9 nujnih nasvetov za zaščito strežnikov Windows

Windows Server je med najpogosteje uporabljenimi operacijskimi sistemi za napajanje strežnikov. Zaradi narave postopka, ki običajno vključuje podjetja, je varnost Windows Server ključnega pomena za podatke v podjetju.

Windows Server ima privzeto nekatere varnostne ukrepe. Lahko pa naredite več, da zagotovite, da imajo strežniki Windows zadostno obrambo pred morebitnimi grožnjami. Tu je nekaj kritičnih nasvetov za zaščito sistema Windows Server.

1. Posodabljajte svoj strežnik Windows

Čeprav se morda zdi očitno, je večina strežnikov, nameščenih s slikami Windows Server, brez najnovejših posodobitev varnosti in zmogljivosti. Namestitev najnovejših varnostnih popravkov je ključnega pomena za zaščito vašega sistema pred zlonamernimi napadi.

Če ste nastavili nov strežnik Windows ali ste nanj prejeli poverilnice, prenesite in namestite vse najnovejše posodobitve, ki so na voljo za vaš računalnik. Posodobitev funkcije lahko odložite za nekaj časa, vendar morate namestiti varnostne posodobitve, ko bodo na voljo.

2. Preko jedra Windows Server namestite samo osnovne komponente OS

V operacijskem sistemu Windows Server 2012 in novejših lahko operacijski sistem uporabljate v osnovnem načinu. Način Windows Server Code je minimalna možnost namestitve, ki namesti Windows Server brez GUI, kar pomeni zmanjšane funkcije.

Namestitev operacijskega sistema Windows Server Core ima številne prednosti. Očitna je prednost v zmogljivosti. Z isto strojno opremo lahko izboljšate zmogljivost z neizkoriščenimi komponentami OS, kar ima za posledico manjše zahteve glede RAM-a in CPU-ja, boljši čas delovanja in zagona ter manj popravkov.

Medtem ko so prednosti pri delovanju lepe, pa so varnostne koristi še boljše. Napadati sistem z manj orodji in vektorji napadov je težje kot vdor v popolnoma operacijski sistem, ki temelji na GUI. Windows Server Core zmanjša površino napadov, ponuja Windows Server RSAT (Remote Server Administration) orodja in možnost preklopa z Core na GUI.

3. Zaščitite skrbniški račun

Imenuje se privzeti uporabniški račun v strežniku Windows Skrbnik. Posledično je večina napadov s silovito silo usmerjena na ta račun. Če želite račun zaščititi, ga lahko preimenujete v nekaj drugega. Lahko pa tudi popolnoma onemogočite lokalni skrbniški račun in ustvarite nov skrbniški račun.

Ko onemogočite lokalni skrbniški račun, preverite, ali je na voljo lokalni račun za goste. Lokalni računi gostov so najmanj varni, zato jih je najbolje odstraniti s poti, kjer koli je to mogoče. Uporabite enako obravnavo za neuporabljene uporabniške račune.

Dobra politika gesel, ki zahteva redno spreminjanje gesel, zapletena in dolga gesla s številkami, znaki in posebnimi znaki, vam lahko pomaga zaščitite uporabniške račune pred napadi surove sile.

4. Konfiguracija NTP

Pomembno je, da svoj strežnik konfigurirate tako, da sinhronizira čas s strežniki NTP (Network Time Synchronization), da preprečite premik ure. To je bistvenega pomena, saj lahko celo nekajminutna razlika prekine različne funkcije, vključno s prijavo v sistem Windows.

Organizacije uporabljajo omrežne naprave, ki uporabljajo notranje ure ali se za sinhronizacijo zanašajo na javni internetni časovni strežnik. Strežniki, ki so člani domene, običajno sinhronizirajo svoj čas s krmilnikom domene. Vendar pa bodo samostojni strežniki zahtevali, da NTP nastavite na zunanji vir, da preprečite napade ponovnega predvajanja.

5. Omogočite in konfigurirajte požarni zid in protivirusni program Windows

Windows strežniki imajo vgrajen požarni zid in protivirusno orodje. Na strežnikih, ki nimajo požarnih zidov strojne opreme, lahko požarni zid Windows zmanjša napadno površino in zagotovi dostojno zaščito pred kibernetskimi napadi, tako da promet omeji na potrebne poti. Se pravi, da temelji na strojni opremi oz Požarni zid v oblaku bo ponudil večjo zaščito in razbremenil vaš strežnik.

Konfiguriranje požarnega zidu je sprva težko in težko obvladljivo. Če pa niso pravilno konfigurirana, lahko odprta vrata, dostopna nepooblaščenim odjemalcem, predstavljajo veliko varnostno tveganje za strežnike. Upoštevajte si tudi pravila, ustvarjena za njegovo uporabo, in druge atribute za prihodnje reference.

