بهترین شیوه های امنیتی ویندوز سرور
این مقاله بعضی از بهترین شیوه های امنیت عمومی را در نظر می گیرد که هنگام تنظیم یک سرور ویندوز مایکروسافت که با اینترنت عمومی تعامل دارد، در نظر بگیرید. این روش ها برای هر سرور به طور کلی اعمال می شود .
استفاده از قوانین فایروال محلی
برای سرورهایی که بدون هیچ دستگاه فایروال,با اینترنت ارتباط برقرار می کنند, فایروال ویندوز تنها حفاظ، میان منابع سرور و اطلاعات شخصی و اشخاصی که به اینترنت متصل هستند, خواهد بود.
یکسری قوانین در فایروال وجود دارد که در صورت غیر فعال شدن آنها، پورت های کمتری باز خواهند بود که این مورد موجب محدودیت برای افرادی که میخواهند به پورت های بسته دسترسی داشته باشند, خواهد شد.
در برخی قوانین تعریف شده در فایروال, می توان آی پی های سیستم های مجاز جهت دسترسی را در وایت لیست و آی پی های غیر مجاز را در لیست سیاه قرار داد.
در زیر برخی پورت های عمومی که بر روی سرور به صورت پیش فرض باز است ذکر شده:
پورت 80:پورت http یا Web application
پورت 443: پورت https یا web application with SSL
توصیه می شود پورت های زیر برای ای پی ها شناخته شده در وایت لیست قرار گیرد ، جهت جلوگیری از حملاتی مانند brute-force :
3389(پورت ریموت به سرور)
21 FTP -990 FTP -5000 و 5050FTP -1433 SQL-53 DNS
در نظر داشته باشید چه اطلاعاتی را به اشتراک می گذارید
ما توصیه نمی کنیم که file sharing بر روی سرور فعال باشد زیرا در صورت باز بودن پورت های مربوطه (445 و 139)احتمال حمله یا اتصالات ناخواسته افزایش خواهد یافت.
بسیاری از کاربران از سرورهای خود برای اشتراک فایل هایی از قبیل فایل های Microsoft officeاستفاده می کنند با این حال این مورد توسط ما توصیه نمی شود.
علاوه براین دقت داشته باشید که کاربران چه برنامه هایی را دانلود و بر روی سرور نصب می کنند زیرا هر برنامه ی نصب شده ، ممکن است مشکلاتی از قبیل هک را برای سرور در برداشته باشد.
سیاست های رمزگذاری
همانطور که قبلا نیز گفته شده, سرویس های ابری، چه فایروال سخت افزاری داشته باشند و یا نداشته باشند, امنیت آنها تنها توسط پسوردی که مربوط به آن ها است تضمین می شود و به همین علت سیاست رمز گذاری بسیار حائز اهمیت است:
1-کلمه عبور باید حداقل بین 8 تا 10 کاراکتر باشد و دارای کاراکتر خاص مانند (#,$,%) باشد و در صورتی که پسورد ساده انتخاب شود ممکن است خطر بسیار بالایی را برای سرور در برداشته باشد
2-کلمه ی عبور باید تاریخ انقضا داشته باشد و به صورت دوره های نامنظم آپدیت شود تا امنیت بیشتری داشته باشد.
لازم است اکانت Administratorدر فایروال های ویندوزی وجود داشته باشد در صورتی که لازم است کاربران دیگر نیز سطح دسترسی مدیریتی را داشته باشند باید برای انها اکانت هایی با سطح دسترسی مدیریتی ایجاد شود.در این صورت ردیابی کاربران از طریق فایل های لاگ راحت تر خواهد بود.
چندنمونه از رویدادهای که در در فایل لاگ ثبت شده اند مانند رویداد 4625 یا 1012 است که به معنای آن می باشد که کسی در حال تلاش برای هک کردن سرور شما است زیرا این رویداد ها مربوط به تلاش جهت ورود به سیستم است.
Active Directory
Active Directory بهتر است در سرورهای اختصاصی, جایی که سرور ها پشت فایروال فیزیکی قرار می گیرند، استفاده شود تا بتوان از طریق آن به VPN متصل شد.
اگر قصد نصب Active Directory را بر روی سرورهای ابری دارید توصیه می شود برای اینکه مشکلی پیش نیاید از 2 کنترل کننده ی دامنه استفاده نمایید و هچنین DNS ها خود را جهت جلوگیری از حملات احتمالی، قفل کنید.
نمای SQL Server
در سرورهایی که از SQL Serverاستفاده می کنند, پورت 1433 برای کانکشن های داخلی بلاک میباشد و تنها برای یکسری آی پی شناخته شده از سرور های دیگر باز خواهد بود. شما هم می توانید پورت 1433 را برای کانکشن های عمومی باز کنید. اما این پورت فقط باید برای ای پی مربوط به توسعه دهنگانی که می خواهند به SQL Server دسترسی داشته باشند، باز شود. در غیر اینصورت, پورت 1433 در معرض خطا و حمله ی هکرها قرار خواهد گرفت که در این حملات ترافیک بالایی را بر روی سرور تحمیل خواهد شد و حتی ممکن است موجب داون شدن سرور شود.
Windows updates
از اینکه بروزرسانی ویندوز فعال است, اطمینان حاصل کنید و همچنین مطمئن شوید که سیستم عامل سرور شما patch می شود.در حال حاضر patch سه شنبه, در دومین سه شنبه ی هر ماه در آمریکای شمالی اتفاق می افتد.در این روز مایکروسافت به طور منظم patch های امنیتی را منتشر می کند و مشتریان باید تصمیم بگیرند که میخواهند از چه استراتژی برای آپدیت بودن استفاده کنند.
Server Backups
برخی از برنامه های ریکاوری,فاجعه هستند. به همین علت یکی از گزینه هایی که در این زمینه ما توصیه می کنیم این است که به صورت شبانه تصویری از سرور ابری ایجاد نمایید و آنرا بر روی فایل ابری رونوشت کنید که به صورت پیش فرض 7 روز نگهداری خواهد شد.از این تصویر می توانید برای ایجاد نمونه های سرور جدید و یا بازسازی سرور فعلی استفاده نمایید.
ما همچنین پیشنهاد می هیم از فایل ها نیز بکاپ گیری انجام شود اما ما بکاپ گیری از درایو C را توصیه ی نمی کنیم.زیرا فایل های موجود در این درایو معمولا قفل شده اند که باعث خطا در بکاپ گیری خواهند شد. علاوه بر آن, فایل های سیستمی در تصاویر تهیه شده از سرور موجود است, بنابراین نیازی به بکاپ روزانه از آنها نیست.پیشنهاد ما تهیه ی بکاپ از دایرکتوری (C:\intpub(IIS و سایر داده های مورد نظر کاربر است.
نکته:
دقت داشته باشید بکاپ گیری با موفقیت کامل و معتبر انجام شود و جهت تست می توانید نمونه ی سروری با این تصویر راه اندازی نمایید.
Code:
آخرین سطح حمله در محیط اینترنت, کد است.شما و توسعه دهندگان باید اطمینان حاصل نمایید که کد دارای احراز هویت و مجوز مناسب است.مجوز هر فایل باید به دقت تعریف شود و تمام ورودی ها در برنامه باید بهترین اعتبار را داشته باشد تا هکرها نتوانند از برنامه ی وب سواستفاده نمایند.
آخرین دیدگاهها