9 полезных советов по защите серверов Windows
Windows Server – одна из наиболее часто используемых операционных систем для питания серверов. Из-за характера операции, в которой обычно участвуют предприятия, безопасность Windows Server критически важна для корпоративных данных.
По умолчанию в Windows Server предусмотрены некоторые меры безопасности. Но вы можете сделать больше, чтобы ваши серверы Windows имели достаточную защиту от потенциальных угроз. Вот несколько важных советов по защите вашего Windows Server.
1. Держите Windows Server в актуальном состоянии
Хотя это может показаться очевидным, большинство серверов, на которых установлены образы Windows Server, не имеют последних обновлений безопасности и производительности. Установка последних исправлений безопасности имеет решающее значение для защиты вашей системы от злонамеренных атак.
Если вы настроили новый сервер Windows или получили учетные данные для него, обязательно загрузите и установите все последние обновления, доступные для вашего компьютера. Вы можете отложить обновление функции на некоторое время, но вам следует устанавливать обновления безопасности по мере их появления.
2. Устанавливайте только основные компоненты ОС через Windows Server Core.
В Windows Server 2012 и более поздних версиях вы можете использовать операционную систему в ее основном режиме. Режим кода Windows Server – это минимальный вариант установки, который устанавливает Windows Server без графического интерфейса пользователя, что означает ограниченные возможности.
Установка Windows Server Core имеет множество преимуществ. Очевидным является преимущество в производительности. Вы можете использовать одно и то же оборудование для повышения производительности за счет неиспользуемых компонентов ОС, что приведет к меньшим требованиям к ОЗУ и ЦП, лучшему времени безотказной работы и времени загрузки и меньшему количеству исправлений.
Хотя преимущества производительности хороши, преимущества безопасности еще больше. Атаковать систему с меньшим количеством инструментов и векторов атак сложнее, чем взломать операционную систему, полностью основанную на графическом интерфейсе. Windows Server Core снижает вероятность атаки, предлагает инструменты Windows Server RSAT (удаленное администрирование сервера) и возможность переключения с Core на графический интерфейс.
3. Защитите учетную запись администратора.
Учетная запись пользователя по умолчанию в Windows Server называется « Администратор» . В результате большая часть атак методом перебора нацелена на эту учетную запись. Чтобы защитить учетную запись, вы можете переименовать ее во что-нибудь другое. Кроме того, вы также можете полностью отключить учетную запись локального администратора и создать новую учетную запись администратора.
После отключения учетной записи локального администратора проверьте, доступна ли учетная запись локального гостя. Локальные гостевые учетные записи являются наименее безопасными, поэтому лучше убрать их, когда это возможно. Используйте ту же процедуру для неиспользуемых учетных записей пользователей.
Хорошая политика паролей, которая требует регулярной смены паролей, сложных и длинных паролей с цифрами, символами и специальными символами, может помочь вам защитить учетные записи пользователей от атак грубой силы .
4. Конфигурация NTP
Важно настроить сервер на синхронизацию времени с серверами NTP (Network Time Synchronization), чтобы предотвратить смещение часов. Это важно, поскольку даже разница в несколько минут может нарушить работу различных функций, включая вход в Windows.
Организации используют сетевые устройства, которые используют внутренние часы или полагаются на общедоступный сервер времени в Интернете для синхронизации. Серверы, являющиеся членами домена, обычно синхронизируют время с контроллером домена. Однако автономные серверы потребуют от вас настройки NTP для внешнего источника, чтобы предотвратить атаки повторного воспроизведения.
5. Включите и настройте брандмауэр и антивирус Windows.
Серверы Windows поставляются со встроенным брандмауэром и антивирусным средством. На серверах, не имеющих аппаратных брандмауэров, брандмауэр Windows может уменьшить поверхность атаки и обеспечить достойную защиту от кибератак, ограничивая трафик необходимыми путями. Тем не менее, аппаратный или облачный брандмауэр обеспечит большую защиту и снимет нагрузку с вашего сервера.
