افزایش امنیت ویندوز سرور با ۱۰ اقدام کلیدی

افزایش امنیت ویندوز سرور با ۱۰ اقدام کلیدی

امنیت ویندوز سرور در چه سطحی قرار دارد و چطور می‌توان امنیت سایبری سرورهای دارای سیستم عامل ویندوز را تقویت کرد؟ برای آشنایی با تکنیک‌های امن سازی ویندوز سرور این مقاله را بخوانید.

با اینکه امنیت ویندوز سرور از امنیت لینوکس سرور پایین‌تر است اما ویندوز، سیستم عاملی قدرتمند و انعطاف‌پذیر محسوب می‌شود که معمولا، سازمان‌های بزرگ از آن برای میزبانی از اپلیکیشن‌ها، تأمین دسترسی امن به داده‌ها و مدیریت زیرساخت شبکه استفاده می‌کنند. این سیستم عامل با قابلیت‌های مجازی‌سازی پیشرفته، پایداری و امکان یکپارچه‌شدن با دیگر محصولات مایکروسافت، مزایای متنوعی دارد که به سازمان‌ها در مدرن‌سازی و داشتن انعطاف‌پذیری بالا کمک می‌کند.

در مقاله پیش رو، ابتدا به این پرسش که ویندوز سرور امن‌تر است یا لینوکس سرور، پاسخ می‌دهیم و سپس، تکنیک‌هایی را برای امن‌سازی ویندوز سرور به شما معرفی می‌کنیم. با مجله امنیت سایبری سایبرنو همراه باشید.

امنیت ویندوز سرور بیشتر است یا امنیت لینوکس سرور؟

واقعیت این است که اگرچه اکثر متخصصان IT و امنیت سایبری بر این باور هستند که لینوکس سرور امنیت بالاتری در مقایسه با ویندوز سرور دارد اما واقعیت این است تفاوت این دو سیستم عامل در دشوارتر بودن امن‌سازی ویندوز سرور در مقایسه با لینوکس سرور است. در واقع، چه برای امنیت ویندوز سرور، چه برای امنیت لینوکس سرور باید کارهای زیر را انجام دهید:
۱) محدود کردن دسترسی کاربر
۲) محود کردن دسترسی سرویس
۳) محدود کردن دسترسی شبکه
۴) پشتیبان‌‌گیری منظم و داشتن سیاست درست برای بازیابی اطلاعات (داشتن برنامه برای پاسخ به حوادث)
۵) پچ کردن و کانفیگ کردن منظم سیستم

تفاوت اصلی در اینجا است که لینوکس، ذاتا امن‌تر است و امن‌سازی کمتری نیاز دارد. در واقع، سیستم عامل لینوکس از روز اول برای کاربرد چندمنظوره ساخته شده است و بنابراین، به صورت پیش‌فرض، کانفیگ امن‌تری در مقایسه با لینوکس دارد.
به طور کلی می‌توان گفت که هیچ سیستم عاملی به طور کامل امن نیست، هم ویندوز سرور و هم لینوکس سرور نیازمند امن‌سازی هستند، امنیت لینوکس سرور به طور پیش‌فرض از امنیت ویندوز سرور بالاتر است و باید به یاد داشته باشید که امن‌سازی سرور، کاری نیست که فقط یکبار انجام شود و شما باید به طور پیوسته آن را انجام دهید تا از سرور خود در مقابل حملات سایبری دفاع کنید.

۱۰ نکته برای افزایش امنیت ویندوز سرور

با اینکه سیستم عامل ویندوز، خودش به صورت پیش‌فرض دارای تنظیماتی امنیتی است اما ادمین سرور نیز برای امن‌سازی آن باید اقداماتی انجام دهد. در اینجا به شما می‌گوییم که چطور می‌توانید امنیت ویندوز سرور را افزایش دهید.

۱- ویندوز سرور خود را بروز نگه دارید

با اینکه بروزرسانی ویندوز سرور، موضوع بسیار روشن و پیش پا افتاده‌ای به نظر می‌رسد که نیازی به اشاره کردن ندارد اما خیلی از ادمین‌های سرورها، همین کار ساده را جدی نمی‌گیرند و بارها پیش آمده است که هکرها با اکسپلویت کردن آسیب‌پذیری‌های خیلی قدیمی به دلیل بروز نبودن سرورها، موفق به هک کردن آن‌ها شده‌اند.
نصب کردن آخرین پچ‌های امنیتی برای حفاظت از ویندوز سرور در مقابل تهدیدات امنیتی، کاملا ضروری است و ادمین‌ها باید برنامه‌ای منظم برای بروزرسانی سیستم عامل و دیگر نرم‌افزارهای روی سرور داشته باشند.

