چرا افزایش امنیت ویندوز سرور مهم است؟ با افزایش حملات هکرها در سال‌های اخیر، شرکت‌ها سرمایه‌گذاری زیادی برای حفاظت از زیرساخت‌های فناوری اطلاعات خود انجام می‌دهند که شامل رویکردی چندلایه برای محافظت از سرورها، سیستم‌های عامل، ماشین‌های مجازی، برنامه‌ها و داده‌ها است. امنیت در سطح سرور یکی از اولویت های اصلی متخصصان امنیت سایبری و مدیران سیستم در بسیاری از سازمان ها است.

در بین انواع مختلف سیستم عامل های مبتنی بر شبکه، ویندوز سرور از نظر قابلیت هایی از جمله Hyper-V، Storage Spaces Direct، نانوسرورها، سرورهای دامنه دایرکتوری و غیره بهترین رتبه را دارد و رابط کاربری بسیار کاربرپسندی دارد.

از نظر امنیت، ویندوز سرور دارای اجزای امنیتی پیش‌فرض است که امکان دسترسی قانونی به سرور و محافظت از داده‌ها در پلتفرم‌های مشترک را فراهم می‌کند و با رعایت عالی قوانین امنیت سایبری در سطح صنعت و سایر عملیات‌های حیاتی، از نفوذ هکرها به سرور جلوگیری می‌کند.

در این مقاله وبلاگ پارس پاک به شما توضیح می دهیم که برای افزایش امنیت ویندوز سرور چه کارهایی می توانید انجام دهید. پس تا پایان این مقاله صبر کنید.

راه حل های افزایش امنیت سرور ویندوز

راه های مختلفی برای افزایش امنیت سرور ویندوز وجود دارد که در زیر به ارائه راهکارهایی برای افزایش امنیت سرور ویندوز می پردازیم.

1. مجوزهای داده شده به کاربران را کاهش دهید

• دسترسی به حساب های کاربری باید محدود شود.
• فقط حساب های مورد اعتماد باید به اطلاعات حساس دسترسی داشته باشند.
• مسائل امنیتی حساب دایرکتوری کاربر باید مانند امنیت حساب AD مدیریت شود.
• ارتقای دسترسی فقط باید در مواقع ضروری انجام شود.
• حساب های کاربری غیر ضروری سیستم عامل باید حذف شوند.

2. کنترل دسترسی برای افزایش امنیت سرور

• امنیت فیزیکی سرور را فراموش نکنید. برای این منظور، دسترسی فیزیکی به اتاق سرور را فقط به کارکنان مورد اعتماد اجازه دهید و آموزش های امنیتی لازم را به آنها ارائه دهید.
• دسترسی افراد به سرورها را با محدود کردن دسترسی به برنامه‌های مهم و فایل‌های سیستم برای مدیران کنترل کنید.

3. دسترسی مدیر را محدود کنید

• تعداد کاربران و گروه های ادمین را محدود کنید.
• چندین حساب مدیر ایجاد کنید و به هر یک سطح دسترسی متفاوت بدهید.
• وظایف اداری روی سرورهای اختصاصی باید محدود باشد.

4. با پیکربندی شبکه، امنیت ویندوز سرور را افزایش دهید

• سرورهای تولید شده باید یک IP ثابت داشته باشند تا مشتریان بتوانند به راحتی آنها را پیدا کنند. به یاد داشته باشید که آدرس های IP این سرورها باید توسط فایروال محافظت شوند.
• برای اطمینان حداقل دو سرور DNS را پیکربندی کنید و از دستور nslookup در خط فرمان برای بررسی مجدد وضوح نام استفاده کنید.
• بررسی کنید که سرور باید یک رکورد A صحیح برای نام های مورد نظر در DNS و یک رکورد PTR برای جستجوهای معکوس داشته باشد. از آنجا که ممکن است چندین ساعت طول بکشد تا به‌روزرسانی‌های DNS در اینترنت منتشر شود، آدرس‌های تولید باید قبل از پنجره Go Live قرار گیرند.
• هر سرویس شبکه مانند IPv6 را که سرور از آن استفاده نمی کند غیرفعال کنید. این بستگی به محیط شما دارد و همه تغییرات باید قبل از اجرا به طور کامل آزمایش شوند.

5. آسیب پذیری ها را به موقع برطرف کنید

• مرورگرها و افزونه ها را به روز نگه دارید.
• سیستم عامل و سایر نرم افزارهای خود را به طور منظم به روز کنید.

6. توصیه های امنیتی را در تنظیمات دسترسی از راه دور/SSH دنبال کنید

• RDP فقط باید از طریق VPN در دسترس باشد. اجازه دسترسی به RDP باعث هک شدن آن نمی شود. اما این راه دیگری را برای نفوذ هکرها به سرور باز می کند.
• بررسی کنید که فقط کاربران مجاز می توانند به RDP دسترسی داشته باشند. زمانی که RDP روی سرور فعال باشد، به طور پیش‌فرض برای همه مدیران در دسترس است و در نتیجه افراد بیشتری برای دسترسی غیر سرپرست به گروه Remote Desktop Users می‌پیوندند.
• اگر از PowerShell و SSH استفاده می کنید، باید به دقت قفل شوند و فقط با VPN قابل دسترسی باشند.
• شما هرگز نباید از Telnet استفاده کنید. از آنجایی که داده ها را به صورت متن ساده و در موقعیت های مختلف ارسال می کند، از امنیت کافی برخوردار نیست. FTP نباید به همین دلیل استفاده شود. برای جلوگیری از اتصالات رمزگذاری نشده، در صورت امکان از SFTP یا SSH (از طریق VPN) استفاده کنید.

