چگونه امنیت ویندوز سرور را تامین کنیم؟

هاردنینگ ویندوز سرور چیست؟

بیشتر شرکت‌های کوچک و متوسط، سرورهای فیزیکی خود را به‌صورت دستی مستقر می‌کنند، اما از این نکته اطلاع ندارند که چگونه آن‌ها را از دسترس هکرها دور نگه داشته و مانع نشت داده‌ها شوند. هاردنینگ ویندوز سرور یا به زبان ساده‌تر امن‌سازی ویندوز سرور، به مجموعه‌ اصول، تکنیک‌ها و راهکارهایی که برای کاهش آسیب‌پذیری ویندوز سرور مورد استفاده قرار می‌گیرند، اشاره دارد. این مجموعه‌ اقدامات با هدف افزایش امنیت سرور به اجرا گذاشته می‌شوند. 

مایکروسافت می‌گوید: «امنیت شبکه‌های ارتباطی، بر عملکرد یک سازمان، اعضا و زیرمجموعه‌های آن سازمان تاثیرگذار است. هرگونه مخاطره‌ای که احتمال وقوع یک حمله‌ امنیتی را به‌وجود آورد، خطرناک است و باعث می‌شود تمامی امور عادی و روزمره‌ سازمان با مشکل جدی روبه‌رو شود». 

فرآیند امن‌سازی سرور شامل اجرای تمهیدات امنیتی مثل نصب و پیکربندی درست فایروال‌ها، برنامه‌های بازیابی و محافظت از سرورها در حمله‌های بدافزاری است. امن‌سازی سرور به‌معنای محافظت از سرورها با استقرار مکانیزم‌های حفاظتی و سخت کردن راه نفوذ هکرها به سرورها است.  مهاجمان سایبری همیشه سعی می‌کنند به داده‌ها و منابع نگه‌داری اطلاعات روی سرورها دسترسی پیدا کنند. از این‌رو، برای محافظت از سرورها در برابر حمله‌های هکری، مایکروسافت کنترل‌ها و فرآیند‌های امنیتی مختلفی در ویندوز سرور قرار داده که امنیت آن را افزایش می‌دهد. یکی از راهکارهای موثر در این زمینه آماده‌سازی چک‌لیست امنیتی است. چک‌لیست امنیتی به ما در شناسایی آسیب‌پذیری‌ها و خطاها، افزایش آگاهی در مورد مباحث امنیتی و بهبود امنیت سرورها کمک می‌کند. تقریبا در همه موارد، حمله‌ هکرها به سرورها بر مبنای تحقیق و شناسایی نقاط ضعف سیستم‌ها انجام می‌شود، به‌طوری‌که پس از شناسایی نقاط نفوذ، در جست‌وجوی راه‌هایی برای نفوذ سریع به اهداف‌شان هستند. هنگامی‌که هکرها موفق می‌شوند به سروری نفوذ کنند، سعی می‌کنند با افزایش تدریجی سطح دسترسی در مدت زمان کوتاهی به دارایی‌های ارزشمند سازمان دست پیدا کنند. پیاده‌سازی چک‌لیست هاردنینگ ویندوز سرور به‌منظور افزایش سطح امنیت سرور و برطرف کردن نقاط ضعف سیستم، مانع پیاده‌سازی موفقیت‌آمیز طیف گسترده‌ای از حمله‌های سایبری می‌شود. همچنین، با افزایش سطح آگاهی، هنگام بروز هرگونه حمله‌ای، کارمندان بخش شبکه و امنیت در وضعیت آماده باش قرار می‌گیرند تا زمان بیش‌تری برای خنثا کردن حمله‌ها داشته باشند. در نهایت، با ایزوله کردن سیستم‌ها یا بخش‌های آسیب‌دیده از حمله، این توانایی به‌دست می‌آید تا دامنه حمله را محدود کرد و اجازه نداد سامانه‌های دیگر قربانی یک حمله سایبری شوند. 

چک لیست امنیتی ویندوز سرور

مایکروسافت همراه با عرضه ویندوز سرور 2022، تا حدودی پیکربندی پیش‌فرض ویندوز سرور را بهبود بخشیده است، اما هنوز هم تمهیدات امنیتی بیش‌تری باید انجام شود تا امنیت سرورها ارتقاء پیدا کند. به‌طور کلی، برای افزایش امنیت ویندوز سرور باید ضعف‌های امنیتی محیط و برنامه‌های کاربردی نصب‌شده روی سرور را شناسایی کنیم و آن‌ها را برطرف کنیم. برای انجام این‌کار، مدیران شبکه یک چک‌لیست امنیتی استاندارد آماده می‌کنند که شامل وظایف، خط‌مشی‌ها و اولویت‌های مدنظر سازمان است که باید به‌شکل دقیقی اجرا شوند. در حقیقت، هر بند چک‌لیست امنیتی ویندوز سرور شامل تنظیمات امنیتی ویندوز سرور یا اقداماتی است که باید در سطح سیستم‌عامل انجام شود. مجموعه اقداماتی را که برای امن‌سازی ویندوز سرور باید انجام دهید در ادامه خواهید خواند.

