Merhaba
Yedekleme altyapısını kurarken göz ardı etmemeniz gereken en önemli hususlardan biride güvenliktir. Yedekleme altyapısı, sistemlerinize ve verilerinize erişim sağlamak için potansiyel olarak bir arka kapı olarak kullanılabilir. Veeam Backup & Replication, yedekleme sunucusu yapılandırmanızın Microsoft Windows Server ve Linux işletim sistemlerine dayalı Veeam yedekleme altyapısı bileşenleri için en iyi güvenlik uygulamalarına uygun olmasını sağlamak üzere yerleşik bir araç sunar.
Bu yazımızda da, olası güvenlik sorunlarını önlemenize ve hassas verileri tehlikeye atma riskini azaltmanıza yardımcı olacak bir dizi güvenlik özelliği ve önerisi sunanan Veeam Backup & Replication 12.2 Security & Compliance özelliğinden bahsediyor olacağız.
Veeam Backup & Replication 12.1 versiyon ile birlikte gelen bir özellik olan Security & Compliance özelliğinin bize sunduğu güvenlik önlemlerinin nasıl kontrol edildiğini ve neler yapıldığını anlatıyor olacağız.
Veeam Backup & Replication 12.2 konsoluna Connect diyerek açıyoruz.
Veeam Backup & Replication 12.2 konsolu geliyor karşımıza.
Veeam Backup & Replication 12.2 konsolunda Actions menünde bulunan Security & Compliance seçeneğine tıklıyoruz.
Security & Compliance Analyzer ekranı geliyor karşımıza.
Security & Compliance Analyzer ekranın da Status bölümünü Analyzing… olarak görüyoruz.
Veeam Backup & Replication 12.2 üzerinde gerekli Security & Compliance adımlarının analiz işleminin gerçekleştirildiğini görüyoruz.
Security & Compliance Analyzer ekranın da Veeam Backup & Replication 12.2 üzerinde analiz işlemi tamamlanıyor.
Security & Compliance Analyzer ekranın da Status bölümünde Not implemented olarak görünen adımları yapılandırmamız gerekiyor.
Security & Compliance Analyzer ekranın da Status bölümünde Passed olarak görünen adımlarda herhangi bir yapılandırma yapmamız gerekmiyor.
Security & Compliance Analyzer ekranın da Backup infrastructure security altında bulunan servis ve özellikleri yapılandırıyoruz.
Security & Compliance Analyzer ekranın da Remote Desktop Service (TermService) should be disabled adımında Remote Desktop Service (TermService) servisini Disabled ( Devre Dışı ) olarak yapılandırmamız gerekiyor.
Remote Desktop Service (TermService) servisini Disabled ( Devre Dışı ) olarak yapılandırıyoruz.
Windows PowerShell konsolunu Administrator yetkisi ile çalıştırıyoruz ve aşağıdaki komutları çalıştırıyoruz.
Stop-Service komutlu ile Remote Desktop Service (TermService) servisini durduruyoruz.
Stop-Service -Name TermService -ForceSet-Service komutlu ile Remote Desktop Service (TermService) servisini Disabled ( Devre Dışı ) duruma getiyoruz.
Set-Service -Name TermService -StartupType Disabled
Services konsolunda Remote Desktop Service (TermService) servisinin Disabled ( Devre Dışı ) olarak yapılandırıldığını görüyoruz.
Security & Compliance Analyzer ekranın da Remote Desktop Service (TermService) should be disabled adımında Remote Desktop Service (TermService) servisini Disabled ( Devre Dışı ) olarak yapılandırıldığını ve Status bölümünü Passed olarak görüyoruz.
Security & Compliance Analyzer ekranın da Remote Registry service (RemoteRegistry) should be disabled adımında Remote Registry service (RemoteRegistry) servisini Disabled ( Devre Dışı ) olarak yapılandırmamız gerekiyor.
Remote Registry service (RemoteRegistry) servisini Disabled ( Devre Dışı ) olarak yapılandırıyoruz.
Windows PowerShell konsolunu Administrator yetkisi ile çalıştırıyoruz ve aşağıdaki komutları çalıştırıyoruz.
Get-service komutla Remote Registry service (RemoteRegistry) servisinin durumunu kontrol ediyoruz.
Get-service "RemoteRe*" | Sort-Object "status,service name" | ft -autosizeStop-Service komutlu ile Remote Registry service (RemoteRegistry) servisini durduruyoruz.
Stop-Service -Name RemoteRegistry -ForceSet-Service komutlu ile Remote Registry service (RemoteRegistry) servisini Disabled ( Devre Dışı ) duruma getiyoruz.
