9 privalomi patarimai, kaip apsaugoti „Windows“ serverius

„Windows Server“ yra viena iš dažniausiai naudojamų operacinių sistemų, skirtų maitinti serverius. Dėl operacijos, paprastai susijusios su verslu, pobūdžio „Windows Server“ sauga yra labai svarbi įmonės duomenims.

Pagal numatytuosius nustatymus „Windows Server“ turi tam tikras saugos priemones. Tačiau galite padaryti daugiau, kad jūsų „Windows“ serveriai būtų pakankamai apsaugoti nuo galimų grėsmių. Štai keli svarbūs patarimai, kaip apsaugoti „Windows Server“.

1. Atnaujinkite „Windows Server“

Nors tai gali būti akivaizdus dalykas, dauguma serverių, įdiegtų su „Windows Server“ vaizdais, neturi naujausių saugos ir našumo atnaujinimų. Naujausių saugos pataisų diegimas yra labai svarbus siekiant apsaugoti sistemą nuo kenkėjiškų atakų.

Jei sukūrėte naują „Windows“ serverį arba gavote prisijungimo duomenis, būtinai atsisiųskite ir įdiekite visus naujausius jūsų kompiuteryje galimus naujinimus. Galite atidėti funkcijos atnaujinimą tam tikrą laiką, tačiau turėtumėte įdiegti saugos naujinimus, kai jis taps prieinamas.

2. Įdiekite tik pagrindinius OS komponentus per „Windows Server Core“

„Windows Server 2012“ ir naujesnėse versijose operacinę sistemą galite naudoti pagrindiniame režime. „Windows Server“ kodo režimas yra minimali diegimo parinktis, kuri įdiegia „Windows Server“ be GUI, o tai reiškia sumažintas funkcijas.

„Windows Server Core“ diegimas turi daug privalumų. Akivaizdus yra veiklos pranašumas. Galite naudoti tą pačią aparatinę įrangą, kad pagerintumėte našumą naudodami nenaudojamus OS komponentus, dėl kurių sumažėja RAM ir CPU reikalavimai, geresnis veikimo laikas ir įkrovos laikas bei mažiau pataisų.

Nors nauda našumui yra gera, saugumo nauda - dar geresnė. Sunkiau užkirsti kelią sistemai, kurioje yra mažiau įrankių ir atakos vektorių nei nulaužti visiškai GUI pagrįstą operacinę sistemą. „Windows Server Core“ sumažina atakos paviršių, siūlo „Windows Server RSAT“ (nuotolinio serverio administravimo) įrankius ir galimybę pereiti nuo „Core“ prie GUI.

3. Apsaugokite administratoriaus paskyrą

Pavadinta numatytoji „Windows Server“ vartotojo paskyra Administratorius. Todėl dauguma žiaurių jėgų atakų yra nukreiptos į šią sąskaitą. Norėdami apsaugoti paskyrą, galite ją pervadinti kitu vardu. Arba galite apskritai išjungti vietinio administratoriaus paskyrą ir sukurti naują administratoriaus abonementą.

Kai išjungsite vietinę administratoriaus paskyrą, patikrinkite, ar yra vietinio svečio paskyra. Vietos svečių sąskaitos yra mažiausiai saugios, todėl geriausia jas pašalinti, kai tik įmanoma. Taikykite tą patį režimą ir nenaudojamoms vartotojų abonementams.

Jums gali padėti gera slaptažodžių politika, reikalaujanti reguliaraus slaptažodžio keitimo, sudėtingi ir ilgi slaptažodžiai su skaičiais, simboliais ir specialiaisiais simboliais apsaugoti vartotojo abonementus nuo žiaurios jėgos atakų.

4. NTP konfigūracija

Svarbu sukonfigūruoti serverį sinchronizuoti laiką su NTP (tinklo laiko sinchronizavimo) serveriais, kad būtų išvengta laikrodžio dreifo. Tai būtina, nes net kelių minučių skirtumas gali nutraukti įvairias funkcijas, įskaitant „Windows“ prisijungimą.

Organizacijos naudoja tinklo įrenginius, kurie naudoja vidinius laikrodžius arba sinchronizuodami naudojasi viešuoju interneto laiko serveriu. Serverių, kurie yra domeno nariai, laikas paprastai sinchronizuojamas su domeno valdikliu. Tačiau atskiriems serveriams reikės nustatyti NTP prie išorinio šaltinio, kad būtų išvengta pakartojimo atakų.

5. Įgalinti ir konfigūruoti „Windows“ užkardą ir antivirusinę programą

„Windows“ serveriuose yra įmontuota užkarda ir antivirusinė priemonė. Serveriuose, kuriuose nėra aparatinės įrangos užkardų, „Windows“ užkarda gali sumažinti atakos paviršių ir tinkamai apsaugoti nuo kibernetinių atakų, apribodama srautą iki būtinų kelių. Tai sakant, aparatinės įrangos pagrindu arba Debesies pagrindu veikianti užkarda pasiūlys daugiau apsaugos ir pašalins jūsų serverio apkrovą.