7. سطح حملات را کاهش دهید

• تعداد نرم افزارهای غیر ضروری روی سرور را کاهش دهید.
• برنامه های Windows Server Core را نصب کنید.
• اجزای سیستم عاملی را که نیاز ندارید حذف کنید.
• تمام خدمات غیر ضروری را غیرفعال کنید.
• در Manage Components/Features، آنچه را که نیاز دارید اضافه کنید و بقیه را حذف کنید.

روش های افزایش امنیت ویندوز سرور

8. به حداقل رساندن تاثیر بر محیط زیست

• برنامه ها را روی اینترنت نصب کنید یا از یک سرور متمرکز برای توزیع آنها استفاده کنید.
• گزینه هایی را برای دسترسی کاربر داخلی در نظر بگیرید، مانند نیاز به VPN یا پروکسی معکوس برای اتصالات شبکه خارجی و محدود کردن دسترسی مستقیم به سرورها و داده های حساس.
• از فیلتر IP استفاده کنید.
• میزبانی IIS را در نظر بگیرید که می تواند محدوده آدرس IP و احراز هویت گواهی مشتری و سایر قوانین احراز هویت را محدود یا در لیست سفید قرار دهد.

9. هنگام پیکربندی NTP نکات امنیتی را دنبال کنید

• اختلاف زمانی حتی پنج دقیقه می‌تواند ورود به ویندوز و چندین عملیات دیگر را که نقش مهمی در احراز هویت Kerberos دارند، کاملاً مختل کند.
• هنگامی که یک سرور به یک دامنه می پیوندد، زمان آن به طور خودکار با کنترل کننده دامنه همگام می شود. اما سرورهای مستقل باید دارای تنظیمات NTP برای همگام سازی با منبع خارجی برای داشتن ساعت صحیح باشند.
• زمان کنترل کننده دامنه نیز باید با زمان سرور همگام شود تا اطمینان حاصل شود که کل دامنه با زمان فعلی همگام است.

10. نظارت بر سرورها

• به طور دوره‌ای گزارش‌های سرور را برای فعالیت‌های مشکوک مانند احراز هویت و فعالیت ناشناخته و تغییرات دسترسی کاربر و ارتقاء مجوزها بررسی کنید.
• لاگ سرور را حفظ کنید و مرتباً آن را بررسی کنید.
• لاگ های آینه ای باید در یک سرور گزارش جداگانه ذخیره شوند.
• سرور را به طور مرتب اسکن کنید و آن را برای ویروس ها و هک ها بررسی کنید.

11. برای افزایش امنیت ویندوز سرور، ارتباط با سرور را محدود کنید

• از بهترین پروتکل های رمزگذاری و مجموعه های رمزگذاری برای ارتباطات خود استفاده کنید و پروتکل های ناامن را غیرفعال کنید.
• پورت های شبکه باز را به حداقل برسانید.

12. اعتبارنامه امن

• از نرم افزارهای امنیتی قابل اعتماد، شناخته شده و آزمایش شده مانند نرم افزارهای ضد ویروس و ضد بدافزار استفاده و به روز رسانی کنید.
• از گذرواژه‌های قوی به‌ویژه برای اعتبار مدیر استفاده کنید.
• اعتبار خود را مرتباً تغییر دهید و از آنها استفاده مجدد نکنید. در صورت امکان، همین کار را برای کلیدهای خصوصی انجام دهید.
• نام حساب های کاربری را تغییر دهید و از نام هایی مانند Admin یا Guest استفاده نکنید.
• پس از سه بار تلاش ناموفق برای ورود، حساب کاربری را قفل کنید و هنگام استفاده از تنظیمات قفل دایرکتوری LDAP/AD مراقب باشید. زیرا برخی از تنظیمات ممکن است هنگام قفل کردن حساب کاربری با مشکل مواجه شوند.

13. هنگام پیکربندی فایروال نکات امنیتی را رعایت کنید

• فقط پورت های وب سرور (80 و 443) از طریق اینترنت قابل دسترسی هستند. اگر کلاینت های ناشناس در اینترنت از طریق پورت های دیگر با سرور ارتباط برقرار کنند، سرور شما با یک خطر امنیتی غیرضروری و عظیم روبرو خواهد شد.
• اگر سرور دارای سرویس های مدیریتی بیشتری مانند دسکتاپ از راه دور (RDP) باشد، دسترسی به آنها فقط باید با VPN امکان پذیر باشد تا کاربران غیرمجاز نتوانند با استفاده از این پورت به سرور نفوذ کنند.

14. بک آپ گیری از سرور را فراموش نکنید

• به طور منظم از سرور نسخه پشتیبان تهیه کنید و در صورت امکان از مجوزهای حساب با دسترسی کم برای پشتیبان گیری از سرور استفاده کنید.
• ساعت سرور را به روز نگه دارید تا از تغییر زمان جلوگیری کنید.

نتیجه

افزایش امنیت ویندوز سرور هم برای سرورهای داخلی و هم برای سرورهای فیزیکی بسیار مهم است. در این مطلب از وبلاگ پارس پاک به شما گفتیم که برای محافظت و افزایش امنیت ویندوز سرور چه کارهایی می توانید انجام دهید. همانطور که می بینید، اجرای بسیاری از این موارد بسیار ساده و کم هزینه است.

سوالات متداول

1. آیا سرور لینوکس از ویندوز امن تر است؟

بله، سرور لینوکس بسیار امن تر از سرور ویندوز است.

2. منظور از کاهش سطح حمله در ویندوز سرور چیست؟

هدف کاهش سطح حمله برای افزایش امنیت ویندوز سرور، به حداقل رساندن راه‌های احتمالی نفوذ هکرها به ویندوز سرور از طریق اقداماتی مانند حذف نرم‌افزارهای غیر ضروری و غیرفعال کردن سرویس‌های غیرضروری ویندوز است.