Windows Server 2019, önceki Windows Server işletim sistemlerine kıyasla önemli ölçüde daha güvenli olan mevcut bir güçlendirme düzeyi ile birlikte gelir ve yüklenir. Xbox entegrasyonunun ve hizmetlerinin şişkinliği ve güvenlik açıklarını doldurmak için üçüncü taraf güvenlik çözümlerine duyulan ihtiyaç ortadan kalktı.

İşletim Sistemi (OS) sertleştirme, hem yetkisiz değişikliklere hem de erişime karşı ek güvenlik katmanları ve önleyici tedbirler sağlar. Sertleştirme,  bir işletim sisteminin güvenliğini sağlamak ve saldırı yüzeyini azaltmak için kritiktir  .

Dikkatli ol! Bir işletim sistemini çok fazla sertleştirirseniz, temel işlevleri bozma riskiyle karşılaşırsınız. 

Sertleştirme yaklaşımı

Windows Server 2019 sunucularınızı veya sunucu şablonlarınızı aşamalı olarak güçlendirin. Her seferinde tek bir sağlamlaştırma yönü uygulayın ve ardından tüm sunucu ve uygulama işlevselliğini test edin. Kadansınız sertleştirmek, test etmek, sertleştirmek, test etmek vb. Olmalıdır.

Kaçınılması gereken hatalar

Güvenlik açığının yüzey alanını azaltmak, işletim sistemini sağlamlaştırmanın amacıdır. Alanı olabildiğince küçük tutmak, yaygın kötü uygulamalardan kaçınmak anlamına gelir.

  1. Kullanıcı Erişim Kontrolünü (UAC) kapatmayın. UAC kaydırıcısını en üste taşımalısınız:  Her zaman bildir . Yeni bir uygulama yüklemeye veya sistem ayarlarını değiştirmeye çalışırken yapılacak birkaç ekstra tıklama, gelecekte sistemin tehlikeye girmesini önleyebilir.
  2. Bu uygulamalar için bir uygulama bağımlılığınız yoksa, Windows Server 2019 işletim sistemlerinize Google Chrome, Firefox, JAVA, Adobe Flash, PDF görüntüleyicileri, e-posta istemcileri vb. Yüklemeyin.
  3. Windows Server 2019 sunucularınıza gereksiz roller ve özellikler yüklemeyin. IIS gibi bir rol yüklemeniz gerekiyorsa, yalnızca ihtiyaç duyduğunuz minimum özellikleri etkinleştirin ve tüm rol özelliklerini etkinleştirmeyin.
  4. Windows Server 2019 işletim sisteminizi tam olarak düzeltmeyi ve sunucularınızı aylık olarak yamalamanıza ve yeniden başlatmanıza olanak tanıyan aylık bir yama penceresi oluşturmayı unutmayın.

Sertleştirme

Windows 2019 Sunucu Çekirdeği

Windows Server 2019’un temeli olarak, Windows Server 2019’un Çekirdek sürümü kurulmalıdır. Bu sürüm Windows 2019 Sunucu Çekirdeğidir . Sunucu Çekirdeği, geleneksel GUI arayüzünü işletim sistemine kaldırır ve aşağıdaki güvenlik avantajlarını sağlar.

• Sunucu Çekirdeği, GUI’li Sunucudan daha küçük bir saldırı yüzeyine sahiptir

• Daha az yazılım güncellemesi ve yeniden başlatma gerektirir

• Yeni Windows Admin Center kullanılarak yönetilebilir

• Windows Server 2019’da geliştirilmiş Uygulama Uyumluluğu özellikleri

Geleneksel Windows yöneticileri, PowerShell aşinalık eksikliği nedeniyle Sunucu Çekirdeğini çalıştırırken endişeli olabilir. Yeni Windows Admin Center, sunucuları, kümeleri, hiper birleşik altyapıyı ve Windows 10 PC’leri yönetmek için ücretsiz, yerel olarak dağıtılan, tarayıcı tabanlı bir uygulama sağlar. Windows Admin Center, Windows dışında hiçbir ek ücret ödemeden gelir ve üretimde kullanıma hazırdır.

Windows Admin Center’ı Windows Server 2019’un yanı sıra Windows 10 ve önceki Windows ve Windows Server sürümlerine yükleyebilir ve Windows Server 2008 R2 ve sonraki sürümleri çalıştıran sunucuları ve kümeleri yönetmek için kullanabilirsiniz.

Yerel Yönetici Hesabını Koruyun

Yerel Yönetici Parola Çözümü (LAPS)

Windows Sunucusunun güvenliği ihlal edilirse, saldırgan, çok değerli sistemleri ve bilgileri bulmak için hızla ağınızda yanal olarak hareket etmeye çalışacaktır. 

Karma geçiş gibi kimlik bilgisi hırsızlığı saldırıları, bir saldırganın güvenliği ihlal edilmiş bir bilgisayardan hesap oturum açma kimlik bilgilerini yakaladığı ve ardından bu yakalanan kimlik bilgilerini ağdaki diğer bilgisayarlarda kimlik doğrulaması yapmak için kullandığı bir teknik kullanan saldırılardır. 

Microsoft , 2015 yılında ücretsiz Yerel Yönetici Parola Çözümü’nü (LAPS) piyasaya sürdü . LAPS, her bilgisayarın yerel yönetici hesabı parolasını düzenli olarak yeni bir rastgele ve benzersiz değere ayarlayan Active Directory etki alanına katılan sistemler için hafif bir araçtır. Parolalar, yalnızca özel olarak yetkilendirilmiş kullanıcıların erişebileceği Active Directory’deki ilgili bilgisayar nesnesinde güvenli bir gizli öznitelikte depolanır. Parolalar, PowerShell aracılığıyla veya LAPS GUI kullanılarak alınabilir.

