Windows Server 2025 Active Directory Post-Build Kontrolleri

Windows Server 2025 Active Directory yeni bir kurulum yaptıktan sonra veya upgrade çalışması yaptıktan sonra kullanabileceğiniz genel kontroller aşağıdaki gibidir.

Domain – Forest Configuration

ID	Kontrol	Beklenen Durum	Kontrol	Risk	CIS Ref
AD-01	Forest Functional Level	Windows Server 2025	Get-ADForest	Düşük	1.1
AD-02	Domain Functional Level	Windows Server 2025	Get-ADDomain	Düşük	1.1
AD-03	AD Recycle Bin	Enabled	Administrative Center	Orta	2.3
AD-04	Domain Trust	Tanımlı değil	AD Domain and Trust	Düşük	1.2
AD-05	Enterpise Admins Üyeleri		Dsa.msc	Yüksek	1.5
AD-06	Schema Admins Üyeleri		Dsa.msc	Yüksek	1.5
AD-07	Domain Admins Üyeleri		Dsa.msc	Yüksek	1.5
AD-08	Administrators üyeleri		Dsa.msc	Yüksek	1.5

Domain Controller Health

ID	Kontrol	Beklenen Durum	Kontrol	Risk	CIS Ref
DC-01	dcdiag sonucu	Hatasız	dcdiag /v	Yüksek	1.3
DC-02	Replication summary	Error = 0	repadmin /replsummary	Yüksek	1.4
DC-03	SYSVOL replication	DFSR healthy	Event 2213	Yüksek	1.4
DC-04	Lingering object	Yok	repadmin /removelingeringobjects	Yüksek	1.4

Sites – Replication

ID	Kontrol	Beklenen Durum	Kontrol	Risk	CIS Ref
SITE-01	Site sayısı	Merkez + DRS	ADSS	Düşük	1.4
SITE-02	Subnet eşleşmesi	%100 doğru	ADSS	Orta	1.4
SITE-03	Replication interval	15 dk	Site Link	Düşük	1.4
SITE-04	Bridgehead Server	Tüm DC’ler	ADSS	Düşük	1.4

DNS Security – Integrity

ID	Kontrol	Beklenen Durum	Kontrol	Risk	CIS Ref
DNS-01	Secure Dynamic Updates	Enabled	DNS MMC	Yüksek	2.4
DNS-02	Reverse Lookup Zone	Var	DNS MMC	Düşük	2.4
DNS-03	Aging & Scavenging	Enabled	DNS properties	Orta	2.4
DNS-04	_msdcs zone	Ayrı & replike	DNS MMC	Yüksek	2.4
DNS-05	External recursion	Disabled	DNS advanced	Yüksek	2.4

Authentication – Protocol Hardening ( Opsiyonel – Önerilen)

ID	Kontrol	Beklenen Durum	Kontrol	Risk	CIS Ref
AUTH-01	LDAP Signing	Require Signing	GPO	Yüksek	2.5
AUTH-02	NTLMv1 / LM	Disabled	GPO	Kritik	2.5
AUTH-03	NTLM encryption	128-bit required	GPO	Kritik	2.5
AUTH-04	Kerberos RC4	Disabled	GPO	Yüksek	2.6

Privileged Access – Tier-0

ID	Kontrol	Beklenen Durum	Kontrol	Risk	CIS Ref
PA-01	Domain Admin count	Minimum	ADUC	Kritik	1.5
PA-02	Tiering model	Uygulanmış	GPO	Kritik	1.5
PA-03	PAW – PAM	Öneri		Kritik	1.5
PA-04	RID-500 rename	Yapılmış	ADUC	Orta	1.6
PA-05	Break-glass account	Tanımlı	Vault	Kritik	1.6

GPO – Security Policy

ID	Kontrol	Beklenen Durum	Kontrol	Risk	CIS Ref
GPO-01	Default policies	Min. değişiklik	GPMC	Orta	1.7
GPO-02	Firewall	Enabled (DC)	GPO	Kritik	2.7
GPO-03	Logon locally	Sıkı	GPO	Yüksek	2.2
GPO-04	RDP access	Sadece Admin	GPO	Yüksek	2.2

