9 nezbytných tipů pro zabezpečení serverů Windows

Windows Server patří mezi nejčastěji používané operační systémy pro napájení serverů. Vzhledem k povaze operace, která obvykle zahrnuje podniky, je pro podniková data zásadní zabezpečení systému Windows Server.

Ve výchozím nastavení má Windows Server zavedena některá bezpečnostní opatření. Můžete však udělat více, abyste zajistili dostatečnou obranu svých serverů Windows před potenciálními hrozbami. Zde je několik důležitých tipů pro zabezpečení vašeho Windows Serveru.

1. Udržujte svůj Windows Server aktuální

I když to může vypadat jako samozřejmost, většina serverů nainstalovaných s obrázky Windows Serveru je bez nejnovějších aktualizací zabezpečení a výkonu. Instalace nejnovějších bezpečnostních oprav je zásadní pro ochranu vašeho systému před škodlivými útoky.

Pokud jste nastavili nový server Windows nebo jste obdrželi přihlašovací údaje k jednomu, nezapomeňte si stáhnout a nainstalovat všechny nejnovější aktualizace dostupné pro váš počítač. Aktualizaci funkce můžete na nějakou dobu odložit, ale měli byste si nainstalovat aktualizace zabezpečení, jakmile budou k dispozici.

2. Nainstalujte pouze základní součásti operačního systému prostřednictvím jádra Windows Server

V systému Windows Server 2012 a novějším můžete operační systém používat v základním režimu. Režim Windows Server Code Mode je minimální možnost instalace, která nainstaluje Windows Server bez grafického uživatelského rozhraní, což znamená omezené funkce.

Instalace Windows Server Core má mnoho výhod. Zřejmým z nich je výkonnostní výhoda. Stejný hardware můžete použít k získání zlepšení výkonu prostřednictvím nevyužitých součástí operačního systému, což má za následek menší požadavky na RAM a CPU, lepší dobu provozuschopnosti a bootování a méně oprav.

I když jsou výhody výkonu pěkné, výhody zabezpečení jsou ještě lepší. Útok na systém s menším počtem nástrojů a vektorů útoků je těžší než hacknutí plně operačního systému založeného na GUI. Windows Server Core snižuje útočnou plochu, nabízí nástroje Windows Server RSAT (Remote Server Administration) a možnost přechodu z Core na GUI.

3. Chraňte účet správce

Výchozí uživatelský účet v systému Windows Server je pojmenován Správce. Výsledkem je, že většina útoků hrubou silou je zaměřena na tento účet. Chcete-li účet chránit, můžete jej přejmenovat na něco jiného. Alternativně můžete také úplně deaktivovat účet místního správce a vytvořit nový účet správce.

Po deaktivaci účtu místního správce zkontrolujte, zda je k dispozici účet místního hosta. Účty místních hostů jsou nejméně zabezpečené, takže je nejlepší je z cesty dostat, kdekoli je to možné. Stejné zacházení použijte i pro nepoužívané uživatelské účty.

Může vám pomoci dobrá zásada hesla, která vyžaduje pravidelné změny hesla, složitá a zdlouhavá hesla s čísly, znaky a speciálními znaky zabezpečit uživatelské účty před útoky hrubou silou.

4. Konfigurace NTP

Je důležité nakonfigurovat server tak, aby synchronizoval čas se servery NTP (Network Time Synchronization), aby se zabránilo posunu hodin. To je zásadní, protože i rozdíl několika minut může narušit různé funkce, včetně přihlášení do systému Windows.

Organizace používají síťová zařízení, která používají interní hodiny nebo se při synchronizaci spoléhají na veřejný internetový časový server. Servery, které jsou členy domény, mají obvykle svůj čas synchronizovaný s řadičem domény. Samostatné servery však budou vyžadovat, abyste nastavili NTP na externí zdroj, abyste zabránili opakovaným útokům.

5. Povolte a nakonfigurujte bránu Windows Firewall a antivirový program

Servery Windows přicházejí s vestavěnou bránou firewall a antivirovým nástrojem. Na serverech, které nemají hardwarové brány firewall, může brána Windows Firewall zmenšit plochu útoku a poskytnout slušnou ochranu před kybernetickými útoky omezením provozu na nezbytné cesty. To znamená, že na bázi hardwaru nebo Cloudový firewall nabídne větší ochranu a odlehčí váš server.

