9 måste-veta tips för att säkra Windows-servrar

Windows Server är bland de vanligaste operativsystemen för att driva servrarna. På grund av den typ av verksamhet som vanligtvis involverar företag är Windows Server-säkerhet avgörande för företagsdata.

Som standard har Windows Server några säkerhetsåtgärder på plats. Men du kan göra mer för att säkerställa att dina Windows-servrar har tillräckligt försvar mot potentiella hot. Här är några viktiga tips för att säkra din Windows Server.

1. Håll din Windows Server uppdaterad

Även om det kan se ut som en uppenbar sak att göra är de flesta servrar installerade med Windows Server-bilder utan de senaste säkerhets- och prestandauppdateringarna. Installera de senaste säkerhetsuppdateringarna är avgörande för att skydda ditt system från skadliga attacker.

Om du har konfigurerat en ny Windows-server eller fått autentiseringsuppgifter till en, se till att ladda ner och installera alla de senaste uppdateringarna som finns tillgängliga för din dator. Du kan skjuta upp funktionsuppdateringen under en tid, men du bör installera säkerhetsuppdateringar när den blir tillgänglig.

2. Installera endast väsentliga OS-komponenter via Windows Server Core

På Windows Server 2012 och senare kan du använda operativsystemet i kärnläget. Windows Server Code Mode är ett minimalt installationsalternativ som installerar Windows Server utan GUI, vilket innebär minskade funktioner.

Att installera Windows Server Core har många fördelar. Den uppenbara är prestandafördelen. Du kan använda samma hårdvara för att få prestandaförbättringar genom outnyttjade OS-komponenter som resulterar i mindre RAM- och CPU-krav, bättre driftstid och starttid och färre korrigeringar.

Även om prestationsfördelarna är fina, är säkerhetsfördelarna ännu bättre. Att attackera ett system med färre verktyg och attackvektorer är svårare än att hacka ett helt GUI-baserat operativsystem. Windows Server Core minskar attackytan, erbjuder Windows Server RSAT-verktyg (Remote Server Administration) och möjligheten att byta från Core till GUI.

3. Skydda administratörskontot

Standardanvändarkontot i Windows Server heter Administratör. Som ett resultat riktas de flesta brute force-attackerna mot detta konto. För att skydda kontot kan du byta namn på det till något annat. Alternativt kan du också inaktivera det lokala administratörskontot helt och skapa ett nytt administratörskonto.

När du har inaktiverat det lokala administratörskontot, kontrollera om det finns ett lokalt gästkonto. Lokala gästkonton är minst säkra, så det är bäst att få dem ur vägen när det är möjligt. Använd samma behandling för oanvända användarkonton.

En bra lösenordspolicy som kräver regelbundna lösenordsändringar, komplexa och långa lösenord med siffror, tecken och specialtecken kan hjälpa dig säkra användarkonton mot brutala kraftattacker.

4. NTP-konfiguration

Det är viktigt att konfigurera din server så att den synkroniserar tiden med NTP (Network Time Synchronization) -servrar för att förhindra klockdrift. Detta är viktigt eftersom även en skillnad på några minuter kan bryta olika funktioner, inklusive Windows-inloggning.

Organisationer använder nätverksenheter som använder interna klockor eller förlitar sig på en offentlig Internet-tidsserver för synkronisering. Servrar som är domänmedlemmar har vanligtvis sin tid synkroniserad med en domänkontrollant. Men fristående servrar kräver att du ställer in NTP till en extern källa för att förhindra omspelningsattacker.

5. Aktivera och konfigurera Windows-brandväggen och antivirusprogrammet

Windows-servrar har en inbyggd brandvägg och ett antivirusverktyg. På servrar som inte har maskinvarubrandväggar kan Windows-brandväggen minska attackytan och ge anständigt skydd mot cyberattacker genom att begränsa trafiken till nödvändiga vägar. Som sagt, en hårdvarubaserad eller Molnbaserad brandvägg kommer att erbjuda mer skydd och ta bort belastningen från din server.

Att konfigurera brandväggen kan vara en rörig uppgift och svår att bemästra först. Men om de inte konfigureras korrekt kan öppna portar som är tillgängliga för obehöriga klienter utgöra en enorm säkerhetsrisk för servrar. Notera också de regler som skapats för dess användning och andra attribut för framtida referenser.

