Наконец, вам необходимо убедиться, что ваши журналы и мониторинг настроены и собирают нужные вам данные, чтобы в случае проблемы вы могли быстро найти то, что вам нужно, и исправить это. Ведение журнала работает по-разному в зависимости от того, является ли ваш сервер частью домена. Вход в систему в домен обрабатывается контроллерами домена, и поэтому у них есть журналы аудита для этой активности, а не для локальной системы. Автономные серверы будут иметь доступный аудит безопасности и могут быть настроены для отображения проходов и/или сбоев.
Проверьте максимальный размер ваших журналов и установите для них подходящий размер. Параметры журнала по умолчанию почти всегда слишком малы для мониторинга сложных производственных приложений. Таким образом, во время сборки сервера необходимо выделить дисковое пространство для ведения журнала, особенно для таких приложений, как MS Exchange. Для журналов необходимо создать резервную копию в соответствии с политиками хранения вашей организации, а затем очистить их, чтобы освободить место для других текущих событий.
Рассмотрите возможность централизованного управления журналами, если обработка журналов по отдельности на серверах становится непосильной. Подобно серверу системного журнала в мире Linux, централизованная программа просмотра событий для серверов Windows может помочь ускорить устранение неполадок и время исправления в средах среднего и большого размера.
Установите базовый уровень производительности и настройте пороговые значения уведомлений для важных показателей. Независимо от того, используете ли вы встроенный монитор производительности Windows или стороннее решение, которое использует клиент или SNMP для сбора данных, вам необходимо собирать информацию о производительности на каждом сервере. Такие вещи, как доступное дисковое пространство, использование процессора и памяти, сетевая активность и даже температура, должны постоянно анализироваться и регистрироваться, чтобы можно было легко выявлять и устранять аномалии. Этот шаг часто пропускают из-за напряженного графика производства, но в конечном итоге он принесет дивиденды, потому что устранение неполадок без установленных базовых показателей — это, по сути, съемка в темноте.
Упрочнение — это всеобъемлющий термин, обозначающий изменения, внесенные в конфигурацию, управление доступом, сетевые настройки и серверную среду, включая приложения, с целью повышения безопасности сервера и общей безопасности ИТ-инфраструктуры организации. Существуют различные тесты для повышения безопасности серверов Windows, в том числе тесты Microsoft Security Benchmark, а также стандарты повышения безопасности CIS Benchmark, установленные Центром безопасности в Интернете . Эталонные тесты от CIS охватывают усиление безопасности сети для облачных платформ, таких как Microsoft Azure, а также политику безопасности приложений для программного обеспечения, такого как Microsoft SharePoint, наряду с усилением защиты баз данных для Microsoft SQL Server, среди прочего.
Хорошая практика — следовать стандартному процессу повышения безопасности веб-серверов для новых серверов, прежде чем они будут запущены в производство. Никогда не пытайтесь укрепить используемые веб-серверы, так как это может повлиять на ваши производственные рабочие нагрузки с непредсказуемыми сбоями, поэтому вместо этого подготовьте новые серверы для повышения безопасности, а затем перенесите свои приложения после усиления защиты и полного тестирования настройки. Хорошим первым шагом при усилении защиты веб-сервера Windows является установка на сервере последних пакетов обновления от Microsoft, прежде чем переходить к защите программного обеспечения веб-сервера, такого как Microsoft IIS, Apache, PHP или Nginx.
Усиление доступа к системе и настройка управления сетевым трафиком, в том числе установка минимальной длины пароля, настройка брандмауэра Windows, который позволяет реализовать функциональность, аналогичную iptables с использованием политики трафика, настроить аппаратный брандмауэр, если он доступен, и настроить политику аудита, а также настройки журнала. Устранение потенциальных бэкдоров, которые могут быть использованы злоумышленником, начиная с уровня микропрограммы, путем обеспечения на ваших серверах последней версии микропрограммы BIOS, защищенной от атак микропрограмм, вплоть до правил IP-адресов для ограничения несанкционированного доступа и удаления неиспользуемых служб или ненужный софт. Убедитесь, что все тома файловой системы используют файловую систему NTFS, и настройте права доступа к файлам, чтобы ограничить права доступа пользователей минимальными правами доступа.. Вам также следует установить антивирусное программное обеспечение как часть стандартной конфигурации безопасности сервера, в идеале с ежедневными обновлениями и защитой в реальном времени.
