Amikor egy új Windows Server szerverrel dolgozik, annak védelme a támadókkal szemben az első dolog, amit meg akar tenni. Az alapértelmezett Windows Server konfiguráció nincs eleve lezárva, és a fontos védelmet nyitva hagyja és hozzáférhetővé teszi a hackerek számára. Vessünk egy pillantást arra, hogyan védhetjük meg webszerverünket!
Az RDP-port megváltoztatása az alapértelmezettről
Alapértelmezés szerint a kiszolgáló RDP-hozzáférése a 3389-es porton nyitott. Ez egy széles körben használt port az RDP számára, és ez az alapértelmezett konfiguráció a legtöbb Windows-kiszolgálón és számítógépen egyaránt. Mivel ez a port sok rendszerben alapértelmezett beállítás, a hackerek megpróbálják megtámadni az RDP-t ezen a porton minden számítógéphez, amely automatizált programok segítségével csatlakozik az internethez, hogy több ezer jelszó-kombinációt próbálkozzanak a szerverrel szemben.
Az egyik legegyszerűbb dolog, amit tehetünk a szerverünk védelmében, ha megváltoztatjuk ezt az alapértelmezett portot 3389-ről egy másik kihasználatlan portra, amelyet kevésbé valószínű, hogy véletlenszerűen céloznak meg a támadók. Használhatjuk ezt a nyilvántartást a szükséges változtatások végrehajtására.
A kezdéshez nyissa meg a Start menüt, és lépjen be regedit a Beállításszerkesztő megnyitásához.
Keresse meg a következő alkulcsot, amely a következő helyen található: HKEY_LOCAL_MACHINE System CurrentControlSet Control Terminal Server WinStations RDP-Tcp PortNumber.
Dupla kattintással nyissa meg az alkulcsot, és módosítsa a Base típust Hexadecimális nak nek Decimális.
Egyszerűen változtassa meg ezt az értéket az alapértelmezett 3389-es portról a kívánt, nem használt portra. Például a 3301. A mentés után újra kell indítania a szervert a változások végrehajtásához.
Ez az egyszerű változtatás lelassíthatja és megakadályozhatja a szerver több száz vagy ezer lehetséges támadását. Ha a támadó nem ismeri az Ön RDP-portját, vagy ha ez egy szokatlan port, amelyet általában nem próbálnának meg, akkor nem próbálhat meg bejelentkezni a szerverére, és Ön megmentheti rendszereit a sikeres durva erőszakos támadásoktól.
Ezzel eljuthatunk a következő pontunkhoz, a rendszer és a felhasználói jelszavak frissítéséhez.
Jelszavak frissítése, felhasználók létrehozása és alapértelmezett fiókok letiltása
A szerver támadókkal szembeni védelmének másik egyszerű módja, ha megbizonyosodik arról, hogy az összes rendszerjelszót erős, nem alapértelmezett hitelesítő adatokra frissítette, és az alapértelmezett felhasználóneveket letiltotta vagy megváltoztatta.
Most a Windows Server rendszerrel nincsenek alapértelmezett felhasználói jelszavak, mivel ezeket az operációs rendszer beállításakor állítja be. De ha a szerver vagy a kiszolgáló rendszergazdája még mindig az alapértelmezettet használja Adminisztrátor felhasználó, az Ön érdeke egy erős jelszó létrehozása, vagy még jobb, ha új felhasználót hoz létre, és letiltja az alapértelmezett rendszergazdai felhasználót.
Csakúgy, mint az RDP elleni automatizált támadások, a támadók is szoftveresen használják a jelszavak kitalálását az alapértelmezett felhasználókkal szemben. A Windows Server egyik alapértelmezett felhasználója a Adminisztrátor felhasználó.
Nézzük meg, hogyan hozhatunk létre új rendszergazdai felhasználót, frissíthetjük ezt a jelszót valami igazán erősre, és letilthatjuk az alapértelmezett rendszergazdai fiókot.
A kezdéshez keresse meg a helyi felhasználó- és fiókkezelési menüt a számítógépére keresve lusrmgr.msc.
Válaszd ki a Felhasználók csoportot a bal Műveletek ablaktáblán, és a jobb gombbal kattintson a fő műveleti ablaktáblánkra a Új felhasználó.
