افزایش امنیت ویندوز سرور و راهکارهای مربوطه

بیاموزید که چگونه با یک استراتژی جامع پیشگیری از حریم امنیتی سرور خود و اطلاعات آن محافظت خواهید کرد.

چه در حال استقرار صدها سرور ویندوز در فضای ابری باشید و چه سرورهای فیزیکی را برای یک کسب و کار کوچک به صورت دستی بسازید، داشتن یک روش مناسب برای اطمینان از یک محیط امن و قابل اعتماد برای ایمن نگه داشتن اکوسیستم شما در برابر نقض داده‌ها بسیار مهم است.

۱. پیکربندی کاربر

نسخه‌های مدرن ویندوز سرور شما را مجبور به انجام این کار می‌کنند، اما مطمئن شوید که رمز عبور حساب کاربری Administrator محلی به چیزی امن تغییر داده شده است. علاوه بر این، هر زمان که ممکن است، Administrator محلی را غیرفعال کنید. سناریوهای بسیار کمی وجود دارد که در آنها به این حساب کاربری نیاز باشد و از آنجا که هدف محبوبی برای حمله است، باید به طور کلی غیرفعال شود تا از سوءاستفاده از آن جلوگیری شود.

با حذف آن حساب کاربری، باید یک حساب کاربری ادمین برای استفاده تنظیم کنید. اگر سرور شما عضوی از Active Directory (AD) است، می‌توانید یک حساب کاربری دامنه مناسب اضافه کنید، یا یک حساب کاربری محلی جدید ایجاد کنید و آن را در گروه مدیران قرار دهید. در هر صورت، می‌توانید در صورت امکان از یک حساب کاربری غیر ادمین برای مدیریت امور خود استفاده کنید و با استفاده از معادل sudo ویندوز، یعنی “Run As” درخواست ارتقاء دهید و در صورت درخواست، رمز عبور حساب کاربری ادمین را وارد کنید.

در صورت لزوم، تأیید کنید که حساب مهمان محلی غیرفعال شده است. هیچ یک از حساب‌های کاربری داخلی، به خصوص حساب مهمان، امن نیستند، بنابراین آن در را ببندید. گروه‌های امنیتی خود را دوباره بررسی کنید تا مطمئن شوید همه در جای خود قرار دارند (به عنوان مثال، اضافه کردن حساب‌های دامنه به گروه کاربران دسکتاپ از راه دور).

فراموش نکنید که برای افزایش امنیت ویندوز سرور از رمزهای عبور خود محافظت کنید . از یک سیاست رمز عبور قوی استفاده کنید تا مطمئن شوید که حساب‌های کاربری روی سرور قابل نفوذ نیستند. اگر سرور شما عضو AD است، سیاست رمز عبور در سطح دامنه در سیاست دامنه پیش‌فرض تنظیم می‌شود. سرورهای مستقل را می‌توان در ویرایشگر سیاست محلی تنظیم کرد. در هر صورت، یک سیاست رمز عبور خوب حداقل موارد زیر را تعیین می‌کند:

• الزامات پیچیدگی و طول – رمز عبور چقدر باید قوی باشد
• انقضای رمز عبور – مدت اعتبار رمز عبور
• تاریخچه رمز عبور – چه مدت طول می‌کشد تا رمزهای عبور قبلی دوباره قابل استفاده باشند
• قفل شدن حساب – قبل از اینکه حساب به حالت تعلیق درآید، چند بار رمز عبور را اشتباه وارد می‌کنید

رمزهای عبور قدیمی عامل بسیاری از هک‌های موفق هستند، بنابراین با الزام به تغییر منظم رمز عبور، از خود در برابر این حملات محافظت کنید.

۲. پیکربندی شبکه

سرورهای عملیاتی باید یک IP ثابت داشته باشند تا کلاینت‌ها بتوانند به طور قابل اعتمادی آنها را پیدا کنند. این IP باید در یک بخش محافظت‌شده، پشت یک فایروال باشد. حداقل دو سرور DNS را برای افزونگی پیکربندی کنید و با استفاده از nslookup از خط فرمان، تفکیک نام را دوباره بررسی کنید. مطمئن شوید که سرور یک رکورد A معتبر در DNS با نام مورد نظر شما و همچنین یک رکورد PTR برای جستجوی معکوس دارد. توجه داشته باشید که ممکن است چندین ساعت طول بکشد تا تغییرات DNS در سراسر اینترنت منتشر شود، بنابراین آدرس‌های عملیاتی باید قبل از شروع به کار، مدت‌ها ایجاد شوند. در نهایت، هرگونه سرویس شبکه‌ای که سرور از آن استفاده نخواهد کرد، مانند IPv6 را غیرفعال کنید. این بستگی به محیط شما دارد و هرگونه تغییر در اینجا باید قبل از ورود به محیط عملیاتی به خوبی آزمایش شود.