۲- تنها مؤلفه‌های ضروری ویندوز سرور را نصب کنید

از سیستم عامل ویندوز سرور ۲۰۱۲ به بالاتر، امکان استفاده از این سیسم عامل در حالت هسته (core mode) وجود دارد. این حالت، نوعی گزینه نصب حداقلی در اختیار شما قرار می‌دهد تا ویندوز سرور را بدون رابط کاربری گرافیکی (GUI) نصب کنید.
نصب کردن هسته ویندوز سرور، مزیت‌های متعدی دارد. یکی از مهم‌ترین این مزیت‌ها، افزایش کارایی سرور است زیرا با این کار، منابع سرور در اختیار قابلیت‌های غیرضروری مثل رابط کاربری گرافیکی قرار نمی‌گیرد و فقط قابلیت‌ها و سرویس‌های ضروری ویندوز سرور از منابع سرور استفاده می‌کنند.
گذشته از این، نصب هسته ویندوز سرور بدون GUI، سبب کاهش قابل توجه سطح حمله می‌شود و امنیت ویندوز سرور را به طور قابل توجهی افزایش می‌دهد.

۳- از حساب کاربری ادمین ویندوز سرور محافظت کنید

یکی دیگر از ضروریات تأمین امنیت ویندوز سرور، محافظت از حساب کاربری ادمین است. حساب کاربری پیش‌فرض در ویندوز سرور، Administrator نام دارد و بنابراین، بسیاری از حملات بروت فورس (brute force)، این حساب کاربری را مورد حمله قرار می‌دهند. بنابراین، بهتر است که حساب Administrator محلی (local) را غیرفعال کنید و یک حساب ادمین جدید بسازید.
زمانی که حساب ادمین محلی را غیرفعال کردید، بررسی کنید که آیا حساب ادمین مهمان (guest) فعال است یا خیر. حساب‌های مهمان محلی (local guest) پایین‌ترین سطح امنیت را دارند و بنابراین، ضرورت دارد که آن‌ها را به هر قیمتی، حذف کنید. برای حذف کردن این حساب‌های کاربری مهمان، می‌توانید مثل حذف کردن حساب‌های کاربری استفاده نشده عمل کنید.
نکته دیگری که برای حفاظت از حساب کاربری ادمین اهمیت دارد، تعیین گذرواژه‌های بسیار قوی و داشتن برنامه منظم برای تغییر گذرواژه است.

۴- تنظیمات NTP را انجام دهید

کانفیگ کردن سرور به منظور همگام‌سازی با ان تی پی سرورها (NTP servers) به منظور جلوگیری از رانش ساعت (clock drift) از اهمیت بالایی برخوردار است زیرا اختلاف ساعت به میزان حتی چند دقیقه می‌تواند سبب اختلال در بسیاری از قابلیت‌های ویندوز مثل لاگین ویندوز سرور شود.
دارایی‌های IT سازمان‌ها از ساعت‌های داخلی خود استفاده می‌کنند یا برای همگام‌سازی متکی به تایم سرور اینترنت عمومی (Public Internet Time Server) هستند. معمولا، سرورهایی که عضو دامنه هستند، با یک کنترلر دامنه، همگام‌سازی می‌شوند. با این حال، سرورهای مجزا از دامنه، نیازمند کانفیگ کردن NTP و همگام‌سازی با یک منبع خارجی هستند تا جلوی حملات بازپخش (replay attacks) گرفته شود.

۵- فایروال و آنتی‌ویروس ویندوز سرور را فعال و کانفیگ کنید

ویندوز سرورها دارای آنتی‌ویروس و فایروال مخصوص خود هستند. در سرورهایی که فایروال سفت‌افزاری ندارند، فایروال ویندوز، می‌تواند با  محدود کردن ترافیک به مسیرهای ضروری، سطح حمله را کاهش و امنیت ویندوز سرور را در مقابل تهدیدات سایبری به طور قابل توجهی افزایش دهد. با این حال، فایروال سفت‌افزاری یا ابری، امنیت بیشتری را برای ویندوز سرور فراهم می‌آورد و بار پردازشی روی سرور را کمی کاهش می‌دهد.
کانفیگ کردن فایروال می‌تواند در ابتدای کار کمی دشوار و پیچیده باشد. با این حال، اگر فایروال به درستی کانفیگ نشود، پورت‌های باز که در اختیار کلاینت‌های بدون مجوز قرار می‌گیرند، می‌توانند تهدیدی جدی برای امنیت سرور باشند. 

۶- ریموت دسکتاپ را امن‌سازی کنید

اگر از پروتکل ریموت دسکتاپ (Remote Desktop Protocol یا RDP) استفاده می‌کنید، مطمئن شوید که به اینترنت وصل نباشد. برای جلوگیری از دسترسی بدون مجوز، پورت پیش‌فرض را تغییر دهید و دسترسی به RDP را به یک آدرس IP خاص که به آن دسترسی دارید، محدود کنید. همچنین، کاربرانی را که به RDP دسترسی دارند، بر اساس سیاست‌های مدیریت سرور خودتان تنظیم کنید. در حالت پیش‌فرض، همه کاربران سرور به RDP دسترسی دارند.
گذشته از این‌ها، تمامی اقدامات امنیتی لازم مثل گذرواژه قوی و تغییر منظم گذرواژه، احراز هویت دو عاملی، بروزرسانی نرم‌افزارها و سیستم عامل، محدودسازی دسترسی به کمک تنظیمات خاص در فایروال، فعال کردن احراز هویت سطح شبکه و ... را روی RDP نیز انجام دهید.

