Poyraz Hosting Logo
. . .

Windows Server 2022/2019 VPS Sertleştirme Rehberi: İlk 60 Dakikada Güvenlik ve Performans

Blog Listesine Dön

Windows Server 2022/2019 VPS Sertleştirme Rehberi: İlk 60 Dakikada Güvenlik ve Performans
Görüntülenme: 231

Windows tabanlı bir VPS/VM açtığınızda, dakikalar içinde internete açık olur ve RDP bot taramaları yağar. Aşağıdaki kontrol listesi, PoyrazHosting tarzı pratik yaklaşımla ilk kurulumda yapmanız gerekenleri 60 dakika içinde tamamlamanız için hazırlandı. Tüm adımlar Windows Server 2022/2019 içindir; uygun yerlerde PowerShell komutları da eklenmiştir.

1) Yönetici Hesabı, UAC ve Parola Politikaları

  • Yerleşik Administrator hesabını yeniden adlandırın ve güçlü parola verin.

  • İkinci bir acil durum yerel yönetici hesabı oluşturun (MFA planınıza kadar).

  • Hesap kilitleme ve parola politikalarını uygulayın:

# Parola minimum uzunluk 14, karmaşıklık açık secedit /export /cfg C:\temp\sec.cfg # (Not: GPO ile yapmak idealdir; standalone için Local Security Policy > Account Policies)

Öneri: MFA’li bir yönetim hesabı (Microsoft Entra ID/Authenticator) ve günlük kullanım için ayrı standart kullanıcı.

2) RDP Güvenliği (En Kritik Kısım)

  • Network Level Authentication (NLA) ve TLS 1.2/1.3 kullanın.

  • Varsayılan 3389 portunu değiştirmek taramayı azaltır ama tek başına güvenlik değildir; esas koruma firewall + MFA + IP kısıtlama olmalı.

  • Mümkünse RDP’yi internete açmayın; aşağıdaki seçeneklerden birini tercih edin:

    • WireGuard/OpenVPN tüneli → RDP sadece iç ağda.

    • RDP Gateway (SSL sertifikalı) + MFA.

    • Zorunluysa Windows Firewall ile IP allowlist.

# NLA aktif reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /t REG_DWORD /d 1 /f # Belirli IP'lere RDP izin ver (örnek ofis IP) New-NetFirewallRule -DisplayName "RDP Allow Office" -Direction Inbound -Protocol TCP -LocalPort 3389 -RemoteAddress 203.0.113.0/24 -Action Allow # RDP genel kapat New-NetFirewallRule -DisplayName "RDP Block All" -Direction Inbound -Protocol TCP -LocalPort 3389 -Action Block

3) Windows Update, Sürücüler ve Temel Özellikler

  • Windows Update’i otomatik haftalık kurulumda bırakın; yeniden başlatmaları bakım penceresine alın.

  • Sunucu rolleri dışında gereksiz Features’ı kaldırın; saldırı yüzeyi küçülür.

  • Time Service: Saat senkronizasyonu kritik; NTP kaynağınızı kontrol edin.

# Hızlı Update kontrolü Install-Module PSWindowsUpdate -Force Get-WindowsUpdate -Install -AcceptAll -AutoReboot

4) Defender ve Saldırı Yüzeyi Azaltma (ASR)

  • Microsoft Defender’ı aktif tutun; gerçek zamanlı koruma + bulut temelli koruma.

  • Attack Surface Reduction (ASR) kuralları (ofis/dosya sunucularında) makul seviyede açılabilir.

  • Controlled Folder Access ile fidye yazılımlarına karşı koruma.

# Bulut koruması + örnek ASR kuralı Set-MpPreference -MAPSReporting 2 -SubmitSamplesConsent 3 Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EFC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled

5) Kimlik Bilgisi Koruması (LSA Protection & Credential Guard)

  • LSA Protection (LSASS’ı korumalı süreç olarak çalıştırır) ve donanım destekliyse Credential Guard kimlik bilgisi hırsızlığına set çeker.

# LSA Protection reg add "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v RunAsPPL /t REG_DWORD /d 1 /f

Yeniden başlatma gerekebilir.

6) IIS Kuracaksanız: Minimum Rol + Güvenli TLS

  • IIS’te sadece ihtiyacınız olan modülleri kurun (Basic/Windows Auth gerekmedikçe kapalı).

  • TLS 1.0/1.1 devre dışı, TLS 1.2+ açık; zayıf şifre takımlarını kapatın.

