“Bilgi ve İletişim Güvenliği Rehberi” Windows İşletim Sistemi Sıkılaştırma Tedbirleri – Microsoft Windows Server 2019 – CIS Benchmark

Bilgi ve İletişim Güvenliği Rehberi

Bilgi ve İletişim Güvenliği Rehberi uyum çalışmalarını yürüten kurumlara destek olmak amacıyla bir dizi yazı yayınlıyorum. CIS Benchmark’lar ile Bilgi ve İletişim Güvenliği tedbirlerinin eşleştirmelerini sunmayı hedefliyorum. Bu yazımda “Windows Server 2019” işletim sistemi sıkılaştırmalarının Nessus gibi otomatize araçlarla uygulanma durumunu CIS kontrolleri ile yapabilmenize yardımcı olmayı hedefliyorum.

Tedbir Alt BaşlıkTedbir
No.
Tedbir AdıTedbir TanımıCIS Windows Server 2019 CIS_Microsoft_Windows_Server_2019_Benchmark_v1.2.1
5.1.3. Windows İşletim Sistemi Sıkılaştırma Tedbirleri5.1.3.1Kullanıcı Haklarının KısıtlanmasıKullanıcı hakları en az yetki prensibi göz önünde bulundurularak sadece ihtiyaç duyulan kullanıcı ve gruplara verilmelidir.CIS Controls (v8): 5.4 Restrict Administrator Privileges to Dedicated Administrator Accounts
Restrict administrator privileges to dedicated administrator accounts on enterprise assets. Conduct general computing activities, such as internet browsing, email, and productivity suite use, from the user’s primary, non-privileged account.
5.1.3. Windows İşletim Sistemi Sıkılaştırma Tedbirleri5.1.3.2Otomatik Güncellemenin Aktif OlmasıTüm kullanıcı makinelerinde otomatik güncelleme özelliği aktif hale getirilmelidir.18.9.102.2 (L1) Ensure ‘Configure Automatic Updates’ is set to ‘Enabled’ (Automated)
18.9.102.3 (L1) Ensure ‘Configure Automatic Updates: Scheduled install day’ is set to ‘0 – Every day’ (Automated)
5.1.3. Windows İşletim Sistemi Sıkılaştırma Tedbirleri5.1.3.3SMB Protokolü GüvenliğiWindows işletim sistemlerinde SMB versiyon 1 protokolü yerine daha güvenli ve güncel SMB protokol versiyonları kullanılmalıdır.18.3.2 (L1) Ensure ‘Configure SMB v1 client driver’ is set to ‘Enabled: Disable driver (recommended)’ (Automated)
18.3.3 (L1) Ensure ‘Configure SMB v1 server’ is set to ‘Disabled’ (Automated)
5.1.3. Windows İşletim Sistemi Sıkılaştırma Tedbirleri5.1.3.4Yerel Yönetici Hesapları YönetimiGerekli kullanıcılar dışında tüm kullanıcıların yerel yönetici hesapları devre dışı bırakılmalıdır. Gerekli kullanıcılar için varsayılan olarak aynı tanımlanan yerel yönetici hesaplarının parolaları değiştirilmelidir.18.2.3 (L1) Ensure ‘Enable Local Admin Password Management’ is set to ‘Enabled’ (MS only) (Automated)
CIS Controls (v7): 4.4 Use Unique Passwords
Where multi-factor authentication is not supported (such as local administrator, root, or service accounts), accounts will use passwords that are unique to that system.
5.1.3. Windows İşletim Sistemi Sıkılaştırma Tedbirleri5.1.3.5Ayrıcalıklı Hesap Sayılarının SınırlandırılmasıEtki alanı yöneticisi (Domain Admin) ve diğer yetkili hesapların (Enterprise Admin, Backup Admin ve Schema Admin) sayısı sınırlandırılmalıdır.CIS Controls (v8): 5.4 Restrict Administrator Privileges to Dedicated Administrator Accounts
Restrict administrator privileges to dedicated administrator accounts on enterprise assets. Conduct general computing activities, such as internet browsing, email, and productivity suite use, from the user’s primary, non-privileged account.
5.1.3. Windows İşletim Sistemi Sıkılaştırma Tedbirleri5.1.3.6Yetkili Hesapların Parola Özetlerinin Çalınmasının EngellenmesiYetkili hesapların parola özetlerinin çalınmasının engellenmesi için: Etki alanı yöneticisi (domain admin) hesabıyla kullanıcı bilgisayarlarında gerekli olmadıkça işlem yapılmamalı, işlem yapıldığı durumlarda kullanıcı bilgisayarlarının yeniden başlatılması sağlanmalıdır. Yerel bilgisayarlarda parola özetleri tutulma sayısı 0 yapılmalıdır. Ayrıcalıklı kullanıcı hesapları Korunan Kullanıcılar (Protected Users) grubuna alınmalıdır.2.3.11.5 (L1) Ensure ‘Network security: Do not store LAN Manager hash value on next password change’ is set to ‘Enabled’ (Automated)
5.1.3. Windows İşletim Sistemi Sıkılaştırma Tedbirleri5.1.3.7Kullanılmayan Hesapların Devre Dışı BırakılmasıAktif dizinde uzun süre kullanılmayan kullanıcı ve bilgisayar hesaplarını tespit etmek için bir yordam tanımlanmalıdır. Bk. Tedbir No: 3.1.12.1017.2.2 (L1) Ensure ‘Audit Computer Account Management’ is set to include ‘Success’ (DC only) (Automated)