Konfigurace brány firewall může být chaotický úkol a zpočátku je těžké ji zvládnout. Pokud však nejsou správně nakonfigurovány, mohou otevřené porty přístupné neoprávněným klientům představovat pro servery obrovské bezpečnostní riziko. Mějte také na paměti pravidla vytvořená pro jeho použití a další atributy pro budoucí reference.

6. Zabezpečená vzdálená plocha (RDP)

Pokud používáte protokol RDP (Remote Desktop Protocol), zkontrolujte, zda není otevřený pro internet. Chcete-li zabránit neoprávněnému přístupu, změňte výchozí port a omezte přístup RDP na konkrétní adresu IP, pokud máte přístup k vyhrazené adrese IP. Můžete také rozhodnout, kdo má přístup k RDP a může jej používat, protože je ve výchozím nastavení povolen pro všechny uživatele na serveru.

Přijměte také všechna ostatní základní bezpečnostní opatření k zabezpečení protokolu RDP, včetně použití silného hesla, umožnění dvoufaktorového ověřování a zachování aktuální software, omezení přístupu pomocí pokročilého nastavení brány firewall, povolení ověřování na úrovni sítě a nastavení blokování účtu politika.

Příbuzný: Nejlepší software pro vzdálený přístup k ovládání počítače se systémem Windows odkudkoli

7. Povolte šifrování jednotky BitLocker

Podobně jako Windows 10 Pro je serverová edice operačního systému dodávána s vestavěným nástrojem pro šifrování disků s názvem BitLocker. Je považován za jeden z nejlepších šifrovacích nástrojů bezpečnostními profesionály, protože umožňuje zašifrovat celý váš pevný disk, i když je porušeno fyzické zabezpečení vašeho serveru.

Během šifrování BitLocker zachytí informace o vašem počítači a použije je k ověření pravosti počítače. Po ověření se můžete do počítače přihlásit pomocí hesla. Když je zjištěna podezřelá aktivita, BitLocker vás požádá o zadání klíče pro obnovení. Pokud není poskytnut dešifrovací klíč, data zůstanou uzamčena.

Pokud jste v šifrování pevného disku nováčkem, podívejte se na tuto podrobnou příručku jak používat nástroj BitLocker v systému Windows 10.

8. Použijte Microsoft Baseline Security Analyzer

Microsoft Baseline Security Analyzer (MBSA) je bezplatný bezpečnostní nástroj používaný odborníky v oblasti IT ke správě zabezpečení jejich serverů. Může najít problémy se zabezpečením a chybějící aktualizace se serverem a doporučit pokyny k nápravě v souladu s doporučeními zabezpečení společnosti Microsoft.

Při použití MBSA zkontroluje chyby zabezpečení správce systému Windows, jako jsou slabá hesla, přítomnost chyb zabezpečení SQL a IIS a chybějící aktualizace zabezpečení v jednotlivých systémech. Může také skenovat jednotlivce nebo skupiny počítačů podle IP adresy, domény a dalších atributů. Nakonec bude připravena podrobná bezpečnostní zpráva a zobrazena na grafickém uživatelském rozhraní v HTML.

9. Nakonfigurujte monitorování protokolu a deaktivujte nepotřebné síťové porty

Veškeré služby nebo protokoly, které server Windows a nainstalované součásti nepotřebují ani nepoužívají, musí být deaktivovány. Můžeš spustit skenování portů ke kontrole, které síťové služby jsou vystaveny internetu.

Monitorování pokusů o přihlášení je užitečné, aby se zabránilo narušení a chránil váš server před útoky hrubou silou. Vyhrazené nástroje pro prevenci narušení vám mohou pomoci zobrazit a zkontrolovat všechny soubory protokolu a odeslat upozornění, pokud jsou zjištěny podezřelé aktivity. Na základě výstrah můžete podniknout příslušné kroky a zablokovat připojení IP adres k vašim serverům.

Vytvrzování systému Windows Server může snížit riziko kybernetických útoků!

Pokud jde o zabezpečení vašeho Windows Serveru, je vždy dobré být nad věcí pravidelným auditováním bezpečnostních rizik systému. Můžete začít instalací nejnovějších aktualizací, chránit účet správce, používat režim Windows Server Core kdykoli je to možné a povolit šifrování jednotky pomocí nástroje BitLocker.

Zatímco Windows Server může sdílet stejný kód jako spotřebitelská edice Windows 10 a vypadat shodně, způsob jeho konfigurace a používání se výrazně liší.

Co je Windows Server a jak se liší od Windows?

Co je Windows Server ak čemu se používá? Zde je ukázka toho, jak se Windows Server liší od spotřebitelských vydání OS.

Přečtěte si další

O autorovi