Чтобы действительно защитить свои серверы от наиболее распространенных атак, вы должны сами принять что-то из хакерского мышления, что означает сканирование на предмет потенциальных уязвимостей с точки зрения того, как злоумышленник может искать брешь. Неизбежно, что самые крупные взломы, как правило, происходят, когда серверы имеют плохие или неправильные разрешения на управление доступом, начиная от слабых разрешений файловой системы до разрешений сети и устройств. Согласно статистическому исследованию недавних нарушений безопасности , плохое управление доступом является основной причиной подавляющего большинства утечек данных , при этом 74% нарушений связаны с использованием привилегированной учетной записи в том или ином качестве.
Возможно, наиболее опасной, но широко распространенной формой плохого контроля доступа является предоставление всем пользователям разрешений на запись / изменение или чтение для файлов и папок с конфиденциальным содержимым, что происходит так часто как естественное ответвление сложных организационных структур совместной работы. Чтобы уменьшить уязвимость через контроль доступа, установите групповую политику и разрешения на минимально приемлемые привилегии и рассмотрите возможность реализации строгих протоколов, таких как двухфакторная аутентификация, а также привилегии нулевого доверия, чтобы гарантировать доступ к ресурсам только аутентифицированным участникам.
Другие распространенные области уязвимости включают социальную инженерию и серверы, работающие с программным обеспечением без исправлений, для которых ваша команда должна проходить регулярное обучение по вопросам кибербезопасности, и вы должны регулярно тестировать и применять самые последние исправления безопасности для программного обеспечения, работающего на ваших серверах. В последнем случае вы хотите удалить ненужные службы со своих серверов, поскольку они наносят ущерб безопасности вашей ИТ-инфраструктуры двумя важными способами, во-первых, расширяя потенциальную целевую зону злоумышленника, а также запуская старые службы в фоновом режиме, которые могут быть несколько пятен позади. Это может быть привлекательной целью для эксплойтов. На самом деле не существует «серебряной пули», укрепляющей систему, которая защитит ваш сервер Windows от любых атак. Лучший процесс усиления защиты полностью соответствует лучшим практикам информационной безопасности.
Последние версии Windows Server, как правило, являются наиболее безопасными, поскольку в них используются самые современные передовые методы обеспечения безопасности серверов. Для обеспечения максимальной безопасности серверов вам следует обратить внимание на последние версии, включая Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2016 и самый последний выпуск, Windows Server 2019. Microsoft значительно улучшила профиль безопасности своего сервера. ОС в Windows Server 2019 с далеко идущими обновлениями , ориентированными на безопасность, которые подтверждают широко распространенное влияние взломов и атак. Эти новые функции делают Windows Server 2019 самой грозной из линейки с точки зрения безопасности.
Такие функции Windows Server 2019, как защита от эксплойтов ATP в Защитнике Windows и уменьшение поверхности атаки (ASR), помогают заблокировать ваши системы от вторжений и предоставляют расширенные инструменты для блокировки доступа к вредоносным файлам, скриптам, программам-вымогателям и другим атакам. Функции защиты сети в Windows Server 2019 обеспечивают защиту от веб-атак за счет блокировки IP-адресов для устранения исходящих процессов на ненадежные узлы. Параметры расширенной политики аудита в Windows Server 2019, включая очередь инцидентов Advanced Threat Protection в защитнике Microsoft, помогут вам получить подробный журнал событий для мониторинга угроз, требующих ручных действий или последующих действий.
Определение вашего идеального состояния — важный первый шаг в управлении сервером. Создание новых серверов, соответствующих этому идеалу, — это еще один шаг вперед. Но создание надежного и масштабируемого процесса управления сервером требует непрерывного тестирования фактического состояния на соответствие ожидаемому идеалу. Это связано с тем, что конфигурации меняются со временем: обновления, изменения, внесенные ИТ-отделом, интеграция нового программного обеспечения — причин безграничны.
UpGuard обеспечивает как непревзойденную видимость вашей ИТ-среды, так и средства для контроля дрейфа конфигурации, проверяя ее на соответствие желаемому состоянию и уведомляя вас, когда активы выходят из строя. Сравните системы друг с другом или в группе, чтобы увидеть, чем отличаются конфигурации, или сравните систему с самой собой с течением времени, чтобы выявить исторические тенденции.
Начало: