“Bilgi ve İletişim Güvenliği Rehberi” Windows İşletim Sistemi Sıkılaştırma Tedbirleri – Microsoft Windows Server 2016 – CIS Benchmark
Bilgi ve İletişim Güvenliği Rehberi uyum çalışmalarını yürüten kurumlara destek olmak amacıyla bir dizi yazı yayınlıyorum. CIS Benchmark’lar ile Bilgi ve İletişim Güvenliği tedbirlerinin eşleştirmelerini sunmayı hedefliyorum. Bu yazımda “Windows Server 2016” işletim sistemi sıkılaştırmalarının Nessus gibi otomatize araçlarla uygulanma durumunu CIS kontrolleri ile yapabilmenize yardımcı olmayı hedefliyorum.
Tedbir Alt Başlık | Tedbir No. | Tedbir Adı | Tedbir Tanımı | CIS Windows Server 2016 CIS_Microsoft_Windows_Server_2016_RTM_(Release_1607) _Benchmark_v1.3.0 |
5.1.3. Windows İşletim Sistemi Sıkılaştırma Tedbirleri | 5.1.3.1 | Kullanıcı Haklarının Kısıtlanması | Kullanıcı hakları en az yetki prensibi göz önünde bulundurularak sadece ihtiyaç duyulan kullanıcı ve gruplara verilmelidir. | CIS Controls (v8): 5.4 Restrict Administrator Privileges to Dedicated Administrator Accounts Restrict administrator privileges to dedicated administrator accounts on enterprise assets. Conduct general computing activities, such as internet browsing, email, and productivity suite use, from the user’s primary, non-privileged account. |
5.1.3. Windows İşletim Sistemi Sıkılaştırma Tedbirleri | 5.1.3.2 | Otomatik Güncellemenin Aktif Olması | Tüm kullanıcı makinelerinde otomatik güncelleme özelliği aktif hale getirilmelidir. | 18.9.103.2 (L1) Ensure ‘Configure Automatic Updates’ is set to ‘Enabled’ (Automated) 18.9.103.3 (L1) Ensure ‘Configure Automatic Updates: Scheduled install day’ is set to ‘0 – Every day’ (Automated) |
5.1.3. Windows İşletim Sistemi Sıkılaştırma Tedbirleri | 5.1.3.3 | SMB Protokolü Güvenliği | Windows işletim sistemlerinde SMB versiyon 1 protokolü yerine daha güvenli ve güncel SMB protokol versiyonları kullanılmalıdır. | 18.3.2 (L1) Ensure ‘Configure SMB v1 client driver’ is set to ‘Enabled: Disable driver (recommended)’ (Automated) 18.3.3 (L1) Ensure ‘Configure SMB v1 server’ is set to ‘Disabled’ (Automated) |
5.1.3. Windows İşletim Sistemi Sıkılaştırma Tedbirleri | 5.1.3.4 | Yerel Yönetici Hesapları Yönetimi | Gerekli kullanıcılar dışında tüm kullanıcıların yerel yönetici hesapları devre dışı bırakılmalıdır. Gerekli kullanıcılar için varsayılan olarak aynı tanımlanan yerel yönetici hesaplarının parolaları değiştirilmelidir. | 18.2.3 (L1) Ensure ‘Enable Local Admin Password Management’ is set to ‘Enabled’ (MS only) (Automated) CIS Controls (v7): 4.4 Use Unique Passwords Where multi-factor authentication is not supported (such as local administrator, root, or service accounts), accounts will use passwords that are unique to that system. |
5.1.3. Windows İşletim Sistemi Sıkılaştırma Tedbirleri | 5.1.3.5 | Ayrıcalıklı Hesap Sayılarının Sınırlandırılması | Etki alanı yöneticisi (Domain Admin) ve diğer yetkili hesapların (Enterprise Admin, Backup Admin ve Schema Admin) sayısı sınırlandırılmalıdır. | CIS Controls (v8): 5.4 Restrict Administrator Privileges to Dedicated Administrator Accounts Restrict administrator privileges to dedicated administrator accounts on enterprise assets. Conduct general computing activities, such as internet browsing, email, and productivity suite use, from the user’s primary, non-privileged account. |
5.1.3. Windows İşletim Sistemi Sıkılaştırma Tedbirleri | 5.1.3.6 | Yetkili Hesapların Parola Özetlerinin Çalınmasının Engellenmesi | Yetkili hesapların parola özetlerinin çalınmasının engellenmesi için: Etki alanı yöneticisi (domain admin) hesabıyla kullanıcı bilgisayarlarında gerekli olmadıkça işlem yapılmamalı, işlem yapıldığı durumlarda kullanıcı bilgisayarlarının yeniden başlatılması sağlanmalıdır. Yerel bilgisayarlarda parola özetleri tutulma sayısı 0 yapılmalıdır. Ayrıcalıklı kullanıcı hesapları Korunan Kullanıcılar (Protected Users) grubuna alınmalıdır. | 2.3.11.5 (L1) Ensure ‘Network security: Do not store LAN Manager hash value on next password change’ is set to ‘Enabled’ (Automated) |
5.1.3. Windows İşletim Sistemi Sıkılaştırma Tedbirleri | 5.1.3.7 | Kullanılmayan Hesapların Devre Dışı Bırakılması | Aktif dizinde uzun süre kullanılmayan kullanıcı ve bilgisayar hesaplarını tespit etmek için bir yordam tanımlanmalıdır. Bk. Tedbir No: 3.1.12.10 | 17.2.2 (L1) Ensure ‘Audit Computer Account Management’ is set to include ‘Success’ (DC only) (Automated) |
