Windows Server

Domain Controller Güvenliğinde Yeni Dönem: OSConfig ile Otomasyon

Mehmet Sait YILMAZ fotoğrafı Mehmet Sait YILMAZ Bir e-posta göndermek 08/03/2025
0 5 dakika okuma süresi

Windows Server 2025, gelişmiş güvenlik özellikleriyle birlikte gelirken, sistem yöneticilerinin güvenlik yapılandırmalarını standartlaştırması ve otomatikleştirmesi her zamankinden daha önemli hale geldi. Microsoft’un açık kaynaklı aracı OSConfig, bu ihtiyacı karşılamak için tasarlanmış güçlü bir çözüm sunuyor.

OSConfig, özellikle Security Baseline yapılandırmalarını uygulayarak, Windows Server 2025 Domain Controller’larını (DC) Microsoft’un en iyi güvenlik uygulamalarına göre optimize etmenizi sağlar. Geleneksel Group Policy Object (GPO) veya PowerShell betikleri kullanmadan, JSON tabanlı otomatik konfigürasyonlarla sistemlerinizin güvenlik seviyesini artırabilirsiniz.

Bu makalede, Microsoft OSConfig’in ne olduğunu, nasıl çalıştığını ve Domain Controller’lar için Security Baseline senaryosunu nasıl uygulayabileceğinizi adım adım ele alacağız. Ayrıca, uygulamanın ardından yapılandırmaları nasıl doğrulayacağınızı ve karşılaşabileceğiniz olası senaryoları inceleyeceğiz.

Eğer Windows Server 2025 üzerinde güvenliği standartlara uygun hale getirmek ve otomatik yönetim süreçlerini iyileştirmek istiyorsanız, OSConfig sizin için güçlü bir araç olabilir. Şimdi, bu teknolojinin detaylarına birlikte göz atalım.

Biz IT Pro’lar en güvenli sistemin peşindeyiz ve uzun yıllardır bunun için çeşittli stratejiler ve teknolojiler kullandık (Tier Model, Securtiy Baseline, Red Forest ve daha fazlası). Bu çözümlar hala güçlü ve ihtiyaçlarımızı büyük oranda karşılılıyor ancak Windows 2025 ile güvenlik zincirine yeni bir halka daha ekleniyor. Bu yeni teknolojinin adı OSConfig.

OSConfig, Microsoft tarafından geliştirilen bir güvenlik otomasyonu ve yaptığı için temelde MS’in önderdiği güvenlik ayarlarını uygulamak ve belirlik aralıklar ile kontrol etmek eğer belirlenen ayarlarda bir değişiklik olması durumunda bunlar yeniden istenilen ayarlara geri döndürmek.

Neden OSConfig Kullanmalıyız?

OSConfig, yalnızca bir yapılandırma aracı olmanın ötesinde, farklı güvenlik senaryoları için uyumluluk sağlamaya yardımcı olan güçlü bir yönetim çözümüdür. Microsoft, belirli güvenlik ihtiyaçlarını karşılamak için hazır senaryolar (scenarios) sunmaktadır. Bu senaryolar, sistemlerinizi manuel olarak tek tek yapılandırmadan güvenlik standartlarına uygun hale getirmenizi sağlar.

OSConfig’in Sağladığı Temel Avantajlar

Deklaratif Yapılandırma

Geleneksel GPO yönetimi veya manuel script’lerle tek tek ayar yapmak yerine, OSConfig deklaratif bir yapılandırma modeli kullanır.

  • Örneğin, bir Security Baseline politikası uygulamak istiyorsanız, tek tek ayar yapmak yerine son durumda nasıl olmasını istiyorsanız OSConfig’e bunu bildirirsiniz.
  • OSConfig, gerekli adımları kendi başına tamamlar, böylece yanlış yapılandırmaların ve hataların önüne geçilir.

Uyumluluk ve Drift Kontrolü

OSConfig, sadece bir yapılandırmayı uygulamakla kalmaz, aynı zamanda zaman içinde bu yapılandırmaların korunmasını da sağlar.

  • Drift Kontrolü özelliği sayesinde belirlediğiniz senaryo (örneğin Security Baseline veya SecureCore) zaman içinde değişime uğrarsa, OSConfig bunu tespit eder.
  • Belirli periyotlarla yapılan taramalar sayesinde yapılandırmalarda istenmeyen değişiklikler algılanır ve düzeltilir.
  • Geleneksel GPO’larda olduğu gibi manuel bir yenilemeye veya elle müdahaleye gerek kalmaz.

Güvenlik Yönetimini Basitleştirir

OSConfig, farklı güvenlik ihtiyaçları için özelleştirilmiş senaryolar sunar.