 پیکربندی کاربران 

حساب مهمان (Guest Account) یک حساب کاربری با کمترین امتیاز (Privilege) است که توسط کاربرانی استفاده می‌شود که حساب تعریف‌شده‌ای برای دسترسی به سرور ندارند و تنها گاهی‌اوقات به سرور وارد می‌شوند. اکانت‌های مهمان، امنیت پایینی دارند و هدف خوبی برای هکرها هستند. از این‌رو، بهتر است حساب‌های مهمان را غیرفعال کنید و نام آن‌ها را در هر سرور تغییر دهید تا مهاجمان نتوانند آن‌ها را کشف کرده و به سوء‌استفاده از آن‌ها بپردازند. 

به‌طور مشابه، حساب‌های محلی مدیریتی (Administrator) مسئول مدیریت همه فایل‌ها، دایرکتوری‌ها و سایر منابع موجود در سرور هستند. از آن‌جایی که حساب کاربری فوق دسترسی به عالی‌ترین اطلاعات را امکان‌پذیر می‌کند یک هدف محبوب برای حمله است. در صورت عدم نیاز به آن بهتر است، حساب محلی مدیریتی را غیرفعال کنید یا از رمز عبور قوی برای آن استفاده کنید. اگر حساب کاربری مدیر محلی را غیرفعال کنید، باید یک حساب مدیریتی جدید تعریف کنید. دقت کنید که حساب‌های کاربری را با دسترسی‌های مورد نیاز برای هر نقش ایجاد کنید و برای تمامی حساب‌ها از رمزعبورهای قدرتمند استفاده کنید. در انتخاب رمزهای عبور مدیریتی و سیستمی‌ سخت‌گیر باشید، به‌ویژه برای حساب‌های مدیریتی که سطح دسترسی بالایی دارند. همچنین، از یک خط‌مشی رمز عبور قوی برای هر حساب در سرور استفاده کنید و اطمینان حاصل کنید رمز عبور انتخابی حداقل 15 کاراکتر و ترکیبی از حروف کوچک و بزرگ، اعداد و کاراکترهای خاص باشد. رمزهای عبور خود را هر 90 روز یک‌بار تغییر دهید تا امنیت حساب‌های سیستمی و مدیریتی حفظ شوند. 

پیکربندی شبکه

سرویس‌های شبکه را که روی سرور از آن‌ها استفاده نمی‌کنید غیرفعال کنید و مطمئن شوید تنها کاربران احرازهویت‌شده مجوز دسترسی به سیستم‌های شبکه را دارند. فایروال شبکه را فعال کنید تا از سیستم در برابر حمله‌های خارجی محافظت کند و ترافیک ورودی را مسدود کند. در مرحله بعد، یک آدرس آی‌پی ثابت برای سرورها تعریف کنید تا کلاینت‌های مورد تایید به‌شکل ساده‌ای به آن دسترسی داشته باشند. هنگامی‌که فایروال ویندوز را فعال کردید، در مرحله بعد باید پیکربندی پیش‌فرض آن‌را تغییر کنید تا بتوانید نظارت دقیقی بر ترافیک ورودی داشته باشید. پورت‌هایی را که باید باز بمانند ارزیابی کنید، دسترسی به پورت‌ها را محدود کنید و دسترسی به آن‌ها را در سطح تنظیمات شبکه مسدود کنید. اطمینان حاصل کنید که حداقل دو سرور DNS دارید و اگر می‌خواهید تغییراتی در آن ایجاد کنید، از قبل تغییرات را مشخص و مستندسازی کنید. همچنین، با استفاده از فرمان Nslookup در خط فرمان، ویژگی وضوح نام را بررسی کنید. مطمئن شوید که سرور، یک رکورد معتبر در DNS با نام مورد نظر شما و یک رکورد PTR برای جست‌وجوهای معکوس دارد.

