Top.Mail.Ru
КОНФИГУРАТОР Серверы
Сетевое оборудование
СХД IP-телефоны IP-камеры Источники бесперебойного питания (ИБП) Комплектующие Готовые решения -40 % Серверы под задачу
О компании Купить в лизинг Блог Отзывы Доставка Гарантия Контакты Работа у нас Реквизиты Спецпредложения Игровые ПК на ISKRAPC
Эксперты в подборе IT-оборудования

Как обеспечить безопасность Windows Server

4 апреля 2019

Нет невзламываемых систем, но есть защищенные и не защищенные. И усложнить взломщику задачу до той степени, когда ему будет выгоднее за нее даже не браться, сравнительно просто - проще, чем разбираться с последствиями успешного взлома.

А потому если у вас в хозяйстве наличествуют виртуальные серверы на Wondows, вам необходимо защитить их - давайте разберемся, как.


Account Lockout Policy

К сожалению, Windows-серверы, включая даже 2016, не оснащены защитой от брутфорса. В любой момент к ним можно подключиться и начать перебирать пароли хоть бесконечно - ну и в конце концов подобрать, конечно. Так что придется вручную ставить блокировку после неудачных попыток входа.

В Windows эта политика обозначена Account Lockout Policy, ее можно запустить через secpol.msc -> Политика учетных записей -> Пороговое значение блокировки. Установите, например, максимум 3 или 5 попыток входа в час (для этого нужно задать часовую продолжительность блокировки после соответствующего числа попыток входа).

Программы брутфорса способны генерировать и вводить тысячи паролей в час, и ограничивая их чуть более, чем сотней вариантов в сутки, мы сводим эффективность брутфорса практически к нулю.


Правильные настройки брандмауэра, использование портов, защита RDP

Брандмауэра сервера на Windows вполне достаточно для обеспечения неплохого уровня защищенности, но и сам по себе он принесет пользу только в случае, если будет хорошо настроен. Как его хорошо настроить? Взять и все запретить!

Пусть открытыми для любого адреса будут порты 443 и 80, да и то только в случае, если сервер обеспечивает работу веб-ресурса. И только белому списку IP-адресов можно будет пользоваться портами 53 (DNS), 990 (FTPS), 1433-1434 (SQL), 3389 (RDP) и 5000-5050 (пассивный FTP).

Нечего и говорить, что посторонние пользователи не должны получать доступа к этим портам! Стандартные порты же лучше вообще не использовать, а перенести сервисы, которые вам нужны, на нестандартные. Откройте порт в правилах брандмауэра, перезапустите сервер - вуаля. Особенно это будет полезно для RDP, который будет полезно защитить пустым паролем. Делается это так: Локальные политики -> Параметры безопасности -> Учетные записи. Там настраиваем разрешение на использование пустого пароля исключительно для консольного входа.


Правильная политика администрирования

Чтобы защитит сервер на Windows, крайне важно правильно обращаться с администраторскими аккаунтами. Не используйте запись по умолчанию! Аккаунт Administrator нужно переименовать через secpol.msc -> Локальные политики -> Параметры безопасности -> Учетные записи -> Переименование учетной записи администратора.

Более того, под каждого системного администратора должна быть устроена собственная учетная запись! Любое изменение в системе должно фиксироваться за одной из них, ведь изменение политик безопасности, например, может вести к серьезным проблемам.

Важно помнить, что при необходимости удаленной работы лучше использовать не свою, а свежую обычную учетку с ограниченными правами! В случае неожиданного ее взлома злоумышленники хотя бы не получат доступ к административному аккаунту.


О паролях и бэкапах, а также о критически важной информации

Грамотные, сложные, надежно защищенные пароли - основа безопасности сервера и всей инфраструктуры. Даже к общим папкам доступ должен получаться по паролю, вам нужно будет фиксировать доступ к ним и определять, кто и когда их использовал, любой анонимный доступ в системе должен быть исключен. Все пароли должны храниться в менеджере паролей: они должны быть гораздо более сложными, чем вы сможете запомнить, и их должно быть много и самых разнообразных.

Кроме паролей доступ, естественно, должен контролироваться политиками. Если у пользователя есть необходимость в получении информации, но нет квалификации на ее изменение или внесение, то и возможности такой у него не должно быть! Записывать, читать, изменять информацию - права среди учеток необходимо распределять грамотно.

И хотя это до определенного предела обезопасит ваши данные, их все-таки необходимо постоянно бэкапить. Критически важная информация должна записываться каждые сутки и храниться в нескольких местах: в вашей инфраструктуре и в стороннем надежном месте. Будьте осторожны: злоумышленники могут пытаться не только украсть, но и повредить данные, что им не удастся, если у вас будет копия про запас.

 
Поделитесь статьей в соцсетях   
 
Вам также может быть интересно

Товар добавлен в список сравнения
Перейти в сравнение
Продолжить просмотр
Подбираете сервер для 1С?
Подпишитесь на специальную серию писем про выбор и настройку сервера под 1С
Подписаться
Боитесь неправильно выбрать сервер?
Оставьте свой email, и мы пришлем чек-лист с 5 самыми распространенными ошибками
Получить чек-лист
Нажимая кнопку "Получить чек-лист", вы даёте согласие на обработку персональных данных
Заказать консультацию
IT-архитектор подберет сервер под вашу задачу
Заказать сервер
Мы свяжемся с вами в течение 15 мин
Заявка на лизинг