Windows Server on yksi yleisimmin käytetyistä käyttöjärjestelmistä palvelimien virran saamiseksi. Yleensä yrityksiä koskevan toiminnan luonteesta johtuen Windows Server -turvallisuus on kriittinen yritystiedoille.
Oletusarvon mukaan Windows Serverissä on joitain suojaustoimenpiteitä. Voit kuitenkin tehdä enemmän varmistaaksesi, että Windows-palvelimilla on riittävä suoja mahdollisia uhkia vastaan. Tässä on muutama kriittinen vinkki Windows-palvelimen suojaamiseen.
1. Pidä Windows-palvelimesi ajan tasalla
Vaikka se saattaa näyttää itsestään selvältä tehtävältä, useimmilla Windows Server -kuvilla asennetuilla palvelimilla ei ole viimeisimpiä tietoturva- ja suorituskykypäivityksiä. Uusimpien tietoturvakorjausten asentaminen on ratkaisevan tärkeää järjestelmän suojaamiseksi haitallisilta hyökkäyksiltä.
Jos olet määrittänyt uuden Windows-palvelimen tai saanut valtuutustiedot yhdelle, muista ladata ja asentaa kaikki uusimmat tietokoneellesi saatavilla olevat päivitykset. Voit lykätä ominaisuuspäivitystä jonkin aikaa, mutta asenna tietoturvapäivitykset, kun se tulee saataville.
2. Asenna vain olennaiset käyttöjärjestelmän osat Windows Server Core -sovelluksen kautta
Windows Server 2012 tai uudempi, voit käyttää käyttöjärjestelmää sen ydintilassa. Windows Server Code Mode on vähäinen asennusvaihtoehto, joka asentaa Windows Serverin ilman käyttöliittymää, mikä tarkoittaa vähemmän ominaisuuksia.
Windows Server Core -asennuksella on monia etuja. Ilmeinen on suorituskyvyn etu. Voit käyttää samaa laitteistoa suorituskyvyn parantamiseksi käyttämättömien käyttöjärjestelmän komponenttien avulla, mikä johtaa pienempiin RAM- ja CPU-vaatimuksiin, parempaan käyttö- ja käynnistysaikaan sekä vähemmän korjaustiedostoja.
Vaikka suorituskykyedut ovat mukavia, tietoturvaedut ovat vielä parempia. Hyökkäys järjestelmään, jossa on vähemmän työkaluja ja hyökkäysvektoreita, on vaikeampi kuin hakkerointi täysin GUI-pohjaista käyttöjärjestelmää. Windows Server Core vähentää hyökkäyspintaa, tarjoaa Windows Server RSAT (Remote Server Administration) -työkalut ja mahdollisuuden vaihtaa Coreista GUI: ksi.
3. Suojaa järjestelmänvalvojan tili
Windows Serverin oletuskäyttäjätili on nimetty Järjestelmänvalvoja. Tämän seurauksena suurin osa raakojen joukkojen hyökkäyksistä on kohdistettu tähän tiliin. Tilin suojaamiseksi voit nimetä sen uudeksi nimeksi. Vaihtoehtoisesti voit myös poistaa paikallisen järjestelmänvalvojan tilin kokonaan käytöstä ja luoda uuden järjestelmänvalvojan tilin.
Kun olet poistanut paikallisen järjestelmänvalvojan tilin käytöstä, tarkista, onko paikallinen vierastili käytettävissä. Paikalliset vierastilit ovat vähiten turvallisia, joten on parasta saada ne pois tieltä aina kun mahdollista. Käytä samaa kohtelua käyttämättömillä käyttäjätileillä.
Hyvä salasanakäytäntö, joka vaatii säännöllisiä salasanan vaihtoja, monimutkaiset ja pitkät salasanat, joissa on numeroita, merkkejä ja erikoismerkkejä, voi auttaa sinua suojata käyttäjätilit raakojen joukkojen hyökkäyksiltä.
