Top.Mail.Ru
КОНФИГУРАТОР Серверы
Сетевое оборудование
СХД IP-телефоны IP-камеры Источники бесперебойного питания (ИБП) Комплектующие Готовые решения -40 % Серверы под задачу
О компании Купить в лизинг Блог Отзывы Доставка Гарантия Контакты Работа у нас Реквизиты Спецпредложения Игровые ПК на ISKRAPC
Эксперты в подборе IT-оборудования

Как защитить удаленный сервер Windows от внутренних и внешних угроз

10 января 2020

В первой статье нового года мы поговорим на такую тему, как методы защиты удаленного сервера Windows как от внутренних, так и от внешних угроз: хакерских атак и некомпетентных пользователей. Сразу оговоримся, что, во-первых, речь пойдет об использовании преимущественно встроенных средств, а во-вторых, мы не будем рассматривать возможную злонамеренность хостера т.к. в этом случае все сведется к необходимости шифрования дисков. В своем анализе мы будем ориентироваться на потребности в безопасности небольшой компании, арендующей терминальный сервер в удаленном ЦОД-е.


Внешние угрозы

Внешним оборонительным укреплением всегда выступал фаервол. В эпоху Windows 2003 он был практически бесполезен, применение внешних средств часто оказывалось невозможным, что вынуждало прибегать к использованию IPSec. С тех времен ситуация заметно улучшилась и решающую роль в этом сыграло появление WFP (Windows Filtering Platform), с которым наверняка довелось поработать каждому сисадмину, когда либо настраивавшему доступ к удаленному серверу лишь с конкретных IP-адресов.

При его настройке важно обращать внимание на то, что WFP по умолчанию блокирует все входящие коннекты, не попавшие в белый список, однако разрешает все исходящие кроме тех, которые находятся в черном списке. Настройки этой политики можно изменить в свойствах фаервола. Кроме того фаервол Windows позволяет осуществлять fail2ban, автоматически блокируя IP-адреса, с которых осуществляется установленное число неудачных попыток подключения к серверу.

Когда встроенного фаервола не хватает, можно задуматься о дополнительном ПО, но не следует забывать, что практически все решения для Windows Server обойдутся недешево. В качестве альтернативы, если компания использует colocation, а не арендует сервер в зарубежном дата-центре, можно попытаться расположить перед сервером роутер. Если же сервер все-таки находится далеко – поможет виртуализация с помощью того же встроенного встроенный Hyper-V и установка на виртуальный сервер традиционных GNU\Linux или FreeBSD.

Эти методы дадут необходимый минимум защиты от внешних угроз небольшой компании.


Внутренние угрозы

Установка антивирусного ПО на сервер для защиты от опасностей, скачиваемых пользователями из интернета, на первый взгляд кажется очевидным решением. Однако на практике оно часто оказывается недостаточным.

Профессиональные сисадмины обычно используют инструменты блокировки запуска ПО, не включенного в белый список. Наиболее известными здесь являются два механизма – совсем древний, но по-прежнему надежный SRP (software restriction policies) и чуть более гибкий в настройках AppLocker.

Более современной альтернативой им является WDAC (Windows Defender Application Control) – модуль, отвечающий за политики доступа к приложениям и библиотекам и некоторое время назад являвшийся частью Device Guard (защиты компьютера, включающей методы виртуализации). Минусы WDAC по сравнению с классикой SRP и AppLocker заключаются в отсутствии графического интерфейса (только команды через PowerShell, только хардкор), отсутствии настроек для профиля пользователя (только для всего компьютера) и непривычности настройки с необходимостью создавать xml-файл, приводить его к бинарному и распространять на все машины. Плюсы: можно давать доступ к своему cmd.exe-скрипту, а не вирусу, а также можно применять политику до загрузки системы посредством UEFI.

Говоря про защитник Windows следует также сказать несколько слов про еще два средства защиты. Первое – Credential Guard – применяет виртуализацию, запуская компонент LSA (Local Security Authority) в процессе, изолированном от ОС и таким образом затрудняя воровство хешей паролей и билетов Kerberos. Второе – Remote Credential Guard – защищает пересылку учетных данных (особенно актуально для админских!), необходимых для удаленного подключения по, например, RDP. Это средство обеспечивает подключение к удаленному серверу без явного ввода пароля, что способствует как повышению безопасности, так и более удобному соединению с серверами (SSO).

Подытоживая, можно сделать вывод, что сегодня существуют достаточно удобные инструменты для защиты удаленного сервера как от внешних, так и внутренних угроз, главное – грамотно их применять.

 
Поделитесь статьей в соцсетях   
 
Вам также может быть интересно

Товар добавлен в список сравнения
Перейти в сравнение
Продолжить просмотр
Подбираете сервер для 1С?
Подпишитесь на специальную серию писем про выбор и настройку сервера под 1С
Подписаться
Боитесь неправильно выбрать сервер?
Оставьте свой email, и мы пришлем чек-лист с 5 самыми распространенными ошибками
Получить чек-лист
Нажимая кнопку "Получить чек-лист", вы даёте согласие на обработку персональных данных
Заказать консультацию
IT-архитектор подберет сервер под вашу задачу
Заказать сервер
Мы свяжемся с вами в течение 15 мин
Заявка на лизинг