9 must-know nõuannet Windowsi serverite turvamiseks

Windows Server on serverite toiteks kõige sagedamini kasutatav operatsioonisüsteem. Tavaliselt ettevõtteid hõlmava toimingu olemuse tõttu on Windows Serveri turvalisus ettevõtte andmete jaoks ülioluline.

Vaikimisi on Windows Serveril mõned turvameetmed paigas. Kuid võite teha rohkem, et tagada teie Windowsi serverite piisav kaitse võimalike ohtude eest. Siin on mõned kriitilised näpunäited teie Windowsi serveri turvamiseks.

1. Hoidke oma Windows Serverit ajakohasena

Ehkki see võib tunduda ilmselge asi, on enamik Windowsi serveri piltidega installitud servereid ilma viimaste turva- ja jõudlusvärskendusteta. Uusimate turvapaikade installimine on teie süsteemi kaitsmiseks pahatahtlike rünnakute jaoks ülioluline.

Kui olete seadistanud uue Windowsi serveri või saanud selle juurde mandaadi, laadige alla ja installige kindlasti kõik oma arvuti jaoks saadaval olevad uusimad värskendused. Võite funktsioonivärskenduse mõneks ajaks edasi lükata, kuid installige turbevärskendused, kui see muutub kättesaadavaks.

2. Installige Windows Server Core kaudu ainult olulised OS-i komponendid

Windows Server 2012 ja uuemates versioonides saate opsüsteemi kasutada selle põhirežiimis. Windows Serveri koodirežiim on minimaalne installimisvõimalus, mis installib Windows Serveri ilma GUI-ta, mis tähendab vähem funktsioone.

Windows Server Core installimisel on palju eeliseid. Ilmselge on tulemuslikkuse eelis. Sama riistvara abil saate jõudlust täiustada kasutamata OS-i komponentide kaudu, mille tulemuseks on väiksem RAM-i ja protsessori nõudlus, parem tööaeg ja alglaadimise aeg ning vähem paiku.

Ehkki jõudluse eelised on toredad, on turvalisuse eelised veelgi paremad. Vähem tööriistu ja ründevektoreid sisaldava süsteemi ründamine on raskem kui täielikult GUI-põhise operatsioonisüsteemi häkkimine. Windows Server Core vähendab rünnakupinda, pakub Windows Serveri RSAT-i (kaugserveri haldus) tööriistu ja võimalust vahetada Core-lt GUI-le.

3. Kaitske administraatori kontot

Windows Serveri vaikekasutajakonto nimetatakse Administraator. Seetõttu on enamik toore jõu rünnakutest suunatud just sellele kontole. Konto kaitsmiseks võite selle ümber nimetada muuks. Teise võimalusena võite ka kohaliku administraatori konto täielikult keelata ja luua uue administraatori konto.

Kui olete kohaliku administraatori konto keelanud, kontrollige, kas kohaliku külaliskonto on saadaval. Kohalikud külaliskontod on kõige vähem turvalised, nii et kõige parem on need igal võimalusel eemale viia. Kasutage sama käsitlust kasutamata kasutajakontode puhul.

Hea paroolipoliitika, mis nõuab regulaarseid paroolivahetusi, keerukaid ja pikki numbrite, märkide ja erimärkidega paroole turvaline kasutajakonto toore rünnaku eest.

4. NTP seadistamine

Kella triivi vältimiseks on oluline oma server konfigureerida aja sünkroonimiseks NTP (võrgu aja sünkroniseerimine) serveritega. See on hädavajalik, sest isegi paariminutiline erinevus võib rikkuda erinevaid funktsioone, sealhulgas Windowsi sisselogimist.

Organisatsioonid kasutavad võrguseadmeid, mis kasutavad sisemisi kellasid või toetuvad sünkroonimiseks avalikule Interneti-aegserverile. Domeeni liikmeteks olevate serverite aeg sünkroonitakse tavaliselt domeenikontrolleriga. Kuid iseseisvad serverid nõuavad kordusrünnakute vältimiseks NTP seadistamist välisele allikale.

5. Windowsi tulemüüri ja viirusetõrje lubamine ja konfigureerimine

Windowsi serverid on varustatud sisseehitatud tulemüüri ja viirusetõrjevahendiga. Serverites, millel pole riistvara tulemüüre, võib Windowsi tulemüür vähendada rünnakupinda ja pakkuda korralikku kaitset küberrünnakute eest, piirates liikluse vajalike radadega. Nagu öeldud, riistvarapõhine või Pilvepõhine tulemüür pakub suuremat kaitset ja võtab teie serverilt koormuse.

Tulemüüri konfigureerimine võib olla segane ülesanne ja seda on alguses keeruline hallata. Kui seda pole õigesti konfigureeritud, võivad volitamata klientidele juurdepääsetavad avatud pordid kujutada serveritele suurt turvariski. Samuti pidage märkmeid selle kasutamiseks loodud reeglite ja muude atribuutide kohta tulevaste viidete jaoks.