4. NTP-määritykset
On tärkeää määrittää palvelimesi synkronoimaan aika NTP (Network Time Synchronization) -palvelimien kanssa kellon ajautumisen estämiseksi. Tämä on välttämätöntä, koska jopa muutaman minuutin ero voi rikkoa erilaisia toimintoja, mukaan lukien Windowsin sisäänkirjautuminen.
Organisaatiot käyttävät verkkolaitteita, jotka käyttävät sisäisiä kelloja tai luottavat julkiseen Internet-aikapalvelimeen synkronoinnissa. Palvelinten, jotka ovat toimialueen jäseniä, aika on yleensä synkronoitu toimialueen ohjaimen kanssa. Erilliset palvelimet edellyttävät kuitenkin NTP: n määrittämistä ulkoiseen lähteeseen toistohyökkäysten estämiseksi.
5. Ota käyttöön ja määritä Windowsin palomuuri ja virustorjunta
Windows-palvelimissa on sisäänrakennettu palomuuri ja virustorjuntatyökalu. Palvelimilla, joilla ei ole laitteistopalomuuria, Windowsin palomuuri voi vähentää hyökkäyspintaa ja tarjota kunnollisen suojan kyberhyökkäyksiltä rajoittamalla liikenteen tarvittaville reiteille. Se sanoi, laitteistopohjainen tai Pilvipohjainen palomuuri tarjoaa paremman suojan ja ottaa palvelimesi kuorman pois.
Palomuurin määrittäminen voi olla sotkuinen tehtävä ja aluksi vaikea hallita. Jos niitä ei ole määritetty oikein, luvattomille asiakkaille pääsevät avoimet portit voivat kuitenkin aiheuttaa valtavan turvallisuusriskin palvelimille. Pidä myös kirjaa sen käyttöä varten luotuista säännöistä ja muista attribuuteista tulevia viitteitä varten.
6. Suojattu etätyöpöytä (RDP)
Jos käytät RDP-protokollaa (Remote Desktop Protocol), varmista, että se ei ole avoinna Internetille. Voit estää luvattoman käytön vaihtamalla oletusportin ja rajoittamalla RDP-pääsyn tiettyyn IP-osoitteeseen, jos sinulla on pääsy omistettuun IP-osoitteeseen. Haluat ehkä myös päättää, kuka voi käyttää ja käyttää RDP: tä, koska se on oletusarvoisesti käytössä kaikille palvelimen käyttäjille.
Hyväksy myös kaikki muut perusturvatoimenpiteet RDP: n suojaamiseksi, mukaan lukien vahvan salasanan käyttö, joka mahdollistaa kaksivaiheisen todennuksen ja pitää ohjelmisto ajan tasalla, rajoittamalla pääsyä palomuurin lisäasetusten avulla, ottamalla käyttöön verkkotason todennus ja asettamalla tilin lukitus käytäntö.
Liittyvät: Suosituin etäkäyttöohjelmisto, jolla voit hallita Windows-tietokonetta mistä tahansa
7. Ota BitLocker-aseman salaus käyttöön
Samoin kuin Windows 10 Pro, käyttöjärjestelmän palvelinversiossa on sisäänrakennettu aseman salaustyökalu nimeltä BitLocker. Turvallisuusammattilaiset pitävät sitä parhaiden salausvälineiden joukossa, koska sen avulla voit salata koko kiintolevyn, vaikka palvelimesi fyysinen suojaus olisi loukattu.
Salausprosessin aikana BitLocker sieppaa tietoja tietokoneestasi ja käyttää niitä tietokoneen aitouden tarkistamiseen. Kun olet vahvistanut, voit kirjautua tietokoneellesi salasanalla. Kun epäilyttävää toimintaa havaitaan, BitLocker pyytää sinua antamaan palautusavaimen. Ellei salauksenpurkuavainta anneta, tiedot pysyvät lukittuina.
