTFS Full Control verilmesi

  • “Everyone” kullanımı

3️⃣ AGDLP Yetkilendirme Modeli

Kurumsal ortamlarda önerilen model:

A → G → DL → P

  • A = Accounts

  • G = Global Group

  • DL = Domain Local Group

  • P = Permission

Örnek yapı:

Muhasebe_Users → GG_Muhasebe
GG_Muhasebe → DL_Muhasebe_Read
DL_Muhasebe_Read → NTFS Read

Avantajları:

  • Yönetilebilirlik

  • Ölçeklenebilirlik

  • Denetlenebilir yapı

4️⃣ SMB Güvenlik Ayarları

SMBv1 Kapatılmalı

PowerShell ile kontrol:

Get-WindowsOptionalFeature Online FeatureName SMB1Protocol

Kapatma:

Disable-WindowsOptionalFeature Online FeatureName SMB1Protocol

SMB Signing Aktif Edilmeli

Group Policy:

Computer Configuration
→ Windows Settings
→ Security Settings
→ Local Policies
→ Security Options

  • Microsoft network client: Digitally sign communications

  • Microsoft network server: Digitally sign communications

Microsoft dokümantasyonuna göre SMB güvenliği modern Windows Server ortamlarında kritik bir güvenlik katmanı sağlar.

Kaynak:
https://learn.microsoft.com/en-us/windows-server/storage/file-server/file-server-smb-overview

5️⃣ Access Based Enumeration (ABE)

ABE aktif değilse kullanıcılar erişemediği klasörleri görebilir.

Aktif etmek için:

Set-SmbShare Name “PaylasimAdi” FolderEnumerationMode AccessBased

Avantaj:

  • Bilgi sızmasını engeller

  • Kullanıcı deneyimini iyileştirir

6️⃣ Audit Policy ve Log İzleme

Audit etkin değilse, erişim takibi mümkün değildir.

Group Policy:

Advanced Audit Policy Configuration
→ Object Access
→ Audit File System

Başarılı ve başarısız loglar açılmalı.

Event Viewer’da takip:

Security Log
Event ID 4663

Kurumsal ortamda öneri:

  • SIEM entegrasyonu

  • Haftalık log kontrolü

  • Kritik klasörlere özel denetim

Windows File Server üzerinde dosya erişimlerini izlemek için Microsoft tarafından önerilen yöntem Advanced Audit Policy kullanmaktır.

Kaynak:
https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/audit-file-system

7️⃣ Ransomware’e Karşı Koruma Stratejileri

1. Shadow Copy Aktif Edilmeli

Volume Shadow Copy Service (VSS) yapılandırılmalı.

2. Immutable Backup

Offline veya immutable storage kullanılmalı.

3. Least Privilege Model

Kullanıcılar Full Control almamalı.

4. Network Segmentation

File server ayrı VLAN’da konumlandırılmalı.

5. Controlled Folder Access

Windows Defender ile korunmalı.

Ransomware saldırıları son yıllarda özellikle dosya sunucularını hedef almaktadır.

Kaynak:
https://www.cisa.gov/ransomware

8️⃣ Ek Hardening Kontrolleri

  • Local admin kaldırılmalı

  • RDP sadece belirli IP’lere açık olmalı

  • Windows Firewall aktif olmalı

  • Gereksiz servisler kapatılmalı

  • Antivirüs exclusion listesi minimal tutulmalı

  • NTFS inheritance kontrol edilmeli

PowerShell ile inheritance kontrol:

(Get-Acl “D:\Paylasim”).AreAccessRulesProtected

9️⃣ Gerçek Hayattan Bir Senaryo

Bir kurumda NTFS yerine share permission üzerinden yetkilendirme yapılmıştı. Ransomware bulaşan bir kullanıcı hesabı, tüm paylaşıma yazma yetkisi sayesinde 2 TB veriyi şifreledi.

Sebep:

  • Yetki fazlalığı

  • Audit eksikliği

  • SMB signing kapalı

Hardening sonrası:

  • AGDLP modeline geçildi

  • ABE aktif edildi

  • Immutable backup devreye alındı

Windows File Server güvenliği yalnızca antivirüs kurmak değildir. Doğru permission modeli, SMB güvenliği, audit politikaları ve yedekleme stratejileri birlikte uygulanmalıdır.

Kurumsal ortamlarda hardening yapılmamış bir file server ciddi güvenlik riski oluşturur.

Windows File Server Güvenliği Sık Sorulan Sorular (FAQ)

Windows File Server’da en önemli güvenlik adımı nedir?

Doğru NTFS permission modeli ve least privilege yaklaşımıdır.

SMBv1 neden kapatılmalıdır?

Güvenlik açıkları nedeniyle exploit riski taşır.

Ransomware’e karşı en etkili yöntem nedir?

Immutable backup ve minimum yetki prensibi.

 

Bu makaleyi paylaş
By Tolga CEYHAN
Takip et:
Tolga CEYHAN, bilgi teknolojilerini severek takip eder ve BT üzerine hali hazırda aktif olarak çalışmaktadır. 2006 yılından 2017 yılına kadar web tasarım yazılım üzerine çalışmalar yaptım. Şuan ise Windows Sistem ve Sistem Güvenliği alanında çalışmalarımı sürdürmekteyim.
Önceki makale Blockchain Mantığı ile PowerShell Log Bütünlüğü
Yorum Yap

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir