هاردنینگ ویندوز سرور چیست؟
بیشتر شرکتهای کوچک و متوسط، سرورهای فیزیکی خود را بهصورت دستی مستقر میکنند، اما از این نکته اطلاع ندارند که چگونه آنها را از دسترس هکرها دور نگه داشته و مانع نشت دادهها شوند. هاردنینگ ویندوز سرور یا به زبان سادهتر امنسازی ویندوز سرور، به مجموعه اصول، تکنیکها و راهکارهایی که برای کاهش آسیبپذیری ویندوز سرور مورد استفاده قرار میگیرند، اشاره دارد. این مجموعه اقدامات با هدف افزایش امنیت سرور به اجرا گذاشته میشوند.
مایکروسافت میگوید: «امنیت شبکههای ارتباطی، بر عملکرد یک سازمان، اعضا و زیرمجموعههای آن سازمان تاثیرگذار است. هرگونه مخاطرهای که احتمال وقوع یک حمله امنیتی را بهوجود آورد، خطرناک است و باعث میشود تمامی امور عادی و روزمره سازمان با مشکل جدی روبهرو شود».
فرآیند امنسازی سرور شامل اجرای تمهیدات امنیتی مثل نصب و پیکربندی درست فایروالها، برنامههای بازیابی و محافظت از سرورها در حملههای بدافزاری است. امنسازی سرور بهمعنای محافظت از سرورها با استقرار مکانیزمهای حفاظتی و سخت کردن راه نفوذ هکرها به سرورها است. مهاجمان سایبری همیشه سعی میکنند به دادهها و منابع نگهداری اطلاعات روی سرورها دسترسی پیدا کنند. از اینرو، برای محافظت از سرورها در برابر حملههای هکری، مایکروسافت کنترلها و فرآیندهای امنیتی مختلفی در ویندوز سرور قرار داده که امنیت آن را افزایش میدهد. یکی از راهکارهای موثر در این زمینه آمادهسازی چکلیست امنیتی است. چکلیست امنیتی به ما در شناسایی آسیبپذیریها و خطاها، افزایش آگاهی در مورد مباحث امنیتی و بهبود امنیت سرورها کمک میکند. تقریبا در همه موارد، حمله هکرها به سرورها بر مبنای تحقیق و شناسایی نقاط ضعف سیستمها انجام میشود، بهطوریکه پس از شناسایی نقاط نفوذ، در جستوجوی راههایی برای نفوذ سریع به اهدافشان هستند. هنگامیکه هکرها موفق میشوند به سروری نفوذ کنند، سعی میکنند با افزایش تدریجی سطح دسترسی در مدت زمان کوتاهی به داراییهای ارزشمند سازمان دست پیدا کنند. پیادهسازی چکلیست هاردنینگ ویندوز سرور بهمنظور افزایش سطح امنیت سرور و برطرف کردن نقاط ضعف سیستم، مانع پیادهسازی موفقیتآمیز طیف گستردهای از حملههای سایبری میشود. همچنین، با افزایش سطح آگاهی، هنگام بروز هرگونه حملهای، کارمندان بخش شبکه و امنیت در وضعیت آماده باش قرار میگیرند تا زمان بیشتری برای خنثا کردن حملهها داشته باشند. در نهایت، با ایزوله کردن سیستمها یا بخشهای آسیبدیده از حمله، این توانایی بهدست میآید تا دامنه حمله را محدود کرد و اجازه نداد سامانههای دیگر قربانی یک حمله سایبری شوند.
چک لیست امنیتی ویندوز سرور
مایکروسافت همراه با عرضه ویندوز سرور 2022، تا حدودی پیکربندی پیشفرض ویندوز سرور را بهبود بخشیده است، اما هنوز هم تمهیدات امنیتی بیشتری باید انجام شود تا امنیت سرورها ارتقاء پیدا کند. بهطور کلی، برای افزایش امنیت ویندوز سرور باید ضعفهای امنیتی محیط و برنامههای کاربردی نصبشده روی سرور را شناسایی کنیم و آنها را برطرف کنیم. برای انجام اینکار، مدیران شبکه یک چکلیست امنیتی استاندارد آماده میکنند که شامل وظایف، خطمشیها و اولویتهای مدنظر سازمان است که باید بهشکل دقیقی اجرا شوند. در حقیقت، هر بند چکلیست امنیتی ویندوز سرور شامل تنظیمات امنیتی ویندوز سرور یا اقداماتی است که باید در سطح سیستمعامل انجام شود. مجموعه اقداماتی را که برای امنسازی ویندوز سرور باید انجام دهید در ادامه خواهید خواند.