Örneğin:

Security Baseline: Microsoft’un önerdiği güvenlik standartlarını uygular.

SecureCore: Cihaz güvenliğini artırmak için ek güvenlik önlemleri sunar.

Defender Policies: Windows Defender yapılandırmalarını merkezi olarak yönetir.

Windows Defender Application Control (App Control for Business): Uygulama güvenliğini güçlendirerek yalnızca güvenilir yazılımların çalışmasına izin verir.

Bu hazır senaryolar, sıfırdan güvenlik politikaları oluşturmak yerine doğrudan uygulanabilir ayarlar sağlar, böylece güvenliği artırırken zamandan tasarruf etmenize yardımcı olur.

Otomatik Drift Kontrolü ile Yapılandırmalarınızı Sabit Tutun

Geleneksel GPO veya script bazlı çözümler genellikle yalnızca bir defa uygulanır ve sistemde yapılan değişiklikler zamanla güvenlik açıklarına neden olabilir. OSConfig’in drift kontrol mekanizması, belirli aralıklarla sistemleri kontrol ederek:

Yetkisiz değişiklikleri tespit eder

Yapılandırmaları otomatik olarak geri düzeltir

Manuel müdahaleye gerek kalmadan politikaların tutarlı kalmasını sağlar

Bu da BT yöneticilerinin sürekli olarak ayarları kontrol etme ihtiyacını ortadan kaldırır ve daha güvenli, stabil bir sistem ortamı sunar.

1. En Üst Katman: Yönetim Araçları (Management Tools)

Bu katman, OSConfig’i yönetmek için kullanılan araçları içerir:

  • Windows Admin Center: OSConfig yapılandırmalarını uzaktan yönetmek için kullanılan merkezi bir yönetim aracı.
  • Azure Policy / Machine Configuration: OSConfig’i Azure üzerinden yönetmek ve belirli makinelerde politikaları uygulamak için kullanılan bulut tabanlı bir mekanizma.
  • Local Tooling (Yerel Araçlar): OSConfig yapılandırmalarını manuel olarak PowerShell veya komut satırı araçlarıyla uygulamak için kullanılır.

Bu araçlar, OSConfig ile etkileşime geçerek sistem yapılandırmalarını ve güvenlik politikalarını yönetmeyi sağlar.

2. OSConfig PowerShell Modülü

  • OSConfig’in PowerShell modülü, yukarıdaki yönetim araçları ile OSConfig platformu arasında bir köprü görevi görür.
  • PowerShell komutları kullanılarak, sistemde hangi yapılandırmaların uygulanacağı belirlenir ve yönetilir.
  • Bant dışı (Out of Band) çalışması, OSConfig’in geleneksel grup ilkesi (GPO) veya diğer işletim sistemi mekanizmalarından bağımsız olarak doğrudan çalışabileceği anlamına gelir.

3. OSConfig API/Platform (Cihaz Üzerinde Çalışan OSConfig Bileşenleri)

  • OSConfig API/Platform, yönetim araçlarından gelen komutları işler ve bunları sistem seviyesinde uygular.
  • OSConfig’in merkezinde bulunan API platformu, cihaz yapılandırmasını değiştirmek için Configuration Providers (Yapılandırma Sağlayıcıları) ile iletişim kurar.

4. Configuration Providers (Yapılandırma Sağlayıcıları)

  • OSConfig, sistem ayarlarını değiştirmek için farklı yapılandırma sağlayıcıları ile çalışır:
    • CSPs (Configuration Service Providers): Özellikle MDM (Mobil Cihaz Yönetimi) çözümleriyle Windows yapılandırmalarını değiştirmek için kullanılan modern bir mekanizma.
    • Registry (Kayıt Defteri): Geleneksel Windows ayarlarını değiştirmek için kullanılır.
    • Diğer OS Bileşenleri: Windows güvenlik politikaları ve diğer yapılandırma verileri buradan yönetilir.

5. Security Features (Güvenlik Özellikleri)

  • Yapılandırma sağlayıcıları aracılığıyla OSConfig, güvenlik özelliklerini yönetir ve uygular.
  • Security Baseline, Defender Policies, SecureCore, Application Control gibi politikalar burada devreye girer.
  • OSConfig, sistem güvenliğini artırmak için cihaz üzerindeki güvenlik bileşenlerini aktif hale getirir ve sürekli izler.

Hadi Başlayalım!

Microsoft, OSConfig’te kullanabileceğimiz ve günümüz şartlarındaki güvenlik tehditlerine karşı sıkalıştırmış ayarlar içeren modüller var. Bunları inceleyeceğiz. İlk olarak kurulum ile başlıyoruz. Ben DC’lerimde uygulayacağım için DC’e login oluyorum ve aşağıdaki ps scriptleri import ediyorum.

