روشهای نصب امن ویندوز سرور
اولین گام در فرآیند ایجاد محیط سروری قابل اعتماد، امن و مقاوم در برابر تهدیدات سایبری، نصب امن ویندوز سرور است. اگر این کار به درستی انجام شود، شاهد کاهش خطرات امنیتی، افزایش پایداری و کارایی سرور خواهیم بود. در این مقاله به بررسی شیوههای امن نصب ویندوز سرور میپردازیم.
1. انتخاب نسخه مناسب ویندوز سرور
انتخاب نسخهی ویندوز سرور با توجه به نیازها و الزامات سازمان انجام میشود. ویندوز سرور در نسخههای مختلفی عرضه میشود مانند نسخههای Standard، Datacenter و Essentials. هر کدام از این نسخهها، قابلیتهای خاص خود را دارند. در مرحله اول باید نسخه صحیحی از ویندوز انتخاب شود.
نسخه Essentials با ابزارهای اولیه IT ارائه میشود و مناسب استارتآپها و کسبوکارهای کوچکی است که به دنبال سادهسازی زیر ساخت فناوری اطلاعات خود هستند.
نسخه Standard، تمامی ویژگیهای نسخه قبلی را دارد و افزون بر آن باید یک لایسنس جداگانه برای آن تهیه شود. این مجوز از دو پردازنده اضافی و حداکثر 4 ترابایت رم پشتیبانی میکند. برای محیطهای مجازی که نیاز به نمونههای مجازی از سیستمعامل دارند که روی یک قطعه از سختافزار اجرا میشود، بسیار توصیه میشود.
Datacenter برای مشاغلی است که به محیط های مجازی و یکپارچهسازی ابری پیشرفته نیاز دارند. مانند نسخه استاندارد، این نسخه دارای یک Hyper-V host است، اما ماشین های مجازی نامحدودی را ارائه می دهد.
باید به این نکته توجه داشت که تغییرات بهوجود آمده در نسخههای اخیر، شامل افزایش امنیت ویندوز سرورها نیز میشوند. از این روی، توصیه میشود در نصب امن ویندوز سرور از آخرین نسخههای موجود در بازار خریداری شود و مدیران سازمانها به بهانه بودجه کم و عدم توانایی تهیه گواهی دیجیتالی (Activation license) به سراغ نسخههای قدیمیتر نروند.
2. آمادهسازی سختافزار
پیش از نصب امن ویندوز سرور، باید از سازگاری سختافزار سرور با الزامات سیستم، اطمینان حاصل کرد. این امر شامل موارد زیر میباشد:
1. بررسی سازگاری سختافزار با نسخه ویندوز سرور. به عنوان مثال وجود حداقل فضای ذخیرهسازی، حداقل CPU، RAM و …
2. بهروزرسانی BIOS و Firmware به آخرین نسخه
3. اطمینان از سلامت قطعات سختافزاری
3. تهیه نسخه پشتیبان
نکتهی بسیار مهم در نصب امن ویندوز سرور این است که قبل از هرگونه نصب و بهروزرسانی، از وجود نسخهی پشتیبان (Backup) اطمینان حاصل، و در صورت عدم وجود آن از اطلاعات مهم و حیاتی سرور یک پشتیبان تهیه کرد. با این کار، در صورت بروز هرگونه خطا در عملیات نصب، میتوان اطلاعات از دست رفته را بازیابی کرد.
4. استفاده از روشهای نصب خودکار (Automated Installation)
یکی از علل اصلی بروز مشکلات امنیتی، خطاهای انسانی میباشد و در نصب دستی (Manual Installation) همیشه احتمال خطا از سوی فرد مسئول وجود دارد. برای برطرف کردن این احتمال میتوان از WDS و SCCM استفاده کرد. WDS که بعدا به تفصیل به آن خواهیم پرداخت، مخخف عبارت Windows Deployment Services است که بهصورت گسترده توسط مهندسان IT در سازمانهای مختلف استفاده میشود.
برای آموزش نصب این سرویس روی ویندوز سرور روی این لینک کلیک کنید.
