0

روش‌های نصب امن ویندوز سرور – 10 نکته حیاتی

46 بازدید

روش‌های نصب امن ویندوز سرور

اولین گام در فرآیند ایجاد محیط سروری قابل اعتماد، امن و مقاوم در برابر تهدیدات سایبری، نصب امن ویندوز سرور است. اگر این کار به درستی انجام شود، شاهد کاهش خطرات امنیتی، افزایش پایداری و کارایی سرور خواهیم بود. در این مقاله به بررسی شیوه‌های امن نصب ویندوز سرور می‌پردازیم.

1. انتخاب نسخه مناسب ویندوز سرور

انتخاب نسخه‌ی ویندوز سرور با توجه به نیازها و الزامات سازمان انجام می‌شود. ویندوز سرور در نسخه‌های مختلفی عرضه می‌‌شود مانند نسخه‌های Standard، Datacenter و Essentials. هر کدام از این نسخه‌ها، قابلیت‌های خاص خود را دارند. در مرحله‌ اول باید نسخه‌ صحیحی از ویندوز انتخاب شود.

نسخه Essentials با ابزارهای اولیه IT ارائه می‌شود و مناسب استارت‌آپ‌ها و کسب‌وکارهای کوچکی است که به دنبال ساده‌سازی زیر ساخت فناوری اطلاعات خود هستند.

نسخه Standard، تمامی ویژگی‌های نسخه قبلی را دارد و افرون بر آن باید یک لایسنس جداگانه برای‌ آن تهیه شود. این مجوز از دو پردازنده اضافی و حداکثر 4 ترابایت رم پشتیبانی می‌کند. برای محیط‌های مجازی که نیاز به نمونه‌های مجازی از سیستم‌عامل دارند که روی یک قطعه از سخت‌افزار اجرا می‌شود، بسیار توصیه می‌شود.

Datacenter برای مشاغلی است که به محیط های مجازی و یکپارچه‌سازی ابری پیشرفته نیاز دارند. مانند نسخه استاندارد، این نسخه دارای یک Hyper-V host است، اما ماشین های مجازی نامحدودی را ارائه می دهد.

باید به این نکته توجه داشت که تغییرات به‌وجود آمده در نسخه‌های اخیر، شامل افزایش امنیت ویندوز سرورها نیز می‌شوند. از این روی، توصیه می‌شود در نصب امن ویندوز سرور از آخرین نسخه‌های موجود در بازار خریداری شود و مدیران سازمان‌ها به بهانه بودجه کم و عدم توانایی تهیه گواهی دیجیتالی (Activation license) به سراغ نسخه‌های قدیمی‌تر نروند.

زوش‌های نصب امن ویندوز سرور

2. آماده‌سازی سخت‌افزار

پیش از نصب امن ویندوز سرور، باید از سازگاری سخت‌افزار سرور با الزامات سیستم، اطمینان حاصل کرد. این امر شامل موارد زیر می‌باشد:

1. بررسی سازگاری سخت‌افزار با نسخه ویندوز سرور. به عنوان مثال وجود حداقل فضای ذخیره‌سازی، حداقل CPU، RAM و …

2. به‌روزرسانی BIOS و Firmware به آخرین نسخه

3. اطمینان از سلامت قطعات سخت‌افزاری

روش‌های نصب امن ویندوز سرور

3. تهیه نسخه پشتیبان

نکته‌ی بسیار مهم در نصب امن ویندوز سرور این است که قبل از هرگونه نصب و به‌روز‌رسانی، از وجود نسخه‌ی پشتیبان (Backup) اطمینان حاصل، و در صورت عدم وجود آن از اطلاعات مهم و حیاتی سرور یک پشتیبان تهیه کرد. با این کار، در صورت بروز هر‌گونه خطا در عملیات نصب، می‌توان اطلاعات از دست رفته را بازیابی کرد.

4. استفاده از روش‌های نصب خودکار (Automated Installation)

یکی از علل اصلی بروز مشکلات امنیتی، خطاهای انسانی می‌باشد و در نصب دستی (Manual Installation) همیشه احتمال خطا از سوی فرد مسئول وجود دارد. برای برطرف کردن این احتمال می‌توان از WDS و SCCM استفاده کرد. WDS که بعدا به تفضیل به آن خواهیم پرداخت، مخخف عبارت Windows Deployment Services است که به‌صورت گسترده توسط مهندسان IT در سازمان‌های مختلف استفاده می‌شود.

برای آموزش نصب این سرویس روی ویندوز سرور روی این لینک کلیک کنید.

SCCM نیز مخخف عبارت System Center Configuration Manager است و برای مدیریت گروه بزرگی از سیستم‌ها مورد استفاده قرار می‌گیرد. با استفاده از این دو سرویس، می‌توان نصب امن ویندوز سرور را به‌صورت خودکار و با تنظیمات پیش‌فرض امن انجام داد.

