چک لیست امنیتی ویندوز سرور چیست؟

برای افزایش امنیت ویندوز سرور (Windows Server) باید ضعف‌های امنیتی محیط و اپلیکیشن‌ها شناسایی و سپس رفع شوند. برای این منظور یک فهرست یا اصطلاحا چک لیست امنیتی تهیه می‌شود که مدیران شبکه همه بندهای آن را یک به یک اجرا می‌کنند. بندهای چک لیست امنیتی ویندوز سرور در واقع تنظیمات یا تمهیداتی هستند است که باید در سیستم‌عامل اعمال شوند.

با تهیه چک لیست دقیق و سپس اجرای صحیح بندهای آن می‌توانید امنیت ویندوز سرور و به تبع آن، امنیت شبکه و سازمان را ارتقا دهید. در این مقاله فالنیک، برای آشنایی بیشتر با محتوای چک لیست امنیتی ویندوز سرور، نمونه‌ای از آن را به نقل از سایت Netwrix بیان می‌کنیم.

توجه: بندهای چک لیست همیشه و برای همه سازمان‌ها/شرکت‌ها یکسان نیستند، بلکه بسته به وظایف، سیاست‌ها و اولویت‌های هر سازمان/شرکت فرق می‌کنند.

چرا چک لیست امنیتی ویندوز سرور مهم است؟

مایکروسافت تأکید می‌کند که امنیت سازمان بر همه بخش‌های آن تأثیر می‌گذارد و کمبود امنیت می‌تواند عملیات را مختل کند. هکرها با تحقیق، نقاط ضعف شبکه را شناسایی و با نفوذ و حرکت تدریجی (lateral movement) در 24 تا 48 ساعت کنترل را به دست می‌گیرند. چک لیست امنیتی ویندوز سرور با شناسایی زودهنگام حملات، افزایش زمان لازم برای نفوذ مهاجم و تقویت سیستم‌های هشدار، امکان خنثی‌سازی حملات را فراهم می‌کند و امنیت شبکه را ارتقا می‌دهد. با مطالعه مقاله اهمیت چک لیست ارتقای امنیت ویندوز سرور می‌توانید این موضوع را بهتر درک کنید.

چک لیست امنیتی ویندوز سرور به توصیه مایکروسافت

چک لیست امنیتی ویندوز سرور به توصیه مایکروسافت مجموعه‌ای از اقدامات کلیدی برای تقویت امنیت سرور و حفاظت از زیرساخت‌های شبکه است. این چک لیست شامل به‌روزرسانی‌های امنیتی، پیکربندی فایروال، فعال‌سازی Windows Defender، استفاده از Secure Boot، و محافظت از حساب‌های ممتاز است. با اجرای این توصیه‌ها، که بر اساس استانداردهای ASHRAE و تجارب مایکروسافت تدوین شده‌اند، می‌توانید ضعف‌های امنیتی را کاهش دهید، حملات سایبری را سریع‌تر شناسایی کنید و از دسترسی غیرمجاز به شبکه جلوگیری کنید. در مقاله روش‌های افزایش امنیت ویندوز سرور می‌توانید 9 اقدام کلیدی به توصیه مایکروسافت را در این رابطه مطالعه کنید.

خدمات امنیت شبکه توسط بهترین‌ها

متخصصان ما با اجرای بیش از 9 هزار پروژه موفق IT و به پشتوانه سه دهه تجربه در ارائه تجهیزات و خدمات شبکه، امنیت شبکه شما را به بهترین نحو تامین می‌کنند. همین حالا با ما تماس بگیرید و ضمن استفاده از مشاوره رایگان متخصصان ما، شبکه‌ی خود را به دژی غیر قابل نفوذ تبدیل کنید.

خدمات امنیت شبکهمشاوره رایگان

نمونه‌ای از یک چک لیست امنیتی ویندوز سرور

در ادامه یک مثال از چک لیست امنیتی ویندوز سرور را به شما ارائه می‌دهیم:

1- رعایت فاکتورهای حفظ امنیت سازمانی

• برای هر سرور رکوردی از موجودی‌های آن داشته باشید. این رکورد، حداقل‌های پیکربندی را به‌شکل مستند مشخص و هر تغییر در سرور را ثبت می‌کند.
• پیش از اعمال هر تغییری در سخت‌افزار یا نرم‌افزار سرور، آن تغییر را کاملا بیازمایید و ارزیابی کنید.
• مرتبا ریسک‌ها را برآورد کنید. برای به‌روزرسانی برنامه مدیریت ریسک، از نتایج این برآورد بهره ببرید. فهرستی اولویت‌بندی شده از همه سرورها داشته باشید تا اطمینان یابید که ضعف‌های امنیتی طبق برنامه زمانی ترمیم می‌شوند.
• همه سرور را در سطح بازبینی یکسان نگه دارید.

