راهنمای افزایش امنیت ویندوز سرور + 10 نکته حیاتی
برای افزایش امنیت ویندوز سرور، لازم است که آن را با رعایت تمامی نکات امنیتی نصب و راهاندازی کنیم. اولین گام در فرآیند ایجاد محیط سروری قابل اعتماد، امن و مقاوم در برابر تهدیدات سایبری، نصب امن ویندوز سرور است. اگر این کار به درستی انجام شود، شاهد کاهش خطرات امنیتی، افزایش پایداری و کارایی سرور خواهیم بود.این مقاله یک راهنمای افزایش امنیت ویندوز سرور است و در آن به بررسی شیوههای امن نصب ویندوز سرور میپردازیم.
فهرست مطالب
1. نسخه مناسب ویندوز سرور را انتخاب کنید
انتخاب نسخهی ویندوز سرور با توجه به نیازها و الزامات سازمان انجام میشود. ویندوز سرور در نسخههای مختلفی عرضه میشود مانند نسخههای Standard، Datacenter و Essentials. هر کدام از این نسخهها، قابلیتهای خاص خود را دارند. در مرحله اول باید نسخه صحیحی از ویندوز انتخاب شود.
نسخه Essentials با ابزارهای اولیه IT ارائه میشود و مناسب استارتآپها و کسبوکارهای کوچکی است که به دنبال سادهسازی زیر ساخت فناوری اطلاعات خود هستند.
نسخه Standard، تمامی ویژگیهای نسخه قبلی را دارد و افزون بر آن باید یک لایسنس جداگانه برای آن تهیه شود. این مجوز از دو پردازنده اضافی و حداکثر 4 ترابایت رم پشتیبانی میکند. برای محیطهای مجازی که نیاز به نمونههای مجازی از سیستمعامل دارند که روی یک قطعه از سختافزار اجرا میشود، بسیار توصیه میشود.
Datacenter برای مشاغلی است که به محیط های مجازی و یکپارچهسازی ابری پیشرفته نیاز دارند. مانند نسخه استاندارد، این نسخه دارای یک Hyper-V host است، اما ماشین های مجازی نامحدودی را ارائه می دهد.
باید به این نکته توجه داشت که تغییرات بهوجود آمده در نسخههای اخیر، شامل افزایش امنیت ویندوز سرورها نیز میشوند. از این روی، توصیه میشود در نصب ویندوز سرور از آخرین نسخههای موجود در بازار خریداری شود و مدیران سازمانها به بهانه بودجه کم و عدم توانایی تهیه گواهی دیجیتالی (Activation license) به سراغ نسخههای قدیمیتر نروند.
2. سختافزار خود را درست انتخاب کنید
برای افزایش امنیت ویندوز سرور، باید از سازگاری سختافزار سرور با الزامات سیستم، اطمینان حاصل کرد. این امر شامل موارد زیر میباشد:
1. بررسی سازگاری سختافزار با نسخه ویندوز سرور. به عنوان مثال وجود حداقل فضای ذخیرهسازی، حداقل CPU، RAM و …
2. بهروزرسانی BIOS و Firmware به آخرین نسخه
3. اطمینان از سلامت قطعات سختافزاری
3. همیشه نسخه پشتیبان تهیه کنید
نکتهی بسیار مهم در افزایش امنیت ویندوز سرور این است که قبل از هرگونه نصب و بهروزرسانی، از وجود نسخهی پشتیبان (Backup) اطمینان حاصل، و در صورت عدم وجود آن از اطلاعات مهم و حیاتی سرور یک پشتیبان تهیه کرد. با این کار، در صورت بروز هرگونه خطا در عملیات نصب، میتوان اطلاعات از دست رفته را بازیابی کرد.
4. از روشهای نصب خودکار (Automated Installation) استفاده کنید
یکی از علل اصلی بروز مشکلات امنیتی، خطاهای انسانی میباشد و در نصب دستی (Manual Installation) همیشه احتمال خطا از سوی فرد مسئول وجود دارد. برای برطرف کردن این احتمال میتوان از WDS و SCCM استفاده کرد. WDS که بعدا به تفصیل به آن خواهیم پرداخت، مخخف عبارت Windows Deployment Services است که بهصورت گسترده توسط مهندسان IT در سازمانهای مختلف استفاده میشود.
برای آموزش نصب این سرویس روی ویندوز سرور روی این لینک کلیک کنید.
SCCM نیز مخخف عبارت System Center Configuration Manager است و برای مدیریت گروه بزرگی از سیستمها مورد استفاده قرار میگیرد. با استفاده از این دو سرویس، میتوان افزایش امنیت ویندوز سرور را بهصورت خودکار و با تنظیمات پیشفرض امن انجام داد.
