9 obligāti jāzina padomi Windows serveru drošībai

Windows Server ir viena no visbiežāk izmantotajām operētājsistēmām serveru barošanai. Operācijas rakstura dēļ, kurā parasti iesaistīti uzņēmumi, Windows Server drošība ir būtiska uzņēmuma datiem.

Pēc noklusējuma sistēmā Windows Server ir noteikti daži drošības pasākumi. Bet jūs varat darīt vairāk, lai nodrošinātu, ka jūsu Windows serveriem ir pietiekama aizsardzība pret iespējamiem draudiem. Šeit ir daži kritiski padomi, kā aizsargāt Windows Server.

1. Atjauniniet savu Windows Server

Lai gan tas var izskatīties kā acīmredzama rīcība, lielākajai daļai serveru, kas instalēti ar Windows Server attēliem, nav jaunāko drošības un veiktspējas atjauninājumu. Jaunāko drošības ielāpu instalēšanai ir izšķiroša nozīme, lai aizsargātu sistēmu no ļaunprātīgiem uzbrukumiem.

Ja esat iestatījis jaunu Windows serveri vai saņēmis tam akreditācijas datus, noteikti lejupielādējiet un instalējiet visus jaunākos datoram pieejamos atjauninājumus. Funkcijas atjauninājumu varat atlikt uz kādu laiku, taču jāinstalē drošības atjauninājumi, tiklīdz tie kļūst pieejami.

2. Instalējiet tikai būtiskos OS komponentus, izmantojot Windows Server Core

Operētājsistēmā Windows Server 2012 un jaunākās versijās varat izmantot operētājsistēmu tās pamata režīmā. Windows servera koda režīms ir minimāla instalēšanas opcija, kas Windows Server instalē bez GUI, kas nozīmē samazinātas funkcijas.

Windows Server Core instalēšanai ir daudz priekšrocību. Acīmredzama ir veiktspējas priekšrocība. Jūs varat izmantot to pašu aparatūru, lai iegūtu veiktspējas uzlabojumus, izmantojot neizmantotus OS komponentus, kā rezultātā tiek samazinātas RAM un CPU prasības, uzlabots darbības laiks un sāknēšanas laiks un mazāk ielāpu.

Lai gan veiktspējas ieguvumi ir jauki, drošības ieguvumi ir vēl labāki. Uzbrukt sistēmai ar mazāk rīku un uzbrukuma vektoriem ir grūtāk nekā uz GUI balstītas operētājsistēmas uzlaušana. Windows Server Core samazina uzbrukuma virsmu, piedāvā Windows Server RSAT (attālās servera administrēšanas) rīkus un iespēju pārslēgties no Core uz GUI.

3. Aizsargājiet administratora kontu

Windows Server noklusējuma lietotāja konts ir nosaukts Administrators. Tā rezultātā lielākā daļa nežēlīgo spēku uzbrukumu ir vērsti uz šo kontu. Lai aizsargātu kontu, varat to pārdēvēt par kaut ko citu. Varat arī vispār atspējot vietējā administratora kontu un izveidot jaunu administratora kontu.

Kad vietējais administratora konts ir atspējots, pārbaudiet, vai ir pieejams vietējā viesa konts. Vietējie viesu konti ir vismazāk droši, tāpēc vislabāk ir tos novērst, kur vien iespējams. Izmantojiet to pašu režīmu neizmantotajiem lietotāju kontiem.

Jums var palīdzēt laba paroļu politika, kas prasa regulāras paroles maiņas, sarežģītas un garas paroles ar cipariem, rakstzīmēm un īpašām rakstzīmēm aizsargāt lietotāju kontus pret brutālu spēku uzbrukumiem.

4. NTP konfigurācija

Lai novērstu pulksteņa novirzīšanos, ir svarīgi konfigurēt serveri laika sinhronizēšanai ar NTP (tīkla laika sinhronizācijas) serveriem. Tas ir būtiski, jo pat dažu minūšu atšķirība var pārtraukt dažādas funkcijas, tostarp Windows pieteikšanos.

Organizācijas sinhronizēšanai izmanto tīkla ierīces, kas izmanto iekšējos pulksteņus vai paļaujas uz publisko interneta laika serveri. Serveru, kas ir domēna dalībnieki, laiks parasti tiek sinhronizēts ar domēna kontrolleri. Tomēr atsevišķiem serveriem būs nepieciešams iestatīt NTP ārējam avotam, lai novērstu atkārtotu uzbrukumu.

5. Iespējot un konfigurēt Windows ugunsmūri un antivīrusu

Windows serveros ir iebūvēts ugunsmūris un antivīrusu rīks. Serveros, kuriem nav aparatūras ugunsmūri, Windows ugunsmūris var samazināt uzbrukuma virsmu un nodrošināt pienācīgu aizsardzību pret kiberuzbrukumiem, ierobežojot datplūsmu līdz nepieciešamajiem ceļiem. Tas nozīmē, ka uz aparatūras bāzes vai Mākoņa bāzes ugunsmūris piedāvās lielāku aizsardzību un noņems jūsu servera slodzi.