2- آماده‌سازی ویندوز سرور

• تا زمانی که سیستم‌عامل نصب و تقویت شود، کامپیوترهای تازه نصب شده را از ترافیک شبکه متخاصم (hostile network traffic) محافظت کنید. همه سرورهای جدید در شبکه DMZ را که به اینترنت وصل نیستند، تقویت کنید.
• برای بایوس/سفت‌افزار پسورد تعیین کنید تا از تغییرات غیرمجاز در تنظیمات استارت‌آپ سرور جلوگیری شود.
• لاگین کردن خودکار با اکانت مدیریتی در کنسول بازیابی (ریکاوری) را غیرفعال کنید.
• ترتیب بوت دستگاه‌ها را طوری تنظیم کنید که به‌طور غیرمجاز و خودکار از رسانه‌های دیگر بوت نشوند.

3- نکات امنیتی در نصب ویندوز سرور

• مراقب باشید سیستم طی فرآیند نصب خاموش نشود.
• برای پیکربندی سیستم براساس یک نقش (role) خاص، از Security Configuration Wizard استفاده کنید.
• مراقب باشید همه وصله‌های مناسب، ترمیم‌های فوری و سرویس‌پک‌ها به‌درستی اعمال شوند. وصله‌های امنیتی، ضعف‌های شناخته‌شده‌ای را که مهاجمان برای نفوذ به سیستم ممکن است از آن‌ها بهره ببرند، ترمیم می‌کنند. پس از نصب ویندوز سرور، بلافاصله آن را به‌وسیله WSUS یا SCCM با جدیدترین وصله‌ها آپدیت کنید.
• قابلیت اعلام خودکار انتشار وصله‌های جدید را فعال کنید. هرگاه وصله‌ای منتشر شد، آن وصله باید فورا با استفاده از WSUS یا SCCM تحلیل، تست و نصب شود.

4- تقویت امنیت حساب کاربری در ویندوز سرور

• از استاندارد بودن و قوی بودن پسوردهای مدیریتی و سیستمی‌تان اطمینان حاصل کنید. به خصوص مراقب باشید که در پسورد اکانت‌های ممتاز (اکانت‌هایی که سطح دسترسی بالایی دارند)، از کلمات معنادار یا لغت‌نامه‌ای استفاده نشود. هر پسورد باید دست‌کم 15 کاراکتر داشته و ترکیبی از حرف، عدد، علائم خاص و کاراکترهای نامرئی (مثل CTRL) باشد. همه پسوردها را هر 90 روز یک‌بار عوض کنید.
• سیاست‌های گروهی (Group Policy) جهت مسدودسازی اکانت‌ها را طبق بهترین شیوه‌های پیشنهادشده تنظیم کنید.
• اجازه ندهید کاربران، اکانت‌ مایکروسافتی ایجاد و با آن در کامپیوترها لاگین کنند.
• اکانت میهمان (Guest account) را غیرفعال کنید.
• نباید اجازه دهید به کاربران ناشناس، مجوز Everyone اعطا شود.
• برای شمارش اکانت‌ها و داده‌های به‌ اشتراک‌ گذاشته شده SAM به‌صورت ناشناس، مجوز صادر نکنید.
• ترجمه SID/Name به‌صورت ناشناس را غیرفعال کنید.
• حساب‌های کاربری بلااستفاده را فورا غیرفعال یا حذف کنید.