5. در پیکربندی اولیه نکات امنیتی را رعایت کنید
پس از نصب ویندوز سرور، تنظیمات اولیه باید بهگونهای انجام شوند که امنیت سرور به حداکثر برسد:
نام سرور را تغییر دهید و بعد آن را در دامنه Join کنید: معمولا پس از نصب ویندوز سرور، نامی که بهصورت پیشفرض انتخاب میشود، رشتهای از اعداد است که بهخاطرسپاری آن را بغرنج میسازد. از تنظیمات اولیه پس از نصب این است که نام سرور به یک نام متمایز و مفهوم تغییر کند تا بهراحتی توسط نیروی انسانی قابل شناسایی و تشخیص شود.
اگر در شبکه Domain Controller وجود دارد، این نکته حائز اهمیت است که اقدامات Join سرور به دامنه را پس از تغییر نام سرور و یک بار ریستارت کردن آن انجام دهید. در غیر این صورت، نام سرور، تغییری نخواهد کرد و یا از دامنه disjoin خواهد شد. که در صورت وقوع این اتفاق DC یا همان Domain Controller دیگر سرور با نام جدید را تشخیص نخواهد داد و پیغام خطایی مبتنی بر عدم تطبیق رمز عبور با نام سرور نمایش داده خواهد شد.
تنظیمات شبکه آن را انجام دهید: پیش از هرگونه بهکارگیری سرور، نیاز است تا به آن یک static IP داده شود. سرورها به صورت پیشفرض آدرس IP خود را از DHCP (Dynamic Host Configuration Protocol) سرور و در صورت نبود آن از APIPA میگیرند. Automatic Private IP Addressing یا به اختصار APIPA یک ویژگی است که در سیستمعاملهای ماکروسافت ویندوز، پیادهسازی شده است و به دستگاهها اجازه میدهد تا در نبود DHCP سرور، به خودشان IP اختصاص دهند. رنج IPهای اختصاص داده شده توسط APIPA با 169.254.x.x شروع میشوند.
از آنجایی که آدرسهای دریافتی از این دو پروتکل، پویا میباشند، نیاز به یک IP ثابت، در همان پیکربندیهای اولیه حس میشود. نکته مهم قبل از تنظیم آن در کارت شبکه این است که یکبار با دستور ping، اطمینان حاصل شود که آدرس IP مورد نظر توسط سرور دیگری اشغال نشده باشد در غیر این صورت تداخل رخ خواهد داد.
زمان و تاریخ را تنظیم کنید: برای افزایش امنیت ویندوز سرور، اتصال سرور به یک سرور زمان معتبر از نکات حیاتی پیکربندی سرور میباشد. الگوریتمهای رمزنگاری، policyهای موجود در شبکه و … همگی فقط در صورت وجود یک زمان معتبر، به درستی کار میکنند.
برای افزایش امنیت ویندوز سرور، آن را بهروزرسانی کنید: هنگامی که از امنیت یک سرور صحبت میکنیم، باید توجه داشته باشیم که سرور مدنظر دارای آخرین آپدیتهای امنیتی باشد، زیرا امنیت مبحثی است که مداوم در حال بهروزرسانی میباشد. برای نصب آخرین patchها و آپدیتهای امنیتی، میتوان از WSUS استفاده کرد تا از بروز حفرههای امنیتی جلوگیری شود. سرویس WSUS یا Windows Server Update Services به توزیع بهروزرسانیها، اصلاحات و انواع دیگر نسخههای موجود از Microsoft Update کمک میکند و در افزایش امنیت ویندوز سرور بسیار کاربردی خواهد بود.
6. حسابهای کاربری را محدود کنید و تنظیمات امنیتی را روی اکانت Admin اعمال کنید
حساب کاربری را محدود کنید: اصل حداقل دسترسی (Principle of Least Privilege) ذکر میکند تا هر کاربر فقط به منابع و سرویسهای مورد نیاز خودش دسترسی داشته باشد. ازین رو حسابهای کاربری با توجه به نیاز کاربر، محدود میشود. محدودیت دسترسی به دیتابیس، فایلها، پارتیشن یا دیسک، از جمله این موارد میباشد. همچنین امروزه در سازمانها به دلایل امنیتی، از دسترسی کاربران به اینترنت جلوگیری میشود و شبکههای اینترانت پیادهسازی میشوند.
از احراز هویت چندعاملی استفاده کنید: در افزایش امنیت ویندوز سرور، برای افزایش امنیت دسترسی از MFA استفاده میشود. این فرآیند، مخفف عبارت Multi-factor Authentication است. بهمعنای آن که بیش از یک مرحله برای احراز هویت، از کاربر خواسته میشود. به عنوان مثال کاربر موظف است علاوه بر وارد کردن رمز عبور، یک کد ۴ رقمی که به ایمیل او ارسال میشود، یک سوال خصوصی و یا اسکن اثر انگشت خود را نیز ارائه دهد.
