Безопасность виртуального Windows-сервера

11 Февраля 2018

Взломать можно практически все. Но можно попытаться максимально усложнить злоумышленникам их задачу — есть вероятность, что они найдут более простую цель или же их старания вы заметите еще до того, как вас взломают, и успеете принять меры.

Настройте lockout-политику

Основная проблема в том, что по умолчанию Windows-сервер (даже 2016!) не защищен от брутфорса. Если у вас есть какой-то сервис, например, тот же FTP, вас могут брутфорсить, пока не получат доступ к системе, перебирая бесконечные логины и пароли. Именно поэтому с целью улучшения безопасности виртуального Windows-сервера нужно настроить временную блокировку пользователя после нескольких неудачных попыток.

Нужная политика называется Политика блокировки учетной записи (Account Lockout Policy). Запустите оснастку secpol.msc и перейдите в Политики учетных записей, Политика блокировки учетной записи. Установите Пороговое значение блокировки — 5 (максимум 5 неудачных попыток входа), Продолжительность блокировки учетной записи — 30 (на 30 минут учетная запись будет заблокирована после 5 неудачных попыток входа).

 блокировка учетной записи (Windows Server 2016)

Рис. 1. Настройка политики блокировки учетной записи (Windows Server 2016)

Отключите неиспользуемые сервисы

Усилить безопасность виртуального Windows-сервера можно, просто деактивировав неиспользуемые приложения. Если какой-то сервис вам не нужен, например, FTP, отключите его. Если же он нужен временно, все равно выключайте и включайте только тогда, когда нужен. Если тот же FTP нужен только, чтобы залить файлы на свой серверный компьютер, включайте его по мере необходимости и настройте блокировку, чтобы он разрешал доступ только с вашего IP-адреса.

Используйте менеджер паролей

Очень часто многие администраторы используют один пароль (и как правило не очень сложный) на все. Логично, что на безопасности виртуального Windows-сервера это сказывается не лучшим образом. Используйте менеджер паролей: так ваши пароли будут сложными и не придется их запоминать. Менеджеров очень много, выберите тот, который больше вам нравится.

Настройка брандмауэра

В Windows Server используется неплохой брандмауэр и нет смысла устанавливать что-то еще. Просто настройте то, что есть. Основное правило для защиты безопасности виртуального Windows-сервера — запретить все. Если на вашем серверном компьютере работает веб-сервер, то для всех пусть будут открытыми только порты 80 и 443.

А вот следующие порты должны быть открыты только для определенного круга клиентов, которые внесены в белый список IP-адресов:

  • 3389 — Стандартный порт RDP
  • 990 — FTPS
  • 5000–5050 — порты для работы FTP в пассивном режиме
  • 1433–1434 — стандартные порты SQL
  • 53 — DNS

Посторонние пользователи не должны подключаться к этим портам.

Не используйте стандартные порты

Для тех сервисов, которые вам нужны, попробуйте не использовать стандартные порты. Например, порт для RDP можно изменить с помощью реестра — HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber. Не забудьте открыть этот порт в правилах брандмауэра, а затем перезапустите сервер. Если что-то пошло не так, вы всегда сможете войти на свой серверный компьютер с помощью веб-консоли xelent.cloud.

Смена порта RDP

Рис. 2. Смена порта RDP

Бэкапы

Не забывайте включить резервное копирование. Восстановиться из резервной копии не составит проблем. А вот когда резервное копирование выключено, восстанавливаться будет неоткуда. Также нет особого толку от резервного копирования на тот же носитель. Если злоумышленник повредит данные, находящиеся на основном носителе, включая резервную копию, то толку от такой копии не будет.

Восстановление из резервной копии

Рис. 3. Восстановление из резервной копии

Если облака для вас
не просто теория
Широкий спектр услуг
по выделенным северам
и мультиклауд-решениям
Конфигурация VPS и бесплатный тест уже через 2 минуты
Организация вашей IT-инфраструктуры на основе мультиклауд-решения

Блокируем вход по RDP с пустым паролем

Нужно заблокировать возможность RDP-подключений для учетных записей без пароля. Примечательно, что многие пользователи забывают об этом правиле, а вспоминают только, когда возникают серьезные проблемы с безопасностью виртуального Windows-сервера (кража важной информации, установка вредоносного программного обеспечения и т. д.). Для блокировки входа с пустым паролем запустите оснастку Локальная политика безопасности и перейдите в Локальные политики, Параметры безопасности и включите параметр Учетные записи: Разрешить использование пустых паролей только при консольном входе.

Локальная политика безопасности

Рис. 4. Локальная политика безопасности

Впрочем, настройка безопасного RDP-сеанса — это тема для отдельной статьи и мы еще вернемся к этому вопросу.

Регулярно устанавливайте важные обновления ОС и программного обеспечения

Обновления для операционной системы выходят регулярно, в том числе и обновления безопасности виртуального Windows-сервера. Не забывайте их устанавливать, а еще лучше настройте автоматическую установку обновлений. Настроить Windows на автоматическую загрузку (установку) важных и рекомендуемых обновлений можно через утилиту «Центр обновления Windows».

обновления

Рис. 5. Обновления готовы к установке. Осталось только их установить или же настроить их автоматическую установку

Не используйте стандартную учетную запись администратора

По умолчанию во всех современных версиях Windows Server имеется учетная запись Administrator. Рекомендуется переименовать ее. Для этого запустите оснастку secpol.msc и перейдите в Локальные политики, Параметры безопасности, Учетные записи: Переименование учетной записи администратора. На вкладке Параметр локальной безопасности измените имя учетной записи администратора на желаемое и сохраните изменения.

Учетная запись администратора

Рис. 6. Переименование учетной записи администратора выполнено

Создайте несколько административных аккаунтов

Если вы администрируете сервер не собственнолично, а есть несколько администраторов, у каждого из них должна быть своя учетная запись. Это позволит понять, кто именно произвел то или иное изменение в системе, повлиявшее на политики безопасности виртуального Windows-сервера.

Создайте учетную запись с обычными правами

Если есть необходимость работать на сервере удаленно, создайте обычную учетную запись с ограниченными правами. Если вас вдруг взломают, злоумышленник не сможет изменить настройки параметров безопасности виртуального Windows-сервера и не получит доступ к важной для работы информации.

Не предоставляйте общий доступ к каталогам без ввода пароля, разграничивайте права общего доступа

Не нужно разрешать подключение к общим папкам серверного компьютера без ввода пароля. Это отрицательным образом скажется на безопасности всего виртуального Windows-сервера. Пусть общие папки будут общими, но нужно знать, кто и когда получал к файлам доступ. Также нужно отказаться от анонимного доступа. Это позволит предотвратить несанкционированный просмотр ваших файлов.

Кроме обязательного использования пароля, также желательно разграничить права доступа к общим директориям для их пользователей. Проще установить ограниченные права пользователям, которым не требуется полный доступ (запись/чтение/изменение), чем следить за тем, чтобы ни один из аккаунтов не был взломан, что может иметь неприятные последствия для других пользователей общих ресурсов.

Получить консультацию специалиста
Персональный ассистент
Cloud.Xelent