روش‌های افزایش امنیت ویندوز سرور؛ 9 گام کلیدی به توصیه مایکروسافت

ویندوز سرور و به‌ویژه نسخه 2016 و 2019 قابلیت‌های امنیتی بومی‌ای دارند که به تقویت سیستم‌عامل و کشف فعالیت‌های خرابکارانه کمک می‌کند. در این مقاله با بررسی برخی از توصیه‌های مایکروسافت، روش‌های افزایش امنیت ویندوز سرور را به شما معرفی می‌کنیم. با به کار بستن این روش‌ها، می‌توانید از قابلیت‌های ویندوز سرور خود بیشتر از قبل بهره‌مند شوید و امنیت آن را تضمین کنید. پس با ما همراه باشید.

روش‌های افزایش امنیت ویندوز سرور چیست؟

در ادامه 9 گام کلیدی به توصیه مایکروسافت را به‌عنوان روش‌های افزایش امنیت ویندوز سرور به شما معرفی می‌کنیم. لازم به ذکر است که شما می‌توانید با تهیه چک لیست امنیتی ویندوز سرور، این روش‌ها را منظم‌تر انجام دهید و مطمئن شوید که چیزی از قلم نیفتاده است. این روش‌ها شامل موارد زیر می‌شوند:

1- بنیان کارتان را امن بنا کنید

ویندوز سرور پیکربندی امنی دارد. اگر می‌خواهید همچنان امن‌ بماند، حتما آن را به‌روز نگه دارید، از داده‌های‌تان نسخه پشتیبان بگیرید و تنظیمات امنیتی ویندوز سرور را مبتنی بر توصیه‌های مایکروسافت و استانداردهای امنیتی سازمان متبوع‌تان پیکربندی کنید.

2- از جدیدترین به‌روزرسانی‌های امنیتی ویندوز سرور غافل نشوید

مایکروسافت مرتبا برای سیستم‌عامل‌های خود از جمله ویندوز کلاینت و ویندوز سرور، آپدیت‌ها و وصله‌های جدیدی منتشر می‌کند. برخی از این آپدیت‌ها امنیتی هستند و ویندوز سرور را در برابر خطرها و ضعف‌هایی که تازه کشف شده‌اند، محافظت می‌کنند. برخی از به‌روزرسانی‌ها نیز به نرم‌افزار امنیتی ویندوز دیفندر اختصاص دارند تا بدافزارها و جاسوس‌افزارهای جدید را شناسایی کند.

3- تنظیمات امنیتی ویندوز سرور را پیکربندی کنید

همه نسخه‌های ویندوز تنظیمات امنیتی دارند. تنظیمات امنیتی ویندوز به امن‌تر شدن کامپیوترهای‌تان کمک می‌کنند. مایکروسافت بر مبنای توصیه‌های امنیتی خود، حداقل‌های امنیتی موردنیاز شرکت‌ها/سازمان‌ها را منتشر می‌کند. این توصیه‌ها حاصل تجارب امنیتی در دنیای واقعی است که در نتیجه همکاری با سازمان‌های تجاری و دولتی آمریکا به دست آمده است. در حداقل‌های امنیتی ویندوز سرور مواردی همچون تنظیمات پیشنهادی برای ویندوز فایروال، ویندوز دیفندر و دیگر تنظیمات امنیتی لحاظ می‌شود.

4- از اطلاعات و سیستم‌های‌تان بک‌آپ بگیرید

شما باید در بازه‌های زمانی منظم از سیستم‌عامل ویندوز سرور، از جمله اپلیکیشن‌ها و داده‌های ذخیره شده در آن بک‌آپ‌ بگیرید. این کار آثار حمله باج‌افزارها به ویندوز سرور را کاهش می‌دهد. بک‌آپ‌گیری باید مرتبا انجام شود تا در صورت حمله باج‌افزارها اطلاعات‌ به‌راحتی قابل بازیابی باشند. 

