9 må-vite tips for å sikre Windows-servere

Windows Server er blant de mest brukte operativsystemene for å drive serverne. På grunn av arten av operasjonen som vanligvis involverer virksomheter, er Windows Server-sikkerhet avgjørende for bedriftsdata.

Windows Server har som standard noen sikkerhetstiltak på plass. Men du kan gjøre mer for å sikre at Windows-serverne dine har tilstrekkelig forsvar mot potensielle trusler. Her er noen viktige tips for å sikre Windows Server.

1. Hold Windows Server oppdatert

Selv om det kan se ut som en åpenbar ting å gjøre, er de fleste servere som er installert med Windows Server-bilder uten de nyeste sikkerhets- og ytelsesoppdateringene. Installering av de nyeste sikkerhetsoppdateringene er avgjørende for å beskytte systemet ditt mot ondsinnede angrep.

Hvis du har satt opp en ny Windows-server eller mottatt legitimasjon til en, må du sørge for å laste ned og installere alle de siste oppdateringene som er tilgjengelige for datamaskinen din. Du kan utsette funksjonsoppdateringen i noen tid, men du bør installere sikkerhetsoppdateringer når den blir tilgjengelig.

2. Installer bare viktige OS-komponenter via Windows Server Core

På Windows Server 2012 og nyere kan du bruke operativsystemet i kjernemodus. Windows Server Code Mode er et minimalt installasjonsalternativ som installerer Windows Server uten GUI, noe som betyr reduserte funksjoner.

Installasjon av Windows Server Core har mange fordeler. Den åpenbare er ytelsesfordelen. Du kan bruke samme maskinvare for å oppnå ytelsesforbedringer gjennom ubenyttede OS-komponenter, noe som resulterer i mindre RAM- og CPU-krav, bedre oppetid og oppstartstid og færre oppdateringer.

Selv om ytelsesfordelene er fine, er sikkerhetsfordelene enda bedre. Å angripe et system med færre verktøy og angrepsvektorer er vanskeligere enn å hacke et helt GUI-basert operativsystem. Windows Server Core reduserer angrepsoverflaten, tilbyr Windows Server RSAT-verktøy (Remote Server Administration) og muligheten til å bytte fra Core til GUI.

3. Beskytt administratorkontoen

Standardbrukerkontoen i Windows Server heter Administrator. Som et resultat er de fleste brute force-angrepene rettet mot denne kontoen. For å beskytte kontoen kan du gi den nytt navn til noe annet. Alternativt kan du også deaktivere den lokale administratorkontoen helt og opprette en ny administratorkonto.

Når du har deaktivert den lokale administratorkontoen, sjekk om en lokal gjestekonto er tilgjengelig. Lokale gjestekontoer er minst sikre, så det er best å få dem ut av veien der det er mulig. Bruk samme behandling for ubrukte brukerkontoer.

En god passordpolicy som krever regelmessige endringer av passord, komplekse og lange passord med tall, tegn og spesialtegn kan hjelpe deg sikre brukerkontoer mot voldsomme angrep.

4. NTP-konfigurasjon

Det er viktig å konfigurere serveren din til å synkronisere tid med NTP-servere (Network Time Synchronization) for å forhindre klokkedrift. Dette er viktig, da selv en forskjell på få minutter kan bryte forskjellige funksjoner, inkludert Windows-pålogging.

Organisasjoner bruker nettverksenheter som bruker interne klokker eller er avhengige av en offentlig Internett-tidsserver for synkronisering. Servere som er domenemedlemmer, får vanligvis tiden sin synkronisert med en domenekontroller. Imidlertid vil frittstående servere kreve at du konfigurerer NTP til en ekstern kilde for å forhindre repriseangrep.

5. Aktiver og konfigurer Windows-brannmur og antivirus

Windows-servere har et innebygd brannmur og antivirusverktøy. På servere som ikke har maskinvarebrannmurer, kan Windows-brannmur redusere angrepsoverflaten og gi anstendig beskyttelse mot nettangrep ved å begrense trafikken til nødvendige veier. Når det er sagt, en maskinvarebasert eller Skibasert brannmur vil tilby mer beskyttelse og ta belastningen av serveren din.

Å konfigurere brannmuren kan være en rotete oppgave og vanskelig å mestre i begynnelsen. Imidlertid, hvis ikke konfigurert riktig, kan åpne porter som er tilgjengelige for uautoriserte klienter utgjøre en stor sikkerhetsrisiko for serverne. Vær også oppmerksom på reglene som er opprettet for bruk og andre attributter for fremtidige referanser.