۷- بیت‌لاکر را فعال‌سازی کنید

اقدام دیگری که می‌توانید برای افزایش امنیت ویندوز سرور خود انجام دهید، فعال کردن بیت‌لاکر (Encryption) است. نسخه سرور سیستم عامل ویندوز، مشابه با سیستم عامل ویندوز ۱۰ پرو دارای سیستم عاملی با ابزار رمزنگاری درایو است که BitLocker نام دارد که متخصصان امنیت سایبری و امنیت شبکه، آن را یکی از بهترین ابزارهای امنیتی می‌دانند که امکان رمزنگاری کل هارد درایو سرور شما را فراهم می‌آورد تا در صورتی که هکرها توانستند امنیت فیزیکی سرور شما را دور بزنند، نتوانند اطلاعات ارزشمندی از داده‌های رمزنگاری شده، استخراج کنند.

۸- از Microsoft Baseline Security Analyzer استفاده کنید

ابزار تحلیل‌گر امنیتی خط پایه مایکروسافت (MBSA) نوعی ابزار امنیتی رایگان است که به شما این امکان را می‌دهد تا امنیت ویندوز سرور خود را مدیریت کنید. این ابزار می‌تواند مشکلات امنیتی و بروزرسانی‌های لازم ر پیدا کند و پیشنهاداتی برای افزایش امنیت سرور ارائه دهد.
این ابزار می‌تواند آسیب‌پذیری‌های ویندوز سرور مثل گذرواژه‌های ضعیف، آسیب‌پذیری‌های SQL و IIS و آپدیت‌های امنیتی انجام نشده را روی سرور پیدا کند. این ابزار، امکان اسکن کردن یک یا چندین کامپیوتر بر اساس آدرس IP، نام دامنه و دیگر ویژگی‌ها را دارد. MBSA نوعی گزارش امنیتی تمام و کمال را با فرمت HTML و در رابط کاربری گرافیکی در اختیار شما قرار می‌دهد.

۹- بر لاگ‌های سرور نظارت داشته باشید

نظارت بر لاگ‌های موفق و ناموفق ویندوز سرور، یکی از مهم‌ترین مواردی است که برای امن نگه داشتن سرور خود باید انجام دهید. با این کار می‌توانید حملاتی مثل بروت فورس که شامل وارد کردن تصادفی گذرواژه برای دور زدن احراز هویت است را مسدود کنید. ابزارهای جلوگیری از نفوذ می‌توانند به شما در رصد کردن لاگ‌ها کمک کنند و در صورت شناسایی هر گونه فعالیت مشکوکی، به شما گزارش دهند تا اقدامات لازم را انجام دهید.

۱۰- سرویس‌ها و پورت‌های غیر ضروری را مسدود کنید

برای افزایش امنیت ویندوز سرور هر سرویس یا پورتی که ویندوز سرور به آن نیاز ندارد باید غیرفعال شود و نرم‌افزارهای غیرضروری نیز باید حضور شوند. برای این کار می‌توانید پورت اسکن (port scan) انجام دهید.
منبع:
makeuseof.com

 

تاریخ انتشار: 1402/05/25
تاریخ بروزرسانی: 1402/05/25
user avatar
نویسنده: امیر ظاهری مدیر تولید محتوا سایبرنو
امیر ظاهری در سال ۱۳۹۴ از دانشگاه «تربیت مدرس» در مقطع کارشناسی ارشد رشته «بیوفیزیک» فارغ‌التحصیل شد. او که به فناوری، امنیت سایبری، رمزنگاری و بلاک‌چین علاقه داشت، نویسندگی در این حوزه‌ها را شروع کرد و در سال ۱۳۹۸ به عضویت هیئت تحریریه «زومیت»، پربازدیدترین مجله تخصصی فناوری ایران، درآمد. او سابقه همکاری به عنوان کارشناس تولید محتوا با استارت‌آپ «جاب ویژن» نیز دارد. در سال ۱۴۰۰ همکاری خودش را با سایبرنو شروع کرد و از آن زمان تاکنون به صورت تخصصی در حوزه امنیت سایبری فعالیت دارد.
برچسب‌های مرتبط
این مطلب را با دوستان خود به اشتراک بگذارید
نظرات کاربران

برای دریافت خبرنامه و اخبار

آدرس پست الکترونیکی خود را وارد کنید

تمامی حقوق مادی و معنوی این سایت متعلق به شرکت مهندسی دنیای فناوری امن ویرا (سایبرنو) می‌باشد.