  • Üretimde Let’s Encrypt ile otomatik sertifika yenileme (ör. win-acme) kullanın.

  • Request Filtering, IP Kısıtlama, Dynamic IP Restrictions modüllerini aktif edin.

  • Statik içerik için HTTP/2 ve Compression.

7) Günlükleme, Denetim ve Sysmon

  • Olay günlüğü boyutlarını artırın (varsayılanlar düşüktür).

  • Advanced Audit Policy ile başarısız giriş, RDP oturumları, servis değişiklikleri gibi kritik kategorileri açın.

  • Sysmon kurup (SwiftOnSecurity config vb.) imza tabanlı olay görünürlüğü sağlayın.

# Örnek: Security log boyutunu 256 MB yap wevtutil sl Security /ms:268435456

8) Yedekleme: VSS + Dış Konum + Test Geri Dönüş

  • Windows Server Backup (VSS) veya üçüncü parti ajanla günlük/haftalık imaj + dosya yedeği alın.

  • Yedekleri başka diske ve farklı ağa çıkarın (3-2-1 kuralı).

  • Aylık en az bir geri dönüş tatbikatı yapın; yedek test edilmezse yok hükmündedir.

9) Disk, Servis ve Ağ Temizliği

  • Gereksiz Servisleri Disabled/Manual konuma alın (Fax, XPS, Print Server vs. ihtiyaç yoksa).

  • SMBv1 devre dışı:

Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol -NoRestart

  • Power Plan: “High performance” (özellikle sanallaştırma/CPU yoğun iş yüklerinde).

  • Storage Sense veya cleanmgr ile geçici dosyaları düzenli temizleyin.

10) İzleme ve Uyarı (Baseline + Alert)

  • Performance Monitor ile CPU, RAM, Disk I/O, NIC için Data Collector Set oluşturup günlük CSV kaydı tutun.

  • Event Viewer için Custom View: RDP başarısız girişler (EventID 4625), servis çöküşleri, yeniden başlatmalar.

  • Mümkünse e-posta/Syslog webhook ile uyarı kanalı kurun.

11) Otomasyon: Tek Seferlik Kurulum Script’i (Örnek)

Aşağıdaki iskeleti ihtiyacınıza göre doldurup tek seferde temel sertleştirme yapabilirsiniz:

# Run as Administrator # 1) NLA + RDP firewall kısıtlaması reg add "HKLM\SYSTEM\CCS\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /t REG_DWORD /d 1 /f New-NetFirewallRule -DisplayName "RDP Allow Office" -Direction Inbound -Protocol TCP -LocalPort 3389 -RemoteAddress 203.0.113.0/24 -Action Allow New-NetFirewallRule -DisplayName "RDP Block All" -Direction Inbound -Protocol TCP -LocalPort 3389 -Action Block # 2) Defender ayarları Set-MpPreference -MAPSReporting 2 -SubmitSamplesConsent 3 -PUAProtection Enabled # 3) SMBv1 kapat Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol -NoRestart # 4) Security log boyutu wevtutil sl Security /ms:268435456

12) Hızlı Kontrol Listesi (Kopyala–Yapıştır)

  • Administrator yeniden adlandırıldı, ayrı yönetici + MFA

  • RDP internete açık değil veya IP allowlist + NLA + TLS

  • Windows Update güncel, planlı yeniden başlatma

  • Defender + ASR + LSA Protection aktif

  • SMBv1 kapalı, gereksiz servisler devre dışı

  • IIS gerekiyorsa TLS1.2+, zayıf cipher’lar kapalı

  • Sysmon/Denetim politikaları açık, log boyutları artırıldı

  • VSS yedekleri dış konumda, geri dönüş testi yapıldı

Sonuç

Windows Server’da güvenlik “kur ve unut” değildir. Saldırı yüzeyini küçültmek, uzaktan erişimi güvenceye almak, güncelleme–yedek–izleme üçlüsünü disiplin haline getirmek sunucunuzun ömrünü uzatır ve kesintileri minimize eder. Bu rehberi ilk kurulumda uygulayın; sonrasında otomasyon ve merkezi izleme ile sürdürülebilir bir güvenlik standardı oluşturun.

Diğer Yazılara Göz At

Copyright © 2007 - 2025 Poyraz Hosting | Tüm Hakları Saklıdır.


  • Çalıştığımız bankalar

Kupon kodu kopyalandı!