Windows Server este printre cele mai utilizate sisteme de operare pentru alimentarea serverelor. Datorită naturii operațiunii care implică de obicei companii, securitatea Windows Server este esențială pentru datele întreprinderii.
În mod implicit, Windows Server are unele măsuri de securitate în vigoare. Dar, puteți face mai multe pentru a vă asigura că serverele dvs. Windows au suficientă apărare împotriva potențialelor amenințări. Iată câteva sfaturi critice pentru securizarea serverului Windows.
1. Păstrați-vă serverul Windows la zi
Deși poate părea un lucru evident de făcut, majoritatea serverelor instalate cu imagini Windows Server nu au cele mai recente actualizări de securitate și performanță. Instalarea celor mai recente patch-uri de securitate este crucială pentru a vă proteja sistemul de atacuri rău intenționate.
Dacă ați configurat un nou server Windows sau ați primit acreditări pe unul, asigurați-vă că descărcați și instalați toate cele mai recente actualizări disponibile pentru computer. Puteți amâna actualizarea caracteristicii pentru o perioadă de timp, dar ar trebui să instalați actualizări de securitate pe măsură ce devin disponibile.
2. Instalați numai componentele esențiale ale sistemului de operare prin Windows Server Core
Pe Windows Server 2012 și mai sus, puteți utiliza sistemul de operare în modul său principal. Modul de cod Windows Server este o opțiune minimă de instalare care instalează Windows Server fără GUI, ceea ce înseamnă caracteristici reduse.
Instalarea Windows Server Core are multe avantaje. Cel evident fiind avantajul de performanță. Puteți utiliza același hardware pentru a obține îmbunătățiri ale performanței prin intermediul componentelor sistemului de operare neutilizate, rezultând cerințe mai mici de RAM și CPU, timp de funcționare și timp de pornire mai bun și mai puține patch-uri.
În timp ce beneficiile de performanță sunt frumoase, beneficiile de securitate sunt și mai bune. Atacarea unui sistem cu mai puține instrumente și vectori de atac este mai dificilă decât hacking-ul unui sistem de operare complet bazat pe GUI. Windows Server Core reduce suprafața atacului, oferă instrumente Windows Server RSAT (Remote Server Administration) și posibilitatea de a comuta de la Core la GUI.
3. Protejați contul de administrator
Contul de utilizator implicit din Windows Server este denumit Administrator. Drept urmare, majoritatea atacurilor cu forță brută sunt vizate către acest cont. Pentru a proteja contul, îl puteți redenumi în altceva. Alternativ, puteți dezactiva complet contul de administrator local și puteți crea un cont de administrator nou.
După ce ați dezactivat contul de administrator local, verificați dacă este disponibil un cont de invitat local. Conturile locale de oaspeți sunt cele mai puțin sigure, deci este mai bine să le scoateți din drum ori de câte ori este posibil. Folosiți același tratament pentru conturile de utilizator neutilizate.
O politică bună de parolă care necesită modificări regulate de parole, parole complexe și lungi cu numere, caractere și caractere speciale vă pot ajuta securizați conturile de utilizator împotriva atacurilor cu forță brută.
4. Configurare NTP
Este important să vă configurați serverul pentru a sincroniza ora cu serverele NTP (Network Time Synchronization) pentru a preveni deriva ceasului. Acest lucru este esențial, deoarece chiar și o diferență de câteva minute poate rupe diferite funcții, inclusiv autentificarea Windows.
Organizațiile folosesc dispozitive de rețea care utilizează ceasuri interne sau se bazează pe un server public de timp pentru sincronizare. Serverele care sunt membre ale domeniului au de obicei timpul sincronizat cu un controler de domeniu. Cu toate acestea, serverele independente vă vor solicita să configurați NTP la o sursă externă pentru a preveni atacurile de redare.
5. Activați și configurați paravanul de protecție și antivirusul Windows
Serverele Windows vin cu un firewall încorporat și un instrument antivirus. Pe serverele care nu au firewall-uri hardware, Windows Firewall poate reduce suprafața de atac și poate oferi o protecție decentă împotriva atacurilor cibernetice, limitând traficul la căile necesare. Acestea fiind spuse, o versiune bazată pe hardware sau Firewall bazat pe cloud va oferi mai multă protecție și va scoate sarcina de pe server.
Configurarea firewall-ului poate fi o sarcină dezordonată și greu de stăpânit la început. Cu toate acestea, dacă nu sunt configurate corect, porturile deschise accesibile clienților neautorizați pot reprezenta un risc imens de securitate pentru servere. De asemenea, păstrați o notă a regulilor create pentru utilizarea sa și a altor atribute pentru referințe viitoare.
