Windows DNS Server Hardening-Erişim Kısıtlama
Hardening Nedir?
Windows Sunucuları üzerinde verdiği hizmetleri – server özelliğini gözönüne alarak kısıtlamak ve hertürlü erişime kapatmaktır.Temel olarak sunucuda kullanılmayan tüm servis – portlar kapatılmalı gereksiz tüm uygulamalar kaldırılmalıdır.Hardening genellikle DMZ bölgesinde , internete açık sunucularda yapılır.Amaç istenmeyen tüm kodların yürütülmesini engellemek sunucuyu yetkisiz erişime kapatmaktır.
Windows DNS Sunucunun Hardening Edilmesi.
1-Control PanelAll Control Panel ItemsSystemAdvanced System Settings’e girilirek aşağıdaki özellik etkinleştirilir.
2-Control PanelAll Control Panel ItemsAdministrative ToolsSecurity Configuration Wizard Açılarak Aşağıdaki Konfigürasyonlar Yapılır.
3-Yeni veya mevcut bir security policy oluşturulabilir/Düzenlenebilir.Düzenlemeler mevcut sunucuya rol veya özellik eklendiğinde yapılmalıdır.(örneğing remote desktop özelliğinin sonradan eklenmesi)
4-Sunucu DNS Name’ i girilerek konfigürasyona devam edilir.
5-DNS hataları mevcut değilse devam edilir.
6-İlk olarak sunucuda yüklü roller ve bunlarla ilgili security konfigürasyonları olacaktır.
7-Install edilmiş ve çoğunlukla dedicate olan Server Rolleri dışındaki roller seçilmeyerek bu servis-rollerin disable edilmesi sağlanır.
8-Features’lardan kullanılmayanlarda bu ekrande seçilmeyerek disable edilir.
9-Ek Windows özellikleri de aynı şekilde kullanılmayacaksa seçilmeyip devam edilir.
10-Additional Services Ekranında da kullanılmayan non windows servis varsa disable edilmelidir.
11-ilgili servislerin windows başlangıcında disable edilmesi seçeneği seçilerek devam edilir.
12-Summary ekranında değiştirilecek olan servislerin listesi mevcut ve reboot sonrasındaki durumları gözlenerek devam edilir.
13-Windows Firewall (start > run > wf.msc yazılarak’ta konfigure edilebilir.) özellikleri etkinleştirilebilir.Kullanılmayan tüm servislere ait firewall özellikleri disable edilmelidir.
14-Bu sunucuyla iletişim kuracak minimum smb versiyonu belirtilir.eğer ortamınızda bu seviyede işletim sistemi yoksa check box seçilmemelidir.
15-Authenticate olacak kullanıcıların tipi belirlenir.
16-Minimum lanman ve ntlm versiyonu seçilerek devam edilir.
17-Registry Summary Ekranı sonrası devam edilir.
18-Auditlerde ilgili seviye belirlenerek devam edilir.
19-Audit summary incelenerek devam edilir.
20-Policy Save Edilerek Devam Edilir.
21-Oluşturulan Security policy rol bazında isimlendirilerek kaydedilir.
22-Kaydedilen Policy Uygulanarak Hardening Tamamlanır.
23-Firewall’da Erişilmemesi Gereken Tüm Portlar Kapatılır.Sadece Hizmet Verilen Portlar Firewall Wizard’la Set Edilir.(Örnek DNS Server Sunucuda DNS Server Servisleri, ping vs.)
İlgili linkler
http://technet.microsoft.com/en-us/library/cc535248.aspx