پیکربندی کاربران
حساب مهمان (Guest Account) یک حساب کاربری با کمترین امتیاز (Privilege) است که توسط کاربرانی استفاده میشود که حساب تعریفشدهای برای دسترسی به سرور ندارند و تنها گاهیاوقات به سرور وارد میشوند. اکانتهای مهمان، امنیت پایینی دارند و هدف خوبی برای هکرها هستند. از اینرو، بهتر است حسابهای مهمان را غیرفعال کنید و نام آنها را در هر سرور تغییر دهید تا مهاجمان نتوانند آنها را کشف کرده و به سوءاستفاده از آنها بپردازند.
بهطور مشابه، حسابهای محلی مدیریتی (Administrator) مسئول مدیریت همه فایلها، دایرکتوریها و سایر منابع موجود در سرور هستند. از آنجایی که حساب کاربری فوق دسترسی به عالیترین اطلاعات را امکانپذیر میکند یک هدف محبوب برای حمله است. در صورت عدم نیاز به آن بهتر است، حساب محلی مدیریتی را غیرفعال کنید یا از رمز عبور قوی برای آن استفاده کنید. اگر حساب کاربری مدیر محلی را غیرفعال کنید، باید یک حساب مدیریتی جدید تعریف کنید. دقت کنید که حسابهای کاربری را با دسترسیهای مورد نیاز برای هر نقش ایجاد کنید و برای تمامی حسابها از رمزعبورهای قدرتمند استفاده کنید. در انتخاب رمزهای عبور مدیریتی و سیستمی سختگیر باشید، بهویژه برای حسابهای مدیریتی که سطح دسترسی بالایی دارند. همچنین، از یک خطمشی رمز عبور قوی برای هر حساب در سرور استفاده کنید و اطمینان حاصل کنید رمز عبور انتخابی حداقل 15 کاراکتر و ترکیبی از حروف کوچک و بزرگ، اعداد و کاراکترهای خاص باشد. رمزهای عبور خود را هر 90 روز یکبار تغییر دهید تا امنیت حسابهای سیستمی و مدیریتی حفظ شوند.
پیکربندی شبکه
سرویسهای شبکه را که روی سرور از آنها استفاده نمیکنید غیرفعال کنید و مطمئن شوید تنها کاربران احرازهویتشده مجوز دسترسی به سیستمهای شبکه را دارند. فایروال شبکه را فعال کنید تا از سیستم در برابر حملههای خارجی محافظت کند و ترافیک ورودی را مسدود کند. در مرحله بعد، یک آدرس آیپی ثابت برای سرورها تعریف کنید تا کلاینتهای مورد تایید بهشکل سادهای به آن دسترسی داشته باشند. هنگامیکه فایروال ویندوز را فعال کردید، در مرحله بعد باید پیکربندی پیشفرض آنرا تغییر کنید تا بتوانید نظارت دقیقی بر ترافیک ورودی داشته باشید. پورتهایی را که باید باز بمانند ارزیابی کنید، دسترسی به پورتها را محدود کنید و دسترسی به آنها را در سطح تنظیمات شبکه مسدود کنید. اطمینان حاصل کنید که حداقل دو سرور DNS دارید و اگر میخواهید تغییراتی در آن ایجاد کنید، از قبل تغییرات را مشخص و مستندسازی کنید. همچنین، با استفاده از فرمان Nslookup در خط فرمان، ویژگی وضوح نام را بررسی کنید. مطمئن شوید که سرور، یک رکورد معتبر در DNS با نام مورد نظر شما و یک رکورد PTR برای جستوجوهای معکوس دارد.
ویژگیهای ویندوز و پیکربندی نقشها
نقشها و ویژگیهای خاصی توسط مایکروسافت برای مدیریت سیستمعامل سرور تعریف شدهاند. مطمئن شوید که هر نقش سرور یا مجموعهای از برنامههای نرمافزاری بهدرستی پیکربندی و نصب شدهاند. این نقشها شامل ویژگیهایی مانند IIS سرنام Internet Information Services و غیره هستند که قابل پیکربندی هستند. برای اطمینان از عملکرد روان و سریع نقشها به موارد زیر دقت کنید:
- بررسی کنید تنها نقشها و بستههایی که به آنها نیاز دارید مثل چارچوب داتنت یا IIS نصب شده باشند.
