تفاوتی ندارد که مسوولیت راه‌اندازی مجموعه‌ای از سرورها را در فضای ابری بر عهده داشته باشید یا بخواهید سرور اختصاصی کسب‌وکار کوچک‌تان را راه‌اندازی و مدیریت کنید. درهرحال، توجه به امنیت سرور و ایمن نگه‌داشتن اکوسیستم‌تان در برابر تهدیدها و خطرات امنیتی، اهمیت بسیاری دارد. هاردنینگ ویندوز سرور یا امن‌سازی ویندوز سرور به مجموعه‌ای از تکنیک‌ها و روش‌هایی گفته می‌شود که برای کاهش آسیب‌پذیری ویندوز سرور به‌کار گرفته می‌شوند. به‌طور کلی هاردنینگ، مجموعه‌ای از اقداماتی است که در برای افزایش امنیت سرور به‌کار گرفته می‌شوند.

در این مطلب، ابتدا هاردنینگ ویندوز سرور و  اهمیت اجرای آن را توضیح می‌دهیم و سپس به مواردی  می‌پردازیم که اقدام Windows Server Hardening را عملی می‌کنند و  شما را از امنیت ویندوز سرورتان در برابر بیش‌تر حملات سایبری مطمین می‌سازند.

اهمیت هاردنینگ ویندوز سرور 

به گفته‌ی مایکروسافت، سطح امنیت یک سازمان بر همه‌ی اعضا و زیرمجموعه‌های آن سازمان تاثیر دارد. هرگونه ریسک که احتمال وقوع یک حمله‌ی امنیتی را فراهم می‌کند، می‌تواند بسیار خطرناک باشد و  همه‌ی امور عادی و روزمره‌ی سازمان را مختل یا متوقف ‌کند.

اجرای بندهای چک لیست امنیتی ویندوز سرور،  به شما کمک می‌کند کار نفوذ و حمله به سیستم، برای هکرها و مهاجمان سایبری، دشوارتر و طولانی‌تر شود. حمله‌ی هکر به سرور با تحقیق و شناسایی نقاط ضعف سیستم انجام می‌شود و پس از شناسایی نقاط نفوذ، به دنبال راه‌هایی می‌گردد که هدفش را هرچه سریع‌تر محقق کند. برای مثال، بسیاری از هکرها با افزایش تدریجی سطح دسترسی، تلاش می‌کنند بتوانند ظرف مدت کوتاهی کنترل سازمان را به‌دست بگیرند.

اجرای چک‌لیست هاردنینگ ویندوز سرور، با افزایش سطح امنیت سرور و رفع نقاط ضعف سیستم، از وقوع بسیاری حملات جلوگیری می‌کند و هنگام بروز هرگونه تهاجمی، با ارتقای علایم هشداردهنده‌ی مختلف، حمله را شناسایی کرده و بدین شکل فرصت بیش‌تری برای خنثا کردن حمله در اختیارتان قرار می‌دهد. نهایتن با حذف سیستم‌های آسیب‌دیده، به شما کمک می‌کند به بهترین‌ شکل به حمله مهاجمان پاسخ دهید.

چک لیست امنیتی ویندوز سرور

اگرچه مایکروسافت پیکربندی پیش‌فرض را در هر نسخه سرور بهبود می‌بخشد، با وجود این در بیش‌تر مواقع، یک سرور ویندوز به اقدامات امنیتی بیش‌تری نسبت به تنظیمات پیش‌فرض‌ نیاز دارد. برای افزایش امنیت ویندوز سرور (Windows Server) باید ضعف‌های امنیتی محیط و اپلیکیشن‌ها شناسایی و سپس رفع شوند.بر همین‌اساس مدیران شبکه  به‌طور معمول متناسب با وظایف، سیاست‌ها و اولویت‌های هر سازمان/شرکت با تهیه‌ی یک چک لیست استاندارد امنیتی برای ویندوز سرور،  تنظیمات و تمهیدات مختلف را در سیستم‌عامل اعمال می‌کنند.

