چک لیست امنیتی ویندوز سرور چیست؟

برای افزایش امنیت ویندوز سرور (Windows Server) باید ضعفهای امنیتی محیط و اپلیکیشنها شناسایی و سپس رفع شوند. برای این منظور یک فهرست یا اصطلاحا چک لیست امنیتی تهیه میشود که مدیران شبکه همه بندهای آن را یک به یک اجرا میکنند. بندهای چک لیست امنیتی ویندوز سرور در واقع تنظیمات یا تمهیداتی هستند است که باید در سیستمعامل اعمال شوند.
با تهیه چک لیست دقیق و سپس اجرای صحیح بندهای آن میتوانید امنیت ویندوز سرور و به تبع آن، امنیت شبکه و سازمان را ارتقا دهید. در این مقاله فالنیک، برای آشنایی بیشتر با محتوای چک لیست امنیتی ویندوز سرور، نمونهای از آن را به نقل از سایت Netwrix بیان میکنیم.
توجه: بندهای چک لیست همیشه و برای همه سازمانها/شرکتها یکسان نیستند، بلکه بسته به وظایف، سیاستها و اولویتهای هر سازمان/شرکت فرق میکنند.
فهرست محتوا
چرا چک لیست امنیتی ویندوز سرور مهم است؟
مایکروسافت تأکید میکند که امنیت سازمان بر همه بخشهای آن تأثیر میگذارد و کمبود امنیت میتواند عملیات را مختل کند. هکرها با تحقیق، نقاط ضعف شبکه را شناسایی و با نفوذ و حرکت تدریجی (lateral movement) در 24 تا 48 ساعت کنترل را به دست میگیرند. چک لیست امنیتی ویندوز سرور با شناسایی زودهنگام حملات، افزایش زمان لازم برای نفوذ مهاجم و تقویت سیستمهای هشدار، امکان خنثیسازی حملات را فراهم میکند و امنیت شبکه را ارتقا میدهد. با مطالعه مقاله اهمیت چک لیست ارتقای امنیت ویندوز سرور میتوانید این موضوع را بهتر درک کنید.
چک لیست امنیتی ویندوز سرور به توصیه مایکروسافت
چک لیست امنیتی ویندوز سرور به توصیه مایکروسافت مجموعهای از اقدامات کلیدی برای تقویت امنیت سرور و حفاظت از زیرساختهای شبکه است. این چک لیست شامل بهروزرسانیهای امنیتی، پیکربندی فایروال، فعالسازی Windows Defender، استفاده از Secure Boot، و محافظت از حسابهای ممتاز است. با اجرای این توصیهها، که بر اساس استانداردهای ASHRAE و تجارب مایکروسافت تدوین شدهاند، میتوانید ضعفهای امنیتی را کاهش دهید، حملات سایبری را سریعتر شناسایی کنید و از دسترسی غیرمجاز به شبکه جلوگیری کنید. در مقاله روشهای افزایش امنیت ویندوز سرور میتوانید 9 اقدام کلیدی به توصیه مایکروسافت را در این رابطه مطالعه کنید.
نمونهای از یک چک لیست امنیتی ویندوز سرور
در ادامه یک مثال از چک لیست امنیتی ویندوز سرور را به شما ارائه میدهیم:
1- رعایت فاکتورهای حفظ امنیت سازمانی
- برای هر سرور رکوردی از موجودیهای آن داشته باشید. این رکورد، حداقلهای پیکربندی را بهشکل مستند مشخص و هر تغییر در سرور را ثبت میکند.
- پیش از اعمال هر تغییری در سختافزار یا نرمافزار سرور، آن تغییر را کاملا بیازمایید و ارزیابی کنید.
- مرتبا ریسکها را برآورد کنید. برای بهروزرسانی برنامه مدیریت ریسک، از نتایج این برآورد بهره ببرید. فهرستی اولویتبندی شده از همه سرورها داشته باشید تا اطمینان یابید که ضعفهای امنیتی طبق برنامه زمانی ترمیم میشوند.
- همه سرور را در سطح بازبینی یکسان نگه دارید.