- هر ماژول، بسته یا برنامهای را که به آن نیاز ندارید حذف کنید، زیرا نقشها یا سرویسهای غیرضروری میتوانند بهعنوان یک نقطه ورودی برای پیادهسازی یک حمله سایبری یا دسترسی غیرمجاز مورد استفاده قرار گیرند.
- سیستمعامل ویندوز سرور باید بر مبنای نیاز و ضرورت پیکربندی شده و نقشها به آن افزوده شوند، بهگونهای که سرور بهراحتی و سریع اجرا شود.
نصب بهروزرسانیها
اطمینان حاصل کنید که وصلهها و بهروزرسانیهای منتشرشده روی سرور نصب شدهاند. البته این حرف بدان معنا نیست که وقتی یک بهروزرسانی جدید منتشر میشود، بدون ارزیابی مستندات و گزارشها یا بدون آزمایش بهروزرسانیها اقدام به نصب آنها کنید. مایکروسافت بهروزرسانیهای مختلفی را برای ویندوز سرور منتشر میکند که از آن جمله به موارد زیر باید اشاره کرد:
- بهروزرسانیهایی برای وصله کردن یک آسیبپذیری منفرد.
- مجموعهای از وصلهها برای ترمیم آسیبپذیریهای متعدد، اما مرتبط با یکدیگر.
- بستههای خدماتی که برای وصله کردن انواع مختلفی از آسیبپذیریها مورد استفاده قرار میگیرند.
در نهایت، قبل از تایید نتایج آزمایش، بهروزرسانیها را نصب نکنید. پیشنهاد ما این است که برای دریافت اطلاعات بیشتر درباره بهروزرسانیها به انجمنهای کاربری مایکروسافت مراجعه کنید. این انجمنها ایدهای در مورد نحوه انتشار بهروزرسانیهای جدید، مزایا و معایب آنها در اختیارتان قرار میدهند؛ بهطوریکه کمک میکنند تصمیمات آگاهانهای اتخاذ کنید و در جریان تغییراتی باشید که روی سرور اتفاق می افتند.
پیکربندی NTP
اگر مکانیزمهای امنیتی و احراز هویت شما مبتنی بر Kerberos است، ممکن است با مشکل اختلاف زمانی روبهرو شوید. یک اختلاف زمانی ممکن است به هکرها در شکستن مکانیزمهای امنیتی و نفوذ به ویندوز سرور کمک کند. بنابراین، کنترلکنندههای دامنه باید زمان خود را با سرور زمان هماهنگ کنند تا مانع بروز خرابی یا مشکل جدی شوند. یک سرور پس از پیوستن به دامنه، زمان خود را بهصورت خودکار با یک کنترلکننده دامنه همگام میکند. زمانسنجی ثابت در سراسر شبکه برای مکانیزمهای امنیتی، بهروزرسانی سیستم فایلی و سیستمهای مدیریت شبکه ضروری است. بنابراین، اگر سرور بهدرستی همگامسازی نشده است، پروتکل زمان شبکه (NTP) را تنظیم کنید. این پیکربندی به همگامسازی زمان ساعت کامپیوترهای عضو شبکه کمک میکند.
پیکربندی فایروال
فایروال نقش مهمی در امنیت شبکهها دارد و باید برای پیشگیری از بروز حملههای سایبری بهدرستی پیکربندی شود. پیکربندی نادرست میتواند به هکرها اجازه دهد به منابع شبکه حتا در شرایطی که فایروال فعال است، دسترسی داشته باشند. از اینرو، پیکربندی مناسب نامهای دامنه و آدرسهای پروتکل اینترنت (IP) ضروری است. پیکربندی خطمشی فایروال کمک میکند تا ترافیک ورودی را محدود به پورتها و مسیرهای ضروری کنید. ویندوز سرور، یک فایروال نرمافزاری دارد که قادر است سطح حمله به پورتهای مجاز را محدود کند و از منابع شبکه محافظت کند. بهطور کلی، فایروالهای سرورها بر مبنای خطمشیهای امنیتی سازمانها پیکربندی میشوند تا هکرها موفق نشوند به سوءاستفاده از پورتها بپردازند. یک سرور مجهز به فایروال سختافزاری، نرمافزاری یا ترکیبی از هر دو حالت، دامنه حملهها به سرور را محدود به پورتهای مجاز میکند و به این شکل از سرور در برابر حملههای مبتنی بر شبکه محافظت میکند.
