Windows Server patrí medzi najbežnejšie používané operačné systémy na napájanie serverov. Z dôvodu povahy operácie, ktorá zvyčajne zahŕňa podniky, je pre podnikové dáta kritické zabezpečenie systému Windows Server.
V predvolenom nastavení má systém Windows Server zavedené niektoré bezpečnostné opatrenia. Môžete však urobiť viac, aby ste zabezpečili, že vaše servery Windows majú dostatočnú ochranu pred potenciálnymi hrozbami. Tu je niekoľko dôležitých tipov na zabezpečenie vášho servera Windows.
1. Udržujte svoj Windows Server aktuálny
Aj keď to môže vyzerať ako samozrejmosť, väčšina serverov nainštalovaných s obrázkami Windows Servera neobsahuje najnovšie aktualizácie zabezpečenia a výkonu. Inštalácia najnovších bezpečnostných opráv má zásadný význam pre ochranu vášho systému pred škodlivými útokmi.
Ak ste nastavili nový server Windows alebo ste dostali poverenia na jeden server, stiahnite a nainštalujte všetky najnovšie aktualizácie dostupné pre váš počítač. Aktualizáciu funkcií môžete na nejaký čas odložiť, mali by ste si však nainštalovať aktualizácie zabezpečenia, keď budú k dispozícii.
2. Nainštalujte iba základné súčasti OS cez Windows Server Core
V systéme Windows Server 2012 a novších verziách môžete operačný systém používať v základnom režime. Režim kódu servera Windows je minimálna možnosť inštalácie, ktorá nainštaluje server Windows Server bez grafického používateľského rozhrania, čo znamená znížené funkcie.
Inštalácia Windows Server Core má veľa výhod. Zrejmou je výkonová výhoda. Rovnaký hardvér môžete použiť na získanie vylepšenia výkonu prostredníctvom nevyužitých komponentov operačného systému, čo má za následok menšie požiadavky na pamäť RAM a CPU, lepšiu dobu prevádzky a bootovania a menej opráv.
Aj keď sú výhody výkonu pekné, výhody zabezpečenia sú ešte lepšie. Útok na systém s menším počtom nástrojov a vektorov útokov je ťažší než hacknutie plne operačného systému založeného na GUI. Windows Server Core redukuje plochu útoku, ponúka nástroje Windows Server RSAT (Remote Server Administration) a možnosť prechodu z Core na GUI.
3. Chráňte účet správcu
Predvolený používateľský účet v systéme Windows Server je pomenovaný Správca. Výsledkom je, že väčšina útokov hrubou silou je zameraná na tento účet. Z dôvodu ochrany účtu ho môžete premenovať na iný. Prípadne môžete tiež úplne zakázať účet miestneho správcu a vytvoriť nový účet správcu.
Po deaktivácii účtu miestneho správcu skontrolujte, či je k dispozícii účet miestneho hosťa. Účty miestnych hostí sú najmenej zabezpečené, takže je najlepšie, keď je to možné, dostať ich z cesty. Rovnaké zaobchádzanie použite aj pri nepoužívaných používateľských účtoch.
Pomôcť vám môže dobrá politika v oblasti hesla, ktorá vyžaduje pravidelné zmeny hesla, zložité a zdĺhavé heslá s číslami, znakmi a špeciálnymi znakmi bezpečné používateľské účty pred útokmi hrubou silou.
4. Konfigurácia NTP
Je dôležité nakonfigurovať server tak, aby synchronizoval čas so servermi NTP (Network Time Synchronization), aby sa zabránilo posunu hodín. To je nevyhnutné, pretože aj rozdiel niekoľkých minút môže narušiť rôzne funkcie vrátane prihlásenia do systému Windows.
Organizácie používajú sieťové zariadenia, ktoré používajú interné hodiny alebo sa pri synchronizácii spoliehajú na verejný internetový časový server. Servery, ktoré sú členmi domény, majú zvyčajne svoj čas synchronizovaný s radičom domény. Samostatné servery však budú vyžadovať nastavenie NTP na externý zdroj, aby sa zabránilo opakovaným útokom.
5. Povoliť a nakonfigurovať bránu Windows Firewall a antivírus
Servery Windows sa dodávajú so zabudovanou bránou firewall a antivírusovým nástrojom. Na serveroch, ktoré nemajú hardvérové brány firewall, môže brána Windows Firewall znížiť útočnú plochu a poskytnúť slušnú ochranu pred kybernetickými útokmi obmedzením prenosu na potrebné cesty. To znamená, že na báze hardvéru alebo Cloudový firewall ponúkne väčšiu ochranu a odbremení váš server.
Konfigurácia brány firewall môže byť nepríjemná úloha a spočiatku je ťažké ju zvládnuť. Ak však nie sú správne nakonfigurované, otvorené porty prístupné neautorizovaným klientom môžu pre servery predstavovať obrovské bezpečnostné riziko. Majte tiež na pamäti pravidlá vytvorené pre jeho použitie a ďalšie atribúty pre ďalšie referencie.