2- آمادهسازی ویندوز سرور
- تا زمانی که سیستمعامل نصب و تقویت شود، کامپیوترهای تازه نصب شده را از ترافیک شبکه متخاصم (hostile network traffic) محافظت کنید. همه سرورهای جدید در شبکه DMZ را که به اینترنت وصل نیستند، تقویت کنید.
- برای بایوس/سفتافزار پسورد تعیین کنید تا از تغییرات غیرمجاز در تنظیمات استارتآپ سرور جلوگیری شود.
- لاگین کردن خودکار با اکانت مدیریتی در کنسول بازیابی (ریکاوری) را غیرفعال کنید.
- ترتیب بوت دستگاهها را طوری تنظیم کنید که بهطور غیرمجاز و خودکار از رسانههای دیگر بوت نشوند.
3- نکات امنیتی در نصب ویندوز سرور
- مراقب باشید سیستم طی فرآیند نصب خاموش نشود.
- برای پیکربندی سیستم براساس یک نقش (role) خاص، از Security Configuration Wizard استفاده کنید.
- مراقب باشید همه وصلههای مناسب، ترمیمهای فوری و سرویسپکها بهدرستی اعمال شوند. وصلههای امنیتی، ضعفهای شناختهشدهای را که مهاجمان برای نفوذ به سیستم ممکن است از آنها بهره ببرند، ترمیم میکنند. پس از نصب ویندوز سرور، بلافاصله آن را بهوسیله WSUS یا SCCM با جدیدترین وصلهها آپدیت کنید.
- قابلیت اعلام خودکار انتشار وصلههای جدید را فعال کنید. هرگاه وصلهای منتشر شد، آن وصله باید فورا با استفاده از WSUS یا SCCM تحلیل، تست و نصب شود.
4- تقویت امنیت حساب کاربری در ویندوز سرور
- از استاندارد بودن و قوی بودن پسوردهای مدیریتی و سیستمیتان اطمینان حاصل کنید. به خصوص مراقب باشید که در پسورد اکانتهای ممتاز (اکانتهایی که سطح دسترسی بالایی دارند)، از کلمات معنادار یا لغتنامهای استفاده نشود. هر پسورد باید دستکم 15 کاراکتر داشته و ترکیبی از حرف، عدد، علائم خاص و کاراکترهای نامرئی (مثل CTRL) باشد. همه پسوردها را هر 90 روز یکبار عوض کنید.
- سیاستهای گروهی (Group Policy) جهت مسدودسازی اکانتها را طبق بهترین شیوههای پیشنهادشده تنظیم کنید.
- اجازه ندهید کاربران، اکانت مایکروسافتی ایجاد و با آن در کامپیوترها لاگین کنند.
- اکانت میهمان (Guest account) را غیرفعال کنید.
- نباید اجازه دهید به کاربران ناشناس، مجوز Everyone اعطا شود.
- برای شمارش اکانتها و دادههای به اشتراک گذاشته شده SAM بهصورت ناشناس، مجوز صادر نکنید.
- ترجمه SID/Name بهصورت ناشناس را غیرفعال کنید.
- حسابهای کاربری بلااستفاده را فورا غیرفعال یا حذف کنید.
5- پیکربندی امنیت شبکه
- دیواره آتش (فایروال) ویندوز را در همه پروفایلها (دامنهها، خصوصی، عمومی) فعال و طوری پیکربندی کنید که بهطور پیشفرض ترافیک ورودی را بلوکه کند.
- مسدودسازی پورت را در سطح تنظیمات شبکه فعال کنید. دریابید که کدام پورتها باید باز باشند. دسترسی به تمام دیگر پورتها را محدود کنید.
- تنظیماتتان طوری باشد که فقط کاربران احراز هویت شده، بتوانند از شبکه به هر کامپیوتری دسترسی یابند.
- به هر کاربری مجوز act as part of the operating system اعطا نکنید.
- به اکانتهای میهمان اجازه ندهید با مجوز سرویس (Log on as a service)، رشته وظایف (log on as a batch job)، بهصورت محلی (log on locally) یا از طریق RDP لاگین کنند.
