Я пришел в мир, чтобы видеть, а не совершить (В.В. Розанов).

Контрольный список повышения безопасности Windows Server

Главное меню » Безопасность » Контрольный список повышения безопасности Windows Server

18.01.2021

Независимо от того, развертываете ли вы сотни серверов Windows в облаке с помощью кода или вручную создаете физические серверы для малого бизнеса, наличие надлежащего метода обеспечения безопасной и надежной среды имеет решающее значение для успеха. Всем известно, что готовый сервер Windows может не иметь всех необходимых мер безопасности, чтобы сразу перейти в производство, хотя Microsoft улучшала конфигурацию по умолчанию в каждой версии сервера. Мы представляем контрольный список, чтобы убедиться, что ваши серверы Windows достаточно защищены от большинства кибератак.

Конкретные передовые методы различаются в зависимости от потребностей, но рассмотрение этих десяти областей до подключения сервера к Интернету защитит от наиболее распространенных эксплойтов. Многие из них являются стандартными рекомендациями, применимыми к серверам любого типа, в то время как некоторые относятся к Windows, в них рассматриваются некоторые способы усиления серверной платформы Microsoft. Подробную информацию об усилении защиты серверов Linux можно найти в нашей статье «10 основных шагов по настройке нового сервера».

1. Конфигурация пользователя

Установка современных выпусков Windows Server, заставляют вас делать это, но убедитесь, что пароль для учетной записи локального администратора был установлен на что-то безопасное. Кроме того, по возможности отключите локального администратора. Существует очень мало сценариев, в которых эта учетная запись требуется, и, поскольку она является популярной целью для атак, ее следует полностью отключить, чтобы предотвратить ее использование.

Читать Выпуск Windows 11: чего ожидать

Убрав эту учетную запись, вам необходимо настроить учетную запись администратора для использования. Вы можете либо добавить соответствующую учетную запись домена, если ваш сервер является членом Active Directory (AD), либо создать новую локальную учетную запись и поместить ее в группу администраторов. В любом случае, вы можете рассмотреть возможность использования учетной записи без прав администратора для ведения бизнеса, когда это возможно, запрашивая повышение прав с помощью эквивалента Windows sudo, «Запуск от имени» и вводя пароль для учетной записи администратора при появлении запроса.

Убедитесь, что локальная гостевая учетная запись отключена, если применимо. Ни одна из встроенных учетных записей не является безопасной, и, возможно, меньше всего гостевая, поэтому просто закройте эту дверь. Дважды проверьте свои группы безопасности, чтобы убедиться, что все находятся там, где они должны быть (например, добавление учетных записей домена в группу пользователей удаленного рабочего стола).

Не забывайте защищать свои пароли. Используйте политику надежных паролей, чтобы гарантировать защиту учетных записей на сервере. Если ваш сервер является членом AD, политика паролей будет установлена на уровне домена в политике домена по умолчанию. Автономные серверы можно настроить в редакторе локальной политики. В любом случае хорошая политика паролей, по крайней мере, установит следующее:

Требования к сложности и длине – насколько надежным должен быть пароль
Срок действия пароля – срок действия пароля
История паролей – как долго можно будет повторно использовать предыдущие пароли
Блокировка учетной записи – сколько неудачных попыток ввода пароля до блокировки учетной записи

Читать Как создать загрузочный USB-накопитель Manjaro

Старые пароли являются причиной многих успешных взломов, поэтому обязательно защититесь от них, требуя регулярной смены пароля.

2. Конфигурация сети

Производственные серверы должны иметь статический IP-адрес, чтобы клиенты могли их надежно найти. Этот IP-адрес должен находиться в защищенном сегменте за межсетевым экраном. Настройте как минимум два DNS-сервера для избыточности и дважды проверьте разрешение имен с помощью nslookup из командной строки. Убедитесь, что на сервере есть действительная запись A в DNS с нужным именем, а также запись PTR для обратного просмотра. Обратите внимание, что для распространения изменений DNS в Интернете может потребоваться несколько часов, поэтому рабочие адреса должны быть установлены задолго до запуска окна. Наконец, отключите все сетевые службы, которые сервер не будет использовать, например IPv6. Это зависит от вашей среды, и любые изменения здесь должны быть тщательно протестированы перед запуском в производство.

3. Настройка функций и ролей Windows

Microsoft использует роли и функции для управления пакетами ОС. Роли в основном представляют собой набор функций, разработанных для определенной цели, поэтому, как правило, роли можно выбрать, если сервер соответствует одному, а затем функции можно настроить оттуда. Две не менее важные вещи: 1) убедиться, что все необходимое установлено. Это может быть версия .NET framework или IIS, но без правильных компонентов ваши приложения не будут работать. 2) Удалите все, что вам не нужно. Посторонние пакеты излишне увеличивают поверхность атаки сервера и должны быть удалены по возможности. Это в равной степени верно для приложений по умолчанию, установленных на сервере, которые не будут использоваться. Серверы следует проектировать с учетом необходимости и лишать их тонкости, чтобы необходимые части работали как можно более плавно и быстро.

Читать Microsoft запускает Surface Laptop SE по цене 249 долларов

Продолжение:

Контрольный список повышения безопасности Windows Server. Часть 2

Контрольный список повышения безопасности Windows Server. Часть 3

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Просмотров поста: 17