۳. پیکربندی ویژگی‌ها و نقش‌های ویندوز

مایکروسافت از نقش‌ها و ویژگی‌ها برای مدیریت بسته‌های سیستم عامل استفاده می‌کند. نقش‌ها اساساً مجموعه‌ای از ویژگی‌هایی هستند که برای یک هدف خاص طراحی شده‌اند، بنابراین به‌طورکلی می‌توان نقش‌ها را انتخاب کرد اگر سرور با یکی از آن‌ها سازگار باشد و سپس ویژگی‌ها را از آنجا سفارشی‌سازی کرد. دو کار به یک اندازه مهم که باید انجام دهید عبارتند از: ۱) مطمئن شوید که هر چیزی که نیاز دارید نصب شده است. این ممکن است یک نسخه از چارچوب .NET یا IIS باشد، اما بدون قطعات مناسب، برنامه‌های شما کار نخواهند کرد. ۲) هر چیزی را که نیازی ندارید حذف کنید. بسته‌های اضافی به‌طور غیرضروری سطح حمله سرور را گسترش می‌دهند و باید در هر زمان ممکن حذف شوند. این امر در مورد برنامه‌های پیش‌فرض نصب‌شده روی سرور که استفاده نمی‌شوند نیز صادق است. سرورها باید با در نظر گرفتن ضرورت طراحی شوند و به گونه‌ای ساده‌سازی شوند که قطعات لازم تا حد امکان روان و سریع عمل کنند.

۴. نصب به‌روزرسانی

شاید این نکته بدیهی به نظر برسد، اما بهترین راه برای ایمن نگه داشتن سرور، به‌روز نگه داشتن آن است. این لزوماً به معنای به‌روز بودن و اعمال به‌روزرسانی‌ها به محض انتشار با حداقل آزمایش یا بدون آزمایش نیست، بلکه صرفاً به معنای داشتن فرآیندی برای اطمینان از اعمال به‌روزرسانی‌ها در یک بازه زمانی معقول است. اکثر آسیب‌پذیری‌های مورد سوءاستفاده بیش از یک سال قدمت دارند، اگرچه به‌روزرسانی‌های حیاتی باید در اسرع وقت در مرحله آزمایش و سپس در صورت عدم وجود مشکل در مرحله تولید اعمال شوند. 

انواع مختلفی از به‌روزرسانی‌ها وجود دارد: وصله‌ها معمولاً به یک آسیب‌پذیری واحد می‌پردازند؛ بسته‌های به‌روزرسانی گروهی از بسته‌ها هستند که به چندین آسیب‌پذیری، شاید مرتبط، می‌پردازند و بسته‌های به‌روزرسانی، به‌روزرسانی‌هایی برای طیف وسیعی از آسیب‌پذیری‌ها هستند که از ده‌ها یا صدها وصله جداگانه تشکیل شده‌اند. حتماً پس از انتشار یک به‌روزرسانی، به انجمن‌های کاربران مایکروسافت سر بزنید تا ببینید دیگران چه تجربه‌ای با آن دارند. به خاطر داشته باشید که نسخه سیستم عامل نیز نوعی به‌روزرسانی است و استفاده از نسخه‌های سرور قدیمی، شما را از منحنی امنیتی بسیار عقب نگه می‌دارد.

اگر ترافیک شبکه شما بالا نیست و اجازه بروزرسانی و ترافیک بیشتر را می‌دهد، باید به‌روزرسانی‌های خودکار را روی سرور خود پیکربندی کنید. متأسفانه، بسیاری از فروشگاه‌های فناوری اطلاعات فاقد نیروی انسانی لازم برای بررسی و آزمایش هر وصله یا آپدیت ویندوز سرور هستند و این می‌تواند منجر به افزایش رکود در نصب بروزرسانی‌ها شود. با این حال، رها کردن یک سیستم تولیدی بدون وصله و پچ امنیتی، بسیار خطرناک‌تر از به‌روزرسانی خودکار آن است، حداقل برای وصله‌های حیاتی. در صورت امکان، به‌روزرسانی‌ها باید به صورت پلکانی ارائه شوند تا محیط‌های آزمایش آنها را یک هفته یا بیشتر زودتر دریافت کنند و به تیم‌ها فرصتی برای مشاهده رفتار آنها داده شود. به‌روزرسانی‌های اختیاری را می‌توان به صورت دستی انجام داد، زیرا معمولاً به مشکلات جزئی می‌پردازند.

سایر نرم‌افزارهای مایکروسافت نیز از طریق Windows Update به‌روزرسانی می‌شوند، بنابراین اگر از Exchange، SQL یا فناوری سرور دیگری از مایکروسافت استفاده می‌کنید، حتماً به‌روزرسانی‌های سایر محصولات را فعال کنید. هر برنامه باید به‌طور منظم و همراه با آزمایش به‌روزرسانی شود.

۵. پیکربندی NTP

اختلاف زمانی تنها ۵ دقیقه، ورود به ویندوز و سایر عملکردهای مختلف که به احراز هویت Kerberos متکی هستند را به طور کامل مختل می‌کند. سرورهایی که عضو دامنه هستند، به محض پیوستن به دامنه، زمان خود را به طور خودکار با یک کنترل‌کننده دامنه همگام‌سازی می‌کنند، اما سرورهای مستقل باید NTP را برای همگام‌سازی با یک منبع خارجی تنظیم کنند تا ساعت دقیق باقی بماند. کنترل‌کننده‌های دامنه نیز باید زمان خود را با یک سرور زمان همگام‌سازی کنند تا اطمینان حاصل شود که کل دامنه در محدوده عملیاتی زمان واقعی باقی می‌ماند.

۶. پیکربندی فایروال

برای مثال، اگر در حال ساخت یک وب سرور هستید، فقط می‌خواهید پورت‌های وب (80 و 443) از طریق اینترنت به آن سرور باز باشند. اگر کلاینت‌های اینترنتی ناشناس بتوانند از طریق پورت‌های دیگر با سرور ارتباط برقرار کنند، این یک ریسک امنیتی بزرگ و غیرضروری ایجاد می‌کند. اگر سرور عملکردهای دیگری مانند ریموت دسکتاپ (RDP) برای مدیریت دارد، آنها فقط باید از طریق اتصال VPN در دسترس باشند و اطمینان حاصل شود که افراد غیرمجاز نمی‌توانند از طریق اینترنت از پورت مورد نظر خود سوءاستفاده کنند.

فایروال ویندوز یک فایروال نرم‌افزاری داخلی مناسب است که امکان پیکربندی ترافیک مبتنی بر پورت را از داخل سیستم عامل فراهم می‌کند. در یک سرور مستقل یا هر سروری که فایروال سخت‌افزاری در جلوی آن وجود ندارد، فایروال ویندوز حداقل با محدود کردن سطح حمله به پورت‌های مجاز، مقداری محافظت در برابر حملات مبتنی بر شبکه ارائه می‌دهد. با این اوصاف، یک فایروال سخت‌افزاری همیشه انتخاب بهتری است زیرا ترافیک را به دستگاه دیگری منتقل می‌کند و گزینه‌های بیشتری برای مدیریت آن ترافیک ارائه می‌دهد و سرور را برای انجام وظیفه اصلی خود آزاد می‌گذارد. از هر روشی که استفاده می‌کنید، نکته کلیدی محدود کردن ترافیک فقط به مسیرهای ضروری است.

۷. پیکربندی دسترسی از راه دور

همانطور که در بالا ذکر شد برای افزایش امنیت ویندوز سرور، اگر از RDP استفاده می‌کنید، مطمئن شوید که در صورت امکان فقط از طریق VPN قابل دسترسی است. باز گذاشتن آن به اینترنت تضمین نمی‌کند که هک می‌شوید، اما به هکرهای بالقوه راه دیگری برای نفوذ به سرور شما ارائه می‌دهد.

مطمئن شوید که RDP فقط توسط کاربران مجاز قابل دسترسی است. به طور پیش‌فرض، همه مدیران می‌توانند پس از فعال شدن RDP در سرور، از آن استفاده کنند. افراد دیگر می‌توانند بدون اینکه مدیر شوند، به گروه کاربران ریموت دسکتاپ برای دسترسی بپیوندند.

علاوه بر RDP، سایر مکانیسم‌های دسترسی از راه دور مانند Powershell و SSH در صورت استفاده باید با دقت قفل شوند و فقط در یک محیط VPN قابل دسترسی باشند. هرگز نباید از Telnet استفاده شود، زیرا اطلاعات را به صورت متن ساده منتقل می‌کند و از چندین جهت به طرز اسفناکی ناامن است. همین امر در مورد FTP نیز صدق می‌کند. در صورت امکان از SFTP یا SSH (از طریق VPN) استفاده کنید و از هرگونه ارتباط رمزگذاری نشده به طور کلی خودداری کنید.

