تفاوتی ندارد که مسوولیت راهاندازی مجموعهای از سرورها را در فضای ابری بر عهده داشته باشید یا بخواهید سرور اختصاصی کسبوکار کوچکتان را راهاندازی و مدیریت کنید. درهرحال، توجه به امنیت سرور و ایمن نگهداشتن اکوسیستمتان در برابر تهدیدها و خطرات امنیتی، اهمیت بسیاری دارد. هاردنینگ ویندوز سرور یا امنسازی ویندوز سرور به مجموعهای از تکنیکها و روشهایی گفته میشود که برای کاهش آسیبپذیری ویندوز سرور بهکار گرفته میشوند. بهطور کلی هاردنینگ، مجموعهای از اقداماتی است که در برای افزایش امنیت سرور بهکار گرفته میشوند.
در این مطلب، ابتدا هاردنینگ ویندوز سرور و اهمیت اجرای آن را توضیح میدهیم و سپس به مواردی میپردازیم که اقدام Windows Server Hardening را عملی میکنند و شما را از امنیت ویندوز سرورتان در برابر بیشتر حملات سایبری مطمین میسازند.
اهمیت هاردنینگ ویندوز سرور
به گفتهی مایکروسافت، سطح امنیت یک سازمان بر همهی اعضا و زیرمجموعههای آن سازمان تاثیر دارد. هرگونه ریسک که احتمال وقوع یک حملهی امنیتی را فراهم میکند، میتواند بسیار خطرناک باشد و همهی امور عادی و روزمرهی سازمان را مختل یا متوقف کند.
اجرای بندهای چک لیست امنیتی ویندوز سرور، به شما کمک میکند کار نفوذ و حمله به سیستم، برای هکرها و مهاجمان سایبری، دشوارتر و طولانیتر شود. حملهی هکر به سرور با تحقیق و شناسایی نقاط ضعف سیستم انجام میشود و پس از شناسایی نقاط نفوذ، به دنبال راههایی میگردد که هدفش را هرچه سریعتر محقق کند. برای مثال، بسیاری از هکرها با افزایش تدریجی سطح دسترسی، تلاش میکنند بتوانند ظرف مدت کوتاهی کنترل سازمان را بهدست بگیرند.
اجرای چکلیست هاردنینگ ویندوز سرور، با افزایش سطح امنیت سرور و رفع نقاط ضعف سیستم، از وقوع بسیاری حملات جلوگیری میکند و هنگام بروز هرگونه تهاجمی، با ارتقای علایم هشداردهندهی مختلف، حمله را شناسایی کرده و بدین شکل فرصت بیشتری برای خنثا کردن حمله در اختیارتان قرار میدهد. نهایتن با حذف سیستمهای آسیبدیده، به شما کمک میکند به بهترین شکل به حمله مهاجمان پاسخ دهید.
چک لیست امنیتی ویندوز سرور
اگرچه مایکروسافت پیکربندی پیشفرض را در هر نسخه سرور بهبود میبخشد، با وجود این در بیشتر مواقع، یک سرور ویندوز به اقدامات امنیتی بیشتری نسبت به تنظیمات پیشفرض نیاز دارد. برای افزایش امنیت ویندوز سرور (Windows Server) باید ضعفهای امنیتی محیط و اپلیکیشنها شناسایی و سپس رفع شوند.بر همیناساس مدیران شبکه بهطور معمول متناسب با وظایف، سیاستها و اولویتهای هر سازمان/شرکت با تهیهی یک چک لیست استاندارد امنیتی برای ویندوز سرور، تنظیمات و تمهیدات مختلف را در سیستمعامل اعمال میکنند.
پیکربندی و تنظیمات کاربران در ویندوز سرور
با اینکه نسخههای جدید ویندوز سرور، شما را به تغییر رمزعبور Administrator مجبور میکنند، اما باز نیاز است رمزعبور خود را تغییر دهید. علاوهبراین، از آنجایی که حساب ادمین (که سطح دسترسی بسیار بالایی دارد) یک هدف محبوب برای حملهی مهاجمان است و از طرف دیگر در شرایط بسیار محدودی به آن نیاز دارید، بهتر است گزینهی ورود با این امکان را بهطور کامل غیرفعال کنید تا از سواستفاده از آن جلوگیری شود.
اگر اکانت مدیر لوکال را غیرفعال کنید، باید یک حساب مدیریت جدید راهاندازی شود. توجه داشته باشید که حسابهای کاربری را با دسترسیهای مورد نیاز برای هر نقش ایجاد کرده و برای همهی حسابها از رمزعبورهای قدرتمند استفاده کنید تا مطمین شوید که حسابهای موجود در سرور به خطر نمیافتند. در استاندارد بودن و قوی بودن پسوردهای مدیریتی و سیستمیتان حساس و سختگیر باشید، بهویژه برای اکانتهای مدیریتی که سطح دسترسی بالایی دارند.