Özellikle LAPS çözümü, tüm sunucularda ve iş istasyonlarında aynı yerel yönetici hesabı ve parola kombinasyonunu kullandığınızda ortaya çıkan yanal yükselme riskini azaltır. 

Windows Defender Credential Guard’ı etkinleştirin

Windows Defender Credential Guard, işletim sisteminden izole edilmiş ayrı bir sanal kapta kimlik bilgilerini, NTLM parola karmalarını, Kerberos biletlerini izole etmek için kutu içi sanallaştırma tabanlı güvenlikten yararlanır. Credential Guard, yalnızca ayrıcalıklı sistem yazılımının hassas kimlik bilgileri içeren bu yalıtılmış konteynere erişmesine izin verir. İşletim sistemine yüklenen ve çalışan kötü amaçlı yazılım, sanallaştırma tabanlı güvenlik tarafından korunan kimlik bilgilerini ve sırları ayıklayamaz. Kötü amaçlı yazılım veya işlem yönetici ayrıcalıklarıyla çalışıyor olsa bile.

By Windows Defender Kimlik Guard sağlayan aşağıdaki özellikleri ve çözümleri verilmektedir:

  • Donanım güvenliği:   NTLM, Kerberos ve Credential Manager, kimlik bilgilerini korumak için Secure Boot ve sanallaştırma dahil olmak üzere platform güvenlik özelliklerinden yararlanır. 
  • Sanallaştırma tabanlı güvenlik : Windows NTLM ve Kerberos kimlik bilgileri, Windows 2019 işletim sisteminin çalışmasından izole edilmiş korumalı bir ortamda çalışır.
  • Gelişmiş Kalıcı Tehditlere (APT) Karşı Daha İyi Koruma: Credential Manager etki alanı kimlik bilgileri, NTLM ve Kerberos’tan türetilmiş kimlik bilgileri sanallaştırma tabanlı güvenlik kullanılarak korunduğunda, birçok hedefli saldırıda kullanılan kimlik bilgisi hırsızlığı saldırı teknikleri ve araçları engellenir.

Windows Defender Exploit Guard’ı etkinleştirin

Virüsten koruma algılama yeteneklerindeki yeniliklere rağmen saldırganlar, uç noktaları tehlikeye atmak, kimlik bilgilerini çalmak ve diske herhangi bir şey yazmadan fidye yazılımı saldırıları gerçekleştirmek için sonsuz bir şekilde uyarlanıyor ve teknikler geliştiriyorlar. Tüm tehditlerin %50’sinden fazlasını oluşturan bu yeni ortaya çıkan dosyasız saldırı eğilimi son derece tehlikelidir, sürekli değişir ve geleneksel antivirüslerden kaçmak için tasarlanmıştır.

Dosyasız saldırıların iki türü vardır: geleneksel olmayan yürütülebilir dosyalar (örneğin, içlerinde aktif içerik bulunan belgeler) ve güvenlik açıklarından yararlananlar.

Windows Defender Exploit Guard, kötü amaçlı yazılımları ve etkin açıkları belirlemek için Microsoft Intelligent Security Graph (ISG) sinyallerini ve istihbaratını  kullanır ve bu tür saldırıları çeşitli aşamalarda durdurur. Artık emekli olan Gelişmiş Risk Azaltma Deneyimi Araç Kitini (EMET) kullandıysanız, Exploit Guard, Windows Defender ile birlikte gelen EMET’in modern sürümüdür. Exploit Guard, ISG kullanarak olayları kötü niyetli davranışlarla ilişkilendirerek çalışır. Windows Defender Exploit Guard, bu tür mevcut ve ortaya çıkan tehditlerin üstesinden gelmek için gereken yetenek ve kontrolleri sağlar.

Windows Defender Exploit Guard’ın dört bileşeni şunlardır:

  • Saldırı Yüzeyini Azaltma (ASR ) :  Kuruluşların MS Office, komut dosyaları ve e-posta tabanlı tehditleri engelleyerek kötü amaçlı yazılımların makineye girmesini önlemek için etkinleştirebileceği bir dizi denetim
  • Ağ koruması : Windows Defender SmartScreen aracılığıyla cihazda güvenilmeyen ana bilgisayarlara / IP’ye giden tüm giden işlemleri engelleyerek uç noktayı web tabanlı tehditlere karşı korur
  • Kontrollü klasör erişimi : Güvenilmeyen işlemlerin korumalı klasörlerinize erişmesini engelleyerek hassas verileri fidye yazılımlarından korur
  • Exploit koruması : Sisteminizi ve uygulamalarınızı korumak için kolayca yapılandırılabilen bir dizi istismar azaltma (EMET’in yerine)

Sen edebilirsiniz Guard Exploit etkinleştirmek Grup İlkesi, SCCM Microsoft Endpoint Manager (Intune), lokal olarak dahil kontrol noktaları bir dizi den.

İyi yönetici alışkanlıklarını uygulayın

E-postayı okumak ve rapor oluşturmak için kullanılan günlük hesabınız standart kullanıcı hesabı olmalıdır. Bu hesap, Active Directory veya yerel sunucu gruplarındaki herhangi bir yükseltilmiş erişim grubuna eklenmemelidir. Yerel Yönetici Grubunun üyesi olmamalısınız. Yönetici görevlerini gerçekleştirmek için yalnızca adresinden ayrıcalıklı hesapları kullanın.