Logging, Backup – DR

ID	Kontrol	Beklenen Durum	Kontrol	Risk	CIS Ref
LOG-01	Advanced Audit Policy	Enabled	GPO	Yüksek	3.1
LOG-02	Event log retention	Owerwrite as needed	Event Viewer	Orta	3.1
DR-01	BMR Backup	Configured	Backup console	Kritik	3.2
DR-02	Restore test	Öneri	Test report	Kritik	3.2

Windows Update – Patch Management

ID	Kontrol	Beklenen Durum	Kontrol	Risk	CIS Ref
UPD-01	Windows Update servisi	Enabled	Services.msc	Yüksek	3.3
UPD-02	Güncelleme seviyesi	Latest security updates installed	Windows Update history	Kritik	3.3
UPD-03	Otomatik update yapılandırması	Centralized / WSUS / WUfB	GPO	Yüksek	3.3
UPD-04	Reboot pending kontrolü	Yok	Registry / PowerShell	Orta	3.3
UPD-05	DC’lerde  update	Dokümante edilmiş	SOP / Policy	Orta	3.3

Anti-Virus – Endpoint Detection and Response (EDR)

ID	Kontrol	Beklenen Durum	Kontrol	Risk	CIS Ref
AV-01	Anti-Virus yazılımı	Yüklü ve aktif	AV console	Kritik	3.4
AV-02	EDR agent	Yüklü ve çalışıyor	EDR console	Kritik	3.4
AV-03	Gerçek zamanlı koruma	Enabled	AV policy	Kritik	3.4
AV-04	Signature update durumu	Güncel	AV console	Yüksek	3.4
AV-05	DC exclusion’ları	CIS uyumlu	AV policy	Yüksek	3.4
AV-06	AV / EDR tam tarama	Planlı	Scheduler	Orta	3.4

Time Server – NTP Konfigürasyonu

ID	Kontrol	Beklenen Durum	Kontrol	Risk	CIS Ref
TIME-01	PDC Emulator rolü	Tanımlı	netdom query fsmo	Kritik	2.6
TIME-02	PDC harici NTP	Yapılandırılmış	w32tm /query /status	Kritik	2.6
TIME-03	Diğer DC’ler	PDC’den senkron	w32tm /monitor	Kritik	2.6
TIME-04	VM time sync	Disabled (DC)	Hypervisor / Registry	Yüksek	2.6
TIME-05	Time drift	< 5 dakika	w32tm /monitor	Yüksek	2.6

Disk, Sistem ve Servis Sağlığı

ID	Kontrol	Beklenen Durum	Kontrol	Risk	CIS Ref
SYS-01	Disk free space	≥ %20	Explorer / PowerShell	Orta	3.5
SYS-02	Netlogon & SYSVOL disk	paylaşımlı	PS – CMD	Orta	3.5
SYS-03	Kritik servisler	Running	Services.msc	Kritik	3.5
SYS-04	Event Viewer kritik hata	Yok	Event Viewer	Yüksek	3.5

Network – Firewall

ID	Kontrol	Beklenen Durum	Kontrol	Risk	CIS Ref
NET-01	DC firewall profilleri	Domain profile active	wf.msc	Kritik	2.7
NET-02	Gerekli portlar	Açık (LDAP, Kerberos, DNS)	netstat / firewall	Kritik	2.7
NET-03	Gereksiz servis/port	Kapalı	Port scan	Yüksek	2.7

İzleme – Operasyonel Hazırlık

ID	Kontrol	Beklenen Durum	Kontrol	Risk	CIS Ref
OPS-01	DC izleme (CPU/RAM/Disk)	Aktif	Monitoring tool	Orta	3.6
OPS-02	AD kritik alarm	Tanımlı	SIEM / EDR	Kritik	3.6
OPS-03	Yetkili login alarmı	Aktif	SIEM	Kritik	3.6
OPS-04	Değişiklik kayıt süreci	Dokümante	CAB / SOP	Orta	3.6

Event Log Kontrolleri

ID	Kontrol	Beklenen Durum	Risk	CIS Ref
EVT-01	Directory Service Event Log	Kritik hata yok	Yüksek	3.1
EVT-02	System Event Log	Kritik hata yok	Yüksek	3.1
EVT-03	Application Event Log	Kritik hata yok	Orta	3.1
EVT-04	Event log maksimum boyut	≥ 2 GB	Orta	3.1
EVT-05	Event log overwrite policy	Do not overwrite / Archive	Yüksek	3.1