5.1.3. Windows İşletim Sistemi Sıkılaştırma Tedbirleri | 5.1.3.8 | Varsayılan Yönetici ve Misafir Hesaplarının Yapılandırılması | Sistemlerde yer alan varsayılan yönetici ve misafir hesapları pasif hale getirilmelidir. | 2.3.1.1 (L1) Ensure ‘Accounts: Administrator account status’ is set to ‘Disabled’ (MS only) (Automated) CIS Controls (v8): 4.7 Manage Default Accounts on Enterprise Assets and Software Manage default accounts on enterprise assets and software, such as root, administrator, and other pre-configured vendor accounts. Example implementations can include: disabling default accounts or making them unusable. |
5.1.3. Windows İşletim Sistemi Sıkılaştırma Tedbirleri | 5.1.3.9 | Standart Kullanıcıların Betik Çalıştırma Motorlarına Erişiminin Kısıtlanması | Standart kullanıcıların betik çalıştırma motorlarına (Windows Script Host, Powershell, Command Prompt ve Microsoft HTML Application Host vb.) erişimi engellenmeli veya kısıtlanmalıdır. | 18.9.96.1 (L1) Ensure ‘Turn on PowerShell Script Block Logging’ is set to ‘Disabled’ (Automated) 18.9.96.2 (L1) Ensure ‘Turn on PowerShell Transcription’ is set to ‘Disabled’ (Automated) 18.9.86.3 (L2) Ensure ‘Prevent Internet Explorer security prompt for Windows Installer scripts’ is set to ‘Disabled’ (Automated) |
5.1.3. Windows İşletim Sistemi Sıkılaştırma Tedbirleri | 5.1.3.10 | Aktif Dizin Sorguları Güvenliği | Aktif dizin sorguları LDAP protokolü yerine güvenli LDAPs protokolü ile yapılacak şekilde konfigüre edilmelidir. Bk. Tedbir No: 3.2.9.1 | 2.3.5.3 (L1) Ensure ‘Domain controller: LDAP server channel binding token requirements’ is set to ‘Always’ (DC Only) (Automated) |
5.1.3. Windows İşletim Sistemi Sıkılaştırma Tedbirleri | 5.1.3.11 | Yönetici Hesaplarının İzlenmesi | Ayrıcalıklı etki alanı gruplarına kullanıcı ekleme ve çıkarma işlemleri ve oturum açma kapama işlemleri izlenmelidir. Bk. Tedbir No: 3.1.12.11 | 17.2.1 (L1) Ensure ‘Audit Application Group Management’ is set to ‘Success and Failure’ (Automated) 17.2.2 (L1) Ensure ‘Audit Computer Account Management’ is set to include ‘Success’ (DC only) (Automated) 17.2.3 (L1) Ensure ‘Audit Distribution Group Management’ is set to include ‘Success’ (DC only) (Automated) 17.2.4 (L1) Ensure ‘Audit Other Account Management Events’ is set to include ‘Success’ (DC only) (Automated) 17.2.5 (L1) Ensure ‘Audit Security Group Management’ is set to include ‘Success’ (Automated) 17.2.6 (L1) Ensure ‘Audit User Account Management’ is set to ‘Success and Failure’ (Automated) |
5.1.3. Windows İşletim Sistemi Sıkılaştırma Tedbirleri | 5.1.3.12 | Güvenli Yönetici İş İstasyonu Kullanımı | Yalnızca etki alanı yönetimini (Domain Controller) gerçekleştirmek için güvenli bir yönetici iş istasyonu konumlandırılmalı, ek yazılım veya rol yüklenmemeli, eposta, internet vb. erişimleri için kullanılmamalıdır. | 2.3.5.1 (L1) Ensure ‘Domain controller: Allow server operators to schedule tasks’ is set to ‘Disabled’ (DC only) (Automated) 2.3.5.2 (L1) Ensure ‘Domain controller: Allow vulnerable Netlogon secure channel connections’ is set to ‘Not Configured’ (DC Only) (Automated) 2.3.5.3 (L1) Ensure ‘Domain controller: LDAP server channel binding token requirements’ is set to ‘Always’ (DC Only) (Automated) 2.3.5.4 (L1) Ensure ‘Domain controller: LDAP server signing requirements’ is set to ‘Require signing’ (DC only) (Automated) 2.3.5.5 (L1) Ensure ‘Domain controller: Refuse machine account password changes’ is set to ‘Disabled’ (DC only) (Automated) |
5.1.3. Windows İşletim Sistemi Sıkılaştırma Tedbirleri | 5.1.3.13 | Devre Dışı Bırakılan Hesabın Mail Erişiminin Engellenmesi | Aktif dizinde devre dışı bırakılan kullanıcı hesabı için activesync mail erişimi hemen kesilmelidir. | NA |
06.07.2019 tarihli ve 2019/12 sayılı Bilgi ve İletişim Güvenliği Tedbirleri konulu Cumhurbaşkanlığı Genelgesi’ndeki; “… kamu kurum ve kuruluşları ile kritik altyapı niteliğinde hizmet veren işletmelerde uygulanmak üzere farklı güvenlik seviyeleri içeren”, “Bilgi ve İletişim Güvenliği Rehberi“, T.C. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Başkanlığı tarafından 27.07.2020 tarihinde https://cbddo.gov.tr/bgrehber adresinden yayımlanarak erişime sunulmuştur. CIS kıyas dokümanları ile Bilgi ve İletişim Güvenliği Rehberi Tedbirleri eşleştirmelerinde eksiklik, hata ya da yanlışlık tespit ederseniz lütfen iletişime geçiniz, teşekkürler.