6. Secure Remote Desktop (RDP)

Om du använder RDP (Remote Desktop Protocol), se till att den inte är öppen för internet. För att förhindra obehörig åtkomst, ändra standardporten och begränsa RDP-åtkomsten till en specifik IP-adress om du har tillgång till en dedikerad IP-adress. Du kanske också vill bestämma vem som kan komma åt och använda RDP, eftersom det är aktiverat som standard för alla användare på servern.

Anta också alla andra grundläggande säkerhetsåtgärder för att säkra RDP, inklusive att använda ett starkt lösenord, vilket möjliggör tvåfaktorautentisering och behålla mjukvara uppdaterad, begränsar åtkomst genom avancerade brandväggsinställningar, möjliggör autentisering på nätverksnivå och ställer in ett kontoutlåsning politik.

Relaterad: Toppprogramvara för fjärråtkomst för att styra din Windows-dator var som helst

7. Aktivera BitLocker Drive-kryptering

I likhet med Windows 10 Pro levereras serverutgåvan av operativsystemet med ett inbyggt krypteringsverktyg som kallas BitLocker. Det anses vara ett av de bästa krypteringsverktygen av säkerhetsproffs eftersom det låter dig kryptera hela hårddisken även om den fysiska säkerheten på din server bryts.

Under kryptering fångar BitLocker information om din dator och använder den för att verifiera datorns äkthet. När du har verifierat kan du logga in på din dator med lösenordet. När misstänkt aktivitet upptäcks, BitLocker kommer att be dig att ange återställningsnyckeln. Om inte dekrypteringsnyckeln tillhandahålls förblir data låsta.

Om du är ny på kryptering av hårddisken, kolla in den här detaljerade guiden på hur man använder BitLocker i Windows 10.

8. Använd Microsoft Baseline Security Analyzer

Microsoft Baseline Security Analyzer (MBSA) är ett gratis säkerhetsverktyg som används av IT-proffs för att hantera säkerheten på sina servrar. Den kan hitta säkerhetsproblem och saknade uppdateringar på servern och rekommendera saneringsvägledning i enlighet med Microsofts säkerhetsrekommendationer.

Vid användning kommer MBSA att söka efter administrativa sårbarheter i Windows, såsom svaga lösenord, förekomsten av SQL- och IIS-sårbarheter och saknade säkerhetsuppdateringar på enskilda system. Det kan också skanna en enskild eller grupp datorer efter IP-adress, domän och andra attribut. Slutligen kommer en detaljerad säkerhetsrapport att utarbetas och visas i det grafiska användargränssnittet i HTML.

9. Konfigurera övervakning av logg och inaktivera onödiga nätverksportar

Alla tjänster eller protokoll som inte behövs eller används av Windows Server och installerade komponenter måste inaktiveras. Du kan kör en hamnsökning för att kontrollera vilka nättjänster som exponeras för internet.

Övervakning av inloggningsförsök är användbart för att förhindra intrång och skydda din server mot brute force-attacker. Dedikerade verktyg för förebyggande av intrång kan hjälpa dig att visa och granska alla loggfiler och skicka varningar om misstänkta aktiviteter upptäcks. Baserat på varningarna kan du vidta lämpliga åtgärder för att blockera IP-adresserna från att ansluta till dina servrar.

Windows Server härdning kan minska risken för cyberattacker!

När det gäller din Windows Server-säkerhet är det alltid bra att hålla koll på saker genom att regelbundet granska systemet för säkerhetsrisker. Du kan börja med att installera de senaste uppdateringarna, skydda administratörskontot, använda Windows Server Core-läget när det är möjligt och aktivera enhetskryptering via BitLocker.

Medan Windows Server kan dela samma kod som konsumentutgåvan av Windows 10 och se identisk ut, är det väldigt annorlunda hur det konfigureras och används.

Vad är Windows Server och hur skiljer det sig från Windows?

Vad är Windows Server och vad används det till? Så här skiljer sig Windows Server från konsumentversionerna av operativsystemet.

Läs Nästa

Om författaren