اگر می‌خواهید نسخه‌های پشتیبان در محل فیزیکی مجموعه خودتان تهیه و ذخیره شوند، می‌توانید از راهکارهایی مثل System Center Data Protection Manager استفاده کنید. برای بک‌آپ‌‌گیری ابری نیز می‌‌توانید از Microsoft Azure Backup Server بهره ببرید. شرکای مایکروسافت نیز برای بک‌آپ‌گیری محصولاتی ارائه داده‌اند.

5- مدیریت و پایش با استفاده از Operations Management Suite

راهکار مدیریت آی‌تی ابری Operations Management Suite که به‌اختصار OMS نیز خوانده می‌شود، کمک‌تان می‌کند تا زیرساخت‌های فیزیکی و ابری خود را مدیریت و محافظت کنید. این راهکار به‌صورت یک سرویس ابری پیاده‌سازی شده‌است و کاربر می‌تواند مدیریت اپلیکیشن‌ها، خدمات و زیرساخت‌های‌تان را با کمترین هزینه اضافی آغاز کند. ضمنا OEM مرتبا با قابلیت‌های جدید آپدیت می‌شود و هزینه‌های مداوم نگهداری و ارتقا را به‌طرز چشمگیری کاهش می‌دهد.

6- محافظت از موجودیت‌های ممتاز (Privileged identities)

موجودیت‌های ممتاز (Privileged identities) حساب‌ها یا اکانت‌هایی هستند که مجوزهای دسترسی سطح بالایی دارند. مثلا کاربرانی که عضو گروه‌ Domain Admins، مدیران (Administrators) محلی یا حتی Power Users هستند، موجودیت‌ ممتاز محسوب می‌شوند. اکانت‌هایی که برای انجام امور مهمی مثل تهیه بک‌آپ، خاموش کردن سیستم یا دیگر مجوزهای فهرست شده در گروه User Rights Assignment در کنسول Local Security Policy مجوز مستقیم دارند نیز می‌توانند موجودیت‌ ممتاز به حساب آیند.

شما باید از موجودیت‌های ممتاز در برابر حملات محافظت کنید. پس اول باید بدانید که موجودیت‌های ممتاز چگونه آسیب می‌بینند تا بتوانید برای محافظت از آن‌ها در برابر مهاجمان برنامه‌ریزی کنید.

 موجودیت‌های ممتاز چطور آسیب می‌بینند؟

موجودیت‌های ممتاز اغلب وقتی آسیب می‌بینند که سازمان‌ها برای محافظت از آن‌ها دستورالعملی نداشته باشند. مثلا اقدامات نسنجیده زیر از جمله مواردی هستند که موجودیت‌های ممتاز را به خطر می‌اندازند:

• اعطای مجوزهای بیش از حد نیاز: سطح دسترسی کاربران به شبکه فقط باید به‌اندازه‌ای باشد که بتوانند وظایف‌شان را انجام دهند و نه بیشتر. اما یکی از رایج‌ترین مشکلات امنیتی در شبکه‌ها این است که به کاربران بیش از آن‌چه که واقعا لازم است، مجوز دسترسی اعطا می‌شود. مثلا ممکن است به کاربری که DNS را مدیریت می‌کند، مجوز مدیریت اکتیو دایرکتوری هم اعطا شود. اغلب علت اعطای مجوزهای چندگانه، این است که مدیران شبکه نمی‌خواهند سطوح مدیریت مختلفی پیکربندی کنند. اما این کار خطرناک است، چون اگر مهاجم به چنین اکانتی دسترسی پیدا کند، همزمان به چند مجوز مهم دست‌ می‌یابد.
• ثبت ورود، همیشه با مجوزهای سطح بالا: یکی دیگر از اشتباه‌‌های رایج امنیتی، امکان استفاده کاربران از مجوزهای سطح بالا برای مدت نامحدود است. این اشتباه حتی بین حرفه‌های آی‌تی نیز رایج است؛ آن‌ها نیز گاهی با اکانت‌های ممتاز در کامپیوترهای دسکتاپ لاگین می‌کنند و با همان اکانت کارشان را انجام می‌دهند، وب‌‌گردی می‌کنند و به ایمیل‌های عادی‌شان سر می‌زنند.
• تحقیق و مهندسی اجتماعی: اکثر تهدیدهای مهم با تحقیق درباره سازمان آغاز می‌شود و سپس از طریق مهندسی اجتماعی پیش می‌رود. مثلا مهاجم می‌تواند با جعل (فیشینگ) ایمیل به اکانت‌های معتبر (و نه الزاما اکانت‌های سطح بالا) نفوذ کند و سپس از این اکانت‌های معتبر برای تحقیق بیشتر درباره شبکه و شناسایی اکانت‌های ممتاز (با مجوزهای مدیریتی) بهره ببرد.
• اکانت‌های سطح بالا با مجوزهای سطح بالا: مهاجمان حتی با یک حساب کاربری معمولی بدون مجوزهای سطح بالا نیز می‌توانند به اکانت‌هایی با مجوزهای سطح بالا دست پیدا کنند. یکی از رایج‌ترین روش‌ها برای این منظور استفاده از حملات Pass-the-Hash یا Pass-the-Token است. البته مهاجمان برای نفوذ به اکانت‌های ممتاز روش‌هایی دیگری هم دارند، چون پیوسته روش‌های جدیدی پیدا می‌کنند. پس حتما ترتیبی اتخاذ کنید تا کاربران با اکانت‌هایی که کمترین سطح دسترسی را دارند در شبکه لاگین کنند. با این کار، توانایی مهاجمان برای دسترسی به موجودیت‌های ممتاز کاهش می‌یابد.

7- تقویت امنیت ویندوز سرور

ویندوز سرور مکانیسم‌های امنیتی داخلی و ابزارهای امنیتی قدرتمندی دارد که با پیکربندی آن‌ها سرور امن‌تر و دسترسی به آن سخت‌تر می‌شود. ابزارهای ویندوز سرور برای این منظور عبارتند از:

• Control Flow Guard

یکی از ابزارهای امنیتی ویندوز سرور که در نسخه 2016 معرفی شد، Control Flow Guard است. این ابزار، سیستم‌عامل و اپلیکیشن‌ها را در برابر حملاتی که اساس کارشان ایجاد تغییر در محتوای حافظه است، محافظت می‌کند.

• Windows Defender

ویندوز دیفندر (Windows Defender) از زمان انتشار Windows 8 جزو این سیستم‌عامل بوده است و هنوز هم هست. این نرم‌افزار امنیتی بومی، تجهیزات ویندوزی را در برابر ویروس‌ها، بدافزارها، جاسوس‌افزارها و دیگر تهدیدهای امنیتی محافظت می‌کند. ویندوز دیفندر برای اجرا روی ویندوز سرور بهینه شده‌است و به‌طور پیش‌فرض در ویندوز سرور 2016 و ویندوز سرور 2019 فعال است. می‌توانید ویندوز دینفدر را با استفاده از Group Policy، پاورشل، Windows Management Instrumentation (WMI) یا از رابط کاربری خود ویندوز دیفندر پیکربندی کنید.

• Device Guard

با استفاده از Device Guard می‌توانید مشخص کنید کدام کدها (از جمله کدهای user mode و kernel mode) اجازه دارند، روی سرور اجرا شوند. با تعریف سیاستی جهت یکپارچه‌سازی کد (code integrity policy) می‌توانید کدهای مد کرنل و مد کاربر خاصی تعریف کنید که فقط آن‌ها روی سیستم اجرا شوند. این سیاست، جلوی اجرای کدهای مخرب را می‌گیرد.  

• Secure Boot

بوت امن یا Secure Boot یکی از استانداردهای صنعت کامپیوترهای شخصی است که کمک می‌کند دستگاه شما فقط نرم‌افزاری را که صلاحیت آن توسط شرکت سازنده دستگاه تایید شده‌است، بوت کند. بوت امن با بلوکه کردن نرم‌افزارهای تایید نشده (فاقد امضا) به ایمن ماندن تجهیزات کامپیوتری در برابر حمله روت‌کیت‌ها و دیگر حملات بدافزاری سطح پایین (نزدیک به سطح سخت‌افزار)، کمک می‌کند.

