Windows Server Ping ve ICMP İsteklerine Cevap Verme

Ping / ICMP istekleri bir cihazın network içerinde aktif olup olmadığını belirlemede kullanılan en yaygın araçlardır. Windows Server sistemi kurulurken güvenlik sebebi ile güvenlik duvarı (firewall) açık olur ve ping isteklerine cevap vermez. Ping isteklerine cevap vermenin en kolay yolu güvenlik duvarını tamamen kapatmak olsa da bu durum asla tavsiye edilmeyen ve yapılması durumunda sistemi tamamen savunmasız bırakan bir durum ortaya çıkar.

Güvenlik duvarı üzerinden sadece ping/icmp isteklerine cevap vermek için aşağıdaki adımlar takip edilebilir.

Start> Windows Administrative Tools> Windows Firewall with Advanced Security yolu izlenerek güvenlik duvarı ayarları açılır.

Açılan ekranda “Inbound Rules” butonu ile gelen kurallar ekranına geçilir.

Gelen kurallar ekranında “New Rule…” butonu ile güvenlik duvarı üzerinde yeni kural oluşturma ekranına geçiş yapılır.

“Custom” seçeneğini seçip sonraki ekrana geçiyoruz.

“All programs” seçeneği ile sonraki ekrana geçiyoruz.

“Protocol type” seçeneğinde “ICMPv4” seçilip “Custumize…” butonu ile icmp isteklerinden hangilerine cevap verileceğini seçeceğimiz ekrana geçiş yapıyoruz.

Seçeneklerden “Echo Request” seçilerek “OK” butonu tıklanır.

Gelen ekranda oluşturulacak kurala uygun bir isim ve açıklama verildikten sonra “Finish” butonu ile işlem tamamlanır.

Güvenlik ile ilgili işlemler yapılırken göz önünde bulundurulması gereken nokta; takılma olmasın diye bütün sisteme izin vermek yerine sadece yeteri kadar yetki tanımlama yapılması gerektiğidir.




Domaindeki Bilgisayarda Oturum Açabilecek Kullanıcı Sınırlama

Kurumun domain yapısına dahil olan bilgisayarlara varsayılan ayarda bütün domain kullanıcıları oturum açabilir. Bilgisayarlarda sadece izin verilen kullanıcıların oturum açmasına izin verilebilir.

Bunun için gpedit.msc komutu ile Local Group Policy Editor açılır. Ve aşağıdaki yol takip edilerek ilgili listeye izin verilecek kullanıcılar eklenir.

Kullanıcı belirleme ekranı:

İşlemin Videolu Anlatımı




Active Directory Explorer İle AD Yapınızı Hızlıca Gözden Geçirin

Active Directory şirketlerde gerek kaynak gerek kullanıcı yönetiminde görev alan bir yapı olarak karşımıza çıkmaktadır. Yapısı ve üstlendiği görevler gereği kullanıcıya dair bütün bilgileri üzerinde tutmaktadır. Bu bilgilerden bazıları sistem yöneticisi için önemli verilerdir. Örneğin kullanıcının en son ne zaman şifre değiştirdiği, en son ne zaman oturum açtığı vb.

Bu verileri okumak için kullanılabilecek faydalı uygulamalardan biri de Actice Directory Explorer aracıdır.

Active Directory Explorer

Öncelikle Active Directory sunucusuna bağlanmak gerekiyor. Bağlantı için File => Connect yolu izlenir. Açılan aşağıdaki ekranda AD sunucusu ve yetkili bir kullanıcı hesabı ve şifresi girilir.

AD Server Bağlantı Ekranı

Bağlantı için gerekli bilgiler girildikten sonra aşağıdaki ekranda göründüğü gibi AD yapısı ekrana gelecektir.

AD Yapısı

Yapı içerisinde gezinerek domainde bulunan kullanıcı ve bilgisayarlarla ilgili bilgiler incelenebilir. Örneğin aşağıdaki ekranda örnek bir bilgisayar hesabı inceleniyor.

Bilgisayar Hesabı

Yapı içerisinde arama yapmak için Search => Search Container seçeneği tıklanır.

Active Directory İçerisinde Arama

Arama ekranı kriterleri aşağıdaki gibidir:

Class Arama Yapılacak Nesne Türü
Attribute Arama yapılacak nesne özelliği
Relation Karşılaştırma kriteri
Value Aranan değer

Arama kriterleri girildikten sonra “Add” butonu ile şart aramaya eklenir. Bu şekilde bütün şartlar ekrana girildikten sonra “Search” butonu ile arama yapılır.

Uygulamayı İndirmek için burayı TIKLAYIN




Standart Kullanıcıların Windows Güncellemelerini Yüklemelerine İzin Vermek

Firmalarda kullanılan güvenlik önlemlerinden biri kullanıcılardan local admin yetkilerini almaktır. Ancak bunu yapınca da standart kullanıcı hesapları Windows güncellemelerini yükleyemez hale geliyor. Bu sorunu çözmek için group policy üzerinden aşağıdaki ayar yapılır. Bu ayardan sonra standart kullanıcılar da windows güncellemelerini yükleyebilecek.

Standart Kullanıcı İçin Güncelleme Yetkisi

Bu işlem domain yapısında olmayan bir Windows makinesinde yapılmak istendiğinde aşağıdaki yok izlenir

Standart Kullanıcıya Güncelleme Yetkisi Verme

Veya Local Policy üzerinden işlem yapılmak istenirse:

  • Çalıştır satırına gpedit.msc yazıp ENTER tuşuna basın (Çalıştır satırı için Win + R)
  • Computer Configuration -> Administrative Templates -> Windows Component -> Windows Update yolunu izleyin
  • “Allow non administrative to receive update notifications” seçeneğini ENABLE olarak değiştirin.




Varsayılan Uzak Masaüstü (RDP) Portu Değiştirme

Uzak masaüstü uygulaması Microsoft tarafından geliştirilen faydalı bir uygulama olsa da güvenliği tam sağlanamazsa ciddi bir güvenlik açığına sebep olmaktadır. Bu güvenlik açığının sebeplerinden biri RDP protokolünün varsayılan portunun herkes tarafından biliniyor olmasıdır. Bu güvenlik açığına bir nebze de olsa alınabilecek önlemlerden akla ilk geleni RDP portunun değiştirilmesidir.

RDP portunu değiştirmek için:

  • Kayıt Defteri Düzenleyicisini (regedit) açın
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber

RDP Port Numarası

  • İşaretlenen PortNumber değerini istenen ve başkası tarafından tahmin edilemeyecek bir değer ile değiştirin
  • Kayıt Defteri Düzenleyicisini kapatın
  • Bilgisayarı yeniden başlatın

Bu işlemlerden sonra bilgisayarınıza RDP ile bağlantı sağlarken artık girdiğimiz güncel port numarası üzerinden gidebilirsiniz.