5- پیکربندی امنیت شبکه

• دیواره آتش (فایروال) ویندوز را در همه پروفایل‌ها (دامنه‌ها، خصوصی، عمومی) فعال و طوری پیکربندی کنید که به‌طور پیش‌فرض ترافیک ورودی را بلوکه کند.
• مسدودسازی پورت را در سطح تنظیمات شبکه فعال کنید. دریابید که کدام پورت‌ها باید باز باشند. دسترسی به تمام دیگر پورت‌ها را محدود کنید.
• تنظیمات‌تان طوری باشد که فقط کاربران احراز هویت شده، بتوانند از شبکه به هر کامپیوتری دسترسی یابند.
• به هر کاربری مجوز act as part of the operating system اعطا نکنید.
• به اکانت‌های میهمان اجازه ندهید با مجوز سرویس (Log on as a service)، رشته وظایف (log on as a batch job)، به‌صورت محلی (log on locally) یا از طریق RDP لاگین کنند.
• اگر از RDP استفاده می‌شود، سطح رمزنگاری اتصال RDP را بالا ببرید.
• گزینه Enable LMhosts lookup را حذف کنید.
• گزینه NetBIOS over TP/IP را غیرفعال کنید.
• گزینه ncacn_ip_tcp را حذف کنید.
• هم Microsoft Network Client و هم Microsoft Network Server را طوری پیکربندی کنید که همیشه ارتباطات‌شان را دیجیتالی امضا کنند.
• ارسال پسوردهای رمزنگاری نشده به سرورهای SMB طرف سوم را غیرفعال کنید.
• اجازه ندهید کاربر به‌صورت ناشناس به داده‌های ‌اشتراکی‌شده دسترسی پیدا کند.
• به سیستم محلی (Local System) اجازه دهید برای NTLM از هویت کامپیوتر استفاده کند.
• Local System NULL session fallback را غیرفعال کنید.
• انواع رمزنگاری‌های ممکن برای کربروس (پروتکل احراز هویت Kerberos) را پیکربندی کنید.
• مقادیر LAN Manager hash را ذخیره نکنید.
• سطح احراز هویت LAN Manager را طوری تنظیم کنید که فقط NTLMv2 را بپذیرد و LM و NTLM را رد کند.
• امکان اشتراک‌گذاری فایل و پرینتر از شبکه را حذف کنید. اشتراک‌گذاری فایل و پرینتر به هر کسی اجازه می‌دهد تا به سرور متصل شود و بدون نیاز به شناسه کاربری یا پسورد به داده‌های مهم دسترسی پیدا کند.

6- پیکربندی امنیتی رجیستری ویندوز سرور

تمهیدی بیاندیشید تا همه مدیران‌ برای درک جامع نحوه عملکرد رجیستری و هدف هر یک از کلیدهای مختلف آن وقت بگذراند. در سیستم‌عامل ویندوز بسیاری از ضعف‌ها را می‌توانید با تغییر کلیدهای خاص رجیستری ترمیم کنید. در ادامه به برخی از آن‌ها اشاره می‌کنیم:

• مجوزهای رجیستری را پیکربندی کنید. رجیستری را از دسترس کاربران ناشناس دور نگه دارید. اگر دسترسی راه دور به رجیستری را لازم ندارید، برایش مجوز صادر نکنید.
• مقدار MaxCachedSockets (REG_DWORD) را روی 0 تنظیم کنید.
• مقدار SmbDeviceEnabled (REG)DWORD را روی 0 تنظیم کنید.
• مقدار AutoShareServer را روی 0 تنظیم کنید.
• مقدار AutoShareWks را روی 0 تنظیم کنید.
• همه مقادیر داده درون کلید NullSessionPipes را پاک کنید.
• همه مقادیر داده درون کلید NullSessionShares را پاک کنید.

