چرا باید امنیت ویندوز سرور را تقویت کنیم؟
با پیروی از دستورالعمل های افزایش امنیت ویندوز سرور، میتوانید اطمینان حاصل کنید که که سرور شما با حداقل تنظیمات امنیتی مورد نیاز اجرا می شود. البته پیاده سازی شیوه های امنیتی نشان دهنده عدم آسیب پذیری سیستم های شما نیست؛ اما این اطمینان را میدهد که سیستم شما به راحتی قابل نفوذ نخواهد بود و عملکرد بهتری را هنگام مقابله با تهدیدات و خطرات شناخته شده ارائه خواهد داد.
ما در این مطلب لیستی از دستورالعمل های حیاتی برای تامین امنیت ویندوز سرور را برای شما گردآوری کرده ایم. اجرای تنظیمات زیر، نیازی به دانش خاصی ندارد.
بیشتر بخوانید: فایل سرور چیست؟ + نحوه کار و مزایای file server
چک لیست امنیتی و هاردنینگ ویندوز سرور
Patching systems
اگر کمتر از ۱۰ کامپیوتر در شبکه تان دارید، ممکن است نیازی به یک سیستم خودکار patch management نباشد. اما patching سرورها و دسکتاپ های ویندوز در یک شبکه بزرگ نیازمند یک سیستم مدیریت قوی برای patch است. یک سیستم مدیریت patch ایده آل قادر به ارسال خودکار لیستی از patchهای ضروری به مشتریان و سرورها خواهد بود که در آن مدیر شبکه کنترل کاملی بر روی اینکه کدام پچ امنیتی باید اجرا شود دارد. علاوه بر این، پچ ها باید در محیط آزمایشی تست شوند تا اطمینان حاصل شود که هیچ مشکلی با برنامه های موجود در محیط تولید ایجاد نخواهند کرد.
Antivirus solution
یک راه حل ضروری برای شبکه های مختلف و افزایش امنیت ویندوز سرور ، استفاده از آنتی ویروس است. توجه داشته باشید که نصب و استفاده از آنتی ویروس فقط با تنظیمات به روزرسانی خودکار به کار می آید و بدون virus signatures آپدیت شده، بلااستفاده است.
Log management
سیستمی که هم برای عملکرد و هم برای امنیت نیاز به تنظیمات دقیق دارد، باید دارای یک سیستم مدیریت لاگ باشد. مدیریت لاگ، به تولید لاگ ها و بررسی آنها به صورت منظم می پردازد. هنگام تنظیم اطلاعاتی که باید لاگ شود، حتما تنظیمات خود را به گونه ای سفارشی کنید که فقط اطلاعات حیاتی و لازم برای نظارت بر عملکرد و مسائل امنیتی سیستم شما لاگ شود. تعداد زیاد لاگ ها می تواند بر روی سیستم تاثیر منفی بگذارد.
Disable unused services
این یک روش برای کاهش سطح حمله است. زمانی که شما تعداد کمتری از کدها / سرویس ها را به دنیای خارج از شبکه ارائه می دهید، سطح حمله کاهش می یابد.
Delete unnecessary applications
حذف برنامه های غیر ضروری یک روش دیگر برای کاهش سطح حمله است. هر چه تعداد برنامه های شما بیشتر باشد، سیستم شما در معرض خطر آسیب پذیری های بیشتری قرار می گیرد (بدون در نظر گرفتن احتمال zero-day-vulnerabilities). بنابراین، اگر از یک برنامه استفاده نمی کنید، به سادگی آن را حذف کنید.
Filtering ports
شما باید از پورت های مورد نیاز سرویس های سیستم خود به جهت افزایش امنیت ویندوز سرور ، آگاه باشید. برای مثال قطعاً نیازی به اجرای پورت های FTP (20 و ۲۱ TCP) یا Telnet (23 TCP) در رایانه ای که برای مرور اینترنت استفاده می شود یا سروری که سرویس DNS را ارائه می دهد، نیاز ندارید.
Use IP filtering
شما می توانید از فیلتر IP استفاده کنید تا اگر دسترسی به سرور برای همه افراد در شبکه تان لازم نیست، فقط به آی پی های مجاز امکان دسترسی به سرور را بدهید.
جهت مطالعه بیشتر در این
زمینه می توانید به مقاله ۸
نکته کلیدی برای حفاظت اتاق سرور مراجعه کنید.