SCCM نیز مخخف عبارت System Center Configuration Manager است و برای مدیریت گروه بزرگی از سیستمها مورد استفاده قرار میگیرد. با استفاده از این دو سرویس، میتوان نصب امن ویندوز سرور را بهصورت خودکار و با تنظیمات پیشفرض امن انجام داد.
5. پیکربندی اولیه امن
پس از نصب ویندوز سرور، تنظیمات اولیه باید بهگونهای انجام شوند که امنیت سرور به حداکثر برسد:
پیکربندی نام سرور و عضویت در دامنه: معمولا پس از نصب ویندوز سرور، نامی که بهصورت پیشفرض انتخاب میشود، رشتهای از اعداد است که بهخاطرسپاری آن را بغرنج میسازد. از تنظیمات اولیه پس از نصب این است که نام سرور به یک نام متمایز و مفهوم تغییر کند تا بهراحتی توسط نیروی انسانی قابل شناسایی و تشخیص شود.
اگر در شبکه Domain Controller وجود دارد، این نکته حائز اهمیت است که اقدامات Join سرور به دامنه را پس از تغییر نام سرور و یک بار ریستارت کردن آن انجام دهید. در غیر این صورت، نام سرور، تغییری نخواهد کرد و یا از دامنه disjoin خواهد شد. که در صورت وقوع این اتفاق DC یا همان Domain Controller دیگر سرور با نام جدید را تشخیص نخواهد داد و پیغام خطایی مبتنی بر عدم تطبیق رمز عبور با نام سرور نمایش داده خواهد شد.
تنظیمات شبکه: پیش از هرگونه بهکارگیری سرور، نیاز است تا به آن یک static IP داده شود. سرورها به صورت پیشفرض آدرس IP خود را از DHCP (Dynamic Host Configuration Protocol) سرور و در صورت نبود آن از APIPA میگیرند. Automatic Private IP Addressing یا به اختصار APIPA یک ویژگی است که در سیستمعاملهای ماکروسافت ویندوز، پیادهسازی شده است و به دستگاهها اجازه میدهد تا در نبود DHCP سرور، به خودشان IP اختصاص دهند. رنج IPهای اختصاص داده شده توسط APIPA با 169.254.x.x شروع میشوند.
از آنجایی که آدرسهای دریافتی از این دو پروتکل، پویا میباشند، نیاز به یک IP ثابت، در همان پیکربندیهای اولیه حس میشود. نکته مهم قبل از تنظیم آن در کارت شبکه این است که یکبار با دستور ping، اطمینان حاصل شود که آدرس IP مورد نظر توسط سرور دیگری اشغال نشده باشد در غیر این صورت تداخل رخ خواهد داد.
پیکربندی زمان و تاریخ: در نصب امن ویندوز سرور، اتصال سرور به یک سرور زمان معتبر از نکات حیاتی پیکربندی سرور میباشد. الگوریتمهای رمزنگاری، policyهای موجود در شبکه و … همگی فقط در صورت وجود یک زمان معتبر، به درستی کار میکنند.
نصب و پیکربندی بهروزرسانیها: هنگامی که از امنیت یک سرور صحبت میکنیم، باید توجه داشته باشیم که سرور مدنظر دارای آخرین آپدیتهای امنیتی باشد، زیرا امنیت مبحثی است که مداوم در حال بهروزرسانی میباشد. برای نصب آخرین patchها و آپدیتهای امنیتی، میتوان از WSUS استفاده کرد تا از بروز حفرههای امنیتی جلوگیری شود. سرویس WSUS یا Windows Server Update Services به توزیع بهروزرسانیها، اصلاحات و انواع دیگر نسخههای موجود از Microsoft Update کمک میکند و در نصب امن ویندوز سرور بسیار کاربردی خواهد بود.
6. ایجاد حسابهای کاربری و تنظیمات امنیتی
ایجاد حساب کاربری محدود: اصل حداقل دسترسی (Principle of Least Privilege) ذکر میکند تا هر کاربر فقط به منابع و سرویسهای مورد نیاز خودش دسترسی داشته باشد. ازین رو حسابهای کاربری با توجه به نیاز کاربر، محدود میشود. محدودیت دسترسی به دیتابیس، فایلها، پارتیشن یا دیسک، از جمله این موارد میباشد. همچنین امروزه در سازمانها به دلایل امنیتی، از دسترسی کاربران به اینترنت جلوگیری میشود و شبکههای اینترانت پیادهسازی میشوند.