7- تنظیمات امنیتی عمومی ویندوز سرور

• سرویس‌هایی را که لازم ندارید، غیرفعال کنید. در اکثر سرورها سیستم‌عامل با تنظیمات پیش‌فرض نصب می‌شود. در تنظیمات پیش‌فرض، اغلب سرویس‌های اضافی که سیستم نیازی به آن‌ها ندارد، نیز روشن هستند که این به بروز ضعف‌های امنیتی منجر می‌شود. پس همه سرویس‌های غیر ضروری حتما باید از سیستم حذف شوند.
• اجزا یا کامپیوننت‌های غیر ضروری ویندوز را حذف کنید. اجزای غیرضروری ویندوز باید از سیستم‌های مهم حذف شوند تا سرورها امن بمانند.
• با انتخاب NTFS یا BitLocker در ویندوز سرور، قابلیت رمزنگاری سیستم فایل (EFS) بومی ویندوز را فعال کنید.
• اگر ایستگاه کاری (workstation) حافظه رم زیادی دارد، swapfile ویندوز را غیرفعال کنید. این کار بازده و امنیت را افزایش می‌دهد زیرا هیچ داده مهمی نمی‌تواند روی هارددیسک نوشته شود.
• از AUOTORUN استفاده نکنید؛ در غیر این‌صورت کدهای نامطمئن می‌توانند بدون اطلاع مستقیم کاربر اجرا شوند؛ مثلا مهاجم می‌تواند از روی سی‌دی اسکریپت خودش را اجرا کند.
• سیستم را طوری پیکربندی کنید که پیش از لاگین کردن کاربر، پیغامی رسمی به وی نمایش داده شود. متن پیغام برای مثال می‌تواند چنین باشد: «استفاده غیرمجاز از این کامپیوتر و منابع شبکه ممنوع است…»
• برای لاگین کردن تعاملی، استفاده از کلیدهای ترکیبی Ctrl + Alt + Del را الزامی کنید (در لاگین تعاملی، کاربر نه از راه دور بلکه به‌صورت محلی در کامپیوتر لاگین می‌کند.)
• برای بیکار ماندن کامپیوتر، محدودیت زمانی تعیین کنید تا جلسه‌های تعاملی بلااستفاده (idle interactive sessions) محافظت شوند.
• مراقب باشید همه فضاهای ذخیره‌سازی (volume) از سیستم فایل NTFS استفاده ‌کنند.
• مجوزهای Local File/folder را پیکربندی کنید. از دیگر اقدام امنیتی مهم که عمدتا مغفول می‌ماند، مسدودسازی مجوزهای سطح فایل (file-level) برای سرور است. به‌طور پیش‌فرض، ویندوز روی همه فایل‌ها یا فولدرهای محلی محدودیت‌های خاصی اعمال نمی‌کند؛ در اکثر کامپیوترها به گروه Everyone مجوزهای کامل اعطا می‌شود. گروه Everyone  را حذف و در عوض براساس نقش کاربران، گروه‌های مختلف تعریف کنید. به یاد داشته باشید مجوز و سطح دسترسی هر گروه فقط باید به‌اندازه‌ای باشد که بتواند وظایفش را انجام دهد و نه بیشتر. سپس بر پایه همین اصل، به گروه‌ها مجوز دسترسی به فایل و فولدر اعطا کنید. گروه‌های‌ Guest و Everyone و نیز قابلیت لاگین کردن به‌صورت ناشناس را با جدیت از فهرست مجوزهای کاربر حذف کنید. ویندوز با این پیکربندی، امن‌تر خواهدشد.
• تاریخ/زمان سیستم را تنظیم و آن را طوری پیکربندی کنید که با تایم‌ سرورهای دامنه هماهنگ باشد.
• یک محافظ صفحه‌نمایش (screensaver) پیکربندی کنید تا هرگاه کنسول بی‌کار بود، صفحه نمایش کنسول به‌طور خودکار قفل شود.

8- تنظیمات Audit Policy

• Audit Policy را به‌‌درستی در ویندوز فعال کنید. شما با Audit Policy مشخص می‌کنید که چه نوع رویدادهایی باید ردگیری و در بخش log Security ویندوز سرور ثبت ‌شوند.
• روش ذخیره‌سازی مستمر Event log را طوری پیکربندی کنید که در صورت نیاز نونویسی شود. اندازه آن را تا 4 گیگابایت تعیین کنید.
• به‌منظور مانیتورینگ، کپی روی‌ داد‌های ثبت شده را به SIEM (مخفف Security Information and Event Management) ارسال کنید (log shipping).

9- راهنمای امنیت نرم‌افزار

• نرم‌افزار آنتی ویروس نصب و آن را فعال کنید. آن را طوری پیکربندی کنید که روزانه آپدیت شود.
• نرم‌افزار ضدجاسوس‌افزار نصب و آن را فعال کنید. آن را طوری پیکربندی کنید که روزانه آپدیت شود.
• نرم‌افزاری نصب کنید که یکپارچگی فایل‌های مهم سیستم‌عامل را بررسی کند. ویندوز قابلیتی موسوم به Resource Protection دارد که فایل‌های مهم خاص را به‌طور خودکار بررسی و هر کدام را که معیوب بود با نسخه سالم جایگزین‌ می‌کند.