6. Secure Remote Desktop (RDP)

Hvis du bruker RDP (Remote Desktop Protocol), må du sørge for at den ikke er åpen for internett. For å forhindre uautorisert tilgang, endre standardporten og begrens RDP-tilgangen til en bestemt IP-adresse hvis du har tilgang til en dedikert IP-adresse. Det kan også være lurt å bestemme hvem som kan få tilgang til og bruke RDP, da det er aktivert som standard for alle brukerne på serveren.

Vedta også alle de andre grunnleggende sikkerhetstiltakene for å sikre RDP, inkludert bruk av et sterkt passord, som muliggjør tofaktorautentisering, og hold oppdatert programvare, begrenser tilgang gjennom avanserte brannmurinnstillinger, muliggjør autentisering på nettverksnivå og angir en kontolåsing Politikk.

I slekt: Topp programvare for ekstern tilgang for å kontrollere Windows-PCen din hvor som helst

7. Aktiver BitLocker Drive-kryptering

I likhet med Windows 10 Pro, kommer serverutgaven av operativsystemet med et innebygd krypteringsverktøy som heter BitLocker. Det anses å være blant de beste krypteringsverktøyene av sikkerhetsproffene, da det lar deg kryptere hele harddisken din selv om den fysiske sikkerheten til serveren din er brutt.

Under kryptering fanger BitLocker informasjon om datamaskinen din og bruker den til å verifisere ektheten til datamaskinen. Når du er bekreftet, kan du logge på datamaskinen din ved hjelp av passordet. Når mistenkelig aktivitet oppdages, BitLocker vil be deg om å angi gjenopprettingsnøkkelen. Med mindre dekrypteringsnøkkelen er gitt, forblir dataene låst.

Hvis du er ny på kryptering av harddisken, kan du sjekke ut denne detaljerte guiden på hvordan du bruker BitLocker i Windows 10.

8. Bruk Microsoft Baseline Security Analyzer

Microsoft Baseline Security Analyzer (MBSA) er et gratis sikkerhetsverktøy som brukes av IT-fagpersoner for å administrere sikkerheten til serverne sine. Den kan finne sikkerhetsproblemer og manglende oppdateringer på serveren og anbefale utbedringsveiledning i samsvar med Microsofts sikkerhetsanbefalinger.

Når det brukes, vil MBSA sjekke om det er administrative sårbarheter i Windows som svake passord, tilstedeværelsen av SQL- og IIS-sårbarheter og manglende sikkerhetsoppdateringer på individuelle systemer. Det kan også skanne en person eller en gruppe datamaskiner etter IP-adresse, domene og andre attributter. Til slutt vil en detaljert sikkerhetsrapport utarbeides og vises på det grafiske brukergrensesnittet i HTML.

9. Konfigurer loggovervåking og deaktiver unødvendige nettverksporter

Alle tjenester eller protokoller som ikke trengs eller brukes av Windows Server og installerte komponenter, må deaktiveres. Du kan kjør en portskanning for å sjekke hvilke nettverkstjenester som er eksponert for internett.

Overvåking av påloggingsforsøk er nyttig for å forhindre innbrudd og beskytte serveren din mot brutale kraftangrep. Dedikerte verktøy for å forhindre inntrenging kan hjelpe deg med å se på og gjennomgå alle loggfiler og sende varsler hvis mistenkelige aktiviteter oppdages. Basert på varslene kan du ta passende tiltak for å blokkere IP-adressene fra å koble til serverne dine.

Windows Serverherding kan redusere risikoen for nettangrep!

Når det gjelder Windows Server-sikkerhet, er det alltid bra å være på toppen av ting ved å revidere systemet for sikkerhetsrisiko regelmessig. Du kan begynne med å installere de siste oppdateringene, beskytte administratorkontoen, bruke Windows Server Core-modus når det er mulig, og aktivere stasjonskryptering gjennom BitLocker.

Mens Windows Server kan dele den samme koden som forbrukerutgaven av Windows 10 og se identisk ut, er måten den er konfigurert og brukt på, veldig annerledes.

Hva er Windows Server og hvordan er det forskjellig fra Windows?

Hva er Windows Server og hva brukes det til? Slik skiller Windows Server seg fra forbrukerutgaver av operativsystemet.

Les Neste

Om forfatteren