۸. پیکربندی سرویس

ویندوز سرور مجموعه‌ای از سرویس‌های پیش‌فرض دارد که به‌طور خودکار شروع به کار می‌کنند و در پس‌زمینه اجرا می‌شوند. بسیاری از این سرویس‌ها برای عملکرد سیستم‌عامل ضروری هستند به عنوان مثال اکتیودایرکتوری ، اما برخی دیگر ضروری نیستند و در صورت عدم استفاده باید غیرفعال شوند. با پیروی از همان منطق فایروال، می‌خواهیم با غیرفعال کردن همه چیز به جز قابلیت‌های اصلی، سطح حمله به سرور را به حداقل برسانیم. نسخه‌های قدیمی‌تر سرور مایکروسافت سرویس‌های غیرضروری بیشتری نسبت به نسخه‌های جدیدتر دارند، بنابراین هر سرور ۲۰۰۸ یا ۲۰۰۳ (!) را با دقت بررسی کنید.

سرویس‌های مهم باید طوری تنظیم شوند که به طور خودکار شروع شوند تا سرور بتواند پس از خرابی بدون دخالت انسان بازیابی شود. برای برنامه‌های پیچیده‌تر، از گزینه Automatic (Delayed Start) استفاده کنید تا به سایر سرویس‌ها فرصتی برای شروع کار قبل از راه‌اندازی سرویس‌های فشرده برنامه بدهید. همچنین می‌توانید وابستگی‌های سرویس را طوری تنظیم کنید که یک سرویس قبل از شروع، منتظر شروع موفقیت‌آمیز سرویس یا مجموعه‌ای از سرویس‌ها باشد. وابستگی‌ها همچنین به شما امکان می‌دهند کل زنجیره را به طور همزمان متوقف و شروع کنید، که می‌تواند در مواقعی که زمان‌بندی مهم است مفید باشد.

در نهایت، هر سرویس در چارچوب امنیتی یک کاربر خاص اجرا می‌شود. برای سرویس‌های پیش‌فرض ویندوز، این اغلب به صورت حساب‌های Local System، Local Service یا Network Service است. این پیکربندی ممکن است بیشتر اوقات کار کند، اما برای سرویس‌های برنامه و کاربر، بهترین روش، تنظیم حساب‌های خاص سرویس، چه به صورت محلی و چه در AD، را برای مدیریت این سرویس‌ها با حداقل میزان دسترسی لازم، الزامی می‌کند. این امر مانع از گسترش نفوذ عوامل مخربی می‌شود که یک برنامه را به خطر انداخته‌اند و آن را به سایر قسمت‌های سرور یا دامنه گسترش می‌دهند.

۹. سخت شدن بیشتر یا هاردنینگ

مایکروسافت بر اساس نقش و نسخه سرور، بهترین تحلیل‌گرها را ارائه می‌دهد که می‌توانند با اسکن و ارائه توصیه‌ها، به شما در مقاوم‌سازی بیشتر سیستم‌هایتان کمک کنند.

اگرچه کنترل حساب کاربری (UAC) می‌تواند آزاردهنده باشد، اما هدف مهم انتزاع فایل‌های اجرایی از زمینه امنیتی کاربر وارد شده را برآورده می‌کند. این بدان معناست که حتی وقتی به عنوان مدیر وارد سیستم شده‌اید، UAC از اجرای برنامه‌ها بدون رضایت شما جلوگیری می‌کند. این امر مانع از اجرای بدافزار در پس‌زمینه و راه‌اندازی نصب‌کننده‌ها یا سایر کدها توسط وب‌سایت‌های مخرب می‌شود. هر زمان که ممکن است، UAC را روشن بگذارید.

نکات موجود در این راهنما به ایمن‌سازی سیستم عامل ویندوز کمک می‌کند، اما هر برنامه‌ای که اجرا می‌کنید نیز باید مقاوم‌سازی شود. برنامه‌های رایج سرور مایکروسافت مانند MSSQL و Exchange مکانیسم‌های امنیتی خاصی دارند که می‌توانند به محافظت از آنها در برابر حملاتی مانند  باج‌افزارهایی  مانند  WannaCry کمک کنند ، حتماً هر برنامه را برای حداکثر مقاومت، تحقیق و تنظیم کنید. اگر در حال ساخت یک وب سرور هستید، می‌توانید راهنمای مقاوم‌سازی ما را نیز برای بهبود امنیت آن در مواجهه با اینترنت دنبال کنید.