روش‌های نصب امن ویندوز سرور

5. پیکربندی اولیه امن

پس از نصب ویندوز سرور، تنظیمات اولیه باید به‌گونه‌ای انجام شوند که امنیت سرور به حداکثر برسد:

پیکربندی نام سرور و عضویت در دامنه: معمولا پس از نصب ویندوز سرور، نامی که به‌صورت پیش‌فرض انتخاب می‌شود، رشته‌ای از اعداد است که به‌خاطرسپاری آن را بغرنج می‌سازد. از تنظیمات اولیه پس از نصب این است که نام سرور به یک نام متمایز و مفهوم تغییر کند تا به‌راحتی توسط نیروی انسانی قابل شناسایی و تشخیص شود.

اگر در شبکه Domain Controller وجود دارد، این نکته حائز اهمیت است که اقدامات Join سرور به دامنه را پس از تغییر نام سرور و یک بار ریستارت کردن آن انجام دهید. در غیر این صورت، نام سرور، تغییری نخواهد کرد و یا از دامنه disjoin خواهد شد. که در صورت وقوع این اتفاق DC یا همان Domain Controller دیگر سرور با نام جدید را تشخیص نخواهد داد و پیغام خطایی مبتنی بر عدم تطبیق رمز عبور با نام سرور نمایش داده خواهد شد.

تنظیمات شبکه: پیش از هرگونه به‌کارگیری سرور، نیاز است تا به آن یک static IP داده شود. سرورها به صورت پیش‌فرض آدرس IP خود را از DHCP (Dynamic Host Configuration Protocol) سرور و در صورت نبود آن از APIPA ‌می‌گیرند. Automatic Private IP Addressing یا به اختصار APIPA یک ویژگی است که در سیستم‌عامل‌های ماکروسافت ویندوز، پیاده‌سازی شده است و به دستگاه‌ها اجازه می‌دهد تا در نبود DHCP سرور، به خودشان IP اختصاص دهند. رنج IPهای اختصاص داده شده توسط APIPA با 169.254.x.x شروع می‌شوند.

از آنجایی که آدرس‌های دریافتی از این دو پروتکل، پویا می‌باشند، نیاز به یک IP ثابت، در همان پیکربندی‌های اولیه حس می‌شود. نکته مهم قبل از تنظیم آن در کارت شبکه این است که یکبار با دستور ping، اطمینان حاصل شود که آدرس IP مورد نظر توسط سرور دیگری اشغال نشده باشد در غیر این صورت تداخل رخ خواهد داد.

روش‌های نصب امن ویندوز سرور

پیکربندی زمان و تاریخ: در نصب امن ویندوز سرور، اتصال سرور به یک سرور زمان معتبر از نکات حیاتی پیکربندی‌ سرور می‌باشد. الگوریتم‌های رمزنگاری، policy‌های موجود در شبکه و … همگی فقط در صورت وجود یک زمان معتبر، به درستی کار می‌کنند.

روش‌های نصب امن ویندوز سرور

نصب و پیکربندی به‌روزرسانی‌ها: هنگامی که از امنیت یک سرور صحبت می‌کنیم، باید توجه داشته باشیم که سرور مدنظر دارای آخرین آپدیت‌های امنیتی باشد، زیرا امنیت مبحثی است که مداوم در حال به‌روزرسانی می‌باشد. برای نصب آخرین patchها و آپدیت‌های امنیتی، می‌توان از WSUS استفاده کرد تا از بروز حفره‌های امنیتی جلوگیری شود. سرویس WSUS یا Windows Server Update Services به توزیع به‌روزرسانی‌ها، اصلاحات و انواع دیگر نسخه‌های موجود از Microsoft Update کمک می‌کند و در نصب امن ویندوز سرور بسیار کاربردی خواهد بود.

6. ایجاد حساب‌های کاربری و تنظیمات امنیتی

ایجاد حساب کاربری محدود: اصل حداقل دسترسی (Principle of Least Privilege) ذکر می‌کند تا هر کاربر فقط به منابع و سرویس‌های مورد نیاز خودش دسترسی داشته باشد. ازین رو حساب‌های کاربری با توجه به نیاز کاربر، محدود می‌شود. محدودیت دسترسی به دیتابیس، فایل‌ها، پارتیشن یا دیسک، از جمله این موارد می‌باشد. همچنین امروزه در سازمان‌ها به دلایل امنیتی، از دسترسی کاربران به اینترنت جلوگیری می‌شود و شبکه‌های اینترانت پیاده‌سازی می‌شوند.