Jos kiintolevyn salaus on sinulle uusi, tutustu tähän yksityiskohtaiseen oppaaseen kuinka BitLockeria käytetään Windows 10: ssä.
8. Käytä Microsoft Baseline Security Analyzer -ohjelmaa
Microsoft Baseline Security Analyzer (MBSA) on ilmainen tietoturvatyökalu, jota IT-ammattilaiset käyttävät palvelimiensa turvallisuuden hallintaan. Se voi löytää turvallisuusongelmia ja puuttuvia päivityksiä palvelimelta ja suositella korjausohjeita Microsoftin tietoturvasuositusten mukaisesti.
Käytettäessä MBSA tarkistaa Windows-järjestelmän haavoittuvuudet, kuten heikot salasanat, SQL- ja IIS-haavoittuvuudet ja puuttuvat tietoturvapäivitykset yksittäisissä järjestelmissä. Se voi myös skannata yksittäisen henkilön tai tietokoneiden ryhmän IP-osoitteen, toimialueen ja muiden määritteiden mukaan. Lopuksi laaditaan yksityiskohtainen suojausraportti, joka näkyy graafisella käyttöliittymällä HTML-muodossa.
9. Määritä lokin valvonta ja poista tarpeettomat verkkoportit käytöstä
Kaikki palvelut tai protokollat, joita Windows Server ja asennetut komponentit eivät tarvitse tai käyttävät, on poistettava käytöstä. Sinä pystyt Suorita porttiskannaus tarkistaa, mitkä verkkopalvelut ovat Internetissä.
Sisäänkirjautumisyritysten seuranta on hyödyllistä estämään tunkeutumista ja suojaamaan palvelinta raakojen voimien hyökkäyksiltä. Omistetut tunkeutumisen estotyökalut voivat auttaa sinua tarkastelemaan ja tarkistamaan kaikkia lokitiedostoja ja lähettämään ilmoituksia epäilyttävistä toiminnoista. Ilmoitusten perusteella voit ryhtyä asianmukaisiin toimiin estääksesi IP-osoitteiden yhteyden muodostamisen palvelimiin.
Windows Serverin kovettuminen voi vähentää verkkohyökkäysten riskiä!
Windows Serverin tietoturvan suhteen on aina hyvä olla ajan tasalla tarkastamalla järjestelmää säännöllisesti tietoturvariskien varalta. Voit aloittaa asentamalla uusimmat päivitykset, suojaamalla järjestelmänvalvojan tilin, käyttämällä Windows Server Core -tilaa aina kun mahdollista ja sallimalla aseman salaus BitLockerin kautta.
Vaikka Windows Server saattaa jakaa saman koodin kuin Windows 10: n kuluttajaversio ja näyttää identtiseltä, sen määritys ja käyttö on huomattavasti erilainen.
Mikä on Windows Server ja mihin sitä käytetään? Näin Windows Server eroaa käyttöjärjestelmän kuluttajaversioista.
Lue seuraava
- Windows
- Turvallisuus
- Yritystekniikka
- Turvallisuusrikkomus
- Tietoturva
- Windows-vinkkejä
Tashreef on teknologiakirjailija MakeUseOfissa. Tashreefilla on kandidaatin tutkinto tietokonesovelluksista, ja hänellä on yli 5 vuoden kirjoituskokemus ja se kattaa Microsoft Windowsin ja kaiken sen ympärillä. Kun hän ei toimi, saatat löytää hänet pelaamassa tietokoneellaan tai pelaamassa FPS-pelejä.
Tilaa uutiskirjeemme
Liity uutiskirjeeseemme, jossa on teknisiä vinkkejä, arvosteluja, ilmaisia e-kirjoja ja erikoistarjouksia!
Vielä yksi askel !!!
Vahvista sähköpostiosoitteesi juuri lähettämässäsi sähköpostiviestissä.