Custom scripts
اگر از اسکریپت سفارشی برای انجام فعالیت هایی مانند گرفتن نسخه پشتیبان یا به اشتراک گذاری دایرکتوری استفاده می کنید، اطمینان حاصل کنید که اسکریپت های شما اطلاعات را به صورت غیرمجاز افشا نمی کنند.
Delete default hidden shares/ unnecessary shares
حذف هرگونه اشتراک گذاری اضافی در سرور، یکی از راهکارهای افزایش امنیت سرور است.
در صورت وجود هرگونه ضرورت برای اشتراک گذاری یک درایو، حتماً اطمینان حاصل کنید نوع مجوزهایی که کاربران عادی باید هنگام دسترسی به پوشه به اشتراک گذاشته شده داشته باشند، چیست؟ آیا آنها دسترسی به نوشتن دارند؟ اگر دسترسی به نوشتن دارند، باید آن را به دسترسی read-only تغییر دهید.
Physical and logical access control
مطمئن شوید که سرور شما از نظر فیزیکی ایمن است و دسترسی پورت USB و سایر دسترسی های خارجی به سرور خود را جهت افزایش امنیت ویندوز سرور غیرفعال کنید. سعی کنید یک سیاست برای کنترل دسترسی ایجاد کنید. سیاست دسترسی مبتنی بر نیاز را اعمال کنید تا فقط کسانی که باید روی سرور کار کنند، مجوزهای دسترسی مناسب داشته باشند.
Be careful of default permissions
مجوز پیش فرض درایوها و برنامه هایتان را بررسی کنید. اگر چندین کاربر برای کار تعمیر و نگهداری به سرور دسترسی دارند، باید بر اساس نیازهایشان به آنها مجوز دهید. به هر کاربری دسترسی اختصاصی ندهید. از یک سیستم تشخیص نفوذ و پیشگیری مبتنی بر هاست استفاده کنید تا سیستم شما بتواند به طور خودکار از خود دفاع کند و در صورت شناسایی هرگونه فعالیت غیرعادی بدون نیاز به حضور شما، اقدامات اصلاحی انجام دهد.
Security assessment
می توانید از ابزارهای ارزیابی آسیب پذیری منبع باز یا پولی برای ارزیابی وضعیت فعلی ویندوز سرور خود استفاده کنید.
Use file integrity checker
یکی دیگر از راه های افزایش امنیت ویندوز سرور، استفاده از file integrity checker است. اگر سیستم شما دایرکتوری اطلاعات حساس دارد، می توانید از این روش برای اطلاع از نفوذ و دستکاری سایرین استفاده کنید.
Disable the Guest account
ممکن است سیستم حساب پیش فرض یا مهمان (Guest) داشته باشد؛ شما باید آن را غیرفعال کنید. همچنین مطمئن شوید که تمام برنامه های نصب شده روی سرور شما از نام کاربری و رمز عبور پیش فرض استفاده نمی کنند.
Encryption
از یک الگوریتم رمزنگاری قوی برای رمزگذاری اطلاعات حساس ذخیره شده در سرورهایتان استفاده کنید. در ضمن باید اطمینان حاصل کنید که اطلاعات در حال انتقال نیز به صورت رمزگذاری شده منتقل می شوند.
جهت مطالعه بیشتر در این زمینه می توانید به مقاله ۷ نکته جهت انتخاب یو پی اس مناسب برای اتاق سرور مراجعه کنید.
جمع بندی مبحث چک لیست افزایش امنیت ویندوز سرور
اعمال سیاست ها و تنظیمات امنیتی برای افزایش امنیت ویندوز سرور کافی نیست. شما باید به طور منظم میزان امنیت سرورتان را ارزیابی کنید. در نهایت برنامه ریزی کنید و قدرت توسعه برنامه آگاهی از امنیت در سازمان هایتان را دست کم نگیرید تا کارمندانتان هوشیار باقی بمانند و به شما در شناسایی هر گونه نقض امنیت کمک کنند.
رفرنس ها:
- وب سایت securitywing
*فهرست مطالب :
بازتاب: امنیت سرور چیست؟ 7 مورد مهم برای تامین امنیت سرورها - سخت افزار سازان رسام
بازتاب: معرفی و بررسی روش های آپدیت فریمور سرور HPE
بازتاب: فایل سرور چیست؟ + نحوه کار و مزایای file server
بازتاب: بررسی جامع و خرید سرور HPE DL380 G11 - سخت افزار سازان رسام