Windows VDS kurulumu tamamlandığında sunucu çalışmaya başlar ve bağlantılar sağlanabilir. Ancak bu aşamada sistemin güvenli şekilde yapılandırıldığı varsayılmamalıdır. Varsayılan kullanıcı ve yetki düzeniyle kullanılan VDS’ler, zamanla erişim ve güvenlik problemleri doğurabilir. Bu yazıda, Windows VDS için ilk adımda uygulanması gereken kullanıcı ayarlarını ve yetki düzenlemesini ele alacağız.
Varsayılan Administrator Hesabını
Yeni kurulan bir Windows VDS’te ilk bağlantı genellikle Administrator hesabı üzerinden sağlanır. Bu kullanıcı, sistemde sınırsız yetkiye sahip olduğu için hem kritik hem de risklidir. Bu nedenle ilk adımda yapılması gereken işlem, Administrator hesabının aktifliğini ve mevcut durumunu kontrol etmektir. PowerShell kullanılarak yapılan bu kontrol, sistemin güvenli şekilde yapılandırılabilmesi açısından önemlidir.
net user AdministratorKomut çıktısında hesabın aktif olup olmadığı, parola ayarları ve en son ne zaman oturum açtığı bilgileri yer alır. Bu veriler incelendikten sonra, Administrator hesabını sürekli kullanmak yerine ayrı bir yönetici kullanıcı oluşturulması önerilir.
- Günlük kullanım hesabı olmamalıdır.
- Tarayıcıyla internete çıkmak için kullanılmamalıdır.
- Kontrol paneli kurulumu dışında sürekli aktif tutulmamalıdır.
Ayrı Bir Yönetici Kullanıcı Tanımlanması
Varsayılan Administrator hesabı tam yetkili olduğu için günlük kullanımda tercih edilmemelidir. Bunun yerine, yönetim işlemlerini gerçekleştirecek ayrı bir admin kullanıcı oluşturmak daha kontrollü bir yapı sağlar. Bu yöntem, hem yetki yönetimini sadeleştirir hem de denetim açısından avantaj sunar. Kullanıcı oluşturma işlemi PowerShell aracılığıyla yapılabilir.
net user vdsadmin GüçlüBirŞifre123! /addArdından bu kullanıcıyı Administrator grubuna ekleyelim.
net localgroup administrators vdsadmin /add
Standart Kullanıcı Kullanımının Önemi
Windows VDS’te her işlemi admin yetkisiyle yapmak, uzun vadede sistemin dengesini bozan temel etkenlerden biridir. Yönetici yetkileriyle yapılan basit hatalar, tüm sunucuyu etkileyebilir. Bu nedenle günlük kullanım, uygulama testleri ve dosya işlemleri için ayrı bir standart kullanıcı oluşturulması önerilir.
net user appuser GüçlüBirŞifre456! /add⚠️Bu kullanıcıyı herhangi bir yönetici grubuna eklemiyoruz. Eğer belirli bir klasöre erişmesi gerekiyorsa NTFS izinleri üzerinden yetki verebiliriz.
Servisler neden Administrator hesabıyla çalışmamalı?
Bir servisin Administrator ile çalışması demek, o servisteki bir hatanın tüm sistemi etkilemesi demektir.
New-LocalUser "svc-app" -Password (Read-Host -AsSecureString)Bir servisin durması veya yeniden başlatma sonrası çalışmaması yalnızca kullanıcı ya da yetki ayarlarıyla ilişkili olmayabilir. Özellikle sanal sunucu altyapılarında disk hataları bu tür problemleri tetikleyebilir. Dosya sistemi bütünlüğünü kontrol etmek için CHKDSK çalıştırılması, sorunun kaynağını doğru şekilde tespit etmeye yardımcı olur.
Uzak Masaüstü Erişimini Kontrolü
Windows VDS’lerde RDP, sunucuya dışarıdan erişim sağlanan temel bağlantı noktalarından biridir. Bu durum, servisin aynı zamanda en çok hedef alınan bileşenlerden biri olmasına neden olur. Güvenli bir yapı için RDP’nin aktif olması tek başına yeterli değildir; erişim yetkisinin kimlerde olduğu da net şekilde belirlenmelidir. Yetkili kullanıcılar komut satırı üzerinden kontrol edilebilir.
Get-LocalGroupMember "Remote Desktop Users"Gerçekten bağlanması gerekmeyen kullanıcılar bu grupta olmamalıdır. Özellikle Administrator hesabı ile sürekli RDP yapılması önerilmez.