ویژگی‌های ویندوز و پیکربندی نقش‌ها

نقش‌ها و ویژگی‌های خاصی توسط مایکروسافت برای مدیریت سیستم‌عامل سرور تعریف شده‌اند. مطمئن شوید که هر نقش سرور یا مجموعه‌ای از برنامه‌های نرم‌افزاری به‌درستی پیکربندی و نصب شده‌اند. این نقش‌ها شامل ویژگی‌هایی مانند IIS سرنام Internet Information Services و غیره هستند که قابل پیکربندی هستند. برای اطمینان از عملکرد روان و سریع نقش‌ها به موارد زیر دقت کنید: 

• بررسی کنید تنها نقش‌ها و بسته‌هایی که به آن‌ها نیاز دارید مثل چارچوب دات‌نت یا IIS نصب شده باشند. 
•  هر ماژول، بسته یا برنامه‌ای را که به آن نیاز ندارید حذف کنید، زیرا نقش‌ها یا سرویس‌های غیرضروری می‌توانند به‌عنوان یک نقطه ورودی برای پیاده‌سازی یک حمله سایبری یا دسترسی غیرمجاز مورد استفاده قرار گیرند. 
•  سیستم‌عامل ویندوز سرور باید بر مبنای نیاز و ضرورت پیکربندی شده و نقش‌ها به آن افزوده شوند، به‌گونه‌ای که سرور به‌راحتی و سریع‌ اجرا شود. 

نصب به‌روزرسانی‌ها 

اطمینان حاصل کنید که وصله‌ها و به‌روزرسانی‌های منتشرشده روی سرور نصب شده‌اند. البته این حرف بدان معنا نیست که وقتی یک به‌روزرسانی جدید منتشر می‌شود، بدون ارزیابی مستندات و گزارش‌ها یا بدون آزمایش به‌روزرسانی‌ها اقدام به نصب آن‌ها کنید. مایکروسافت به‌روزرسانی‌های مختلفی را برای ویندوز سرور منتشر می‌کند که از آن جمله به موارد زیر باید اشاره کرد: 

•  به‌روزرسانی‌هایی برای وصله کردن یک آسیب‌پذیری منفرد. 
•  مجموعه‌ای از وصله‌ها برای ترمیم آسیب‌پذیری‌های متعدد، اما مرتبط با یک‌دیگر.
•  بسته‌های خدماتی که برای وصله کردن انواع مختلفی از آسیب‌پذیری‌ها مورد استفاده قرار می‌گیرند. 

در نهایت، قبل از تایید نتایج آزمایش، به‌روز‌رسانی‌ها را نصب نکنید. پیشنهاد ما این است که برای دریافت اطلاعات بیشتر درباره به‌روزرسانی‌ها به انجمن‌های کاربری مایکروسافت مراجعه کنید. این انجمن‌ها ایده‌ای در مورد نحوه انتشار به‌روز‌رسانی‌های جدید، مزایا و معایب آن‌ها در اختیارتان قرار می‌دهند؛ به‌طوری‌که کمک می‌کنند تصمیمات آگاهانه‌ای اتخاذ کنید و در جریان تغییراتی باشید که روی سرور اتفاق می افتند. 

پیکربندی NTP

اگر مکانیزم‌های امنیتی و احراز هویت شما مبتنی بر Kerberos است، ممکن است با مشکل اختلاف زمانی روبه‌رو شوید. یک اختلاف زمانی ممکن است به هکرها در شکستن مکانیزم‌های امنیتی و نفوذ به ویندوز سرور کمک کند. بنابراین، کنترل‌کننده‌های دامنه باید زمان خود را با سرور زمان هماهنگ کنند تا مانع بروز خرابی یا مشکل جدی شوند. یک سرور پس از پیوستن به دامنه، زمان خود را به‌صورت خودکار با یک کنترل‌کننده دامنه همگام می‌کند. زمان‌سنجی ثابت در سراسر شبکه برای مکانیزم‌های امنیتی، به‌روز‌رسانی سیستم فایلی و سیستم‌های مدیریت شبکه ضروری است. بنابراین، اگر سرور به‌درستی همگام‌سازی نشده است، پروتکل زمان شبکه (NTP) را تنظیم کنید. این پیکربندی به همگام‌سازی زمان ساعت کامپیوترهای عضو شبکه کمک می‌کند. 