5.1.3. Windows İşletim Sistemi Sıkılaştırma Tedbirleri5.1.3.8Varsayılan Yönetici ve Misafir Hesaplarının YapılandırılmasıSistemlerde yer alan varsayılan yönetici ve misafir hesapları pasif hale getirilmelidir.2.3.1.1 (L1) Ensure ‘Accounts: Administrator account status’ is set to ‘Disabled’ (MS only) (Automated)
CIS Controls (v8): 4.7 Manage Default Accounts on Enterprise Assets and Software
Manage default accounts on enterprise assets and software, such as root, administrator, and other pre-configured vendor accounts. Example implementations can include: disabling default accounts or making them unusable.
5.1.3. Windows İşletim Sistemi Sıkılaştırma Tedbirleri5.1.3.9Standart Kullanıcıların Betik Çalıştırma Motorlarına Erişiminin KısıtlanmasıStandart kullanıcıların betik çalıştırma motorlarına (Windows Script Host, Powershell, Command Prompt ve Microsoft HTML Application Host vb.) erişimi engellenmeli veya kısıtlanmalıdır.18.9.95.1 (L1) Ensure ‘Turn on PowerShell Script Block Logging’ is set to ‘Disabled’ (Automated)
18.9.95.2 (L1) Ensure ‘Turn on PowerShell Transcription’ is set to ‘Disabled’ (Automated)
18.9.85.3 (L2) Ensure ‘Prevent Internet Explorer security prompt for Windows Installer scripts’ is set to ‘Disabled’ (Automated)
5.1.3. Windows İşletim Sistemi Sıkılaştırma Tedbirleri5.1.3.10Aktif Dizin Sorguları GüvenliğiAktif dizin sorguları LDAP protokolü yerine güvenli LDAPs protokolü ile yapılacak şekilde konfigüre edilmelidir. Bk. Tedbir No: 3.2.9.12.3.5.3 (L1) Ensure ‘Domain controller: LDAP server channel binding token requirements’ is set to ‘Always’ (DC Only) (Automated)
5.1.3. Windows İşletim Sistemi Sıkılaştırma Tedbirleri5.1.3.11Yönetici Hesaplarının İzlenmesiAyrıcalıklı etki alanı gruplarına kullanıcı ekleme ve çıkarma işlemleri ve oturum açma kapama işlemleri izlenmelidir. Bk. Tedbir No: 3.1.12.1117.2.1 (L1) Ensure ‘Audit Application Group Management’ is set to ‘Success and Failure’ (Automated)
17.2.2 (L1) Ensure ‘Audit Computer Account Management’ is set to include ‘Success’ (DC only) (Automated)
17.2.3 (L1) Ensure ‘Audit Distribution Group Management’ is set to include ‘Success’ (DC only) (Automated)
17.2.4 (L1) Ensure ‘Audit Other Account Management Events’ is set to include ‘Success’ (DC only) (Automated)
17.2.5 (L1) Ensure ‘Audit Security Group Management’ is set to include ‘Success’ (Automated)
17.2.6 (L1) Ensure ‘Audit User Account Management’ is set to ‘Success and Failure’ (Automated)
5.1.3. Windows İşletim Sistemi Sıkılaştırma Tedbirleri5.1.3.12Güvenli Yönetici İş İstasyonu KullanımıYalnızca etki alanı yönetimini (Domain Controller) gerçekleştirmek için güvenli bir yönetici iş istasyonu konumlandırılmalı, ek yazılım veya rol yüklenmemeli, eposta, internet vb. erişimleri için kullanılmamalıdır.2.3.5.1 (L1) Ensure ‘Domain controller: Allow server operators to schedule tasks’ is set to ‘Disabled’ (DC only) (Automated)
2.3.5.2 (L1) Ensure ‘Domain controller: Allow vulnerable Netlogon secure channel connections’ is set to ‘Not Configured’ (DC Only) (Automated)
2.3.5.3 (L1) Ensure ‘Domain controller: LDAP server channel binding token requirements’ is set to ‘Always’ (DC Only) (Automated)
2.3.5.4 (L1) Ensure ‘Domain controller: LDAP server signing requirements’ is set to ‘Require signing’ (DC only) (Automated)
2.3.5.5 (L1) Ensure ‘Domain controller: Refuse machine account password changes’ is set to ‘Disabled’ (DC only) (Automated)
5.1.3. Windows İşletim Sistemi Sıkılaştırma Tedbirleri5.1.3.13Devre Dışı Bırakılan Hesabın Mail Erişiminin EngellenmesiAktif dizinde devre dışı bırakılan kullanıcı hesabı için activesync mail erişimi hemen kesilmelidir.NA

06.07.2019 tarihli ve 2019/12 sayılı Bilgi ve İletişim Güvenliği Tedbirleri konulu Cumhurbaşkanlığı Genelgesi’ndeki; “… kamu kurum ve kuruluşları ile kritik altyapı niteliğinde hizmet veren işletmelerde uygulanmak üzere farklı güvenlik seviyeleri içeren”,  “Bilgi ve İletişim Güvenliği Rehberi“, T.C. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Başkanlığı tarafından 27.07.2020 tarihinde https://cbddo.gov.tr/bgrehber adresinden yayımlanarak erişime sunulmuştur. CIS kıyas dokümanları ile Bilgi ve İletişim Güvenliği Rehberi Tedbirleri eşleştirmelerinde eksiklik, hata ya da yanlışlık tespit ederseniz lütfen iletişime geçiniz, teşekkürler.