 پیکربندی و تنظیمات کاربران در ویندوز سرور

با این‌که نسخه‎‌های جدید ویندوز سرور،  شما را به تغییر رمزعبور Administrator مجبور می‌کنند، اما باز نیاز است رمزعبور خود را تغییر دهید. علاوه‌بر‌این، از آن‌جایی که حساب ادمین (که سطح دسترسی بسیار بالایی دارد) یک هدف محبوب برای حمله‌ی مهاجمان است و از طرف دیگر در شرایط بسیار محدودی به آن نیاز دارید، بهتر است گزینه‌ی ورود با این امکان را به‌طور کامل غیرفعال کنید تا از سواستفاده از آن جلوگیری شود.

اگر اکانت مدیر لوکال را غیرفعال کنید، باید یک حساب مدیریت جدید راه‌اندازی شود. توجه داشته باشید که حساب‌های کاربری را با دسترسی‌های مورد نیاز برای هر نقش ایجاد کرده و برای همه‌ی حساب‌ها از رمزعبورهای قدرت‌مند استفاده کنید تا مطمین شوید که حساب‌های موجود در سرور به خطر نمی‌افتند. در استاندارد بودن و قوی بودن پسوردهای مدیریتی و سیستمی‌تان حساس و سخت‌گیر باشید، به‌ویژه برای اکانت‌های مدیریتی که سطح دسترسی بالایی دارند.

به‌طور کلی توصیه می‌شود اکانت‌های مهمان Guest Account غیرفعال باشند و فقط هنگام ضرورت یا نیاز آن‌ها را فعال کنید. همه‌ی اکانت‌های داخلی فرصتی برای نفوذ به‌شمار می‌آیند و اکانت‌های مهمان در میان آن‌ها بالاترین میزان خطر و نفوذپذیری را به خود اختصاص می‌دهند.

به‌طور کلی، در تنظیمات امنیتی حساب کاربری به این موارد توجه کنید:

  • پیچیدگی و طول: مشخص کنید که رمزعبور قوی از نظر شما باید دارای چه مشخصاتی باشد. هر رمزعبور باید دست‌کم ۱۵ کاراکتر داشته و ترکیبی از حرف، عدد، علایم خاص و کاراکترهای نامریی باشد. هم‌چنین توصیه می‌شود از کلمات معنادار یا لغت‌نامه‌ای استفاده نشود.
  • انقضای رمزعبور: مشخص کنید مدت‌زمان اعتبار هر رمزعبور چه مدت است. همه‌ی پسوردها را دست‌کم هر ۹۰ روز یکبار عوض کنید.
  • تاریخچه‌ی گذرواژه: مشخص کنید مدت زمان استفاده‌ی دوباره از رمزهای عبور قبلی چه‌قدر است.
  • قفل حساب: مشخص کنید که بعد از چند تلاش با رمزعبور ناموفق، حساب کاربر باید تعلیق شود.
  • گذرواژه‌های قدیمی عامل بسیاری از هک‌های موفق هستند، بنابراین مطمین شوید که با تغییر منظم رمزعبور، در برابر این موارد از سرور محافظت می‌کنید.
  • حساب‌های کاربری بدون استفاده را به‌سرعت غیرفعال یا حذف کنید.
  • به تنظیمات پیش‌فرض در سطح دسترسی هر اکانت یا گروه‌های تعریف شده توجه داشته باشید و سطح دسترسی به عملکردهای مهم و حیاتی را به حداقل برسانید. برای مثال، به‌طور پیش‌فرض، حق «دسترسی به این رایانه از شبکه» به گروه Everyone اعطا می‌شود. که عملن به همه‌ی کاربران امکان دسترسی نامحدود از راه دور به پوشه‌های مشترک داده می‌شود.
  • سیاست‌های گروهی (Group Policy) برای مسدودسازی اکانت‌ها را براساس بهترین شیوه‌های پیشنهادشده تنظیم کنید.
  • به کاربران اجازه ایجاد اکانت مایکروسافتی و لاگین در کامپیوترها را ندهید.

