Windows sunucularda SMB (Server Message Block) protokolü üzerinden yapılan dosya paylaşımları, doğru yapılandırılmazsa ciddi güvenlik açıklarına neden olabilir. Güvenli bir SMB paylaşımı için hem yapılandırma hem de erişim politikaları dikkatli şekilde planlanmalıdır. Aşağıdaki adımlar, güvenli bir SMB paylaşımı oluşturmak isteyen sistem yöneticileri için rehber niteliğindedir:
1. SMB Sürümünü Belirleme (SMBv2/SMBv3 Kullanımı)
Güvenlik açısından SMBv1 kesinlikle devre dışı bırakılmalı, en az SMBv2 veya tercihen SMBv3 kullanılmalıdır. SMBv1’i devre dışı bırakmak için:
Disable-WindowsOptionalFeature -Online -FeatureName "SMB1Protocol" -NoRestartSMBv2 ve SMBv3 genellikle varsayılan olarak aktiftir. Durumlarını kontrol etmek için:
Get-SmbServerConfiguration | Select EnableSMB2Protocol2. Paylaşım Klasörü Oluşturma ve İzin Ayarları
- Klasöre sağ tıklayın → “Paylaşım” → “Gelişmiş Paylaşım” → “Paylaşımı Aç”
- Erişim izinlerini “Salt Okunur” veya “Okuma/Yazma” olarak sınırlayın.
- NTFS izinlerini ayrıca kontrol ederek, sadece gerekli kullanıcı veya gruplara yetki verin.
3. Ağ Erişim Politikalarını Sınırlama
Yalnızca belirli IP’lerin veya bilgisayarların paylaşıma erişmesini sağlamak için Windows Güvenlik Duvarı kuralları oluşturun:
- Giden/Gelen kuralı → Bağlantı Noktası → TCP 445 → Belirli IP adreslerini tanımlayın.
4. Parola Zorunluluğu ve Kullanıcı Yönetimi
- SMB paylaşımına yalnızca kullanıcı adı/parola ile erişim sağlanmalı.
- Misafir (Guest) hesabı kesinlikle devre dışı bırakılmalı.
- Her kullanıcının bireysel hesabı ve kısıtlı izinleri olmalı.
5. Şifreli İletişim (SMB Signing/Encryption)
SMB protokolü üzerinden gönderilen verilerin şifrelenmesini zorunlu kılmak için:
Set-SmbServerConfiguration -EncryptData $trueAyrıca belirli paylaşımlarda şifrelemeyi zorlamak:
Set-SmbShare -Name "PaylasimAdi" -EncryptData $true6. Loglama ve İzleme
Windows Olay Görüntüleyicisi (Event Viewer) üzerinden SMB erişimleri loglanmalı:
- Event ID 5140 – Paylaşım erişimi
- Event ID 5145 – Dosya erişimi
SMB paylaşımına yapılan tüm başarılı ve başarısız bağlantılar izlenmeli ve gerektiğinde uyarı sistemleri kurulmalıdır.
7. Güncellemeleri Takip Etme
SMB ile ilgili açıklar zaman zaman kritik hale gelebilir (örneğin WannaCry). Windows sunucuların düzenli olarak güncellenmesi bu tür tehditlere karşı koruma sağlar.