۱۰. ثبت وقایع و نظارت برای افزایش امنیت ویندوز سرور

در نهایت، باید مطمئن شوید که گزارش‌ها و نظارت شما پیکربندی شده‌اند و داده‌های مورد نظر شما را ثبت می‌کنند تا در صورت بروز مشکل، بتوانید به سرعت آنچه را که نیاز دارید پیدا کرده و آن را برطرف کنید. گزارش‌گیری بسته به اینکه سرور شما بخشی از یک دامنه باشد یا خیر، متفاوت عمل می‌کند. ورود به دامنه توسط کنترل‌کننده‌های دامنه پردازش می‌شود و به همین ترتیب، آنها گزارش‌های حسابرسی مربوط به آن فعالیت را دارند، نه سیستم محلی. سرورهای مستقل، حسابرسی‌های امنیتی را در دسترس دارند و می‌توانند پیکربندی شوند تا موارد قبولی و/یا عدم موفقیت را نشان دهند.

حداکثر اندازه لاگ‌های خود را بررسی کنید و آنها را در محدوده مناسبی قرار دهید. پیش‌فرض‌های لاگ تقریباً همیشه برای نظارت بر برنامه‌های کاربردی پیچیده بسیار کوچک هستند. به همین دلیل، باید در طول ساخت سرور، فضای دیسک برای لاگ‌گیری اختصاص داده شود، به خصوص برای برنامه‌هایی مانند MS Exchange. لاگ‌ها باید طبق سیاست‌های نگهداری سازمان شما پشتیبان‌گیری شوند و سپس پاک شوند تا فضای بیشتری برای رویدادهای جاری ایجاد شود.

اگر مدیریت لاگ‌ها به صورت جداگانه روی سرورها طاقت‌فرسا می‌شود، یک راهکار مدیریت لاگ متمرکز را در نظر بگیرید. مانند یک سرور syslog در دنیای لینوکس، یک نمایشگر رویداد متمرکز برای سرورهای ویندوز می‌تواند به سرعت بخشیدن به عیب‌یابی و زمان اصلاح برای محیط‌های متوسط ​​تا بزرگ کمک کند.

یک خط پایه عملکرد ایجاد کنید و آستانه‌های اعلان را برای معیارهای مهم تنظیم کنید. چه از مانیتور عملکرد داخلی ویندوز استفاده کنید و چه از یک راه‌حل شخص ثالث که از یک کلاینت یا SNMP برای جمع‌آوری داده‌ها استفاده می‌کند، باید اطلاعات عملکرد را در هر سرور جمع‌آوری کنید. مواردی مانند فضای دیسک موجود، استفاده از پردازنده و حافظه، فعالیت شبکه و حتی دما باید دائماً تجزیه و تحلیل و ثبت شوند تا ناهنجاری‌ها به راحتی شناسایی و برطرف شوند. این مرحله اغلب به دلیل ماهیت شلوغ برنامه‌های تولید نادیده گرفته می‌شود، اما در درازمدت سودمند خواهد بود زیرا عیب‌یابی بدون خطوط پایه مشخص اساساً تیر انداختن در تاریکی است.

۱۱. سوالات متداول در مورد مقاوم‌سازی ویندوز سرور

مقاوم‌سازی سرور چیست؟

مقاوم‌سازی اصطلاحی جامع برای تغییراتی است که در پیکربندی، کنترل دسترسی ، تنظیمات شبکه و محیط سرور، از جمله برنامه‌ها، ایجاد می‌شود تا امنیت سرور و امنیت کلی زیرساخت فناوری اطلاعات یک سازمان بهبود یابد. معیارهای مختلفی برای مقاوم‌سازی سرورهای ویندوز وجود دارد، از جمله معیارهای امنیتی مایکروسافت و همچنین استانداردهای مقاوم‌سازی CIS Benchmark که توسط  مرکز امنیت اینترنت ایجاد شده است . معیارهای CIS، مقاوم‌سازی امنیت شبکه برای پلتفرم‌های ابری مانند مایکروسافت آزور و همچنین سیاست امنیتی برنامه برای نرم‌افزارهایی مانند مایکروسافت شیرپوینت، همراه با مقاوم‌سازی پایگاه داده برای مایکروسافت SQL Server و موارد دیگر را پوشش می‌دهند. 