بهطور کلی توصیه میشود اکانتهای مهمان Guest Account غیرفعال باشند و فقط هنگام ضرورت یا نیاز آنها را فعال کنید. همهی اکانتهای داخلی فرصتی برای نفوذ بهشمار میآیند و اکانتهای مهمان در میان آنها بالاترین میزان خطر و نفوذپذیری را به خود اختصاص میدهند.
بهطور کلی، در تنظیمات امنیتی حساب کاربری به این موارد توجه کنید:
- پیچیدگی و طول: مشخص کنید که رمزعبور قوی از نظر شما باید دارای چه مشخصاتی باشد. هر رمزعبور باید دستکم ۱۵ کاراکتر داشته و ترکیبی از حرف، عدد، علایم خاص و کاراکترهای نامریی باشد. همچنین توصیه میشود از کلمات معنادار یا لغتنامهای استفاده نشود.
- انقضای رمزعبور: مشخص کنید مدتزمان اعتبار هر رمزعبور چه مدت است. همهی پسوردها را دستکم هر ۹۰ روز یکبار عوض کنید.
- تاریخچهی گذرواژه: مشخص کنید مدت زمان استفادهی دوباره از رمزهای عبور قبلی چهقدر است.
- قفل حساب: مشخص کنید که بعد از چند تلاش با رمزعبور ناموفق، حساب کاربر باید تعلیق شود.
- گذرواژههای قدیمی عامل بسیاری از هکهای موفق هستند، بنابراین مطمین شوید که با تغییر منظم رمزعبور، در برابر این موارد از سرور محافظت میکنید.
- حسابهای کاربری بدون استفاده را بهسرعت غیرفعال یا حذف کنید.
- به تنظیمات پیشفرض در سطح دسترسی هر اکانت یا گروههای تعریف شده توجه داشته باشید و سطح دسترسی به عملکردهای مهم و حیاتی را به حداقل برسانید. برای مثال، بهطور پیشفرض، حق «دسترسی به این رایانه از شبکه» به گروه Everyone اعطا میشود. که عملن به همهی کاربران امکان دسترسی نامحدود از راه دور به پوشههای مشترک داده میشود.
- سیاستهای گروهی (Group Policy) برای مسدودسازی اکانتها را براساس بهترین شیوههای پیشنهادشده تنظیم کنید.
- به کاربران اجازه ایجاد اکانت مایکروسافتی و لاگین در کامپیوترها را ندهید.
پیکربندی شبکه Network Configuration
سرورها باید یک IP استاتیک داشته باشند تا مشتریان بتوانند بهشکلی مطمین و قابل اعتماد آنها را پیدا کنند. این IP باید در یک بخش محافظت شده، پشت فایروال باشد. حداقل دو DNS سرور را برای افزونگی پیکربندی (با استفاده از Nslookup در خط فرمان) وضوح نام بررسی کنید. مطمین شوید که سرور، یک رکورد معتبر در DNS با نام مورد نظر شما و همچنین یک رکورد PTR برای جستوجوهای معکوس دارد.
توجه داشته باشید که ممکن است چندین ساعت طول بکشد تا تغییرات DNS در سراسر اینترنت منتشر شود، بنابراین پیش از آنلاین کردن سرور، آدرسهای مورد نظر را تولید کنید و در نهایت، هر سرویس شبکهای را که سرور از آن استفاده نمیکند را مانند IPv6 غیرفعال کنید.
ویژگیهای ویندوز و پیکربندی نقشها
مایکروسافت از نقشها و ویژگیها برای مدیریت بستههای سیستمعامل استفاده میکند. نقشها اساسن مجموعهای از ویژگیها هستند که برای یک هدف خاص طراحی شدهاند، بنابراین بهطور کلی میتوان نقشهای متناسب با یک سرور را انتخاب و سپس ویژگیهای مورد نظر را از آنجا سفارشی کرد.
در این مرحله دو کار مهم وجود دارد که باید انجام دهید :
۱) مطمین شوید هر آنچه نیاز دارید نصب شده است. برای مثال ممکن است برای عملکرد صحیح برنامههایتان به یک نسخهی فریمورک داتنت یا IIS نیاز داشته باشید، مواردی که بدون آنها برنامههای شما کار نخواهند کرد. همچنین نرمافزاری نصب کنید که یکپارچگی فایلهای مهم سیستمعامل را بررسی کند. ویندوز قابلیتی موسوم به Resource Protection دارد که فایلهای مهم خاص را بهطور خودکار بررسی و هر کدام را که معیوب بود با نسخهی سالم جایگزین میکند.