Ugunsmūra konfigurēšana var būt netīrs uzdevums, un sākumā to ir grūti apgūt. Tomēr, ja tas nav pareizi konfigurēts, atvērtas ostas, kas pieejamas nepiederošiem klientiem, serveriem var radīt milzīgu drošības risku. Turklāt saglabājiet piezīmi par tās lietošanai izveidotajiem noteikumiem un citiem atribūtiem turpmākajām atsaucēm.

6. Droša attālā darbvirsma (RDP)

Ja izmantojat RDP (attālās darbvirsmas protokolu), pārliecinieties, vai tas nav atvērts internetam. Lai novērstu nesankcionētu piekļuvi, mainiet noklusējuma portu un ierobežojiet LAP piekļuvi noteiktai IP adresei, ja jums ir piekļuve īpašai IP adresei. Varat arī izlemt, kurš var piekļūt RDP un to izmantot, jo tas pēc noklusējuma ir iespējots visiem servera lietotājiem.

Pieņemiet arī visus pārējos pamata drošības pasākumus, lai nodrošinātu LAP, tostarp izmantojot stingru paroli, ļaujot divfaktoru autentifikāciju, saglabājot programmatūras atjaunināšana, piekļuves ierobežošana, izmantojot papildu ugunsmūra iestatījumus, tīkla līmeņa autentifikācijas iespējošana un konta bloķēšanas iestatīšana politika.

Saistīts: Top attālās piekļuves programmatūra, lai kontrolētu Windows datoru no jebkuras vietas

7. Iespējot BitLocker diska šifrēšanu

Līdzīgi kā Windows 10 Pro, arī operētājsistēmas servera izdevumā ir iebūvēts diska šifrēšanas rīks, ko sauc BitLocker. Drošības profesionāļi to uzskata par vienu no labākajiem šifrēšanas rīkiem, jo ​​tas ļauj šifrēt visu cieto disku pat tad, ja tiek pārkāpta jūsu servera fiziskā drošība.

Šifrēšanas laikā BitLocker uztver informāciju par jūsu datoru un izmanto to, lai pārbaudītu datora autentiskumu. Pēc verifikācijas jūs varat pieteikties savā datorā, izmantojot paroli. Kad tiek konstatēta aizdomīga darbība, BitLocker lūgs ievadīt atkopšanas atslēgu. Ja netiks sniegta atšifrēšanas atslēga, dati paliks bloķēti.

Ja cietā diska šifrēšana jums ir jauna, skatiet šo detalizēto rokasgrāmatu kā izmantot BitLocker sistēmā Windows 10.

8. Izmantojiet Microsoft Baseline Security Analyzer

Microsoft Baseline Security Analyzer (MBSA) ir bezmaksas drošības rīks, ko izmanto IT profesionāļi, lai palīdzētu pārvaldīt savu serveru drošību. Tas var atrast drošības problēmas un trūkstošos atjauninājumus serverī un ieteikt novēršanas norādījumus saskaņā ar Microsoft drošības ieteikumiem.

Lietojot, MBSA pārbaudīs Windows administratīvās ievainojamības, piemēram, vājas paroles, SQL un IIS ievainojamību klātbūtni un trūkstošos drošības atjauninājumus atsevišķās sistēmās. Tas var arī skenēt atsevišķu datoru vai grupu pēc IP adreses, domēna un citiem atribūtiem. Visbeidzot, tiks sagatavots detalizēts drošības pārskats un parādīts grafiskajā lietotāja saskarnē HTML formātā.

9. Konfigurējiet žurnāla uzraudzību un atspējojiet nevajadzīgus tīkla porti

Visi pakalpojumi vai protokoli, kas nav nepieciešami vai kurus izmanto Windows Server, un instalētie komponenti ir jāatspējo. Jūs varat palaidiet ostas skenēšanu lai pārbaudītu, kuri tīkla pakalpojumi ir pakļauti internetam.

Pieteikšanās mēģinājumu uzraudzība ir noderīga, lai novērstu ielaušanos un aizsargātu jūsu serveri pret brutālu spēku uzbrukumiem. Īpaši ielaušanās novēršanas rīki var palīdzēt jums apskatīt un pārskatīt visus žurnālfailus un nosūtīt brīdinājumus, ja tiek atklātas aizdomīgas darbības. Pamatojoties uz brīdinājumiem, varat veikt atbilstošas ​​darbības, lai bloķētu IP adrešu savienojumu ar jūsu serveriem.

Windows servera sacietēšana var samazināt kiberuzbrukumu risku!

Runājot par jūsu Windows Server drošību, vienmēr ir labi būt lietas priekšā, regulāri pārbaudot, vai sistēmā nav drošības risku. Jūs varat sākt ar jaunāko atjauninājumu instalēšanu, aizsargāt administratora kontu, pēc iespējas izmantot Windows Server Core režīmu un iespējot diska šifrēšanu, izmantojot BitLocker.

Kaut arī Windows Server var būt tāds pats kods kā Windows 10 patērētāja izdevumam un izskatīties identiski, tā konfigurēšanas un izmantošanas veids ir ievērojami atšķirīgs.

Kas ir Windows Server un ar ko tas atšķiras no Windows?

Kas ir Windows Server un kam tas tiek izmantots? Lūk, kā Windows Server atšķiras no OS patērētāju izdevumiem.

Lasiet Tālāk

Par autoru