Kullanıcı ve Servis Erişiminde Firewall’un Rolü
Firewall ayarları VDS’lerde genellikle port bazlı düşünülür. Ancak gerçekte firewall, kullanıcı ve servis erişimini yöneten temel güvenlik katmanlarından biridir. Yanlış yapılandırılmış bir firewall, doğru kullanıcı yetkileri olsa bile erişim sorunlarına yol açabilir. Bu nedenle örnek olarak RDP için kullanılan 3389 portunun durumunu kontrol etmek doğru bir başlangıç olacaktır.
Get-NetFirewallRule | Where-Object {$_.DisplayName -like "*Remote Desktop*"}Belirli bir portu sadece ihtiyaç varsa açmak için komutu kullanalım.
New-NetFirewallRule -DisplayName "Allow RDP" -Direction Inbound -Protocol TCP -LocalPort 3389 -Action AllowFirewall tarafında önemli olan, her portun neden açık olduğunun bilinmesidir. Kullanılmayan servislerin portları açık bırakılmamalıdır.
Bir portun firewall’da izinli olması, o port üzerinden bir servisin çalıştığını garanti etmez. Servisin gerçekten ilgili portu dinleyip dinlemediğini görmek için aktif bağlantıların kontrol edilmesi gerekir. Windows ortamında netstat komutu, firewall ve servis yapılandırmasının uyumlu olup olmadığını kısa sürede anlamak için pratik bir yöntem sunar.
UAC Ayarlarının Güvenlik Açısınndan Önemi
Çıkan onay pencerileri nedeniyle UAC çoğu zaman ilk kapatılan ayarlardan biri olur. Ancak bu yaklaşım ciddi güvenlik riskleri doğurur. UAC, yetki yükseltme işlemlerini kontrol ederek bir uygulamanın sistem üzerinde sınırsız işlem yapmasını engeller. Bu kontrol mekanizması devre dışı bırakıldığında, zararlı yazılımlar sistem yetkisini sessizce ele geçirebilir. Bu nedenle Windows VDS üzerinde ilk yapılandırma sırasında UAC’yi kapatmak yerine aktif bırakmak daha doğru bir yaklaşımdır. Bu ayar performans değil, güvenlik odaklıdır.
UAC ayarlarını kontrol etmek için aşağıdaki komutu kullanalım. Çıkan sonuç EnableLUA = 1 olmalıdır.
Get-ItemProperty HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\SystemWindows VDS’te SSH neden gereklidir?
Windows Server sürümleri aslında OpenSSH desteğiyle gelir.
SSH ile GUI açmadan PowerShell komutları çalıştırılabilir, servisler kontrol edilebilir, acil durumlarda RDP’ye alternatif erişim sağlanılabilir.
Windows VDS’te OpenSSH kurulumu
Önce OpenSSH yüklü mü kontrol edelim.
Get-WindowsCapability -Online | Where-Object Name -like 'OpenSSH*'Yüklü değilse
Add-WindowsCapability -Online -Name OpenSSH.Server~~~~0.0.1.0<br>Start-Service sshd<br>Set-Service sshd -StartupType AutomaticBu noktadan sonra Windows VDS SSH bağlantılarını kabul eder.
SSH erişimi kimlerle sınırlanmalı?
SSH herkese açık bırakılmamalıdır. Servis kullanıcıları veya panel kullanıcılarının SSH ile bağlanabilmesi ciddi bir güvenlik riskidir.
C:\ProgramData\ssh\sshd_configSadece gerekli kullanıcıya izin vermek için komutu kullanalım.
AllowUsers vds-adminDeğişiklikten sonra yeniden başlatalım.
Restart-Service sshdSık Sorulan Sorular
Yeni kullanıcı oluşturdum ama RDP ile bağlanamıyorum?
Bu genelde kullanıcı oluşturulup RDP yetkisi verilmediğinde olur. Windows’ta bir kullanıcı admin olsa bile otomatik olarak RDP izni olmayabilir. Çözüm olarak kullanıcıyı Remote Desktop Users grubuna eklemek gerekir.
Add-LocalGroupMember -Group "Remote Desktop Users" -Member vds-adminFirewall kapalı sandım ama bazı portlara erişemiyorum?
Windows Firewall tamamen kapalı gibi görünse bile aktif bir ağ profili üzerinden kural uyguluyor olabilir. Önce aktif profil kontrol edilmelidir.
Get-NetConnectionProfileArdından ilgili port için gerçekten inbound kural var mı bakılır.
Get-NetFirewallRule | Where-Object {$_.Direction -eq "Inbound" -and $_.Enabled -eq "True"}Port açtığını sanıp açmayan kullanıcıların çoğu burada takılır.
Plesk kurulu ama panelden yaptığım ayarlar bazen geçerli olmuyor?
Bu neredeyse her zaman Windows tarafında fazla admin kullanıcı olmasından kaynaklanır. Panel ayarı yapılır ama başka bir admin kullanıcı Windows tarafında üzerine yazar.
Get-LocalGroupMember Administrators