Windows File Server Güvenliği Rehberi

windows file server hardening güvenlik mimarisi

Kurumsal yapılarda Windows File Server güvenliği, veri bütünlüğü ve iş sürekliliği açısından kritik öneme sahiptir. Yanlış yapılandırılmış bir file server; yetkisiz erişim, veri sızıntısı ve ransomware saldırıları için en zayıf halka olabilir.

Bu rehberde, Windows Server üzerinde çalışan bir file server için uygulanması gereken hardening adımlarını, güvenlik best practice’leri ve gerçek senaryolara dayalı önerileri detaylı şekilde ele alıyoruz.

1️⃣ File Server Güvenliği Neden Kritik?

File server’lar genellikle:

Finans verileri
İnsan kaynakları belgeleri
Proje dokümanları
Yedek dosyalar

gibi kritik içerikleri barındırır.

Bir saldırgan için domain controller’dan sonra en değerli hedeflerden biridir.

Riskler:

Yetki eskalasyonu
Yanlış NTFS inheritance
SMB exploitleri
Fidye yazılımı yayılımı

2️⃣Windows File Server NTFS Permission Best Practices

Temel kural:

Share permission basit, NTFS permission detaylı olmalı.

Önerilen yapı:

Share: Domain Users → Change
Asıl yetkilendirme NTFS üzerinden yapılmalı

Yanlış yapı:

Kullanıcılara direkt NTFS Full Control verilmesi
“Everyone” kullanımı

3️⃣ AGDLP Yetkilendirme Modeli

Kurumsal ortamlarda önerilen model:

A → G → DL → P

A = Accounts
G = Global Group
DL = Domain Local Group
P = Permission

Örnek yapı:

Muhasebe_Users → GG_Muhasebe
GG_Muhasebe → DL_Muhasebe_Read
DL_Muhasebe_Read → NTFS Read

Avantajları:

Yönetilebilirlik
Ölçeklenebilirlik
Denetlenebilir yapı

4️⃣ SMB Güvenlik Ayarları

SMBv1 Kapatılmalı

PowerShell ile kontrol:

Get-WindowsOptionalFeature –Online –FeatureName SMB1Protocol

Kapatma:

Disable-WindowsOptionalFeature –Online –FeatureName SMB1Protocol

SMB Signing Aktif Edilmeli

Group Policy:

Computer Configuration
→ Windows Settings
→ Security Settings
→ Local Policies
→ Security Options

Microsoft network client: Digitally sign communications
Microsoft network server: Digitally sign communications

Microsoft dokümantasyonuna göre SMB güvenliği modern Windows Server ortamlarında kritik bir güvenlik katmanı sağlar.

Kaynak:
https://learn.microsoft.com/en-us/windows-server/storage/file-server/file-server-smb-overview

5️⃣ Access Based Enumeration (ABE)

ABE aktif değilse kullanıcılar erişemediği klasörleri görebilir.

Aktif etmek için:

Set-SmbShare –Name “PaylasimAdi” –FolderEnumerationMode AccessBased

Avantaj:

Bilgi sızmasını engeller
Kullanıcı deneyimini iyileştirir

6️⃣ Audit Policy ve Log İzleme

Audit etkin değilse, erişim takibi mümkün değildir.

Group Policy:

Advanced Audit Policy Configuration
→ Object Access
→ Audit File System

Başarılı ve başarısız loglar açılmalı.

Event Viewer’da takip:

Security Log
Event ID 4663

Kurumsal ortamda öneri:

SIEM entegrasyonu
Haftalık log kontrolü
Kritik klasörlere özel denetim

Windows File Server üzerinde dosya erişimlerini izlemek için Microsoft tarafından önerilen yöntem Advanced Audit Policy kullanmaktır.

Kaynak:
https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/audit-file-system

7️⃣ Ransomware’e Karşı Koruma Stratejileri

1. Shadow Copy Aktif Edilmeli

Volume Shadow Copy Service (VSS) yapılandırılmalı.

2. Immutable Backup

Offline veya immutable storage kullanılmalı.

3. Least Privilege Model

Kullanıcılar Full Control almamalı.

4. Network Segmentation

File server ayrı VLAN’da konumlandırılmalı.

5. Controlled Folder Access

Windows Defender ile korunmalı.

Ransomware saldırıları son yıllarda özellikle dosya sunucularını hedef almaktadır.

Kaynak:
https://www.cisa.gov/ransomware

8️⃣ Ek Hardening Kontrolleri

Local admin kaldırılmalı
RDP sadece belirli IP’lere açık olmalı
Windows Firewall aktif olmalı
Gereksiz servisler kapatılmalı
Antivirüs exclusion listesi minimal tutulmalı
NTFS inheritance kontrol edilmeli

PowerShell ile inheritance kontrol:

(Get-Acl “D:\Paylasim”).AreAccessRulesProtected

9️⃣ Gerçek Hayattan Bir Senaryo

Bir kurumda NTFS yerine share permission üzerinden yetkilendirme yapılmıştı. Ransomware bulaşan bir kullanıcı hesabı, tüm paylaşıma yazma yetkisi sayesinde 2 TB veriyi şifreledi.

Sebep:

Yetki fazlalığı
Audit eksikliği
SMB signing kapalı

Hardening sonrası:

AGDLP modeline geçildi
ABE aktif edildi
Immutable backup devreye alındı

Windows File Server güvenliği yalnızca antivirüs kurmak değildir. Doğru permission modeli, SMB güvenliği, audit politikaları ve yedekleme stratejileri birlikte uygulanmalıdır.

Kurumsal ortamlarda hardening yapılmamış bir file server ciddi güvenlik riski oluşturur.

Windows File Server Güvenliği Sık Sorulan Sorular (FAQ)

Windows File Server’da en önemli güvenlik adımı nedir?

Doğru NTFS permission modeli ve least privilege yaklaşımıdır.

SMBv1 neden kapatılmalıdır?

Güvenlik açıkları nedeniyle exploit riski taşır.

Ransomware’e karşı en etkili yöntem nedir?

Immutable backup ve minimum yetki prensibi.

Tolga CEYHAN

Tolga CEYHAN, bilgi teknolojilerini severek takip eder ve BT üzerine hali hazırda aktif olarak çalışmaktadır. 2006 yılından 2017 yılına kadar web tasarım yazılım üzerine çalışmalar yaptım. Şuan ise Windows Sistem ve Sistem Güvenliği alanında çalışmalarımı sürdürmekteyim.