چگونه یک وب سرور را مقاوم کنیم؟

پیروی از یک فرآیند استاندارد مقاوم‌سازی وب سرور برای سرورهای جدید قبل از ورود به مرحله تولید، یک رویه خوب است. هرگز سعی نکنید سرورهای وب در حال استفاده را مقاوم‌سازی کنید زیرا این امر می‌تواند بر حجم کار تولید شما تأثیر بگذارد و اختلالات غیرقابل پیش‌بینی ایجاد کند، بنابراین در عوض، سرورهای جدیدی را برای مقاوم‌سازی تهیه کنید، سپس برنامه‌های خود را پس از مقاوم‌سازی و آزمایش کامل تنظیمات، منتقل کنید. یک گام اولیه خوب هنگام مقاوم‌سازی وب سرور ویندوز، شامل به‌روزرسانی سرور با آخرین بسته‌های خدماتی مایکروسافت قبل از اقدام به ایمن‌سازی نرم‌افزار وب سرور خود مانند Microsoft IIS، Apache، PHP یا Nginx است. 

دسترسی به سیستم را سخت‌تر کنید و کنترل‌های ترافیک شبکه را پیکربندی کنید، از جمله تنظیم حداقل طول رمز عبور، پیکربندی فایروال ویندوز که به شما امکان می‌دهد با استفاده از سیاست ترافیک، عملکردی مشابه iptables را پیاده‌سازی کنید، در صورت وجود، یک فایروال سخت‌افزاری راه‌اندازی کنید و سیاست حسابرسی و همچنین تنظیمات گزارش را پیکربندی کنید. با اطمینان از اینکه سرورهای شما دارای جدیدترین سیستم عامل BIOS هستند که در برابر حملات سیستم عامل مقاوم شده است، تا قوانین آدرس IP برای محدود کردن دسترسی غیرمجاز و حذف سرویس‌های بلااستفاده یا نرم‌افزارهای غیرضروری، از ایجاد درهای پشتی بالقوه که می‌توانند توسط یک مهاجم استفاده شوند، جلوگیری کنید. مطمئن شوید که تمام حجم‌های سیستم فایل از سیستم فایل NTFS استفاده می‌کنند و مجوزهای فایل را طوری پیکربندی کنید که مجوز کاربر را به حداقل دسترسی با امتیاز محدود کند . همچنین باید نرم‌افزار آنتی‌ویروس را به عنوان بخشی از پیکربندی امنیتی استاندارد سرور خود نصب کنید، در حالت ایده‌آل با به‌روزرسانی‌های روزانه و محافظت در زمان واقعی.  

مهمترین فرآیند در افزایش امنیت ویندوز سرور چیست؟

برای ایمن‌سازی واقعی سرورهای خود در برابر رایج‌ترین حملات، باید خودتان هم طرز فکر یک هکر را داشته باشید، به این معنی که آسیب‌پذیری‌های بالقوه را از دیدگاه چگونگی جستجوی یک مهاجم مخرب برای یافتن روزنه، بررسی کنید. ناگزیر، بزرگترین هک‌ها زمانی رخ می‌دهند که سرورها مجوزهای کنترل دسترسی ضعیف یا نادرستی دارند، از مجوزهای سیستم فایل ضعیف گرفته تا مجوزهای شبکه و دستگاه. در یک  مطالعه آماری از نقض‌های امنیتی اخیر ، مدیریت دسترسی ضعیف علت اصلی اکثر قریب به اتفاق نقض‌های داده است ، به طوری که ۷۴٪ از نقض‌ها شامل استفاده از یک حساب کاربری ممتاز در برخی زمینه‌ها یا موارد دیگر است. 

شاید خطرناک‌ترین اما فراگیرترین شکل کنترل دسترسی ضعیف، اعطای مجوزهای «نوشتن/تغییر دادن یا خواندن» به همه در فایل‌ها و پوشه‌هایی با محتوای حساس باشد که به عنوان یک شاخه طبیعی از ساختارهای تیمی مشارکتی سازمانی پیچیده، بسیار رایج است. برای کاهش افشای اطلاعات از طریق کنترل دسترسی، سیاست گروهی و مجوزها را روی حداقل امتیازات قابل قبول تنظیم کنید و پیاده‌سازی پروتکل‌های سختگیرانه‌ای مانند احراز هویت دو مرحله‌ای و همچنین امتیاز اعتماد صفر را در نظر بگیرید تا اطمینان حاصل شود که منابع فقط توسط افراد دارای هویت معتبر قابل دسترسی هستند. 