Policyهای حساب کاربری را تنظیم کنید: سیاستهای امنیتی، از طریق Group Policy انجام میشوند. Group Policy این امکان را به مدیران شبکه میدهد تا الزامات امنیتی را بهصورت یکپارچه بر روی تمامی سرورها اعمال کنند.
7. سرویسهای غیرضروری را غیرفعال کنید
با غیرفعال سازی سرویسهایی که به آنها نیازی ندارید، سطح حمله کاهش مییابد. برای این کار میتوان از ابزارهای مدیریت سرویس مانند Services.msc و PowerShell استفاده کرد.
8. فایروال و آنتیویروس ویندوز را فعال کنید
مقصود از اعمال تنظیمات فایروال این است که پیکربندی به گونهای انجام شود که ترافیک ناخواسته مسدود شود و فقط ترافیک مجاز، به سیستم دسترسی داشته باشد.
در فرآیند افزایش امنیت ویندوز سرور، از فایروال میتوان برای بستن پورتهای ناامن یا غیرضروری مانند 3389 نیز استفاده کرد. 3389 پورت پیشفرض پروتکل Remote Desktop (RDP) است که به کاربران اجازه میدهد از راه دور به سرور دسترسی داشته باشند. با این حال هر مدیر IT که در حرفه خود تبحر کافی داشته باشد، به هیچ عنوان این پورت را باز نخواهد گذاشت. زیرا نقطه حمله خوبی به مهاجمان ارائه میدهد. ایجاد قوانین فایروال مناسب به حفاظت از سرورها در برابر این نوع تهدیدات خارجی کمک میکند.
9. ابزارهای نظارت و ثبت وقایع را فعال کنید
نظارت بخش مهمی از افزایش امنیت ویندوز سرور را پوشش میدهد. مفهوم AAA در امنیت به معنی Authentication، Authorization و Accounting میباشد که بر اهمیت نظارت (Accounting) دلالت دارد. در ویندوز سرور ابزارهایی برای نظارت و ثبت فعالیتهای مشکوک و تهدیدات امنیتی وجود دارد که میتوان به کمک آنها شناسایی و پیگیری کرد. ابزارهایی مانند Event Viewer و Sysmon از جمله آنها هستند.
10. ارزیابی امنیتی انجام دهید
پس از انجام تمام مراحل فوق، یک ارزیابی نهایی شامل اسکن آسیبپذیریها، بررسی تنظیمات امنیتی، اطمینان از اعمال درست تنظیمات و آزمون نفوذ، پایه امنیتی قوی برای سرورها ایجاد میکند و میتوان از افزایش امنیت ویندوز سرور اطمینان حاصل کرد. برای این کار میتوان از Sysmon استفاده کرد.
Sysmon چیست؟
Sysmon به شما امکان میدهد تا فعالیتهای مشکوک و سطح پایین سیستمعامل مانند اجرای پردازشها، ارتباطات شبکهای، ایجاد کلیدهای رجیستری و دسترسی به فایلها را بهصورت دقیق و با جزئیات کامل در لاگ ویندوز ثبت و تحلیل کنید.
مزایای استفاده از Sysmon
شناسایی رفتارهای غیرعادی در لحظه: مثل اجرای فایلهای مشکوک، ایجاد پروسسهای ناشناخته یا ارتباطات شبکهای به IPهای غیرمجاز.
تکمیلکننده SIEM و EDRها: لاگهای تولیدشده توسط Sysmon به راحتی قابل ارسال به سیستمهای SIEM مانند Splunk، ELK و Sentinel هستند.
تنظیمپذیر با فایل کانفیگ سفارشی: میتوان با استفاده از فایلهای پیکربندی مانند SwiftOnSecurity Sysmon config فقط فعالیتهای مهم را ثبت کرد تا حجم لاگها کنترل شود.
مراحل نصب Sysmon
- دریافت ابزار از سایت رسمی Sysinternals:
2. اجرای دستور نصب با فایل پیکربندی:
sysmon.exe -accepteula -i sysmonconfig.xml
3. مشاهده لاگها در Event Viewer → Applications and Services Logs → Microsoft → Windows → Sysmon
امیدواریم این مقاله برای شما مفید بوده باشد.
خدمات ما در مجموعه هیواشبکه شامل :
شرکت فنی و مهندسی هیوانوآوران داده گستر : مجری طراحی ، پیاده سازی ، پشتیبانی پروژه های شبکه و امنیت در استان گیلان – رشت و شهرها و استانهای همجوار
آموزشگاه تخصصی هیواشبکه : برگزار کننده دوره های تخصصی شبکه و امنیت ، پیکربندی سرور HP ، مجازی سازی ، MCSA 2022 ، نتورک و … به صورت حضوری با مجوز از سازمان فنی و حرفه ای و آموزش کارکنان دولت در رشت ، استان گیلان و به صورت مجازی در سراسر کشور
هیچ دیدگاهی نوشته نشده است.