6. Zabezpečená vzdialená pracovná plocha (RDP)
Ak používate protokol RDP (Remote Desktop Protocol), uistite sa, že nie je otvorený na internete. Ak chcete zabrániť neoprávnenému prístupu, zmeňte predvolený port a obmedzte prístup RDP na konkrétnu adresu IP, ak máte prístup k vyhradenej adrese IP. Možno budete tiež chcieť rozhodnúť, kto môže pristupovať a používať protokol RDP, pretože je predvolene povolený pre všetkých používateľov na serveri.
Prijmite tiež všetky ostatné základné bezpečnostné opatrenia na zabezpečenie protokolu RDP, vrátane použitia silného hesla, umožnenia dvojfaktorovej autentifikácie a zachovania aktualizovaný softvér, obmedzenie prístupu pomocou pokročilých nastavení brány firewall, povolenie autentifikácie na úrovni siete a nastavenie blokovania účtov politiky.
Súvisiace: Najlepší softvér na diaľkový prístup na ovládanie vášho počítača so systémom Windows odkiaľkoľvek
7. Povoliť šifrovanie jednotky BitLocker
Podobne ako Windows 10 Pro, serverová edícia operačného systému prichádza so zabudovaným nástrojom na šifrovanie disku s názvom BitLocker. Profesionáli v oblasti zabezpečenia ho považujú za jeden z najlepších šifrovacích nástrojov, pretože vám umožňuje zašifrovať celý pevný disk, aj keď je narušené fyzické zabezpečenie vášho servera.
Počas šifrovania BitLocker zachytáva informácie o vašom počítači a používa ich na overenie pravosti počítača. Po overení sa môžete do počítača prihlásiť pomocou hesla. Keď sa zistí podozrivá aktivita, BitLocker vás požiada o zadanie kľúča na obnovenie. Pokiaľ nebude poskytnutý dešifrovací kľúč, dáta zostanú uzamknuté.
Ak ste so šifrovaním pevného disku nováčikom, pozrite si túto podrobnú príručku ako používať nástroj BitLocker v systéme Windows 10.
8. Použite Microsoft Baseline Security Analyzer
Microsoft Baseline Security Analyzer (MBSA) je bezplatný bezpečnostný nástroj používaný odborníkmi v oblasti IT na správu zabezpečenia ich serverov. Môže vyhľadať problémy so zabezpečením a chýbajúce aktualizácie na serveri a odporučiť nápravu v súlade s bezpečnostnými odporúčaniami spoločnosti Microsoft.
Ak sa použije, nástroj MBSA skontroluje chyby zabezpečenia správcu Windows, ako sú slabé heslá, prítomnosť chýb zabezpečenia SQL a IIS a chýbajúce bezpečnostné aktualizácie v jednotlivých systémoch. Môže tiež skenovať jednotlivcov alebo skupiny počítačov podľa adresy IP, domény a ďalších atribútov. Na záver bude pripravená podrobná správa o zabezpečení, ktorá sa zobrazí na grafickom používateľskom rozhraní v jazyku HTML.
9. Nakonfigurujte sledovanie protokolov a zakážte nepotrebné sieťové porty
Všetky služby alebo protokoly, ktoré server Windows a nainštalované komponenty nepotrebujú alebo nepoužívajú, musia byť zakázané. Môžeš spustiť skenovanie portov skontrolovať, ktoré sieťové služby sú vystavené internetu.
Monitorovanie pokusov o prihlásenie je užitočné, aby sa zabránilo vniknutiu a chránila váš server pred útokmi hrubou silou. Špeciálne nástroje na prevenciu narušenia vám môžu pomôcť zobraziť a skontrolovať všetky súbory denníka a odoslať upozornenia, ak sa zistia podozrivé aktivity. Na základe týchto upozornení môžete podniknúť príslušné kroky a zablokovať tak pripojenie adries IP k vašim serverom.
Vytvrdenie systému Windows Server môže znížiť riziko kybernetických útokov!
Pokiaľ ide o zabezpečenie vášho Windows Servera, je vždy dobré byť nad vecou pravidelného auditu bezpečnostných rizík systému. Môžete začať inštaláciou najnovších aktualizácií, chrániť účet správcu, používať režim Windows Server Core vždy, keď je to možné, a povoliť šifrovanie disku pomocou nástroja BitLocker.
Aj keď Windows Server môže zdieľať rovnaký kód ako spotrebiteľské vydanie systému Windows 10 a vyzerať rovnako, spôsob jeho konfigurácie a používania je úplne odlišný.
Čo je to Windows Server a na čo sa používa? Tu je ukážka toho, ako sa Windows Server líši od spotrebiteľských vydaní OS.
Prečítajte si Ďalej
- Windows
- Bezpečnosť
- Obchodné technológie
- Porušenie bezpečnosti
- Počítačová bezpečnosť
- Tipy pre Windows
Tashreef je autor technológií v MakeUseOf. Vďaka bakalárskemu titulu v odbore Počítačové aplikácie má Tashreef viac ako 5 rokov skúseností s písaním a pokrýva Microsoft Windows a všetko okolo toho. Ak nefunguje, môžete ho nájsť hrať s počítačom alebo hrať hry FPS.
Prihlásiť sa ku odberu noviniek
Pripojte sa k nášmu bulletinu s technickými tipmi, recenziami, bezplatnými elektronickými knihami a exkluzívnymi ponukami!
Ešte jeden krok…!
V e-maile, ktorý sme vám práve poslali, potvrďte svoju e-mailovú adresu.