IT-оборудование
С пробегом и новое
Доставка по всей России
Время работы:
с 9:00 до 18:00
по Мск
0
0 Р
Акции

Как обеспечить безопасность Windows Server

Как обеспечить безопасность Windows Server

Нет невзламываемых систем, но есть защищенные и не защищенные. И усложнить взломщику задачу до той степени, когда ему будет выгоднее за нее даже не браться, сравнительно просто - проще, чем разбираться с последствиями успешного взлома.

А потому если у вас в хозяйстве наличествуют виртуальные серверы на Wondows, вам необходимо защитить их - давайте разберемся, как.


Account Lockout Policy

К сожалению, Windows-серверы, включая даже 2016, не оснащены защитой от брутфорса. В любой момент к ним можно подключиться и начать перебирать пароли хоть бесконечно - ну и в конце концов подобрать, конечно. Так что придется вручную ставить блокировку после неудачных попыток входа.

В Windows эта политика обозначена Account Lockout Policy, ее можно запустить через secpol.msc -> Политика учетных записей -> Пороговое значение блокировки. Установите, например, максимум 3 или 5 попыток входа в час (для этого нужно задать часовую продолжительность блокировки после соответствующего числа попыток входа).

Программы брутфорса способны генерировать и вводить тысячи паролей в час, и ограничивая их чуть более, чем сотней вариантов в сутки, мы сводим эффективность брутфорса практически к нулю.


Правильные настройки брандмауэра, использование портов, защита RDP

Брандмауэра сервера на Windows вполне достаточно для обеспечения неплохого уровня защищенности, но и сам по себе он принесет пользу только в случае, если будет хорошо настроен. Как его хорошо настроить? Взять и все запретить!

Пусть открытыми для любого адреса будут порты 443 и 80, да и то только в случае, если сервер обеспечивает работу веб-ресурса. И только белому списку IP-адресов можно будет пользоваться портами 53 (DNS), 990 (FTPS), 1433-1434 (SQL), 3389 (RDP) и 5000-5050 (пассивный FTP).

Нечего и говорить, что посторонние пользователи не должны получать доступа к этим портам! Стандартные порты же лучше вообще не использовать, а перенести сервисы, которые вам нужны, на нестандартные. Откройте порт в правилах брандмауэра, перезапустите сервер - вуаля. Особенно это будет полезно для RDP, который будет полезно защитить пустым паролем. Делается это так: Локальные политики -> Параметры безопасности -> Учетные записи. Там настраиваем разрешение на использование пустого пароля исключительно для консольного входа.


Правильная политика администрирования

Чтобы защитит сервер на Windows, крайне важно правильно обращаться с администраторскими аккаунтами. Не используйте запись по умолчанию! Аккаунт Administrator нужно переименовать через secpol.msc -> Локальные политики -> Параметры безопасности -> Учетные записи -> Переименование учетной записи администратора.

Более того, под каждого системного администратора должна быть устроена собственная учетная запись! Любое изменение в системе должно фиксироваться за одной из них, ведь изменение политик безопасности, например, может вести к серьезным проблемам.

Важно помнить, что при необходимости удаленной работы лучше использовать не свою, а свежую обычную учетку с ограниченными правами! В случае неожиданного ее взлома злоумышленники хотя бы не получат доступ к административному аккаунту.


О паролях и бэкапах, а также о критически важной информации

Грамотные, сложные, надежно защищенные пароли - основа безопасности сервера и всей инфраструктуры. Даже к общим папкам доступ должен получаться по паролю, вам нужно будет фиксировать доступ к ним и определять, кто и когда их использовал, любой анонимный доступ в системе должен быть исключен. Все пароли должны храниться в менеджере паролей: они должны быть гораздо более сложными, чем вы сможете запомнить, и их должно быть много и самых разнообразных.

Кроме паролей доступ, естественно, должен контролироваться политиками. Если у пользователя есть необходимость в получении информации, но нет квалификации на ее изменение или внесение, то и возможности такой у него не должно быть! Записывать, читать, изменять информацию - права среди учеток необходимо распределять грамотно.

И хотя это до определенного предела обезопасит ваши данные, их все-таки необходимо постоянно бэкапить. Критически важная информация должна записываться каждые сутки и храниться в нескольких местах: в вашей инфраструктуре и в стороннем надежном месте. Будьте осторожны: злоумышленники могут пытаться не только украсть, но и повредить данные, что им не удастся, если у вас будет копия про запас.


 
Поделитесь статьей в соцсетях   
Получите сервер
на тест-драйв
Оцените сочетание производительности и цены серверов от ItTelo
Соберем любую конфигурацию под ваши задачи и отправим вам на тестирование без предоплаты
После заявки:
  • Консультация
  • Бесплатная доставка
  • Тест-драйв у вас
  • Оплата
  • Гарантия 12 месяцев
Хотите проконсультироваться? С радостью ответим на ваши вопросы 8 800 551 80 12 или info@ittelo.ru