سایر حوزه‌های رایج آسیب‌پذیری شامل مهندسی اجتماعی و سرورهایی است که با نرم‌افزارهای پچ نشده اجرا می‌شوند، که برای آنها تیم شما باید آموزش‌های منظم امنیت سایبری را پشت سر بگذارد و شما باید مرتباً جدیدترین پچ‌های امنیتی را برای نرم‌افزارهای در حال اجرا روی سرورهای خود آزمایش و اعمال کنید. در مورد مورد آخر، شما باید سرویس‌های غیرضروری را از سرورهای خود حذف کنید زیرا این سرویس‌ها به دو روش مهم به امنیت زیرساخت فناوری اطلاعات شما آسیب می‌رسانند، اولاً با گسترش منطقه هدف بالقوه مهاجم، و همچنین با اجرای سرویس‌های قدیمی در پس‌زمینه که ممکن است چندین پچ پشت سر داشته باشند. اینها می‌توانند اهداف جذابی برای سوءاستفاده‌ها باشند. در واقعیت، هیچ راهکار جادویی برای مقاوم‌سازی سیستم وجود ندارد که سرور ویندوز شما را در برابر هرگونه حمله‌ای ایمن کند. بهترین فرآیند مقاوم‌سازی، از بهترین شیوه‌های امنیت اطلاعات، از مقاوم‌سازی خود سیستم عامل گرفته تا مقاوم‌سازی برنامه و پایگاه داده، پیروی می‌کند.  

کدام نسخه ویندوز سرور امنیت بالاتری دارد؟

جدیدترین نسخه‌های ویندوز سرور معمولاً امن‌ترین نسخه‌ها هستند، زیرا از جدیدترین شیوه‌های امنیتی سرور استفاده می‌کنند. برای امنیت پیشرفته سرور، باید به نسخه‌های اخیر، از جمله ویندوز سرور 2008 R2، ویندوز سرور 2012 R2، ویندوز سرور 2016 و جدیدترین نسخه، ویندوز سرور 2019، نگاهی بیندازید. مایکروسافت در ویندوز سرور 2019، با به‌روزرسانی‌های  گسترده متمرکز بر امنیت  که تأثیر گسترده نقض‌ها و حملات را تصدیق می‌کند، به طور قابل توجهی به مشخصات امنیتی سیستم عامل سرور خود افزوده است. این ویژگی‌های جدید، ویندوز سرور 2019 را از منظر امنیتی به قدرتمندترین نسخه تبدیل می‌کند. 

ویژگی‌های ویندوز سرور ۲۰۱۹ مانند Windows Defender ATP Exploit Guard و Attack Surface Reduction (ASR) به شما کمک می‌کنند تا سیستم‌های خود را در برابر نفوذ محافظت کنید و ابزارهای پیشرفته‌ای را برای مسدود کردن دسترسی به فایل‌های مخرب، اسکریپت‌ها، باج‌افزارها و سایر حملات ارائه می‌دهند. ویژگی‌های حفاظت از شبکه در ویندوز سرور ۲۰۱۹ از طریق مسدود کردن IP، محافظت در برابر حملات وب را فراهم می‌کنند تا فرآیندهای خروجی به میزبان‌های غیرقابل اعتماد را از بین ببرند. تنظیمات پیشرفته سیاست حسابرسی در ویندوز سرور ۲۰۱۹، از جمله صف حوادث Microsoft Defender Advanced Threat Protection، به شما کمک می‌کند تا یک گزارش رویداد دقیق برای نظارت بر تهدیداتی که نیاز به اقدام دستی یا پیگیری دارند، دریافت کنید.  

نکات پایانی

تعریف وضعیت ایده‌آل شما، اولین قدم مهم برای مدیریت سرور است. ساخت سرورهای جدید برای رسیدن به آن ایده‌آل، آن را یک قدم جلوتر می‌برد. اما ایجاد یک فرآیند مدیریت سرور قابل اعتماد و مقیاس‌پذیر، نیازمند آزمایش مداوم وضعیت واقعی در برابر ایده‌آل مورد انتظار است. دلیل این امر، تغییر پیکربندی‌ها در طول زمان است: به‌روزرسانی‌ها، تغییرات ایجاد شده توسط بخش فناوری اطلاعات، ادغام نرم‌افزارهای جدید – علل بی‌پایان هستند.

چک‌لیست امن‌سازی ویندوز سرور

در دنیای امروز، امنیت ویندوز سرور اهمیت بسیار بالایی دارد. اگر سرور شما به خوبی امن‌سازی نشده باشد، حتی ساده‌ترین حملات می‌تواند منجر به نفوذ و خسارت شود. در این مقاله، یک چک‌لیست امن‌سازی ویندوز سرور را به‌صورت دسته‌بندی آماده کردیم تا بتوانید امنیت سرور خود را به راحتی ارتقا دهید و از تهدیدات رایج محافظت کنید.