 

پیکربندی شبکه Network Configuration

سرورها باید یک IP استاتیک داشته باشند تا مشتریان بتوانند به‌شکلی مطمین و قابل اعتماد آن‌ها را پیدا کنند. این IP باید در یک بخش محافظت شده، پشت فایروال باشد. حداقل دو DNS سرور را برای افزونگی پیکربندی (با استفاده از Nslookup در خط فرمان) وضوح نام بررسی کنید. مطمین شوید که سرور، یک رکورد معتبر در DNS با نام مورد نظر شما و هم‌چنین یک رکورد PTR برای جست‌وجوهای معکوس دارد.

توجه داشته باشید که ممکن است چندین ساعت طول بکشد تا تغییرات DNS در سراسر اینترنت منتشر شود، بنابراین پیش از آنلاین کردن سرور، آدرس‌های مورد نظر را تولید کنید و در نهایت، هر سرویس شبکه‌ای را که سرور از آن استفاده نمی‌کند را مانند IPv6 غیرفعال کنید.

ویژگی‌های ویندوز و پیکربندی نقش‌ها

مایکروسافت از نقش‌ها و ویژگی‌ها برای مدیریت بسته‌های سیستم‌عامل استفاده می‌کند. نقش‌ها اساسن مجموعه‌ای از ویژگی‌ها هستند که برای یک هدف خاص طراحی شده‌اند، بنابراین به‌طور کلی می‌توان نقش‌های متناسب با یک سرور را انتخاب و سپس ویژگی‌های مورد نظر را از آن‌جا سفارشی کرد.

در این مرحله دو کار مهم وجود دارد که باید انجام دهید :

۱) مطمین شوید هر آن‌چه نیاز دارید نصب شده است. برای مثال ممکن است برای عملکرد صحیح برنامه‌های‌تان به یک نسخه‌ی فریم‌ورک دات‌نت یا IIS نیاز داشته باشید، مواردی که بدون آن‌ها برنامه‌های شما کار نخواهند کرد. هم‌چنین نرم‌افزاری نصب کنید که یکپارچگی فایل‌های مهم سیستم‌عامل را بررسی کند. ویندوز قابلیتی موسوم به Resource Protection دارد که فایل‌های مهم خاص را به‌طور خودکار بررسی و هر کدام را که معیوب بود با نسخه‌ی سالم جایگزین‌ می‌کند.

۲) هر چیزی که نیاز ندارید را حذف کنید. برنامه و بسته‌های اضافی و غیرضروری، امنیت سرور را کاهش می‌دهند و باید حذف شوند. این اقدام، برای برنامه‌های پیش‌فرض و از پیش ‌نصب‌ شده‌ی روی سرور نیز ضروری است. سرورها باید با توجه به میزان نیاز و ضرورت طراحی شوند، به‌گونه‌ای که بخش‌های لازم به‌راحتی و سریع‌تر عمل کنند.

به‌روزرسانی پیوسته

بهترین راه برای حفظ امنیت سرور، به‌روز نگه داشتن آن است. با این‌که ویندوز سرور، پیکربندی امنی دارد اگر می‌خواهید هم‌چنان امن‌ بماند، حتمن آن را به‌روز نگه دارید. باید در نظر داشته باشید که بیش‌تر نقاط آسیب‌پذیری که مورد سواستفاده‌ی هکرها و مهاجمان قرار می‌گیرند، بیش از یک سال قدمت دارند. البته به‌روزرسانی نه به این معنا که به‌محض انتشار، بدون آزمایش و تست کافی آن را اعمال کنید. بلکه به‌روزرسانی‌های حیاتی باید در اسرع‌وقت آزمایش و سپس در وضعیت بدون مشکل، اعمال شوند.

توجه داشته باشید نرم‌افزارهای ضدویروس و ضدجاسوس‌افزار از جمله مواردی هستند که باید به‌طور مستمر مورد نصب، فعال‌سازی و به‌روزرسانی قرار بگیرند.

پیکربندی فایروال

فایروال ویندوز یک نرم‌افزار داخلی مناسب است که امکان پیکربندی ترافیک مبتنی بر پورت را از داخل سیستم‌عامل فراهم می‌کند. در یک سرور مستقل یا هر سرور بدون فایروال سخت‌افزاری، فایروال ویندوز، سرور را با محدود کردن سطح حمله به پورت‌های مجاز، در برابر حملات مبتنی بر شبکه محافظت می‌کند.