۲) هر چیزی که نیاز ندارید را حذف کنید. برنامه و بستههای اضافی و غیرضروری، امنیت سرور را کاهش میدهند و باید حذف شوند. این اقدام، برای برنامههای پیشفرض و از پیش نصب شدهی روی سرور نیز ضروری است. سرورها باید با توجه به میزان نیاز و ضرورت طراحی شوند، بهگونهای که بخشهای لازم بهراحتی و سریعتر عمل کنند.
بهروزرسانی پیوسته
بهترین راه برای حفظ امنیت سرور، بهروز نگه داشتن آن است. با اینکه ویندوز سرور، پیکربندی امنی دارد اگر میخواهید همچنان امن بماند، حتمن آن را بهروز نگه دارید. باید در نظر داشته باشید که بیشتر نقاط آسیبپذیری که مورد سواستفادهی هکرها و مهاجمان قرار میگیرند، بیش از یک سال قدمت دارند. البته بهروزرسانی نه به این معنا که بهمحض انتشار، بدون آزمایش و تست کافی آن را اعمال کنید. بلکه بهروزرسانیهای حیاتی باید در اسرعوقت آزمایش و سپس در وضعیت بدون مشکل، اعمال شوند.
توجه داشته باشید نرمافزارهای ضدویروس و ضدجاسوسافزار از جمله مواردی هستند که باید بهطور مستمر مورد نصب، فعالسازی و بهروزرسانی قرار بگیرند.
پیکربندی فایروال
فایروال ویندوز یک نرمافزار داخلی مناسب است که امکان پیکربندی ترافیک مبتنی بر پورت را از داخل سیستمعامل فراهم میکند. در یک سرور مستقل یا هر سرور بدون فایروال سختافزاری، فایروال ویندوز، سرور را با محدود کردن سطح حمله به پورتهای مجاز، در برابر حملات مبتنی بر شبکه محافظت میکند.
گفته میشود فایروال سختافزاری همیشه انتخاب بهتری است چون ترافیک را به دستگاه دیگری منتقل میکند و گزینههای بیشتری برای مدیریت ترافیک ارایه میدهد. بدین شکل سرور روی وظیفهی اصلی خود متمرکز میماند. با وجود این، فارغ از اینکه از چه روشی استفاده میکنید، توجه داشته باشید ترافیک را فقط به مسیرهای ضروری محدود کنید. همچنین فایروال ویندوز را در همهی پروفایلها (دامنهها، خصوصی، عمومی) فعال و بهشکلی پیکربندی کنید که بهطور پیشفرض ترافیک ورودی را مسدود کنند.
پیکربندی دسترسی از راه دور
اگر از RDP استفاده میکنید مطمین شوید که فقط از راه VPN قابل دسترسی است چون باز گذاشتن RDP فرصت حمله و نفوذ هکرها به سرور شما را فراهم میکند. بنابراین مطمین شوید که RDP فقط بهوسیلهی کاربران مجاز قابل دسترسی است.
علاوهبر RDP، اگر از مکانیسمهای مختلف دسترسی از راه دور دیگری مانند PowerShell و SSH استفاده میکنید اطمینان پیدا کنید که فقط از راه VPN قابل دسترسی هستند و با دقت قفل شدهاند. بههیچوجه نباید از Telnet استفاده کرد، زیرا اطلاعات را بهشکل متن ساده ارسال میکند و بسیار ناامن است. در مورد FTP نیز همینطور. تا حد امکان از SFTP یا SSH (از VPN) استفاده و از هرگونه ارتباط رمزگذارینشده بهطور کلی اجتناب کنید.
پیکربندی برنامههای درحال اجرا
سرور ویندوز دارای مجموعهای از سرویسها و نرمافزارهای پیشفرض است که بهطور خودکار فعال شده و در پسزمینه اجرا میشوند. بسیاری از این سرویسها برای عملکرد سیستمعامل ضروری هستند. همانطور که پیشتر اشاره کردیم توصیه میشود برای حفظ امنیت بالاتر، با غیرفعال کردن موارد غیرضروری، میزان خظر نفوذ به سرور را به حداقل برسانید.
سرویسهای مهم باید بهگونهای تنظیم شوند که بهطور خودکار شروع به کار کنند تا سرور بتواند پس از بروز یک مشکل، بدون نیاز به تعامل انسانی، بازیابی شود. برای برنامههای پیچیدهتر از گزینهی خودکار (شروع با تاخیر) استفاده کنید تا سایر سرویسها قبل از راهاندازی سرویسهای کاربردی، فرصتی برای شروع کار داشته باشند.