Set-Service RemoteRegistry -startuptype "disabled"Tekrar Get-service komutla Remote Registry service (RemoteRegistry) servisinin durumunu kontrol edebilirsiniz.
Get-service "RemoteRe*" | Sort-Object "status,service name" | ft -autosize
Services konsolunda Remote Registry service (RemoteRegistry) servisinin Disabled ( Devre Dışı ) olarak yapılandırıldığını görüyoruz.
Security & Compliance Analyzer ekranın da Remote Registry service (RemoteRegistry) should be disabled adımında Remote Registry service (RemoteRegistry) servisini Disabled ( Devre Dışı ) olarak yapılandırıldığını ve Status bölümünü Passed olarak görüyoruz.
Security & Compliance Analyzer ekranın da Windows Remote Management (WinRM) service should be disabled adımında Windows Remote Management (WinRM) servisini Disabled ( Devre Dışı ) olarak yapılandırmamız gerekiyor.
Windows Remote Management (WinRM) servisini Disabled ( Devre Dışı ) olarak yapılandırıyoruz.
Windows PowerShell konsolunu Administrator yetkisi ile çalıştırıyoruz ve aşağıdaki komutları çalıştırıyoruz.
Stop-Service komutlu ile Windows Remote Management (WinRM) servisini durduruyoruz.
Stop-Service -Name WinRM -ForceStop-Service komutlu ile Windows Remote Management (WinRM) servisini durduruyoruz.
Set-Service -Name WinRM -StartupType Disabled
Services konsolunda Windows Remote Management (WinRM) servisinin Disabled ( Devre Dışı ) olarak yapılandırıldığını görüyoruz.
Security & Compliance Analyzer ekranın da Windows Remote Management (WinRM) service should be disabled adımında Windows Remote Management (WinRM) servisini Disabled ( Devre Dışı ) olarak yapılandırıldığını ve Status bölümünü Passed olarak görüyoruz.
Security & Compliance Analyzer ekranın da Windows Firewall should be enabled adımında Windows Firewall servisini Enabled ( Etkin ) olarak yapılandırmamız gerekiyor.
Windows Firewall servisini Enabled ( Etkin ) olarak yapılandırıyoruz.
Get-service komutla Windows Firewall servisinin durumunu kontrol ediyoruz.
Get-NetFirewallProfile | Format-TableSet-Service komutlu ile Windows Firewall servisini etkinleştiriyoruz.
Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled trueGet-service komutla Windows Firewall servisinin durumunu kontrol ediyoruz.
Get-NetFirewallProfile | Format-Table Name, Enabled
Windows Defender Firewall with Advanced Security konsolunda Windows Firewall servisinin Enabled ( Etkin ) olarak yapılandırıldığını görüyoruz.
Security & Compliance Analyzer ekranın da Windows Firewall should be enabled adımında Windows Firewall servisinin Enabled ( Etkin ) olarak yapılandırıldığını ve Status bölümünü Passed olarak görüyoruz.
Security & Compliance Analyzer ekranın da WDigest credentials caching should be disabled adımında WDigest credentials caching özelliğini Disabled ( Devre Dışı ) olarak yapılandırıldığını ve Status bölümünü Passed olarak görüyoruz.
Windows Server 2022 işletim sistemi üzerinde Veeam Backup & Replication 12.2 kurulumunu yaptığımız için herhangi bir işlem yapmamız gerekmedi. Ancak daha önceki sunucu işletim sisteminde bir kurulum yapmışsanız aşağıdaki linkteki işlemi yapabilirsiniz.
WDigest Settings linkinde bulunan yazıdan WDigest yapılandırmasıyla ilgili olarak detaylara ulabilirsiniz.
Security & Compliance Analyzer ekranın da Web Proxy Auto-Discovery service (WinHttpAutoProxySvc) should be disabled adımında Web Proxy Auto-Discovery service (WinHttpAutoProxySvc) servisini Disabled ( Devre Dışı ) olarak yapılandırmamız gerekiyor.
Web Proxy Auto-Discovery service (WinHttpAutoProxySvc) servisini Disabled ( Devre Dışı ) olarak yapılandırıyoruz.
Windows PowerShell konsolunu Administrator yetkisi ile çalıştırıyoruz ve aşağıdaki komutları çalıştırıyoruz.
Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\WinHttpAutoProxySvc -Name Start -Value 4
Services konsolunda Web Proxy Auto-Discovery service (WinHttpAutoProxySvc) servisinin Disabled ( Devre Dışı ) olarak yapılandırıldığını görüyoruz.