- اگر از RDP استفاده میشود، سطح رمزنگاری اتصال RDP را بالا ببرید.
- گزینه Enable LMhosts lookup را حذف کنید.
- گزینه NetBIOS over TP/IP را غیرفعال کنید.
- گزینه ncacn_ip_tcp را حذف کنید.
- هم Microsoft Network Client و هم Microsoft Network Server را طوری پیکربندی کنید که همیشه ارتباطاتشان را دیجیتالی امضا کنند.
- ارسال پسوردهای رمزنگاری نشده به سرورهای SMB طرف سوم را غیرفعال کنید.
- اجازه ندهید کاربر بهصورت ناشناس به دادههای اشتراکیشده دسترسی پیدا کند.
- به سیستم محلی (Local System) اجازه دهید برای NTLM از هویت کامپیوتر استفاده کند.
- Local System NULL session fallback را غیرفعال کنید.
- انواع رمزنگاریهای ممکن برای کربروس (پروتکل احراز هویت Kerberos) را پیکربندی کنید.
- مقادیر LAN Manager hash را ذخیره نکنید.
- سطح احراز هویت LAN Manager را طوری تنظیم کنید که فقط NTLMv2 را بپذیرد و LM و NTLM را رد کند.
- امکان اشتراکگذاری فایل و پرینتر از شبکه را حذف کنید. اشتراکگذاری فایل و پرینتر به هر کسی اجازه میدهد تا به سرور متصل شود و بدون نیاز به شناسه کاربری یا پسورد به دادههای مهم دسترسی پیدا کند.
6- پیکربندی امنیتی رجیستری ویندوز سرور
تمهیدی بیاندیشید تا همه مدیران برای درک جامع نحوه عملکرد رجیستری و هدف هر یک از کلیدهای مختلف آن وقت بگذراند. در سیستمعامل ویندوز بسیاری از ضعفها را میتوانید با تغییر کلیدهای خاص رجیستری ترمیم کنید. در ادامه به برخی از آنها اشاره میکنیم:
- مجوزهای رجیستری را پیکربندی کنید. رجیستری را از دسترس کاربران ناشناس دور نگه دارید. اگر دسترسی راه دور به رجیستری را لازم ندارید، برایش مجوز صادر نکنید.
- مقدار MaxCachedSockets (REG_DWORD) را روی 0 تنظیم کنید.
- مقدار SmbDeviceEnabled (REG)DWORD را روی 0 تنظیم کنید.
- مقدار AutoShareServer را روی 0 تنظیم کنید.
- مقدار AutoShareWks را روی 0 تنظیم کنید.
- همه مقادیر داده درون کلید NullSessionPipes را پاک کنید.
- همه مقادیر داده درون کلید NullSessionShares را پاک کنید.
7- تنظیمات امنیتی عمومی ویندوز سرور
- سرویسهایی را که لازم ندارید، غیرفعال کنید. در اکثر سرورها سیستمعامل با تنظیمات پیشفرض نصب میشود. در تنظیمات پیشفرض، اغلب سرویسهای اضافی که سیستم نیازی به آنها ندارد، نیز روشن هستند که این به بروز ضعفهای امنیتی منجر میشود. پس همه سرویسهای غیر ضروری حتما باید از سیستم حذف شوند.
- اجزا یا کامپیوننتهای غیر ضروری ویندوز را حذف کنید. اجزای غیرضروری ویندوز باید از سیستمهای مهم حذف شوند تا سرورها امن بمانند.
- با انتخاب NTFS یا BitLocker در ویندوز سرور، قابلیت رمزنگاری سیستم فایل (EFS) بومی ویندوز را فعال کنید.
- اگر ایستگاه کاری (workstation) حافظه رم زیادی دارد، swapfile ویندوز را غیرفعال کنید. این کار بازده و امنیت را افزایش میدهد زیرا هیچ داده مهمی نمیتواند روی هارددیسک نوشته شود.
- از AUOTORUN استفاده نکنید؛ در غیر اینصورت کدهای نامطمئن میتوانند بدون اطلاع مستقیم کاربر اجرا شوند؛ مثلا مهاجم میتواند از روی سیدی اسکریپت خودش را اجرا کند.