روش‌های نصب امن ویندوز سرور

پیکربندی احراز هویت چندعاملی: در نصب امن ویندوز سرور، برای افزایش امنیت دسترسی از MFA استفاده می‌شود. این فرآیند، مخفف عبارت Multi-factor Authentication‌ است. به‌معنای آن که بیش از یک مرحله برای احراز هویت، از کاربر خواسته می‌شود. به عنوان مثال کاربر موظف است علاوه بر وارد کردن رمز عبور، یک کد ۴ رقمی که به ایمیل او ارسال می‌شود، یک سوال خصوصی و یا اسکن اثر انگشت خود را نیز ارائه دهد.

روش‌های نصب امن ویندوز سرور

تنظیم سیاست‌های امنیتی: سیاست‌های امنیتی، از طریق Group Policy انجام می‌شوند. Group Policy این امکان را به مدیران شبکه می‌دهد تا الزامات امنیتی را به‌صورت یکپارچه بر روی تمامی سرورها اعمال کنند.

روش‌های نصب امن ویندوز سرور

7. غیرفعال‌سازی سرویس‌های غیرضروری

با غیرفعال سازی سرویس‌های غیرضروری در هنگام نصب امن ویندوز سرور، سطح حمله کاهش می‌یابد. برای این‌ کار می‌توان از ابزارهای مدیریت سرویس مانند Services.msc‌ و PowerShell استفاده کرد.

8. اعمال تنظیمات فایروال

مقصود از اعمال تنظیمات فایروال این است که پیکربندی به گونه‌ای انجام شود که ترافیک ناخواسته مسدود شود و فقط ترافیک مجاز، به سیستم دسترسی داشته باشد. 

روش‌های نصب امن ویندوز سرور

در فرآیند نصب امن ویندوز سرور، از فایروال می‌توان برای بستن پورت‌های ناامن یا غیرضروری مانند 3389 نیز استفاده کرد. 3389 پورت پیش‌فرض پروتکل Remote Desktop (RDP) است که به کاربران اجازه می‌دهد از راه دور به سرور دسترسی داشته باشند. با این حال هر مدیر IT که در حرفه خود تبحر کافی داشته باشد، به هیچ عنوان این پورت را باز نخواهد گذاشت. زیرا نقطه حمله خوبی به مهاجمان ارائه می‌دهد. ایجاد قوانین فایروال مناسب به حفاظت از سرورها در برابر این نوع تهدیدات خارجی کمک می‌کند.

روش‌های نصب امن ویندوز سرور

9. فعال‌سازی و پیکربندی ابزارهای نظارت و ثبت وقایع

نظارت بخش مهمی از پیاده‌سازی امنیت در نصب امن ویندوز سرور را پوشش می‌دهد. مفهوم AAA در امنیت به معنی Authentication، Authorization و Accounting می‌باشد که بر اهمیت نظارت (Accounting) دلالت دارد. در ویندوز سرور ابزارهایی برای نظارت و ثبت فعالیت‌های مشکوک و تهدیدات امنیتی وجود دارد که می‌توان به کمک آن‌ها شناسایی و پیگیری کرد. ابزارهایی مانند Event Viewer و Sysmon از جمله آن‌ها هستند.

روش‌های نصب امن ویندوز سرور

10. انجام ارزیابی امنیتی نهایی

پس از انجام تمام مراحل فوق، یک ارزیابی نهایی شامل اسکن آسیب‌پذیری‌ها، بررسی تنظیمات امنیتی، اطمینان از اعمال درست تنظیمات و آزمون نفوذ، پایه امنیتی قوی برای سرورها ایجاد می‌کند و می‌توان از نصب امن ویندوز سرور اطمینان حاصل کرد.

هیواشبکه

خدمات ما در مجموعه هیواشبکه شامل :

شرکت فنی و مهندسی هیوانوآوران داده گستر : مجری طراحی ، پیاده سازی ، پشتیبانی پروژه های شبکه و امنیت در استان گیلان – رشت و شهرها و استانهای همجوار
آموزشگاه تخصصی هیواشبکه : برگزار کننده دوره های تخصصی شبکه و امنیت ، پیکربندی سرور HP ، مجازی سازی ، MCSA 2016 ، نتورک و … به صورت حضوری با مجوز از سازمان فنی و حرفه ای و آموزش کارکنان دولت در رشت ، استان گیلان و به صورت مجازی در سراسر کشور

آیا این مطلب را می پسندید؟
https://hivanetwork.ir/?p=76499
اشتراک گذاری:
سودا یاری
مطالب بیشتر

نظرات

0 نظر در مورد روش‌های نصب امن ویندوز سرور – 10 نکته حیاتی

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

هیچ دیدگاهی نوشته نشده است.