Kurumsal yapılarda Windows File Server güvenliği, veri bütünlüğü ve iş sürekliliği açısından kritik öneme sahiptir. Yanlış yapılandırılmış bir file server; yetkisiz erişim, veri sızıntısı ve ransomware saldırıları için en zayıf halka olabilir.
Bu rehberde, Windows Server üzerinde çalışan bir file server için uygulanması gereken hardening adımlarını, güvenlik best practice’leri ve gerçek senaryolara dayalı önerileri detaylı şekilde ele alıyoruz.
1️⃣ File Server Güvenliği Neden Kritik?
File server’lar genellikle:
-
Finans verileri
-
İnsan kaynakları belgeleri
-
Proje dokümanları
-
Yedek dosyalar
gibi kritik içerikleri barındırır.
Bir saldırgan için domain controller’dan sonra en değerli hedeflerden biridir.
Riskler:
-
Yetki eskalasyonu
-
Yanlış NTFS inheritance
-
SMB exploitleri
-
Fidye yazılımı yayılımı
2️⃣Windows File Server NTFS Permission Best Practices
Temel kural:
Share permission basit, NTFS permission detaylı olmalı.
Önerilen yapı:
-
Share: Domain Users → Change
-
Asıl yetkilendirme NTFS üzerinden yapılmalı
Yanlış yapı:
-
Kullanıcılara direkt NTFS Full Control verilmesi
-
“Everyone” kullanımı
3️⃣ AGDLP Yetkilendirme Modeli
Kurumsal ortamlarda önerilen model:
A → G → DL → P
-
A = Accounts
-
G = Global Group
-
DL = Domain Local Group
-
P = Permission
Örnek yapı:
GG_Muhasebe → DL_Muhasebe_Read
DL_Muhasebe_Read → NTFS Read
Avantajları:
-
Yönetilebilirlik
-
Ölçeklenebilirlik
-
Denetlenebilir yapı
4️⃣ SMB Güvenlik Ayarları
SMBv1 Kapatılmalı
PowerShell ile kontrol:
Kapatma:
SMB Signing Aktif Edilmeli
Group Policy:
→ Windows Settings
→ Security Settings
→ Local Policies
→ Security Options
-
Microsoft network client: Digitally sign communications
-
Microsoft network server: Digitally sign communications
Microsoft dokümantasyonuna göre SMB güvenliği modern Windows Server ortamlarında kritik bir güvenlik katmanı sağlar.
Kaynak:
https://learn.microsoft.com/en-us/windows-server/storage/file-server/file-server-smb-overview
5️⃣ Access Based Enumeration (ABE)
ABE aktif değilse kullanıcılar erişemediği klasörleri görebilir.
Aktif etmek için:
Avantaj:
-
Bilgi sızmasını engeller
-
Kullanıcı deneyimini iyileştirir
6️⃣ Audit Policy ve Log İzleme
Audit etkin değilse, erişim takibi mümkün değildir.
Group Policy:
→ Object Access
→ Audit File System
Başarılı ve başarısız loglar açılmalı.
Event Viewer’da takip:
Event ID 4663
Kurumsal ortamda öneri:
-
SIEM entegrasyonu
-
Haftalık log kontrolü
-
Kritik klasörlere özel denetim
Windows File Server üzerinde dosya erişimlerini izlemek için Microsoft tarafından önerilen yöntem Advanced Audit Policy kullanmaktır.
Kaynak:
https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/audit-file-system
7️⃣ Ransomware’e Karşı Koruma Stratejileri
1. Shadow Copy Aktif Edilmeli
Volume Shadow Copy Service (VSS) yapılandırılmalı.
2. Immutable Backup
Offline veya immutable storage kullanılmalı.
3. Least Privilege Model
Kullanıcılar Full Control almamalı.
4. Network Segmentation
File server ayrı VLAN’da konumlandırılmalı.
5. Controlled Folder Access
Windows Defender ile korunmalı.
Ransomware saldırıları son yıllarda özellikle dosya sunucularını hedef almaktadır.
Kaynak:
https://www.cisa.gov/ransomware
8️⃣ Ek Hardening Kontrolleri
-
Local admin kaldırılmalı
-
RDP sadece belirli IP’lere açık olmalı
-
Windows Firewall aktif olmalı
-
Gereksiz servisler kapatılmalı
-
Antivirüs exclusion listesi minimal tutulmalı
-
NTFS inheritance kontrol edilmeli
PowerShell ile inheritance kontrol:
9️⃣ Gerçek Hayattan Bir Senaryo
Bir kurumda NTFS yerine share permission üzerinden yetkilendirme yapılmıştı. Ransomware bulaşan bir kullanıcı hesabı, tüm paylaşıma yazma yetkisi sayesinde 2 TB veriyi şifreledi.
Sebep:
-
Yetki fazlalığı
-
Audit eksikliği
-
SMB signing kapalı
Hardening sonrası:
-
AGDLP modeline geçildi
-
ABE aktif edildi
-
Immutable backup devreye alındı
Windows File Server güvenliği yalnızca antivirüs kurmak değildir. Doğru permission modeli, SMB güvenliği, audit politikaları ve yedekleme stratejileri birlikte uygulanmalıdır.
Kurumsal ortamlarda hardening yapılmamış bir file server ciddi güvenlik riski oluşturur.
Windows File Server Güvenliği Sık Sorulan Sorular (FAQ)
Windows File Server’da en önemli güvenlik adımı nedir?
Doğru NTFS permission modeli ve least privilege yaklaşımıdır.
SMBv1 neden kapatılmalıdır?
Güvenlik açıkları nedeniyle exploit riski taşır.
Ransomware’e karşı en etkili yöntem nedir?
Immutable backup ve minimum yetki prensibi.