- سیستم را طوری پیکربندی کنید که پیش از لاگین کردن کاربر، پیغامی رسمی به وی نمایش داده شود. متن پیغام برای مثال میتواند چنین باشد: «استفاده غیرمجاز از این کامپیوتر و منابع شبکه ممنوع است…»
- برای لاگین کردن تعاملی، استفاده از کلیدهای ترکیبی Ctrl + Alt + Del را الزامی کنید (در لاگین تعاملی، کاربر نه از راه دور بلکه بهصورت محلی در کامپیوتر لاگین میکند.)
- برای بیکار ماندن کامپیوتر، محدودیت زمانی تعیین کنید تا جلسههای تعاملی بلااستفاده (idle interactive sessions) محافظت شوند.
- مراقب باشید همه فضاهای ذخیرهسازی (volume) از سیستم فایل NTFS استفاده کنند.
- مجوزهای Local File/folder را پیکربندی کنید. از دیگر اقدام امنیتی مهم که عمدتا مغفول میماند، مسدودسازی مجوزهای سطح فایل (file-level) برای سرور است. بهطور پیشفرض، ویندوز روی همه فایلها یا فولدرهای محلی محدودیتهای خاصی اعمال نمیکند؛ در اکثر کامپیوترها به گروه Everyone مجوزهای کامل اعطا میشود. گروه Everyone را حذف و در عوض براساس نقش کاربران، گروههای مختلف تعریف کنید. به یاد داشته باشید مجوز و سطح دسترسی هر گروه فقط باید بهاندازهای باشد که بتواند وظایفش را انجام دهد و نه بیشتر. سپس بر پایه همین اصل، به گروهها مجوز دسترسی به فایل و فولدر اعطا کنید. گروههای Guest و Everyone و نیز قابلیت لاگین کردن بهصورت ناشناس را با جدیت از فهرست مجوزهای کاربر حذف کنید. ویندوز با این پیکربندی، امنتر خواهدشد.
- تاریخ/زمان سیستم را تنظیم و آن را طوری پیکربندی کنید که با تایم سرورهای دامنه هماهنگ باشد.
- یک محافظ صفحهنمایش (screensaver) پیکربندی کنید تا هرگاه کنسول بیکار بود، صفحه نمایش کنسول بهطور خودکار قفل شود.
8- تنظیمات Audit Policy
- Audit Policy را بهدرستی در ویندوز فعال کنید. شما با Audit Policy مشخص میکنید که چه نوع رویدادهایی باید ردگیری و در بخش log Security ویندوز سرور ثبت شوند.
- روش ذخیرهسازی مستمر Event log را طوری پیکربندی کنید که در صورت نیاز نونویسی شود. اندازه آن را تا 4 گیگابایت تعیین کنید.
- بهمنظور مانیتورینگ، کپی روی دادهای ثبت شده را به SIEM (مخفف Security Information and Event Management) ارسال کنید (log shipping).
9- راهنمای امنیت نرمافزار
- نرمافزار آنتی ویروس نصب و آن را فعال کنید. آن را طوری پیکربندی کنید که روزانه آپدیت شود.
- نرمافزار ضدجاسوسافزار نصب و آن را فعال کنید. آن را طوری پیکربندی کنید که روزانه آپدیت شود.
- نرمافزاری نصب کنید که یکپارچگی فایلهای مهم سیستمعامل را بررسی کند. ویندوز قابلیتی موسوم به Resource Protection دارد که فایلهای مهم خاص را بهطور خودکار بررسی و هر کدام را که معیوب بود با نسخه سالم جایگزین میکند.
10- پایان کار
- با استفاده از GHOST یا Clonezilla از سیستمعاملهایتان ایمیج بگیرید تا همه آنچه روی سیستمعامل نصب شدهاست و نیز همه تنظیمات امنیتی آن در فایل ایمیج کپی شود. در اینصورت اگر برای مثال لازم شد که ویندوز سرور را از نو نصب کنید، همه برنامهها و تنظیمات امنیتی پیشین از روی فایل ایمیج روی ویندوز پیاده میشود و دیگر لازم نیست پس از نصب ویندوز همه نرمافزارها و تنظیمات امنیتی موردنیازتان را دوباره یک به یک اعمال کنید.