Az új felhasználónévnek valami egyedinek és váratlannak kell lennie egy adminisztrációs felhasználó számára. A tipikus felhasználóneveket, mint például az itadmin, a support vagy az egyszerűen admin, a hackerek könnyen kitalálják, és programozottan megtámadják őket, mivel ezek általános adminisztratív felhasználónévek. Azt javaslom, hogy keverje össze a vállalkozás nevét a felhasználónévvel, vagy adjon adminisztratív fiókokat azoknak a felhasználóknak, akiknek szüksége van rájuk, annak érdekében, hogy olyan egyedi nevet biztosítson, amelyet a támadóknak nehéz kitalálni. Ezenkívül a jelszavának legalább 12 karakterből kell állnia, beleértve a betűk, számok, szimbólumok és különböző esetek keverékét.
Miután megadta a kívánt információt, válassza a lehetőséget Teremt az új felhasználó létrehozásához. Most keresse meg az új felhasználót a Felhasználók csoportban, kattintson a jobb gombbal, és lépjen a következőre: Tulajdonságok.
Keresse meg a „Member Of„ fülre, így felvehetjük új felhasználóinkat az Adminisztrátorok csoportba.
Kattintson a gombra Hozzáadás a menü alján. Írja be az „Adminisztrátorok” mezőt az „Adja meg a kiválasztandó objektumneveket” mezőbe, majd kattintson a „Nevek ellenőrzése” gombra.
A teljes rendszergazdacsoport azonosításra és megjelenítésre kerül. Az Active Directory használata esetén megadhatja a rendszergazdai csoport domainjét és felhasználónevét.
Válassza a lehetőséget rendben és láthatjuk, hogy felhasználónk felkerül az Adminisztrátor felhasználók csoportba! Kattintson az OK gombra a visszatéréshez Helyi felhasználók és csoportok menedzser.
Most, hogy létrehoztuk új rendszergazdai felhasználónkat, erős jelszóval és nehezen kitalálható felhasználónévvel, teljesen letilthatjuk az eredeti rendszergazdai felhasználónkat.
Ehhez kattintson a jobb gombbal a Rendszergazda elemre, lépjen a Tulajdonságok elemre, és ellenőrizze A fiók le van tiltva. Kattintson az Alkalmaz gombra!
Gratulálunk! Most létrehozott egy új rendszergazdai felhasználót, és letiltotta az alapértelmezett rendszergazdai fiókot. A letiltott alapértelmezett felhasználó és a megváltozott alapértelmezett RDP port között szerverünk már minden eddiginél biztonságosabb az automatikus támadások ellen.
De ez még mindig csak a kezdet! Kövessen hasonló eljárást a szerver által használt bármely harmadik féltől származó szoftveren vagy szolgáltatáson. A Windows Server biztonságának biztosítása érdekében frissítheti az alapértelmezett felhasználóneveket és jelszavakat az SQL szerverekhez, a központokhoz és bármely más, interneten elérhető szolgáltatáshoz.
Biztonságos tűzfalszabályok létrehozása és a bejövő kapcsolatok blokkolása
A szerver biztonságának fontos része az, hogy erős tűzfalszabályokat hozzon létre annak megakadályozására, hogy eleve a rossz kapcsolatok forduljanak elő.
A legtöbb esetben a tűzfalakat úgy kell beállítani, hogy blokkolják az összes bejövő kapcsolatot, hacsak másképp nincs meghatározva. Ez a lehető legnagyobb biztonságot nyújtja Önnek, mivel mindent blokkol, kivéve bizonyos portokat és szolgáltatásokat, amelyeket manuálisan konfigurált az engedélyezéshez.
Bár nem tudjuk meghatározni, hogy pontosan mely portokat és szolgáltatásokat használnak a szerveren, használhatja ez a cikk a tűzfal speciális beállításainak konfigurálásához nyújt segítséget.
A legfontosabb az, hogy megbizonyosodjon arról, hogy minden bejövő kapcsolat blokkolva van, kivéve, ha egy új tűzfalszabály alkalmazásával kivételt tesznek. Ez a Windows Server alapértelmezett beállítása, de érdemes ellenőrizni a szerveren!