گفته می‌شود فایروال سخت‌افزاری همیشه انتخاب بهتری است چون ترافیک را به دستگاه دیگری منتقل می‌کند و گزینه‌های بیش‌تری برای مدیریت ترافیک ارایه می‌دهد. بدین شکل سرور روی وظیفه‌ی اصلی خود متمرکز می‌ماند. با وجود این، فارغ از این‌که از چه روشی استفاده می‌کنید، توجه داشته باشید ترافیک را فقط به مسیرهای ضروری محدود کنید. هم‌چنین فایروال ویندوز را در همه‌ی پروفایل‌ها (دامنه‌ها، خصوصی، عمومی) فعال و به‌شکلی پیکربندی کنید که به‌طور پیش‌فرض ترافیک ورودی را مسدود کنند.

پیکربندی دسترسی از راه دور

اگر از RDP استفاده می‌کنید مطمین شوید که فقط از راه VPN قابل دسترسی است چون باز گذاشتن RDP فرصت حمله و نفوذ هکرها به سرور شما را فراهم می‌کند. بنابراین مطمین شوید که RDP فقط به‌وسیله‌ی کاربران مجاز قابل دسترسی است.

علاوه‌بر RDP، اگر از مکانیسم‌های مختلف دسترسی از راه دور دیگری مانند PowerShell و SSH استفاده می‌کنید اطمینان پیدا کنید که فقط از راه VPN قابل دسترسی هستند و با دقت قفل شده‌اند. به‌هیچ‌وجه نباید از Telnet استفاده کرد، زیرا اطلاعات را به‌شکل متن ساده ارسال می‌کند و بسیار ناامن است. در مورد FTP نیز همین‌طور. تا حد امکان از SFTP یا SSH (از VPN) استفاده و از هرگونه ارتباط رمزگذاری‌نشده به‌طور کلی اجتناب کنید.

پیکربندی برنامه‌های درحال اجرا

سرور ویندوز دارای مجموعه‌ای از سرویس‌ها و نرم‌افزارهای پیش‌فرض است که به‌طور خودکار فعال شده و در پس‌زمینه اجرا می‌شوند. بسیاری از این سرویس‌ها برای عملکرد سیستم‌عامل ضروری هستند. همان‌طور که پیش‌تر اشاره کردیم توصیه می‌شود برای حفظ امنیت بالاتر، با غیرفعال کردن موارد غیرضروری، میزان خظر نفوذ به سرور را به حداقل برسانید.

سرویس‌های مهم باید به‌گونه‌ای تنظیم شوند که به‌طور خودکار شروع به کار کنند تا سرور بتواند پس از بروز یک مشکل، بدون نیاز به تعامل انسانی، بازیابی شود. برای برنامه‌های پیچیده‌تر از گزینه‌ی خودکار (شروع با تاخیر) استفاده کنید تا سایر سرویس‌ها قبل از راه‌اندازی سرویس‌های کاربردی، فرصتی برای شروع کار داشته باشند.

ثبت و نظارت

باید مطمین شوید که گزارش‌گیری و مانیتورینگ سرور به‌خوبی پیکربندی شده است و داده‌های مورد نظرتان را جمع‌آوری می‌کند تا هنگام بروز مشکل، بتوانید به سرعت علت آن را شناسایی و اصلاح کنید. بسته به این‌که سرور شما بخشی از یک دامنه است یا خیر، لاگینگ متفاوت عمل می‌کند. ورود به دامنه به وسیله‌ی کنترل‌کننده‌های دامنه (Domain Controllers) پردازش می‌شود. سرورهای مستقل، دارای ممیزی امنیتی دسترسی هستند و می‌توان آن‌ها را برای نمایش ورودها یا خرابی‌ها پیکربندی کرد.