- کلید لایسنس ویندوز سرورتان را با توجه به نسخه آن (2019/2016/2012/2008/2003) وارد کنید.
- سرور را به دامنه متصل و سیاستهای موردنیاز گروه دامنه (domain group) را اعمال کنید.
در پایان یادآوری میشود که چک لیست امنیتی ویندوز سرور هر شرکت/سازمان بسته به اولویتها و شرایط خاص همان شرکت/سازمان تهیه و اجرا میشود. اجرای بندهای چنین چک لیستی به تقویت ویندوز سرور و امنتر شدن شبکه کمک میکند. پیشنهاد میکنیم برای درک بهتر این چک لیست، مقاله مفاهیم امنیتی ویندوز سرور را نیز بخوانید.
دانلود pdf چک لیست امنیتی ویندوز سرور
برای راحتتر شدن کار شما، pdf چک لیست امنیتی ویندوز سرور را برایتان آماده کردهایم. میتوانید این فایل پی دی اف را دانلود کنید و موارد آن را در هر بار بررسی موارد امنیتی ویندوز سرور تیک بزنید.
برای دانلود چک لیست امنیتی سرور روی لینک زیر کلیک کنید:
دانلود فایل چک لیست امنیتی ویندوز سرور
سؤالات متداول کاربران درباره چک لیست امنیتی ویندوز سرور
1. چرا باید بهروزرسانیهای ویندوز سرور را مرتب اعمال کنم؟
بهروزرسانیها آسیبپذیریهای شناختهشده را برطرف میکنند. از WSUS یا SCCM برای مدیریت بهروزرسانیها استفاده کنید. قبل از اعمال، در محیط آزمایشی تست کنید تا از سازگاری اطمینان حاصل کرده و از حملات سایبری جلوگیری کنید.
2. چگونه فایروال ویندوز را برای امنیت سرور پیکربندی کنم؟
فایروال ویندوز را فعال کنید و فقط پورتهای ضروری (مانند 3389 برای RDP) را باز کنید. قوانین ورودی و خروجی را محدود کنید و از IPهای خاص برای دسترسی مجاز استفاده کنید تا حملهها کاهش یابد.
3. آیا باید BitLocker را برای ویندوز سرور فعال کنم؟
بله، BitLocker دیسک سیستم و دادهها را رمزنگاری میکند. آن را برای درایوهای حساس فعال کنید و کلید بازیابی را امن نگه دارید تا از دسترسی غیرمجاز به دادهها در صورت سرقت فیزیکی جلوگیری شود.
4. چگونه دسترسیهای غیرضروری را در ویندوز سرور محدود کنم؟
اصل حداقل دسترسی را اعمال کنید. از گروه Everyone پرهیز کنید، حسابهای غیرضروری را غیرفعال کنید و با Group Policy دسترسیها را محدود کنید تا از سوءاستفاده حسابهای ممتاز جلوگیری شود.
آنچه درباره چک لیست امنیتی ویندوز سرور یاد گرفتیم
در این مقاله یک نمونه از چک لیست امنیتی ویندوز سرور را به همراه بندهای پیشنهادی به شما ارائه دادیم. همچنین فایل pdf این چک لیست را برای دانلود شما آماده کردهایم. با رعایت موارد ذکر شده در این چک لیست، میتوانید امنیت ویندوز سرور خود را بهبود دهید و سرور و شبکه خود را از حملات در امان نگه دارید. درصورتیکه به خدمات تخصصی و مشاوره در زمینه امنیت سرور و شبکه نیاز دارید، میتوانید با شماره 8363-021 تماس بگیرید.
سلام و درود و خدا قوت بابت اطلاع رسانی و آموزش
مثل همیشه خوب بود…
برنامه های ویندوز مثل پلیر و آنتی ویروس رایگان و مورد نیاز هم پست بزارید چون اینروزها کمتر سایتی هست که برنامه هاش ویروس یا لگ نداشته باشه…
شما معلومه صداقت دارید…