امنیت حساب‌های کاربری و دسترسی‌ها

کنترل حساب‌های کاربری و مدیریت سطح دسترسی‌ها یکی از مهم‌ترین اصول امنیت شبکه و افزایش امنیت ویندوز سرور است. اگر حتی یک کاربر غیرمجاز یا با دسترسی بیش از نیاز به سرور راه پیدا کند، می‌تواند به راحتی اطلاعات حساس را مشاهده یا تغییر دهد و حتی باعث اختلال در کل سیستم شود. محدود کردن دسترسی‌ها باعث می‌شود فقط افراد مجاز و با سطح دسترسی مشخص بتوانند به منابع حیاتی دسترسی داشته باشند. این کار نه تنها احتمال نفوذ را کاهش می‌دهد، بلکه مدیریت و ردیابی فعالیت‌ها را هم ساده‌تر می‌کند.

چک‌لیست افزایش امنیت ویندوز سرور

• حساب Guest را غیرفعال کنید.
• نام Administrator را تغییر دهید یا یک اکانت جدید با نام خاص بسازید.
• فقط دسترسی لازم را به گروه‌های سیستمی بدهید (مثل Administrators، Backup Operators).
• پسوردها را حداقل ۱۵ کاراکتری با ترکیب حروف، اعداد و نمادها تنظیم کنید و هر ۹۰-۱۸۰ روز تغییر دهید.
• سیاست قفل شدن اکانت پس از ۳ تلاش ناموفق را فعال کنید.
• اکانت‌های غیرضروری را حذف یا غیرفعال کنید.

مدیریت سرویس‌ها و نقش‌های سرور

هر سرویس یا نقش اضافی روی سرور، یک نقطه آسیب‌پذیر جدید ایجاد می‌کند. حذف سرویس‌های غیرضروری باعث کاهش سطح حمله و مدیریت آسان‌تر سرور و افزایش امنیت ویندوز سرور می‌شود.

چک‌لیست افزایش امنیت ویندوز سرور

• فقط نقش‌ها و سرویس‌های موردنیاز را نصب و فعال کنید.
• سرویس‌های غیرضروری را غیرفعال یا حذف کنید.
• مرورگرهای اضافی را روی سرور نصب نکنید.
• دسترسی اینترنت کاربران سرور را محدود کنید.

به‌روزرسانی و Patch Management

بسیاری از نفوذها به دلیل آسیب‌پذیری‌های شناخته‌شده و آپدیت‌نشده رخ می‌دهد. مدیریت صحیح به‌روزرسانی‌ها، ریسک حملات را به شدت کاهش می‌دهد.

چک‌لیست

• ویندوز و نرم‌افزارها را به صورت منظم آپدیت کنید.
• قبل از اعمال پچ‌ها در محیط اصلی، آن‌ها را در محیط تست بررسی کنید.
• سیستم مدیریت Patch را برای شبکه‌های بزرگ پیاده‌سازی کنید.

تنظیمات فایروال و شبکه برای افزایش امنیت ویندوز سرور

فایروال و تنظیمات شبکه، دیوار دفاعی شما در برابر حملات خارجی است. پیکربندی درست این بخش، جلوی بسیاری از حملات را می‌گیرد.

چک‌لیست افزایش امنیت ویندوز سرور

• فقط پورت‌های ضروری را باز نگه دارید.
• دسترسی به RDP و SSH را محدود به IPهای خاص کنید.
• از فایروال ویندوز و ابزارهای امنیتی مکمل استفاده کنید.
• لاگ‌برداری و مانیتورینگ ترافیک شبکه را فعال کنید.

آنتی‌ویروس و ابزارهای امنیتی

وجود آنتی‌ویروس و ابزارهای امنیتی به‌روز، خط دفاعی مهمی در برابر بدافزارها و تهدیدات روز است.

چک‌لیست

• آنتی‌ویروس معتبر با آپدیت خودکار نصب کنید.
• اسکن منظم سیستم را زمان‌بندی کنید.
• استفاده از ابزارهای ضدبدافزار و فایروال سخت‌افزاری را بررسی کنید.

امن‌سازی ویندوز سرور یک فرآیند یک‌باره نیست؛ باید به صورت دوره‌ای و منظم این چک‌لیست را مرور و اجرا کنید. با رعایت این موارد، امنیت سرور شما تا حد زیادی تضمین می‌شود و می‌توانید با خیال راحت‌تر به مدیریت کسب‌وکار خود بپردازید.