A webkiszolgálóhoz szükséges közös portok közé tartozik a TCP-port 80 (https), 443 (ssl), 1433 (MSSQL), 3306 (MySQL), ad 3389 (RDP).
A tűzfalon létrehozott szabályoknak adott esetben meghatározott távoli IP-címekre kell vonatkozniuk, szemben azzal, hogy az internet egésze nyitva áll. Előfordulhat, hogy az olyan szolgáltatásokhoz, mint az SQL, nem kell hozzáférni az általános internethez, és csak egyetlen kiszolgálóval vagy IP-címmel lehet elérni őket. Érdemes többletidőt szánni annak biztosítására, hogy bármely port vagy szolgáltatás távoli hozzáférése azokra a címekre korlátozódjon, amelyekhez feltétlenül hozzáférésre van szükség, különben megnyitjuk szerverünket potenciális támadások, kihasználások és durva kényszerítési kísérletek előtt.
Ne feledje, hogy bármikor lezárhat egy portot, és újra megnyithatja, ha problémát okoz vagy további távoli hozzáférésre van szüksége. Szerverünk ilyen módon történő biztosítása, csak a szükséges szolgáltatások megnyitásával nagyban hozzájárul a fontos adataink és hitelesítő adataink védelméhez.
Erős és naprakész vírusvédelem telepítése
Szervereink támadókkal szembeni védelmének másik nagyszerű módja az erős és biztonságos vírusirtó és spam elleni védelem megvalósítása.
A megfelelő víruskereső szoftver megakadályozza a rosszindulatú futtatható fájlok futtatását a szerveren, abban az esetben, ha letöltődnek, vagy sikerül eljutniuk az Ön rendszeréhez. A víruskeresőnek vagy az AV szoftvernek elsőbbséget kell élveznie, és érdemes elkölteni a plusz pénzt, hogy jó szolgáltatást nyújtson, amely megvédi Önt a legújabb fenyegetések ellen.
Az AV szoftvereknek naprakészeknek és gyakran javítottaknak kell lenniük, mivel naponta jelentkeznek új fenyegetések. Ezenkívül a spam védelem beépítése megakadályozhatja, hogy rosszindulatú fájlokat soha ne fogadjanak a szervezet felhasználói. Ez segít megakadályozni a potenciálisan káros üzenetek beérkezését a postaládákba, ami csökkenti annak esélyét, hogy egy gyanútlan felhasználó megnyissa vagy futtassa egy ilyen fájlt.
A nyers erő észlelő és blokkoló szoftverek beépítése a hackereket is megállíthatja. A brute-force észlelő szoftver képes észlelni az RDP, SQL és más szolgáltatások elleni sikertelen bejelentkezési kísérleteket, és számos sikertelen kísérlet után blokkolni tudja a távoli címeket. Gyakran ezek az alkalmazások blokkolnak egy IP-címet egy meghatározott ideig, mondjuk 5 rossz bejelentkezési kísérlet után. Így, ha egy rosszindulatú felhasználó megpróbálja megtámadni a szervert, akkor azt gyorsan és automatikusan azonosítják és blokkolják.
Ha a szervezeted törvényes felhasználója blokkolva van, akkor mindig engedélyezheti a kiválasztott IP-címek vagy felhasználók engedélyezését a hozzáférés engedélyezéséhez.
A szerver védelme: Az alapok ismertetése
Bár ez csak néhány módszer arra, hogy miként és amire szükségünk van a szervereink védelmére, ezek messze a legfontosabb elemek, amelyeket először végre kell hajtani. Ezek az egyszerű útmutatások minden bizonnyal olyan módon védik a szervert, amely nem lenne lehetséges, ha nem lennének beépítve.
A biztonság 24/7 365 munka, és a hackerek mindig készen állnak és végrehajtják a támadásokat. Automatizált szoftverekkel és erős bejövő szabályokkal csökkenthetjük a szerverre érkező támadások számát, és csökkenthetjük a kompromisszum sikerének esélyét.
Az erős RDP hitelesítő adatok, nem alapértelmezett felhasználónevek és jelszavak, az erős tűzfalszabályok és a naprakész víruskereső szoftverek között jó úton halad az érzékeny adatok és szolgáltatások védelme ellen a támadóktól szerte a világon.