Security & Compliance Analyzer ekranın da Web Proxy Auto-Discovery service (WinHttpAutoProxySvc) should be disabled adımında Web Proxy Auto-Discovery service (WinHttpAutoProxySvc) servisini Disabled ( Devre Dışı ) olarak yapılandırıldığını ve Status bölümünü Passed olarak görüyoruz.
Security & Compliance Analyzer ekranın da Deprecated versions of SSL and TLS should be disabled adımında SSL and TLS servisini Disabled ( Devre Dışı ) olarak yapılandırmamız gerekiyor.
Kullanımdan kaldırılmış olan TLS 1.0, TLS 1.1, SSL 2.0 ve SSL 3.0 servislerini Disabled ( Devre Dışı ) olarak yapılandırıyoruz.
Windows PowerShell konsolunu Administrator yetkisi ile çalıştırıyoruz ve aşağıdaki komutları çalıştırıyoruz.
TLS 1.0 ve TLS 1.1 servislerini Disabled ( Devre Dışı ) olarak yapılandırıyoruz.
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server" /v Enabled /t REG_DWORD /d 0 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server" /v DisabledByDefault /t REG_DWORD /d 1 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client" /v Enabled /t REG_DWORD /d 0 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client" /v DisabledByDefault /t REG_DWORD /d 1 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server" /v Enabled /t REG_DWORD /d 0 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server" /v DisabledByDefault /t REG_DWORD /d 1 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client" /v Enabled /t REG_DWORD /d 0 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client" /v DisabledByDefault /t REG_DWORD /d 1 /f
Windows PowerShell konsolunu Administrator yetkisi ile çalıştırıyoruz ve aşağıdaki komutları çalıştırıyoruz.
SSL 2.0 ve SS L3.0 servislerini Disabled ( Devre Dışı ) olarak yapılandırıyoruz.
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client" /v Enabled /t REG_DWORD /d 0 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client" /v DisabledByDefault /t REG_DWORD /d 1 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server" /v Enabled /t REG_DWORD /d 0 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server" /v DisabledByDefault /t REG_DWORD /d 1 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client" /v Enabled /t REG_DWORD /d 0 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client" /v DisabledByDefault /t REG_DWORD /d 1 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server" /v Enabled /t REG_DWORD /d 0 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server" /v DisabledByDefault /t REG_DWORD /d 1 /f
Security & Compliance Analyzer ekranın da Deprecated versions of SSL and TLS should be disabled adımında SSL and TLS servislerini Disabled ( Devre Dışı ) olarak yapılandırıldığını ve Status bölümünü Passed olarak görüyoruz.
Security & Compliance Analyzer ekranın da Windows Script Host should be disabled adımında Windows Script Host servisini Disabled ( Devre Dışı ) olarak yapılandırmamız gerekiyor.
Registry Editor konsolunda
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings altında Enabled adında bir DWORD alt anahtarını oluşturuyoruz ve değerini 0 olarak yapılandırıyoruz.
Security & Compliance Analyzer ekranın da Windows Script Host should be disabled adımında Windows Script Host servisini Disabled ( Devre Dışı ) olarak yapılandırıldığını ve Status bölümünü Passed olarak görüyoruz.
Security & Compliance Analyzer ekranın da SMBv1 protocol should be disabled adımında SMBv1 protokolünü Disabled ( Devre Dışı ) olarak yapılandırmamız gerekiyor.
How to detect, enable and disable SMBv1, SMBv2, and SMBv3 in Windows linki üzerinde SMB protokolüyle ilgili olarak detaylara ulabilirsiniz.
Windows PowerShell konsolunu Administrator yetkisi ile çalıştırıyoruz ve aşağıdaki komutları çalıştırıyoruz.
Get-WindowsOptionalFeature komutla SMBv1 protokolüyle ilgili durumunu kontrol ediyoruz.
Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
Windows PowerShell konsolunu Administrator yetkisi ile çalıştırıyoruz ve aşağıdaki komutları çalıştırıyoruz.
Get-WindowsOptionalFeature komutla SMBv1 ve SMBv2 protokolüyle ilgili durumunu kontrol ediyoruz.
Get-SmbServerConfiguration | select EnableSMB1Protocol,EnableSMB2Protocol
Windows PowerShell konsolunu Administrator yetkisi ile çalıştırıyoruz ve aşağıdaki komutları çalıştırıyoruz.
Disabled-WindowsOptionalFeature komutla SMBv1 protokolünü Disabled ( Devre Dışı ) olarak yapılandırabilirsiniz.