پیکربندی دسترسی از راه دور
اگر از پروتکل دسکتاپ راه دور (RDP) برای مدیریت ویندوز استفاده میکنید، باید از شبکه خصوصی مجازی برای دسترسی ایمن به سرور استفاده کنید. اگر پروتکل فوق را بدون تهمیدات لازم مورد استفاده قرار دهید، هکرها این شانس را پیدا میکنند تا کانال ارتباطی شما را رهگیری کرده، به شنود اطلاعات پرداخته و اطلاعات مبادلهشده میان شما و سرور را سرقت کنند. همچنین، اطمینان حاصل کنید که RDP فقط توسط کاربران مجاز مورد استفاده قرار میگیرد. پس از فعال شدن پروتکل فوق در سرور، همه مدیران و افراد میتوانند بهطور پیشفرض به آن دسترسی داشته باشند. به همین دلیل، ضروری است تنظیمات پیشفرض را تغییر دهید و مطمئن شوید که RDP فقط در دسترس مدیران مورد اعتماد قرار دارد. به غیر از RDP، میتوانید از مکانیزمهای دسترسی از راه دور بیشتری برای مدیریت سرور استفاده کنید که تنها از طریق شبکه خصوصی مجازی قابل استفاده هستند. از جمله این راهحلها باید به پاورشل و پروتکل SSH اشاره کرد که باید بهدقت مدیریت شوند. در نهایت، تحت هیچ شرایطی از ارتباطات رمزگذارینشده استفاده نکنید و بهجای آن از سرور SFTP یا SSH مبتنی بر شبکه خصوصی مجازی استفاده کنید.
پیکربندی سرویسها
ویندوز سرور همراه با مجموعه سرویسهایی روی سرور نصب میشود که بهطور پیشفرض در پسزمینه اجرا میشوند. بیشتر این سرویسها برای کارکرد درست سیستمعامل ضروری هستند، اما برخی دیگر باید غیرفعال شوند تا هکرها نتوانند راهی برای ورود به سرور پیدا کرده یا دامنههای دیگر را بهخطر بیاندازند. اطمینان حاصل کنید که سرویسهای غیر از موارد ضروری غیرفعال شوند. اگر از ویندوز سرورهای قدیمی مثل 2008 یا 2003 استفاده میکنید، آنها را بهدقت بررسی کنید تا فقط سرویسهای ضروری را اجرا کنند. یکی از مزایای اجرای سرویسهای ضروری این است که هنگام بروز مشکل، فرآیند بازیابی سرور را سریع میکنند و گاهیاوقات نیازی نیست کارشناسان شبکه کاری در این زمینه انجام دهند. برنامههای مضاعف و غیرضروری میتوانند فرآیند بازیابی را با تاخیر همراه کنند. برای سرویسهای پیچیدهتر از گزینه راهاندازی خودکار همراه با تاخیر استفاده کنید تا سرویسهای ضروری قبل از راهاندازی سرویسهای پیچیده، فرصت کافی برای شروع داشته باشند.
هاردنینگ بیشتر
اطمینان حاصل کنید از تمهیدات امنیتی مناسبی برای برنامههایی که روی سرور اجرا میشوند، استفاده کردهاید. ویندوز سرور از شیوههای مختلفی برای امنسازی ویندوز سرور استفاده میکند. بهطوری که از ویژگی اسکن و کنترل حساب کاربری (User Account Control) پشتیبانی میکند که مانع اجرای برنامههایی میشود که بدون کسب اجازه قصد اجرا دارند. به زبان ساده، حتا زمانی که بهعنوان یک مدیر به سرور وارد میشوید و قصد اجرای نرمافزاری را دارید، ویژگی UAC از شما در این زمینه سوال میکند. رویکرد فوق، مانع اجرا یا نصب کدهایی میشود که هنگام بازدید از سایتها ممکن است باعث آلودهسازی سیستم شوند.