ثبت و نظارت
باید مطمین شوید که گزارشگیری و مانیتورینگ سرور بهخوبی پیکربندی شده است و دادههای مورد نظرتان را جمعآوری میکند تا هنگام بروز مشکل، بتوانید به سرعت علت آن را شناسایی و اصلاح کنید. بسته به اینکه سرور شما بخشی از یک دامنه است یا خیر، لاگینگ متفاوت عمل میکند. ورود به دامنه به وسیلهی کنترلکنندههای دامنه (Domain Controllers) پردازش میشود. سرورهای مستقل، دارای ممیزی امنیتی دسترسی هستند و میتوان آنها را برای نمایش ورودها یا خرابیها پیکربندی کرد.
بررسی کنید بیشترین اندازهی فایلهای گزارشگیری، مناسب و کافی باشد، چراکه اندازه پیشفرض فایلهای گزارشگیری، معمولن برای ثبت دادههای مورد نیاز برنامههای پیچیده، بسیار کوچک هستند. بنابراین باید توجه داشته باشید که فضای مناسب برای این فایلها اختصاص داده شود. همچنین گزارشها باید مطابق با خطومشی سازمان شما پشتیبانگیری شوند و سپس پاک شوند تا فضا برای رویدادهای جاری بیشتر باز شود.
بهطور کلی باید اطلاعات عملکرد هر سرور را ثبت کنید. مواردی مانند فضای موجود دیسک، میزان استفاده از پردازنده و حافظه، فعالیت شبکه و حتا دما باید بهطور مداوم تجزیه، تحلیل و ثبت شوند تا بتوان بهآسانی مشکلات یا موارد نامعمول را شناسایی و با آنها مقابله کرد. این مرحله در بیشتر مواقع نادیده گرفته میشود، اما درطولانی مدت سود زیادی بههمراه خواهد داشت، چون عیبیابی سیستم بدون داده و گزارشهای مستند، اساسن تیری در تاریکی است.
پشتیانگیری از اطلاعات و سیستم
یکی از مهمترین اقدامات برای هاردنینگ ویندوز سرور، پشتیبانگیری منظم از سیستمعامل ویندوز سرور و دادههای ذخیرهشده در آن است. زیرا این اقدام، حملهی باجافزارها به ویندوز سرور را کاهش میدهد. بکآپگیری به شما کمک میکند تا هنگام حملهی باجافزارها، اطلاعات را بهراحتی بازیابی کنید.
در نهایت، از سیستمعاملهایتان ایمیج بگیرید تا همهی نرمافزارهای نصبشده و همهی تنظیمات امنیتی که اعمال کردهاید در فایل ایمیج کپی شوند. در این شرابط اگر نیاز داشته باشید که ویندوز سرور را دوباره نصب کنید همهی برنامهها و تنظیمات امنیتی پیشین از روی فایل ایمیج روی ویندوز سرور پیاده میشود و دیگر نیازی نیست پس از نصب ویندوز جدید، همه نرمافزارها و تنظیمات امنیتی موردنیازتان را دوباره یکبهیک اعمال کنید.
کدام نسخه ویندوز سرور امنیت بالاتری دارد؟
آخرین و جدیدترین نسخههای Windows Server بهدلیل استفاده از بهترین شیوههای امنیتی، امنترین نسخههای ویندوز سرور هستند. برای امنیت سرور پیشرفته باید نسخههای اخیر، از جمله Windows Server 2008 R2، Windows Server 2012 R2، Windows Server 2016 ، Windows Server 2019 و جدیدترین نسخه یعنی Windows Server 2022 استفاده کنید.
سیستمعامل ویندوز سرور ۲۰۲۲، با بهروزرسانیهای متمرکز بر امنیت فراگیر و ویژگیهای جدید، ویندوز سرور شما را از نظر امنیتی بسیار قدرتمند میکند. ویژگیهای Windows Server 2022 مانند Windows Defender ATP Exploit Guard و Attack Surface Reduction (ASR) به محافظت از سیستم شما در برابر نفوذ و حملات هکرها و مهاجمان کمک میکند و ابزارهای پیشرفتهای را برای مسدود کردن دسترسی به فایلهای مخرب، اسکریپتها، باجافزارها و سایر حملات فراهم خواهد کرد.
ویژگی محافظت از شبکه در ویندوز سرور ۲۰۲۲، با مسدود کردن IP مهاجم از سرور شما در برابر حملات وب محافظت میکند. همچنین در Windows Server 2022 شما گزارشی از همهی رویدادها برای نظارت بر تهدیدهایی که به اقدام دستی یا پیگیری نیاز دارند، دریافت میکنید.