6. Turvaline kaugtöölaud (RDP)

Kui kasutate RDP-d (kaugtöölaua protokoll), veenduge, et see pole Internetile avatud. Volitamata juurdepääsu vältimiseks muutke vaikeporti ja piirake RDP juurdepääs konkreetsele IP-aadressile, kui teil on juurdepääs spetsiaalsele IP-aadressile. Samuti võiksite otsustada, kes saavad RDP-le juurde pääseda ja seda kasutada, kuna see on vaikimisi lubatud kõigile serveri kasutajatele.

Samuti võtke RDP turvalisuse tagamiseks vastu kõik muud peamised turvameetmed, sealhulgas tugeva parooli kasutamine, mis võimaldab kaheastmelist autentimist, hoides tarkvara ajakohastamine, juurdepääsu piiramine tulemüüri täpsemate seadete kaudu, võrgutaseme autentimise lubamine ja konto lukustuse seadmine poliitika.

Seotud: Parim kaugjuurdepääsu tarkvara oma Windowsi arvuti juhtimiseks kõikjalt

7. Luba BitLockeri draivikrüptimine

Sarnaselt Windows 10 Pro-ga on ka operatsioonisüsteemi serveriväljaandel sisseehitatud draivi krüptimise tööriist nimega BitLocker. Turvaprofessionaalid peavad seda parimate krüptimistööriistade hulka, kuna see võimaldab teil kogu oma kõvaketta krüpteerida ka siis, kui teie serveri füüsilist turvalisust on rikutud.

Krüptimise ajal hõivab BitLocker teie arvuti kohta teavet ja kasutab seda arvuti autentsuse kontrollimiseks. Pärast kinnitamist saate parooli kasutades arvutisse sisse logida. Kui avastatakse kahtlane tegevus, BitLocker palub teil sisestada taastevõti. Kui dekrüpteerimisvõtit pole esitatud, jäävad andmed lukustatuks.

Kui olete kõvaketta krüpteerimise uus kasutaja, vaadake seda üksikasjalikku juhendit kuidas kasutada BitLockerit Windows 10-s.

8. Kasutage Microsofti algtaseme turbeanalüsaatorit

Microsoft Baseline Security Analyzer (MBSA) on tasuta turvatööriist, mida IT-spetsialistid kasutavad oma serverite turvalisuse haldamiseks. See võib leida turbeprobleeme ja serveris puuduvaid värskendusi ning soovitada parandusjuhiseid vastavalt Microsofti turbesoovitustele.

Kasutamisel kontrollib MBSA Windowsi haldusnõrkusi, nagu nõrgad paroolid, SQL-i ja IIS-i haavatavusi ning üksikute süsteemide puuduvaid turvavärskendusi. Samuti saab see skannida üksikut inimest või arvutirühma IP-aadressi, domeeni ja muude atribuutide järgi. Lõpuks koostatakse üksikasjalik turvaraport, mis kuvatakse graafilises kasutajaliideses HTML-is.

9. Konfigureerige logiseire ja keelake tarbetud võrgupordid

Kõik teenused või protokollid, mida Windows Server ja installitud komponendid ei vaja ega kasuta, tuleb keelata. Sa saad käivitage pordi skannimine et kontrollida, millised võrguteenused on Internetiga kokku puutunud.

Sisselogimiskatsete jälgimine on kasulik sissetungide vältimiseks ja serveri kaitsmiseks toore jõu rünnakute eest. Spetsiaalsed sissetungimise vältimise tööriistad aitavad teil kõiki logifaile vaadata ja üle vaadata ning kahtlaste tegevuste avastamisel teateid saata. Hoiatuste põhjal võite võtta asjakohaseid toiminguid, et blokeerida IP-aadresside ühenduse loomine teie serveritega.

Windows Serveri karastamine võib vähendada küberrünnakute riski!

Teie Windowsi serveri turvalisuse osas on alati hea olla asjadega kursis, kontrollides regulaarselt süsteemi turvariskide üle. Alustuseks võite installida uusimad värskendused, kaitsta administraatorikontot, kasutada Windows Server Core režiimi igal võimalusel ja lubada draivi krüptimise BitLockeri kaudu.

Kuigi Windows Server võib jagada sama koodi kui Windows 10 tarbijaväljaanne ja välimuselt identne, on selle konfigureerimise ja kasutamise viis oluliselt erinev.

Mis on Windows Server ja kuidas see erineb Windowsist?

Mis on Windows Server ja milleks seda kasutatakse? Siit saate teada, kuidas Windows Server erineb OS-i tarbijaväljaannetest.

Loe edasi

Autori kohta