پیکربندی احراز هویت چندعاملی: در نصب امن ویندوز سرور، برای افزایش امنیت دسترسی از MFA استفاده میشود. این فرآیند، مخفف عبارت Multi-factor Authentication است. بهمعنای آن که بیش از یک مرحله برای احراز هویت، از کاربر خواسته میشود. به عنوان مثال کاربر موظف است علاوه بر وارد کردن رمز عبور، یک کد ۴ رقمی که به ایمیل او ارسال میشود، یک سوال خصوصی و یا اسکن اثر انگشت خود را نیز ارائه دهد.
تنظیم سیاستهای امنیتی: سیاستهای امنیتی، از طریق Group Policy انجام میشوند. Group Policy این امکان را به مدیران شبکه میدهد تا الزامات امنیتی را بهصورت یکپارچه بر روی تمامی سرورها اعمال کنند.
7. غیرفعالسازی سرویسهای غیرضروری
با غیرفعال سازی سرویسهای غیرضروری در هنگام نصب امن ویندوز سرور، سطح حمله کاهش مییابد. برای این کار میتوان از ابزارهای مدیریت سرویس مانند Services.msc و PowerShell استفاده کرد.
8. اعمال تنظیمات فایروال
مقصود از اعمال تنظیمات فایروال این است که پیکربندی به گونهای انجام شود که ترافیک ناخواسته مسدود شود و فقط ترافیک مجاز، به سیستم دسترسی داشته باشد.
در فرآیند نصب امن ویندوز سرور، از فایروال میتوان برای بستن پورتهای ناامن یا غیرضروری مانند 3389 نیز استفاده کرد. 3389 پورت پیشفرض پروتکل Remote Desktop (RDP) است که به کاربران اجازه میدهد از راه دور به سرور دسترسی داشته باشند. با این حال هر مدیر IT که در حرفه خود تبحر کافی داشته باشد، به هیچ عنوان این پورت را باز نخواهد گذاشت. زیرا نقطه حمله خوبی به مهاجمان ارائه میدهد. ایجاد قوانین فایروال مناسب به حفاظت از سرورها در برابر این نوع تهدیدات خارجی کمک میکند.
9. فعالسازی و پیکربندی ابزارهای نظارت و ثبت وقایع
نظارت بخش مهمی از پیادهسازی امنیت در نصب امن ویندوز سرور را پوشش میدهد. مفهوم AAA در امنیت به معنی Authentication، Authorization و Accounting میباشد که بر اهمیت نظارت (Accounting) دلالت دارد. در ویندوز سرور ابزارهایی برای نظارت و ثبت فعالیتهای مشکوک و تهدیدات امنیتی وجود دارد که میتوان به کمک آنها شناسایی و پیگیری کرد. ابزارهایی مانند Event Viewer و Sysmon از جمله آنها هستند.
10. انجام ارزیابی امنیتی نهایی
پس از انجام تمام مراحل فوق، یک ارزیابی نهایی شامل اسکن آسیبپذیریها، بررسی تنظیمات امنیتی، اطمینان از اعمال درست تنظیمات و آزمون نفوذ، پایه امنیتی قوی برای سرورها ایجاد میکند و میتوان از نصب امن ویندوز سرور اطمینان حاصل کرد.
خدمات ما در مجموعه هیواشبکه شامل :
شرکت فنی و مهندسی هیوانوآوران داده گستر : مجری طراحی ، پیاده سازی ، پشتیبانی پروژه های شبکه و امنیت در استان گیلان – رشت و شهرها و استانهای همجوار
آموزشگاه تخصصی هیواشبکه : برگزار کننده دوره های تخصصی شبکه و امنیت ، پیکربندی سرور HP ، مجازی سازی ، MCSA 2016 ، نتورک و … به صورت حضوری با مجوز از سازمان فنی و حرفه ای و آموزش کارکنان دولت در رشت ، استان گیلان و به صورت مجازی در سراسر کشور
هیچ دیدگاهی نوشته نشده است.