6. Varno oddaljeno namizje (RDP)

Če uporabljate RDP (Remote Desktop Protocol), se prepričajte, da ni odprt za internet. Če želite preprečiti nepooblaščen dostop, spremenite privzeta vrata in omejite dostop RDP do določenega naslova IP, če imate dostop do namenskega naslova IP. Morda se boste tudi želeli odločiti, kdo lahko dostopa do protokola RDP in ga uporablja, saj je privzeto omogočen za vse uporabnike na strežniku.

Sprejemite tudi vse druge osnovne varnostne ukrepe za zaščito RDP, vključno z uporabo močnega gesla, ki omogoča dvostopenjsko preverjanje pristnosti in posodobljena programska oprema, omejitev dostopa z naprednimi nastavitvami požarnega zidu, omogočanje overjanja na ravni omrežja in nastavitev zaklepanja računa politike.

Sorodno: Vrhunska programska oprema za oddaljeni dostop za upravljanje računalnika z operacijskim sistemom Windows od kjer koli

7. Omogoči šifriranje pogona BitLocker

Podobno kot Windows 10 Pro ima tudi strežniška različica operacijskega sistema vgrajeno orodje za šifriranje pogona BitLocker. Varnostni strokovnjaki veljajo za eno izmed najboljših orodij za šifriranje, saj vam omogoča šifriranje celotnega trdega diska, tudi če je fizična varnost vašega strežnika kršena.

Med šifriranjem BitLocker zajema podatke o vašem računalniku in jih uporablja za preverjanje pristnosti računalnika. Po preverjanju se lahko v geslo prijavite v računalnik. Ko zazna sumljivo dejavnost, BitLocker vas bo pozval, da vnesete obnovitveni ključ. Podatki ostanejo zaklenjeni, če ni na voljo ključ za dešifriranje.

Če še niste šifrirnik trdega diska, si oglejte ta podroben vodnik kako uporabljati BitLocker v sistemu Windows 10.

8. Uporabite Microsoftov osnovni varnostni analizator

Microsoft Baseline Security Analyzer (MBSA) je brezplačno varnostno orodje, ki ga uporabljajo IT-strokovnjaki za upravljanje varnosti svojih strežnikov. S strežnikom lahko najde varnostne težave in manjkajoče posodobitve ter priporoči navodila za sanacijo v skladu z Microsoftovimi varnostnimi priporočili.

Ko bo MBSA uporabil, bo preveril skrbniške ranljivosti sistema Windows, kot so šibka gesla, prisotnost ranljivosti SQL in IIS ter manjkajoče varnostne posodobitve v posameznih sistemih. Prav tako lahko skenira posameznika ali skupino računalnikov po naslovu IP, domeni in drugih atributih. Na koncu bo pripravljeno podrobno poročilo o varnosti, ki bo prikazano na grafičnem uporabniškem vmesniku v HTML-ju.

9. Konfigurirajte nadzor dnevnika in onemogočite nepotrebna omrežna vrata

Vse storitve ali protokole, ki jih Windows Server in nameščene komponente ne potrebuje ali uporablja, je treba onemogočiti. Ti lahko zaženite pregledovanje vrat preveriti, katere omrežne storitve so izpostavljene internetu.

Spremljanje poskusov prijave je koristno za preprečevanje vdorov in zaščito vašega strežnika pred napadi surove sile. Namenska orodja za preprečevanje vdorov vam lahko pomagajo, da si ogledate in pregledate vse dnevniške datoteke ter pošljete opozorila, če zaznate sumljive dejavnosti. Na podlagi opozoril lahko z ustreznimi ukrepi blokirate povezavo naslovov IP s strežniki.

Utrjevanje strežnika Windows lahko zmanjša tveganje za kibernetske napade!

Ko gre za varnost sistema Windows Server, je vedno dobro biti na tekočem z rednim pregledovanjem sistema glede varnostnih tveganj. Najprej lahko namestite najnovejše posodobitve, zaščitite skrbniški račun, kadar koli je mogoče uporabite način Windows Server Core in omogočite šifriranje pogona prek BitLockerja.

Čeprav ima Windows Server isto kodo kot potrošniška izdaja sistema Windows 10 in je videti enak, se način njegove konfiguracije in uporabe močno razlikuje.

Kaj je Windows Server in v čem se razlikuje od Windows?

Kaj je Windows Server in za kaj se uporablja? Evo, kako se Windows Server razlikuje od potrošniških različic OS.

Preberite Naprej

O avtorju