Настройка брандмауэра может быть сложной задачей, и поначалу ее сложно освоить. Однако при неправильной настройке открытые порты, доступные для неавторизованных клиентов, могут представлять огромный риск для безопасности серверов. Также запишите правила, созданные для его использования, и другие атрибуты для будущих ссылок.
6. Безопасный удаленный рабочий стол (RDP)
Если вы используете RDP (протокол удаленного рабочего стола), убедитесь, что он не открыт для Интернета. Чтобы предотвратить несанкционированный доступ, измените порт по умолчанию и ограничьте доступ RDP определенным IP-адресом, если у вас есть доступ к выделенному IP-адресу. Вы также можете решить, кто может получить доступ и использовать RDP, поскольку он включен по умолчанию для всех пользователей на сервере.
Кроме того, примите все другие базовые меры безопасности для защиты RDP, включая использование надежного пароля, включение двухфакторной аутентификации, обновление программного обеспечения, ограничение доступа с помощью расширенных настроек брандмауэра, включение аутентификации на уровне сети и установку блокировки учетной записи. политика.
7. Включите шифрование диска BitLocker.
Подобно Windows 10 Pro, серверная версия операционной системы поставляется со встроенным инструментом шифрования диска под названием BitLocker . Профессионалы в области безопасности считают его одним из лучших инструментов шифрования, поскольку он позволяет вам зашифровать весь жесткий диск, даже если физическая безопасность вашего сервера нарушена.
Во время шифрования BitLocker собирает информацию о вашем компьютере и использует ее для проверки подлинности компьютера. После проверки вы можете войти на свой компьютер, используя пароль. При обнаружении подозрительной активности BitLocker попросит вас ввести ключ восстановления . Если ключ дешифрования не будет предоставлен, данные останутся заблокированными.
Если вы новичок в шифровании жестких дисков, ознакомьтесь с этим подробным руководством по использованию BitLocker в Windows 10 .
8. Используйте Microsoft Baseline Security Analyzer.
Microsoft Baseline Security Analyzer (MBSA) – это бесплатный инструмент безопасности, используемый ИТ-специалистами для управления безопасностью своих серверов. Он может обнаруживать проблемы с безопасностью и отсутствующие обновления на сервере, а также рекомендовать рекомендации по исправлению в соответствии с рекомендациями Microsoft по безопасности.
При использовании MBSA проверяет административные уязвимости Windows, такие как слабые пароли, наличие уязвимостей SQL и IIS, а также отсутствие обновлений безопасности в отдельных системах. Он также может сканировать отдельный компьютер или группу компьютеров по IP-адресу, домену и другим атрибутам. Наконец, будет подготовлен подробный отчет о безопасности, который будет отображаться в графическом пользовательском интерфейсе в формате HTML.
9. Настройте мониторинг журналов и отключите ненужные сетевые порты.
Все службы или протоколы, которые не нужны или не используются Windows Server и установленными компонентами, должны быть отключены. Вы можете запустить сканирование портов, чтобы проверить, какие сетевые службы доступны в Интернете.
Мониторинг попыток входа в систему полезен для предотвращения вторжений и защиты вашего сервера от атак грубой силы. Специальные инструменты предотвращения вторжений могут помочь вам просматривать и просматривать все файлы журналов и отправлять предупреждения при обнаружении подозрительных действий. На основе предупреждений вы можете предпринять соответствующие действия, чтобы заблокировать подключение IP-адресов к вашим серверам.
Усиление защиты Windows Server может снизить риск кибератак!
Когда дело доходит до безопасности Windows Server, всегда хорошо быть в курсе событий, регулярно проверяя систему на наличие угроз безопасности. Вы можете начать с установки последних обновлений, защитить учетную запись администратора, по возможности использовать режим Windows Server Core и включить шифрование диска с помощью BitLocker.
Хотя Windows Server может использовать тот же код, что и потребительская версия Windows 10, и выглядеть идентично, способ его настройки и использования существенно отличается.