10- پایان کار

• با استفاده از GHOST یا Clonezilla از سیستم‌عامل‌های‌تان ایمیج بگیرید تا همه آنچه روی سیستم‌عامل نصب شده‌است و نیز همه تنظیمات امنیتی آن در فایل ایمیج کپی ‌شود. در این‌صورت اگر برای مثال لازم شد که ویندوز سرور را از نو نصب کنید، همه برنامه‌ها و تنظیمات امنیتی پیشین از روی فایل ایمیج روی ویندوز پیاده می‌شود و دیگر لازم نیست پس از نصب ویندوز همه نرم‌افزارها و تنظیمات امنیتی موردنیازتان را دوباره یک به‌ یک اعمال کنید.
• کلید لایسنس ویندوز سرورتان را با توجه به نسخه آن (2019/2016/2012/2008/2003) وارد کنید.
• سرور را به دامنه متصل و سیاست‌های موردنیاز گروه دامنه (domain group) را اعمال کنید.

در پایان یادآوری می‌شود که چک لیست امنیتی ویندوز سرور هر شرکت/سازمان بسته به اولویت‌ها و شرایط خاص همان شرکت/سازمان تهیه و اجرا می‌شود. اجرای بندهای چنین چک لیستی به تقویت ویندوز سرور و امن‌تر شدن شبکه کمک می‌کند. پیشنهاد می‌کنیم برای درک بهتر این چک لیست، مقاله مفاهیم امنیتی ویندوز سرور را نیز بخوانید.

دانلود pdf چک لیست امنیتی ویندوز سرور

برای راحت‌تر شدن کار شما، pdf چک لیست امنیتی ویندوز سرور را برایتان آماده کرده‌ایم. می‌توانید این فایل پی دی اف را دانلود کنید و موارد آن را در هر بار بررسی موارد امنیتی ویندوز سرور تیک بزنید.

برای دانلود چک لیست امنیتی سرور روی لینک زیر کلیک کنید:

دانلود فایل چک لیست امنیتی ویندوز سرور

سؤالات متداول کاربران درباره چک لیست امنیتی ویندوز سرور

1. چرا باید به‌روزرسانی‌های ویندوز سرور را مرتب اعمال کنم؟

به‌روزرسانی‌ها آسیب‌پذیری‌های شناخته‌شده را برطرف می‌کنند. از WSUS یا SCCM برای مدیریت به‌روزرسانی‌ها استفاده کنید. قبل از اعمال، در محیط آزمایشی تست کنید تا از سازگاری اطمینان حاصل کرده و از حملات سایبری جلوگیری کنید.

2. چگونه فایروال ویندوز را برای امنیت سرور پیکربندی کنم؟

فایروال ویندوز را فعال کنید و فقط پورت‌های ضروری (مانند 3389 برای RDP) را باز کنید. قوانین ورودی و خروجی را محدود کنید و از IPهای خاص برای دسترسی مجاز استفاده کنید تا حمله‌ها کاهش یابد.

3. آیا باید BitLocker را برای ویندوز سرور فعال کنم؟

بله، BitLocker دیسک سیستم و داده‌ها را رمزنگاری می‌کند. آن را برای درایوهای حساس فعال کنید و کلید بازیابی را امن نگه دارید تا از دسترسی غیرمجاز به داده‌ها در صورت سرقت فیزیکی جلوگیری شود.

4. چگونه دسترسی‌های غیرضروری را در ویندوز سرور محدود کنم؟

اصل حداقل دسترسی را اعمال کنید. از گروه Everyone پرهیز کنید، حساب‌های غیرضروری را غیرفعال کنید و با Group Policy دسترسی‌ها را محدود کنید تا از سوءاستفاده حساب‌های ممتاز جلوگیری شود.

آنچه درباره چک لیست امنیتی ویندوز سرور یاد گرفتیم

در این مقاله یک نمونه از چک لیست امنیتی ویندوز سرور را به همراه بندهای پیشنهادی به شما ارائه دادیم. همچنین فایل pdf این چک لیست را برای دانلود شما آماده کرده‌ایم. با رعایت موارد ذکر شده در این چک لیست، می‌توانید امنیت ویندوز سرور خود را بهبود دهید و سرور و شبکه خود را از حملات در امان نگه دارید. درصورتی‌که به خدمات تخصصی و مشاوره در زمینه امنیت سرور و شبکه نیاز دارید، می‌توانید با شماره 8363-021 تماس بگیرید.