Disable-WindowsOptionalFeature -Online -FeatureName SMB1ProtocolEnable-WindowsOptionalFeature komutla SMBv1 protokolünü Enabled ( Etkin ) olarak yapılandırabilirsiniz.
Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
Security & Compliance Analyzer ekranın da Link-Local Multicast Name Resolution (LLMNR) should be disabled adımında Link-Local Multicast Name Resolution (LLMNR) servisini Disabled ( Devre Dışı ) olarak yapılandırmamız gerekiyor.
Local Group Policy Editor konsolunu açıyoruz.
Computer Configuration -> Administrative Templates -> Network -> DNS Client altında bulunan Turn off Multicast Name Resolution seçeneğini Enabled ( Etkin ) olarak yapılandırıyoruz.
NOT : Run ( Çalıştır ) gpedit.msc yazarak Local Group Policy Editor konsolunu açabilirsiniz.
Registry Editor konsolunda
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\DNSClient altında EnableMulticast anahtarı mevcut değilse oluşturmanız gerekebilir.
EnableMulticast adında bir DWORD alt anahtarı oluşturuyoruz ve değerini 0 olarak yapılandırıyoruz.
Security & Compliance Analyzer ekranın da Link-Local Multicast Name Resolution (LLMNR) should be disabled adımında Link-Local Multicast Name Resolution (LLMNR) servisini Disabled ( Devre Dışı ) olarak yapılandırıldığını ve Status bölümünü Passed olarak görüyoruz.
Security & Compliance Analyzer ekranın da SMBv3 signing and encryption should be enabled adımında SMBv3 signing and encryption özelliğini Enabled ( Etkin ) olarak yapılandırmamız gerekiyor.
Local Group Policy Editor konsolunu açıyoruz.
Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options altında bulunan
- Microsoft network client: Digitally sign communications (always)
- Microsoft network client: Digitally sign communications (if server agress)
- Microsoft network server: Digitally sign communications (always)
- Microsoft network server: Digitally sign communications (if client agress)
seçeneklerini Enabled ( Etkin ) olarak yapılandırıyoruz.
NOT : Run ( Çalıştır ) gpedit.msc yazarak Local Group Policy Editor konsolunu açabilirsiniz.
Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options altında bulunan Microsoft network client: Digitally sign communications (always) seçeneğini Enabled ( Etkin ) olarak yapılandırıyoruz.
Confirm Settings Change ekranın da Microsoft network client: Digitally sign communications (always) seçeneğini Enabled ( Etkin ) olarak yapılandırdıktan sonra yapılandırmanın etkin olması için Apply diyoruz.
Confirm Settings Change ekranın da Yes diyerek yapılandırmaya devam ediyoruz.
Confirm Settings Change ekranın da gerekli yapılandırmayı tamamladıktan sonra OK diyerek kapatıyoruz.
Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options altında bulunan Microsoft network client: Digitally sign communications (always) seçeneğini Enabled ( Etkin ) olarak yapılandırıldığını görüyoruz.
Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options altında bulunan Microsoft network client: Digitally sign communications (if server agress) seçeneğini Enabled ( Etkin ) olarak yapılandırıyoruz.
Confirm Settings Change ekranın da Microsoft network client: Digitally sign communications (if server agress) seçeneğini Enabled ( Etkin ) olarak yapılandırdıktan sonra yapılandırmanın etkin olması için Apply diyoruz.
Confirm Settings Change ekranın da gerekli yapılandırmayı tamamladıktan sonra OK diyerek kapatıyoruz.
Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options altında bulunan Microsoft network client: Digitally sign communications (if server agress) seçeneğini Enabled ( Etkin ) olarak yapılandırıldığını görüyoruz.
Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options altında bulunan Microsoft network server: Digitally sign communications (always) seçeneğini Enabled ( Etkin ) olarak yapılandırıyoruz.
Confirm Settings Change ekranın da Microsoft network server: Digitally sign communications (always) seçeneğini Enabled ( Etkin ) olarak yapılandırdıktan sonra yapılandırmanın etkin olması için Apply diyoruz.
Confirm Settings Change ekranın da Yes diyerek yapılandırmaya devam ediyoruz.
Confirm Settings Change ekranın da gerekli yapılandırmayı tamamladıktan sonra OK diyerek kapatıyoruz.
Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options altında bulunan Microsoft network server: Digitally sign communications (always) seçeneğini Enabled ( Etkin ) olarak yapılandırıldığını görüyoruz.
Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options altında bulunan Microsoft network server: Digitally sign communications (if client agress) seçeneğini Enabled ( Etkin ) olarak yapılandırıyoruz.
Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options altında bulunan Microsoft network server: Digitally sign communications (if client agress) seçeneğini Enabled ( Etkin ) olarak yapılandırıyoruz.
Confirm Settings Change ekranın da gerekli yapılandırmayı tamamladıktan sonra OK diyerek kapatıyoruz.
Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options altında bulunan Microsoft network server: Digitally sign communications (if client agress) seçeneğini Enabled ( Etkin ) olarak yapılandırıldığını görüyoruz.
Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options altında bulunan
- Microsoft network client: Digitally sign communications (always)
- Microsoft network client: Digitally sign communications (if server agress)
- Microsoft network server: Digitally sign communications (always)
- Microsoft network server: Digitally sign communications (if client agress)
seçeneklerini Enabled ( Etkin ) olarak yapılandırdık.
Windows PowerShell konsolunu Administrator yetkisi ile çalıştırıyoruz ve aşağıdaki komutları çalıştırıyoruz.
Set-SmbServerConfiguration -EncryptData $true
Security & Compliance Analyzer ekranın da SMBv3 signing and encryption should be enabled adımında SMBv3 signing and encryption özelliğini Enabled ( Etkin ) olarak yapılandırıldığını ve Status bölümünü Passed olarak görüyoruz.
Security & Compliance Analyzer ekranın da Local Security Authority Server Service (LASS) should be set to run as a protected process adımında Local Security Authority Server Service (LASS) özelliğini yapılandırmamız gerekiyor.
Bunu Local Group Policy de etkinleştirebilirsiniz:
Computer Configuration -> Administrative Templates -> System -> Local Security Authority -> Configure LSASS to run as a protected process → Enabled
Bu seçenekler kullandığımız Windows Server 2022 sürümünde görünmüyordu. Regedit Editör’ü açıyoruz ve aşağıdaki RunAsPPL ve RunAsPPLBoot alt anahtarlarını oluşturarak gerekli işlemleri yapıyoruz.
Registry Editor konsolunda
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa altında RunAsPPL ve RunAsPPLBoot anahtarını oluşturuyoruz.
RunAsPPL adında bir DWORD alt anahtarını oluşturuyoruz ve değerini 2 olarak yapılandırıyoruz.
RunAsPPLBoot adında bir DWORD alt anahtarını oluşturuyoruz ve değerini 2 olarak yapılandırıyoruz.
Security & Compliance Analyzer ekranın da Local Security Authority Server Service (LASS) should be set to run as a protected process adımında Local Security Authority Server Service (LASS) özelliğinin yapılandırıldığını ve Status bölümünü Passed olarak görüyoruz.
Security & Compliance Analyzer ekranın da NETBIOS protocol should be disabled on all network interfaces adımında NETBIOS protokolünü Disabled ( Devre Dışı ) olarak yapılandırmamız gerekiyor.
Windows PowerShell konsolunu Administrator yetkisi ile çalıştırıyoruz ve aşağıdaki komutları çalıştırıyoruz.
$base = "HKLM:SYSTEM\CurrentControlSet\Services\NetBT\Parameters\Interfaces"
$interfaces = Get-ChildItem $base | Select -ExpandProperty PSChildName
foreach($interface in $interfaces) {
Set-ItemProperty -Path "$base\$interface" -Name "NetbiosOptions" -Value 2
}
Netbios_Disable_.ps1 linkinde buluna PowerShell dosyası ile NETBIOS protokolünü Disabled ( Devre Dışı ) olarak yapılandırabilirsiniz.
NetBIOS, Windows’ta varsayılan olarak hala etkin olan eski bir ağ protokolüdür. NetBIOS’u tamamen devre dışı bırakan bir Group Policy olmadığından, her ağ arayüzünün ayarlarının değiştirilmesi gerekir. Bu işlem kurulum sırayla yapılsa bile, USB Ethernet Adaptörleri veya USB/Thunderbolt bağlantıları gibi yeni ağ arayüzlerinde NetBIOS tekrar etkinleştirilecektir. Bu PowerShell dosyası, Windows kayıt defteri aracılığıyla tüm arayüzler için NetBIOS’u devre dışı bırakmaktadır. Örneğin zamanlanmış bir görevle çalıştırılabilir. Değişiklikler sistemi yeniden başlatmanın ardından uygulanmaktadır.
Security & Compliance Analyzer ekranın da Remote Desktop Service (TermService) should be disabled adımında Remote Desktop Service (TermService) servisini Disabled ( Devre Dışı ) olarak yapılandırıldığını ve Status bölümünü Passed olarak görüyoruz.