همچنین، اصل حداقل امتیاز را اعمال کنید که بر اساس آن تنها کاربر یا گروه محدودی از کاربران توانایی اجرای کارهای خاصی را داشته باشند. همچنین، نرمافزار ضدجاسوسافزار، نرمافزار DLP و نرمافزار ضدویروس را فعال کنید و پیوست ایمیلها را قبل از باز کردن اسکن کنید.
ثبت و نظارت
اطمینان حاصل کنید مکانیزمهای گزارشگیری و مانیتورینگ سرور بهخوبی پیکربندی شدهاند و دادههای ضروری را جمعآوری میکنند تا هنگام بروز مشکل، بتوانید بهسرعت علت را شناسایی و برطرف کنید. بسته به اینکه سرور بخشی از یک دامنه است یا خیر، گزارشگیری متفاوت است. در حالت کلی، ورود به دامنه از طریق کنترلکنندههای دامنه (Domain Controllers) پردازش میشود. برای جمعآوری دادههای عملکردی ویندوز سرور میتوانید از مولفههای ویندوز یا راهحلهای شخص ثالث استفاده کنید. بهطور کلی، پیشنهاد میشود اطلاعات عملکردی در مورد سرور یا سرورها را ثبت کنید. مواردی مثل فضای موجود دیسک، میزان استفاده از پردازنده مرکزی و حافظه اصلی، فعالیت شبکه و حتا دما باید بهطور مداوم تجزیهوتحلیل و ثبت شوند تا بتوان بهراحتی مشکلات یا موارد غیرعادی را شناسایی کرد. متاسفانه، برخی کارشناسان شبکه در این زمینه بیتفاوت هستند، اما واقعیت این است که جمعآوری اطلاعات فوق در بلندمدت مزایای زیادی دارد و روند عیبیابی سرور را سادهتر و کوتاهتر میکنند.
کلام آخر
در این پست چکلیست امنیتی امنسازی ویندوز سرور، کنترلهای کلیدی، فرآیندها و اصولی را که برای افزایش سطح امنیت سرور به آنها نیاز دارید بررسی کردیم. سپس در ادامه، اقدامات پایه را که کمک میکنند سرور در وضعیت ایمنی قرار بگیرد بررسی کردیم. نکته مهمی که باید به آن دقت کنید این است که سرورها برای ذخیره و اشتراکگذاری دادهها و منابع حساس از طریق شبکه، استفاده میشوند؛ اگر امنیت سرور ضعیف باشد، این احتمال وجود دارد که مهاجمان سایبری در زمان کوتاهی از سد مکانیزمهای امنیتی عبور کرده و به اطلاعات حساس سازمان دست پیدا کنند. از اینرو، پیادهسازی تکنیکها و ابزارهایی که سرور شما را در برابر هک و اقدامات مخرب ایمن میکنند، اهمیت زیادی دارد. با اجرای بهترین شیوههای امنیتی، میتوانید از دادههای حیاتی خود محافظت کنید. برای این منظور، اطمینان حاصل کنید حسابهای مهمان را غیرفعال کرده و برای هر حساب روی سرور یک خطمشی رمز عبور قوی تعیین کردهاید. برای دسترسی به منابع شبکه، فایروال ویندوز را فعال کنید و حالت پیشفرض برای مسدود کردن ترافیک ورودی را تغییر دهید. همچنین، سرور را بهروز نگه دارید و از اجرای بهروزرسانیهای جدید بدون بررسی نتایج ثبتشده، دوری کنید. در نهایت فراموش نکنید که پشتیبانگیری از اطلاعات کمک میکند در صورت بروز مشکلات جدی، در زمان کوتاهی شرایط را به حالت اولیه بازگردانید.
ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را میتوانید از کتابخانههای عمومی سراسر کشور و نیز از دکههای روزنامهفروشی تهیه نمائید.
ثبت اشتراک نسخه کاغذی ماهنامه شبکه
ثبت اشتراک نسخه آنلاین
کتاب الکترونیک +Network راهنمای شبکهها
- برای دانلود تنها کتاب کامل ترجمه فارسی +Network اینجا کلیک کنید.
کتاب الکترونیک دوره مقدماتی آموزش پایتون
- اگر قصد یادگیری برنامهنویسی را دارید ولی هیچ پیشزمینهای ندارید اینجا کلیک کنید.
نظر شما چیست؟