Windows Server е сред най-често използваните операционни системи за захранване на сървърите. Поради естеството на операцията, която обикновено включва бизнеса, защитата на Windows Server е от решаващо значение за корпоративните данни.
По подразбиране Windows Server има някои мерки за сигурност. Но можете да направите повече, за да сте сигурни, че вашите Windows сървъри имат достатъчна защита срещу потенциални заплахи. Ето няколко важни съвета за защита на вашия Windows Server.
1. Поддържайте вашия Windows Server актуален
Въпреки че може да изглежда очевидно нещо, повечето сървъри, инсталирани с изображения на Windows Server, са без най-новите актуализации на сигурността и производителността. Инсталирането на най-новите корекции за сигурност е от решаващо значение за защитата на вашата система от злонамерени атаки.
Ако сте настроили нов сървър на Windows или сте получили идентификационни данни за такъв, не забравяйте да изтеглите и инсталирате всички най-нови актуализации, налични за вашия компютър. Можете да отложите актуализацията на функцията за известно време, но трябва да инсталирате актуализации на защитата, когато стане налична.
2. Инсталирайте само основни компоненти на ОС чрез Windows Server Core
На Windows Server 2012 и по-нови версии можете да използвате операционната система в основния й режим. Режимът на Windows Server Code е минимална опция за инсталиране, която инсталира Windows Server без GUI, което означава намалени функции.
Инсталирането на Windows Server Core има много предимства. Очевидното е предимството в производителността. Можете да използвате същия хардуер, за да постигнете подобрения в производителността чрез неизползвани компоненти на ОС, което води до по-малки изисквания за RAM и CPU, по-добро време за работа и време за зареждане и по-малко кръпки.
Въпреки че ползите от производителността са добри, ползите за сигурността са още по-добри. Атаката на система с по-малко инструменти и вектори за атака е по-трудна отколкото хакване на напълно базирана на GUI операционна система. Windows Server Core намалява повърхността на атака, предлага Windows Server RSAT (Remote Server Administration) инструменти и възможност за превключване от Core към GUI.
3. Защитете администраторския акаунт
Потребителският акаунт по подразбиране в Windows Server е наречен Администратор. В резултат на това повечето атаки на груба сила са насочени към този акаунт. За да защитите акаунта, можете да го преименувате на нещо друго. Като алтернатива можете също така напълно да деактивирате акаунта на локален администратор и да създадете нов акаунт на администратор.
След като деактивирате локалния администраторски акаунт, проверете дали е наличен локален акаунт за гости. Местните акаунти за гости са най-малко сигурни, така че е най-добре да ги махнете навсякъде, където е възможно. Използвайте същото лечение за неизползвани потребителски акаунти.
Една добра политика за пароли, която изисква редовна промяна на паролата, сложни и дълги пароли с цифри, знаци и специални знаци може да ви помогне защитете потребителски акаунти срещу атаки с груба сила.
4. NTP конфигурация
Важно е да конфигурирате сървъра си да синхронизира времето с NTP (Network Time Synchronization) сървъри, за да предотвратите отклонение на часовника. Това е от съществено значение, тъй като дори разлика от няколко минути може да наруши различни функции, включително влизане в Windows.
Организациите използват мрежови устройства, които използват вътрешни часовници или разчитат на Public Internet Time Server за синхронизация. Сървърите, които са членове на домейна, обикновено синхронизират времето си с контролер на домейн. Самостоятелните сървъри обаче ще изискват да настроите NTP към външен източник, за да предотвратите повторни атаки.
5. Активирайте и конфигурирайте защитната стена и антивирусната програма на Windows
Windows сървърите се предлагат с вградена защитна стена и антивирусен инструмент. На сървъри, които нямат хардуерни защитни стени, защитната стена на Windows може да намали повърхността на атаката и да осигури прилична защита срещу кибер атаки, като ограничи трафика до необходимите пътища. Въпреки това, хардуерно базиран или Облачна защитна стена ще предложи повече защита и ще свали товара на вашия сървър.
Конфигурирането на защитната стена може да бъде объркана задача и трудно да се овладее в началото. Ако обаче не са конфигурирани правилно, отворените портове, достъпни за неоторизирани клиенти, могат да представляват огромен риск за сигурността на сървърите. Освен това си имайте бележка за правилата, създадени за неговото използване и други атрибути за бъдещи препратки.