پیکربندی فایروال

فایروال نقش مهمی در امنیت شبکه‌ها دارد و باید برای پیشگیری از بروز حمله‌های سایبری به‌درستی پیکربندی شود. پیکربندی نادرست می‌تواند به هکرها اجازه دهد به منابع شبکه حتا در شرایطی که فایروال فعال است، دسترسی داشته باشند. از این‌رو، پیکربندی مناسب نام‌های دامنه و آدرس‌های پروتکل اینترنت (IP) ضروری است. پیکربندی خط‌مشی فایروال کمک می‌کند تا ترافیک ورودی را محدود به پورت‌ها و مسیرهای ضروری کنید. ویندوز سرور، یک فایروال نرم‌افزاری دارد که قادر است سطح حمله به پورت‌های مجاز را محدود کند و از منابع شبکه محافظت کند. به‌طور کلی، فایروال‌های سرورها بر مبنای خط‌مشی‌های امنیتی سازمان‌ها پیکربندی می‌شوند تا هکرها موفق نشوند به سوء‌استفاده از پورت‌ها بپردازند. یک سرور مجهز به فایروال سخت‌افزاری، نرم‌افزاری یا ترکیبی از هر دو حالت، دامنه حمله‌ها به سرور را محدود به پورت‌های مجاز می‌کند و به این شکل از سرور در برابر حمله‌های مبتنی بر شبکه محافظت می‌کند.

پیکربندی دسترسی از راه دور

اگر از پروتکل دسکتاپ راه دور (RDP) برای مدیریت ویندوز استفاده می‌کنید، باید از شبکه خصوصی مجازی برای دسترسی ایمن به سرور استفاده کنید. اگر پروتکل فوق را بدون تهمیدات لازم مورد استفاده قرار دهید، هکرها این شانس را پیدا می‌کنند تا کانال ارتباطی شما را رهگیری کرده، به شنود اطلاعات پرداخته و اطلاعات مبادله‌شده میان شما و سرور را سرقت کنند. همچنین، اطمینان حاصل کنید که RDP فقط توسط کاربران مجاز مورد استفاده قرار می‌گیرد. پس از فعال شدن پروتکل فوق در سرور، همه مدیران و افراد می‌توانند به‌طور پیش‌فرض به آن دسترسی داشته باشند. به همین دلیل، ضروری است تنظیمات پیش‌فرض را تغییر دهید و مطمئن شوید که RDP فقط در دسترس مدیران مورد اعتماد قرار دارد. به غیر از RDP، می‌توانید از مکانیزم‌های دسترسی از راه دور بیشتری برای مدیریت سرور استفاده کنید که تنها از طریق شبکه خصوصی مجازی قابل استفاده هستند. از جمله این راه‌حل‌ها باید به پاورشل و پروتکل SSH اشاره کرد که باید به‌دقت مدیریت شوند. در نهایت، تحت هیچ شرایطی از ارتباطات رمزگذاری‌نشده استفاده نکنید و به‌جای آن از سرور SFTP یا SSH مبتنی بر شبکه خصوصی مجازی استفاده کنید. 

پیکربندی سرویس‌ها

ویندوز سرور همراه با مجموعه سرویس‌هایی روی سرور نصب می‌شود که به‌طور پیش‌فرض در پس‌زمینه اجرا می‌شوند. بیشتر این سرویس‌ها برای کارکرد درست سیستم‌عامل ضروری هستند، اما برخی دیگر باید غیرفعال شوند تا هکرها نتوانند راهی برای ورود به سرور پیدا کرده یا دامنه‌های دیگر را به‌خطر بیاندازند. اطمینان حاصل کنید که سرویس‌های غیر از موارد ضروری غیرفعال شوند. اگر از ویندوز سرورهای قدیمی مثل 2008 یا 2003 استفاده می‌کنید، آن‌ها را به‌دقت بررسی کنید تا فقط سرویس‌های ضروری را اجرا کنند. یکی از مزایای اجرای سرویس‌های ضروری این است که هنگام بروز مشکل، فرآیند بازیابی سرور را سریع می‌کنند و گاهی‌اوقات نیازی نیست کارشناسان شبکه کاری در این زمینه انجام دهند. برنامه‌های مضاعف و غیرضروری می‌توانند فرآیند بازیابی را با تاخیر همراه کنند. برای سرویس‌های پیچیده‌تر از گزینه‌ راه‌اندازی خودکار همراه با تاخیر استفاده کنید تا سرویس‌های ضروری قبل از راه‌اندازی سرویس‌های پیچیده، فرصت کافی برای شروع داشته باشند.