Install-Module -Name Microsoft.OSConfig -Scope AllUsers -Repository PSGallery -Force

PS yüklendikten sonra aşağıdaki uygulayabileceğim modüller geliyor.

Şimdi DC için hazırlanmış baseline’i uyguluyorum Microsoft buna “scenario” diyor

Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/DomainController -Default

Tam olarak 311 ayar uygulanıyor, tam listeye buradan ulaşabilirsiniz. https://github.com/microsoft/osconfig/tree/main/security

Bu işemden sonra ayarların etkili olabilmesi için DC’i yeniden başlatmanız gerekiyor.

DC’ açıltıktan sonra aşağıdaki komut ile sistemin durumunu öğrenebilir uyumlu ve uyumsuz ayarları inceleyebilirsiniz.

Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/DomainController | ft Name, @{ Name = "Status"; Expression={$_.Compliance.Status} }, @{ Name = "Reason"; Expression={$_.Compliance.Reason} } -AutoSize -Wrap

Bundan Sonra?

Bu aşamaya kadar MS’in önderiği temel güvenlik ayarlarını DC’e uygulamış oldunuz. Bu şekilde tüm DC’lere uygulanması gerekiyor.

Bu ayarların tümü sizi ortamınız için uygun olmayabilir bu nedenle istediğinz ayarları aşağıdaki gibi değiştirebilirsiniz.

Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/DomainController -Setting WindowsHelloAntiSpoofing -Value 0

Her ayar değişikliği sonrası etkili olabilmesi için sistemi yeniden başlatmanız gerekiyor bunu unutmayın.

Peki bizim kontrolümüzde ayarlar değiştiğinde neler oluyor?

OSconfig ayarları set edildi ancak sizin bilginiz olmadan değişiklik yapıldı bu durumda default olarak 4 saate bir sistem ayarları geri eski noktasına getiriyor buna güvenlik çizgisi deniyor. İsterseniz bu süreyi değiştirebiliyorsunuz.

Aşağıda görüldüğü Scheduler Task atanıyor ve ayarladığınız aralıklarda çalışarak sistemi istenilen ayarlara geri getiriyor.

Drift Control: Yenileme Görevi ve Raw → Cooked → Applied Akışı

OSCCihaz Üzerinde Çalışan OSConfig Bileşenleri)onfig’in drift control (sapma kontrolü) mekanizması, yapılandırmaların istenmeden değiştirilmesini önlemek ve sistemleri sürekli olarak uyumlu tutmak için geliştirilmiştir. Bunun en önemli bileşeni, Yenileme Görevi (Refresh Task) olarak adlandırılan işlemdir.

Windows Declared Configuration Service (WinDC) ve Drift Kontrolü

Bu hizmet, OSConfig’in yapılandırmaları periyodik olarak kontrol etmesini ve gerekirse düzeltmesini sağlar. WinDC (Windows Declared Configuration Service / DCSVC), sistemde yapılandırmaların istenmeyen şekilde değiştirilip değiştirilmediğini denetler ve değişiklik tespit ederse yeniden uygulama işlemini başlatır.

Bu işlemleri aşağıdaki servis yürütüyor.

Örnek Senaryo

Örnek olarak aşağıdaki ayarı değiştiriyorum. Önerilen ayarlar aşağıdaki gibi

Aşağıdaki gibi değiştiriyorum.

Yeni uyumluluk kontrolü yapıyorum. Görüldüğü gibi “Not Compliant”‘a düştü

Manuel olarak taskı çalıştırıyorum.

Yeniden uyumluluk kontrolü yaptırıyorum.

Ayarların yeniden temel güvenlik serviyesine çekildiğini görebiliyoruz.

Evet OSConfig Microsoft dünyasına güvenlik anlamında yeni bir soluk ve bakış akışı getirecek. Windows Server 2025 geçiş sonrası kullanımı ciddi anlamda artacağını düşünüyorum.

Daha fazla bilgiye buradan ulaşabilirsiniz.

Mehmet Sait YILMAZ fotoğrafı Mehmet Sait YILMAZ Bir e-posta göndermek 08/03/2025
0 5 dakika okuma süresi
Mehmet Sait YILMAZ fotoğrafı

Mehmet Sait YILMAZ

İlgili Makaleler

AppLocker ve Software Restriction Policies İle AnyDesk Yasaklamak

09/02/2024

Group Policy İle Outlook’a Safe Sender Ekleme

05/01/2024

Windows Server 2025 Insider Preview (vNEXT) ve Active Directory Kurulumu

22/11/2023

Windows Server 2012/2012R2’den Windows Server 2022’e Yükseltme Rehberi

14/09/2023

Bir yanıt yazın

Başa dön tuşu