Ugniasienės konfigūravimas gali būti nepatogus uždavinys, kurį iš pradžių sunku valdyti. Tačiau, jei neteisingai sukonfigūruota, atviri prievadai, prieinami neįgaliotiems klientams, gali kelti didžiulę saugos riziką serveriams. Be to, užrašykite taisykles, sukurtas jo naudojimui, ir kitus atributus būsimoms nuorodoms.

6. Saugus nuotolinis darbalaukis (RDP)

Jei naudojate RDP (nuotolinio darbalaukio protokolą), įsitikinkite, kad jis nėra atviras internetui. Norėdami išvengti neteisėtos prieigos, pakeiskite numatytąjį prievadą ir apribokite KPP prieigą prie konkretaus IP adreso, jei turite prieigą prie tam skirto IP adreso. Taip pat galite nuspręsti, kas gali pasiekti ir naudoti RDP, nes pagal numatytuosius nustatymus ji įgalinta visiems serverio vartotojams.

Be to, patvirtinkite visas kitas pagrindines saugumo priemones, kad apsaugotumėte KPP, įskaitant tvirtą slaptažodį, įgalinantį dviejų veiksnių autentifikavimą, išlaikant atnaujinta programinė įranga, apribojant prieigą naudojant išplėstinius užkardos nustatymus, įgalinant tinklo autentifikavimą ir nustatant paskyros blokavimą politiką.

Susijęs: Populiariausia nuotolinės prieigos programinė įranga, skirta valdyti „Windows“ kompiuterį iš bet kur

7. Įgalinti „BitLocker“ disko šifravimą

Panašiai kaip „Windows 10 Pro“, operacinės sistemos serverio leidime yra įmontuotas disko šifravimo įrankis, vadinamas „BitLocker“. Saugumo profesionalai mano, kad tai yra vienas geriausių šifravimo įrankių, nes tai leidžia užšifruoti visą standųjį diską, net jei pažeidžiamas fizinis jūsų serverio saugumas.

Šifravimo metu „BitLocker“ fiksuoja informaciją apie jūsų kompiuterį ir naudoja ją kompiuterio autentiškumui patikrinti. Patvirtinę galite prisijungti prie kompiuterio naudodami slaptažodį. Aptikus įtartiną veiklą, „BitLocker“ paprašys įvesti atkūrimo raktą. Jei nebus pateiktas iššifravimo raktas, duomenys liks užrakinti.

Jei kietojo disko šifravimas jums yra naujas, peržiūrėkite šį išsamų vadovą kaip naudoti „BitLocker“ sistemoje „Windows 10“.

8. Naudokite „Microsoft Baseline Security Analyzer“

„Microsoft Baseline Security Analyzer“ (MBSA) yra nemokamas saugos įrankis, kurį IT specialistai naudoja tvarkydami savo serverių saugumą. Jis gali rasti saugos problemas ir trūkstamus serverio naujinimus bei rekomenduoti gedimo gaires pagal „Microsoft“ saugos rekomendacijas.

Kai bus naudojama, MBSA patikrins, ar nėra „Windows“ administracinių pažeidžiamumų, tokių kaip silpni slaptažodžiai, SQL ir IIS pažeidžiamumas ir trūksta atskirų sistemų saugos naujinimų. Jis taip pat gali nuskaityti atskirą asmenį ar kompiuterių grupę pagal IP adresą, domeną ir kitus atributus. Galiausiai bus parengta išsami saugumo ataskaita, kuri bus parodyta grafinėje vartotojo sąsajoje HTML.

9. Konfigūruokite žurnalo stebėjimą ir išjunkite nereikalingus tinklo prievadus

Visos paslaugos ar protokolai, kurių nereikia ar naudoja „Windows Server“, ir įdiegti komponentai turi būti išjungti. Tu gali paleisti uosto nuskaitymą patikrinti, kurios tinklo paslaugos veikia internete.

Prisijungimo bandymų stebėjimas yra naudingas siekiant užkirsti kelią įsibrovimams ir apsaugoti serverį nuo žiaurios jėgos atakų. Specialūs įsilaužimų prevencijos įrankiai gali padėti peržiūrėti ir peržiūrėti visus žurnalo failus ir siųsti įspėjimus, jei aptinkama įtartina veikla. Remdamiesi įspėjimais, galite imtis atitinkamų veiksmų, kad užblokuotumėte IP adresų prisijungimą prie jūsų serverių.

„Windows Server“ grūdinimas gali sumažinti elektroninių atakų riziką!

Kalbant apie jūsų „Windows Server“ saugą, visada gerai būti svarbiausiems dalykams, reguliariai tikrinant, ar sistemoje nėra saugumo pavojų. Pirmiausia galite įdiegti naujausius naujinimus, apsaugoti administratoriaus abonementą, naudoti „Windows Server Core“ režimą, kai tik įmanoma, ir įgalinti disko šifravimą per „BitLocker“.

Nors „Windows Server“ gali naudotis tuo pačiu kodu, kaip ir „Windows 10“ vartotojo leidimas, ir atrodyti identiškai, jo konfigūravimo ir naudojimo būdas yra labai skirtingas.

Kuo skiriasi „Windows Server“ ir kuo jis skiriasi nuo „Windows“?

Kas yra „Windows Server“ ir kam jis naudojamas? Štai kaip „Windows Server“ skiriasi nuo vartotojams skirtų OS leidimų.

Skaitykite toliau

Apie autorių