- Bilgisayarda Administrators grubunda olmayan bir hesapla oturum açılmalı ve 115 Yöneticisini yönetici olarak çalıştırmak için Farklı çalıştır komutunu kullanılmalıdır.
- Saldırılardan korunmak için FTP, NNTP veya SMTP gibi 115 hizmetleri de dahil, gerekmeyen hizmetler devre dışı bırakılmalıdır. Bir özellik veya hizmet etkin değilse, güvenliğini sağlamaya gerek yoktur.
- Çeşitli programlar veri hırsızlığı, hizmet reddi ve veri bozma gibi çeşitli yollarla güvenliği ihlal eden yönergeler içerebildiği için güvenilir olmayan kaynaklardan program yüklemesi yapılmamalıdır.
- Kullanılan anti-virüs programları güncel tutulmalıdır. Virüs tarayıcıları önceden tanımlanmış bir virüsün bilinen bileşeni olan bir imzayı düzenli aralıklarla tarayarak, etkilenmiş dosyaları bulurlar. Tarayıcılar bu virüs imzalarını, genellikle yerel sabit diskte depolanan bir imza dosyasında tutar. Sürekli olarak yeni virüsler keşfedildiğinden, virüs tarayıcısının güncel virüsleri kolayca tanımlayabilmesi için bu dosyanın da düzenli aralıklarla güncelleştirilmesi gerekir.
Yazılım güncelleştirmeleri, bilinen güvenlik sorunlarına çözümler sağladığı için yazılım güncelleştirmeleri güncel tutulmalı ve yazılım sağlayıcısının web sitesini düzenli olarak takip ederek, kullanılan yazılımlar için yeni güncelleştirmeler olup olmadığı takip edilmelidir.
- IIS yeni işlem modeli işlem geri dönüşümü içerdiği için hizmetler kesintiye uğramadan 115 güncelleştirmeleri ve yeni çalışan işlem DLL’lerinin çoğu kolayca yüklenebilir.
- Otomatik Güncelleştirme kullanıcılara üç seçenek sağlar: güncelleştirme piyasaya çıktığında bildirme, güncelleştirmeyi yükleme ve yüklendiğini bildirme ve zamanlanmış yükleme. Daha fazla bilgi için Windows Server Yardım ve Destek Merkezi’nde “Windows Otomatik Güncelleştirmeleri’ konusunu inceleyiniz.
- NTFS dosya sistemi, FAT ve FAT32 sisteminden daha güvenli olduğu için sunucu üzerinde NTFS dosya sistemi kullanılmalıdır.
- Uygulama sunucusu olarak etki alanı denetleyicileri kullanılıyorsa etki alanı denetleyicisinde güvenlik açığı olduğunda tüm etki alanında güvenlik açığı oluşacaktır.
Bu yüzden etki alanı denetleyicileriyle ilgili uyarılara dikkat edilmelidir.
- IUSR_bilgisayaradı, hesabı için yazma erişim denetimleri kısıtlanmalıdır. Bu işlem, anonim kullanıcıların bilgisayara erişimini sınırlandırmaya yardımcı olacaktır.
Yöneticiler için erişim izinleri ve denetim atamayı kolaylaştırmak amacıyla çalıştırılabilir dosyalar ayrı bir dizinde depolanmalıdır.
- Tüm anonim kullanıcı hesapları için bir grup oluşturularak oluşturulan grup üyeliğini temel alarak kaynaklara erişim izinleri kolayca engellenebilir.
- Windows dizinleri ve alt dizinlerindeki tüm çalıştırılabilir dosyalarda anonim kullanıcılar İçin çalıştırma izinleri engellenmelidir.
- 115 uzaktan yönetiliyorsa, İp adres kısıtlaması kullanılmalıdır.
- Mümkün olan en kısıtlayıcı izinler atanmalıdır. Örneğin, web siteniz yalnızca bilgi görüntülemek için kullanılıyorsa, yalnızca okuma izinlerini atayın. Bir dizin veya site uygulamalar içeriyorsa, kodlar ve yürütülebilirler yerine yalnızca komut dosyaları izinleri atanmalıdır.
- Yazma ve Komut dosyası kaynağı erişimi izinleri veya kodlar ve yürütülebilirler izinleri atanmamalıdır. Bu bileşim çok dikkatli kullanılmalıdır. Bu izinler, bir kullanıcının sunucuya tehlikeli olabilecek yürütülebilir dosyalar yüklemesine ve çalıştırmasına olanak verebilir.
- Tüm WMI tabanlı uzaktan yönetim kod dosyalarında veri şifrelemesi etkinleştirilmelidir.
- Web sunucunuzdaki VeriSign Intermediate Root CA sertifikası güncel tutulmalıdır. Son kullanım tarihini denetleyerek gerekiyorsa İntermediate Root CA sertifikası güncelleştirilmelidir.