هاردنینگ بیشتر

اطمینان حاصل کنید از تمهیدات امنیتی مناسبی برای برنامه‌هایی که روی سرور اجرا می‌شوند، استفاده کرده‌اید. ویندوز سرور از شیوه‌های مختلفی برای امن‌سازی ویندوز سرور استفاده می‌کند. به‌طوری که از ویژگی اسکن و کنترل حساب کاربری (User Account Control) پشتیبانی می‌کند که مانع اجرای برنامه‌هایی می‌شود که بدون کسب اجازه قصد اجرا دارند. به زبان ساده، حتا زمانی که به‌عنوان یک مدیر به سرور وارد می‌شوید و قصد اجرای نرم‌افزاری را دارید، ویژگی UAC از شما در این زمینه سوال می‌کند. رویکرد فوق، مانع اجرا یا نصب کدهایی می‌شود که هنگام بازدید از سایت‌ها ممکن است باعث آلوده‌سازی سیستم شوند. 

همچنین، اصل حداقل امتیاز را اعمال کنید که بر اساس آن تنها کاربر یا گروه محدودی از کاربران توانایی اجرای کارهای خاصی را داشته باشند. همچنین، نرم‌افزار ضدجاسوس‌افزار، نرم‌افزار DLP و نرم‌افزار ضدویروس را فعال کنید و پیوست‌ ایمیل‌ها را قبل از باز کردن اسکن کنید. 

ثبت و نظارت

اطمینان حاصل کنید مکانیزم‌های گزارش‌گیری و مانیتورینگ سرور به‌خوبی پیکربندی شده‌اند و داده‌های ضروری را جمع‌آوری می‌کنند تا هنگام بروز مشکل، بتوانید به‌سرعت علت را شناسایی و برطرف کنید. بسته به این‌که سرور بخشی از یک دامنه است یا خیر، گزارش‌گیری متفاوت است. در حالت کلی، ورود به دامنه از طریق کنترل‌کننده‌های دامنه (Domain Controllers) پردازش می‌شود. برای جمع‌آوری داده‌های عملکردی ویندوز سرور می‌توانید از مولفه‌های ویندوز یا راه‌حل‌های شخص ثالث استفاده کنید. به‌طور کلی، پیشنهاد می‌شود اطلاعات عملکردی در مورد سرور یا سرورها را ثبت کنید. مواردی مثل فضای موجود دیسک، میزان استفاده از پردازنده مرکزی و حافظه اصلی، فعالیت شبکه و حتا دما باید به‌طور مداوم تجزیه‌وتحلیل و ثبت شوند تا بتوان به‌راحتی مشکلات یا موارد غیرعادی را شناسایی کرد. متاسفانه، برخی کارشناسان شبکه در این زمینه بی‌تفاوت هستند، اما واقعیت این است که جمع‌آوری اطلاعات فوق در بلندمدت مزایای زیادی دارد و روند عیب‌یابی سرور را ساده‌تر و کوتاه‌تر می‌کنند. 

کلام آخر 

در این پست چک‌لیست امنیتی امن‌سازی ویندوز سرور، کنترل‌های کلیدی، فرآیندها و اصولی را که برای افزایش سطح امنیت سرور به آن‌ها نیاز دارید بررسی کردیم. سپس در ادامه، اقدامات پایه را که کمک می‌کنند سرور در وضعیت ایمنی قرار بگیرد بررسی کردیم. نکته مهمی که باید به آن دقت کنید این است که سرورها برای ذخیره و اشتراک‌گذاری داده‌ها و منابع حساس از طریق شبکه، استفاده می‌شوند؛ اگر امنیت سرور ضعیف باشد، این احتمال وجود دارد که مهاجمان سایبری در زمان کوتاهی از سد مکانیزم‌های امنیتی عبور کرده و به اطلاعات حساس سازمان دست پیدا کنند. از این‌رو، پیاده‌سازی تکنیک‌ها و ابزارهایی که سرور شما را در برابر هک و اقدامات مخرب ایمن می‌کنند، اهمیت زیادی دارد. با اجرای بهترین شیوه‌های امنیتی، می‌توانید از داده‌های حیاتی خود محافظت کنید. برای این منظور، اطمینان حاصل کنید حساب‌های مهمان را غیرفعال کرده و برای هر حساب روی سرور یک خط‌مشی رمز عبور قوی تعیین کرده‌اید. برای دسترسی به منابع شبکه، فایروال ویندوز را فعال کنید و حالت پیش‌فرض برای مسدود کردن ترافیک ورودی را تغییر دهید. همچنین، سرور را به‌روز نگه دارید و از اجرای به‌روز‌رسانی‌های جدید بدون بررسی نتایج ثبت‌شده، دوری کنید. در نهایت فراموش نکنید که پشتیبان‌گیری از اطلاعات کمک می‌کند در صورت بروز مشکلات جدی، در زمان کوتاهی شرایط را به حالت اولیه بازگردانید.