6. Сигурен отдалечен работен плот (RDP)
Ако използвате RDP (протокол за отдалечен работен плот), уверете се, че той не е отворен за интернет. За да предотвратите неоторизиран достъп, променете порта по подразбиране и ограничете RDP достъпа до определен IP адрес, ако имате достъп до специален IP адрес. Може също да решите кой може да има достъп и да използва RDP, тъй като той е разрешен по подразбиране за всички потребители на сървъра.
Освен това приемете всички други основни мерки за сигурност, за да защитите RDP, включително използване на силна парола, позволяваща двуфакторно удостоверяване, запазвайки актуализиран софтуер, ограничаване на достъпа чрез разширени настройки на защитната стена, разрешаване на удостоверяване на ниво мрежа и задаване на блокиране на акаунт политика.
Свързани: Най-добрият софтуер за отдалечен достъп за управление на вашия компютър с Windows отвсякъде
7. Активирайте шифроването на устройството BitLocker
Подобно на Windows 10 Pro, сървърното издание на операционната система се предлага с вграден инструмент за криптиране на устройства, наречен BitLocker. Смята се, че е сред най-добрите инструменти за криптиране от професионалистите по сигурността, тъй като ви позволява да шифровате целия си твърд диск, дори ако физическата сигурност на вашия сървър е нарушена.
По време на криптиране BitLocker улавя информация за вашия компютър и я използва, за да провери автентичността на компютъра. След като бъдете проверени, можете да влезете в компютъра си с помощта на паролата. Когато се открие подозрителна дейност, BitLocker ще ви помоли да въведете ключа за възстановяване. Освен ако не е предоставен ключът за дешифриране, данните ще останат заключени.
Ако сте нов в криптирането на твърдия диск, разгледайте това подробно ръководство за как да използвам BitLocker в Windows 10.
8. Използвайте Microsoft Baseline Security Analyzer
Microsoft Baseline Security Analyzer (MBSA) е безплатен инструмент за защита, използван от ИТ специалисти, за да помогне за управлението на сигурността на техните сървъри. Той може да намери проблеми със сигурността и липсващи актуализации със сървъра и да препоръча насоки за отстраняване в съответствие с препоръките за сигурност на Microsoft.
Когато се използва, MBSA ще проверява за административни уязвимости на Windows като слаби пароли, наличие на уязвимости на SQL и IIS и липсващите актуализации на защитата на отделни системи. Той може също да сканира отделен или група компютри по IP адрес, домейн и други атрибути. И накрая, подробен доклад за сигурността ще бъде изготвен и показан на графичния потребителски интерфейс в HTML.
9. Конфигурирайте мониторинг на журнали и деактивирайте ненужните мрежови портове
Всички услуги или протоколи, които не са необходими или използвани от Windows Server и инсталираните компоненти, трябва да бъдат деактивирани. Можеш стартирайте сканиране на портове за да проверите кои мрежови услуги са изложени на интернет.
Наблюдението на опитите за влизане е полезно за предотвратяване на проникване и защита на вашия сървър от груби атаки. Специалните инструменти за предотвратяване на проникване могат да ви помогнат да преглеждате и преглеждате всички регистрационни файлове и да изпращате предупреждения, ако бъдат открити подозрителни дейности. Въз основа на предупрежденията можете да предприемете подходящи действия, за да блокирате IP адресите да се свързват с вашите сървъри.
Втвърдяването на Windows Server може да намали риска от кибератаки!
Що се отнася до сигурността на вашата Windows Server, винаги е добре да сте на върха на нещата, като редовно проверявате системата за рискове за сигурността. Можете да започнете с инсталиране на най-новите актуализации, да защитите администраторския акаунт, да използвате режима на Windows Server Core, когато е възможно, и да активирате криптирането на устройството чрез BitLocker.
Въпреки че Windows Server може да споделя същия код като потребителското издание на Windows 10 и да изглежда идентичен, начинът на конфигуриране и използване е значително различен.
Какво представлява Windows Server и за какво се използва? Ето как Windows Server се различава от потребителските издания на ОС.
Прочетете Напред
- Windows
- Сигурност
- Бизнес технологии
- Нарушение на сигурността
- Компютърна сигурност
- Съвети за Windows
Tashreef е писател на технологии в MakeUseOf. С бакалавърска степен по компютърни приложения, Tashreef има над 5 години опит в писането и покрива Microsoft Windows и всичко около него. Когато не работи, можете да го намерите да си бърка с компютъра или да играе FPS игри.
Абонирайте се за нашия бюлетин
Присъединете се към нашия бюлетин за технически съвети, рецензии, безплатни електронни книги и ексклузивни оферти!
Още една стъпка…!
Моля, потвърдете имейл адреса си в имейла, който току-що ви изпратихме.