بررسی کنید بیش‌ترین اندازه‌ی فایل‌های گزارش‌گیری، مناسب و کافی باشد، چراکه اندازه پیش‌فرض فایل‌های گزارش‌گیری، معمولن برای ثبت داده‌های مورد نیاز برنامه‌های پیچیده، بسیار کوچک هستند. بنابراین باید توجه داشته باشید که فضای مناسب برای این فایل‌ها اختصاص داده شود. هم‌چنین گزارش‌ها باید مطابق با خط‌‌ومشی سازمان شما پشتیبان‌گیری شوند و سپس پاک شوند تا فضا برای رویدادهای جاری بیش‌تر باز شود.

به‌طور کلی باید اطلاعات عملکرد هر سرور را ثبت کنید. مواردی مانند فضای موجود دیسک، میزان استفاده از پردازنده و حافظه، فعالیت شبکه و حتا دما باید به‌طور مداوم تجزیه، تحلیل و ثبت شوند تا بتوان به‌آسانی مشکلات یا موارد نامعمول را شناسایی و با آن‌ها مقابله کرد. این مرحله در بیش‌تر مواقع نادیده گرفته می‌شود، اما درطولانی مدت سود زیادی به‌همراه خواهد داشت، چون عیب‌یابی سیستم بدون داده و گزارش‌های مستند، اساسن تیری در تاریکی است.

 پشتیان‌گیری از اطلاعات و سیستم‌

یکی از مهم‌ترین اقدامات برای هاردنینگ ویندوز سرور، پشتیبان‌گیری منظم از سیستم‌عامل ویندوز سرور و داده‌های ذخیره‌شده در آن است. زیرا این‌ اقدام، حمله‌ی باج‌افزارها به ویندوز سرور را کاهش می‌دهد. بک‌آپ‌گیری به شما کمک می‌کند تا هنگام حمله‌ی باج‌افزارها، اطلاعات‌ را به‌راحتی بازیابی کنید.

در نهایت، از سیستم‌عامل‌هایتان ایمیج بگیرید تا همه‌ی نرم‌افزارهای نصب‌شده و همه‌ی تنظیمات امنیتی که اعمال کرده‌اید در فایل ایمیج کپی ‌شوند. در این‌ شرابط اگر نیاز داشته باشید که ویندوز سرور را دوباره نصب کنید همه‌ی برنامه‌ها و تنظیمات امنیتی پیشین از روی فایل ایمیج روی ویندوز سرور پیاده می‌شود و دیگر نیازی نیست پس از نصب ویندوز جدید، همه نرم‌افزارها و تنظیمات امنیتی موردنیازتان را دوباره یک‌به‌یک اعمال کنید.

کدام نسخه ویندوز سرور امنیت بالاتری دارد؟

آخرین و جدیدترین نسخه‌های Windows Server به‌دلیل استفاده از بهترین شیوه‌های امنیتی، امن‌ترین نسخه‌های ویندوز سرور هستند. برای امنیت سرور پیشرفته باید نسخه‌های اخیر، از جمله Windows Server 2008 R2، Windows Server 2012 R2، Windows Server 2016 ، Windows Server 2019 و جدیدترین نسخه یعنی Windows Server 2022 استفاده کنید.

سیستم‌عامل ویندوز سرور ۲۰۲۲، با به‌روزرسانی‌های متمرکز بر امنیت فراگیر و ویژگی‌های جدید، ویندوز سرور شما را از نظر امنیتی بسیار قدرت‌مند می‌کند. ویژگی‌های Windows Server 2022 مانند Windows Defender ATP Exploit Guard و Attack Surface Reduction (ASR) به محافظت از سیستم شما در برابر نفوذ و حملات هکرها و مهاجمان کمک می‌کند و ابزارهای پیشرفته‌ای را برای مسدود کردن دسترسی به فایل‌های مخرب، اسکریپت‌ها، باج‌افزارها و سایر حملات فراهم خواهد کرد.

ویژگی محافظت از شبکه در ویندوز سرور ۲۰۲۲،  با مسدود کردن IP مهاجم از سرور شما در برابر حملات وب محافظت می‌کند. هم‌چنین در Windows Server 2022 شما گزارشی از همه‌ی رویدادها برای نظارت بر تهدیدهایی که به اقدام دستی یا پیگیری نیاز دارند، دریافت می‌کنید.