6. Secure Remote Desktop (RDP)
Dacă utilizați RDP (Remote Desktop Protocol), asigurați-vă că nu este deschis la internet. Pentru a preveni accesul neautorizat, modificați portul implicit și restricționați accesul RDP la o anumită adresă IP dacă aveți acces la o adresă IP dedicată. De asemenea, poate doriți să decideți cine poate accesa și utiliza RDP, deoarece este activat în mod implicit pentru toți utilizatorii de pe server.
De asemenea, adoptați toate celelalte măsuri de securitate de bază pentru securizarea RDP, inclusiv utilizarea unei parole puternice, care să permită autentificarea cu doi factori, păstrând software actualizat, restricționarea accesului prin setări avansate de firewall, activarea autentificării la nivel de rețea și setarea blocării contului politică.
Legate de: Software de acces la distanță de top pentru a vă controla computerul Windows de oriunde
7. Activați criptarea unității BitLocker
Similar cu Windows 10 Pro, ediția server a sistemului de operare vine cu un instrument de criptare a unității încorporat numit BitLocker. Este considerat unul dintre cele mai bune instrumente de criptare de către profesioniștii din domeniul securității, deoarece vă permite să criptați întregul hard disk, chiar dacă securitatea fizică a serverului dvs. este încălcată.
În timpul criptării, BitLocker captează informații despre computerul dvs. și le folosește pentru a verifica autenticitatea computerului. După verificare, vă puteți conecta la computer folosind parola. Când este detectată activitate suspectă, BitLocker vă va cere să introduceți cheia de recuperare. Dacă nu este furnizată cheia de decriptare, datele vor rămâne blocate.
Dacă sunteți nou în criptarea hard diskului, consultați acest ghid detaliat de pe cum se utilizează BitLocker în Windows 10.
8. Utilizați Microsoft Baseline Security Analyzer
Microsoft Baseline Security Analyzer (MBSA) este un instrument gratuit de securitate utilizat de profesioniștii IT pentru a ajuta la gestionarea securității serverelor lor. Poate găsi probleme de securitate și actualizări lipsă cu serverul și poate recomanda îndrumări de remediere în conformitate cu recomandările de securitate ale Microsoft.
Când este utilizat, MBSA va verifica vulnerabilitățile administrative Windows, cum ar fi parolele slabe, prezența vulnerabilităților SQL și IIS și actualizările de securitate lipsă pe sistemele individuale. De asemenea, poate scana o persoană sau un grup de computere după adresa IP, domeniu și alte atribute. În cele din urmă, un raport de securitate detaliat va fi pregătit și afișat pe interfața grafică a utilizatorului în HTML.
9. Configurați monitorizarea jurnalului și dezactivați porturile de rețea inutile
Orice servicii sau protocoale care nu sunt necesare sau utilizate de Windows Server și de componentele instalate trebuie să fie dezactivate. Poti rulați o scanare a portului pentru a verifica ce servicii de rețea sunt expuse la internet.
Monitorizarea încercărilor de conectare este utilă pentru a preveni intruziunile și a vă proteja serverul împotriva atacurilor cu forță brută. Instrumentele dedicate de prevenire a intruziunilor vă pot ajuta să vizualizați și să revizuiți toate fișierele jurnal și să trimiteți alerte dacă sunt detectate activități suspecte. Pe baza alertelor, puteți lua măsurile adecvate pentru a împiedica conectarea adreselor IP la serverele dvs.
Windows Server Hardening poate reduce riscul de atacuri cibernetice!
Când vine vorba de securitatea Windows Server, este întotdeauna bine să fii la curent cu auditul sistemului pentru riscuri de securitate în mod regulat. Puteți începe instalând cele mai recente actualizări, protejați contul de administrator, utilizați modul Windows Server Core ori de câte ori este posibil și activați criptarea unității prin BitLocker.
În timp ce Windows Server poate partaja același cod ca ediția pentru Windows 10 pentru consumatori și arăta identic, modul în care este configurat și utilizat este foarte diferit.
Ce este Windows Server și pentru ce se folosește? Iată cum diferă Windows Server de edițiile pentru consumatori ale sistemului de operare.
Citiți în continuare
- Windows
- Securitate
- Tehnologie de afaceri
- Bresa de securitate
- Securitatea calculatorului
- Sfaturi pentru Windows
Tashreef este un scriitor de tehnologie la MakeUseOf. Cu o diplomă de licență în aplicații informatice, Tashreef are peste 5 ani de experiență în scriere și acoperă Microsoft Windows și tot ceea ce îl înconjoară. Când nu funcționează, îl poți găsi jucând cu computerul sau jucând jocuri FPS.
Aboneaza-te la newsletter-ul nostru
Alăturați-vă newsletter-ului pentru sfaturi tehnice, recenzii, cărți electronice gratuite și oferte exclusive!
Încă un pas…!
Vă rugăm să confirmați adresa de e-mail în e-mailul pe care tocmai vi l-am trimis.