وقتی یک دستگاه کامپیوتری روشن می‌شود، سفت‌افزار آن (firmware)، امضای همه قطعات نرم‌افزار بوت را بررسی می‌کند تا از اعتبارشان اطمینان یابد. اگر همه امضاهای نرم‌افزار تایید شدند، سفت‌افزار، سیستم‌عامل را استارت می‌زند. اطمینان حاصل کنید که Secure Boot در سفت‌افزار دستگاه‌تان فعال شده باشد.

• Operating Management Suite

می‌توانید با استفاده از Operating Management Suite (به‌اختصار، OMS)، تهدیدها و نیز دستگاه‌هایی را که نرم‌افزارها و ضدویروس‌های‌شان آپدیت نشده است، شناسایی کنید.

8- ارتقای سازوکارهای تشخیص خطر

تشخیص خطر یکی از بخش‌های ضروری امنیت ویندوز سرور است. هرچه خطرها را زودتر شناسایی کنید، راحت‌تر و پیش از آن‌که مهاجم کنترل کامل شبکه را به دست گیرد، می‌توانید به آن پاسخ دهید. مایکروسافت برای این منظور ابزارها و قابلیتی در ویندوز سرور فراهم آورده است که Windows Defender Advanced Thread Protection (به‌اختصار ATP) نام دارد. ویندوز سرور همیشه اطلاعات مهم امنیتی را در بخش ثبت رویدادها (events log) ذخیره می‌کند. ویندوز سرور با ثبت این اطلاعات کمک‌تان می‌کند تا بر فعالیت‌های مشکوک در سرور متمرکز شوید؛ فعالیت‌های مشکوکی همچون:

• متصل شدن یک وسیله USB به یک سرور
• ریست کردن پسوردی که انتظارش را نداشتید
• قفل کردن یک حساب کاربری
• دسترسی راه دور به پایگاه‌داده‌های SAM (مخفف Security Account Manager)

9- تقویت محیط‌های Hyper-V

بسیاری از سازمان‌ها به مراکز داده مجازی متکی هستند. مراکز داده مجازی نیز باید مانند زیرساخت‌های فیزیکی‌ به‌خوبی محافظت شوند. هایپروایزر یا مجازی‌ساز بومی ویندوز موسوم به Hyper-V نیز از این قاعده مستثنی نیست. ویندوز سروری که در ماشین مجازی اجرا می‌شود، باید درست مانند زمانی که در سرور فیزیکی اجرا می‌شود، از نظر امنیتی تقویت شود. محیط‌های مجازی چندین ماشین مجازی دارند که هاست فیزیکی آن‌ها مشترک است.

لذا هم هاست فیزیکی و هم ماشین‌های مجازی‌ای که روی آن هاست اجرا می‌شوند باید محافظت شوند، زیرا اگر مهاجم به یک هاست نفوذ کند، می‌تواند به چندین ماشین مجازی آسیب بزند و جریان کار و خدمات شبکه را بیشتر مختل کند. برای افزایش امنیت ویندوز سرور در محیط‌های مجازی می‌توانید از همان روش‌های امن‌سازی ویندوز سرور در محیط‌های فیزیکی بهره ببرید. ویندوز سرور 2016 و 2019 برای تقویت محیط‌های Hyper-V سه قابلیت ویژه دارد:

• Shielded Virtual Machine و Guarded fabric: چون وضعیت و حافظه ماشین‌های مجازی در یک فایل ذخیره می‌شود، بعید نیست که این فایل از طریق سیستم ذخیره‌سازی، از شبکه یا حین بک‌آپ‌گیری مورد حمله واقع شود. امروزه همه ماشین‌های مجازی و از جمله Hyper-V در معرض این ضعف هستند. مهاجم می‌تواند فایل ماشین مجازی را مستقیما دستکاری یا فایل‌های ماشین مجازی را در محیط دیگری کپی کند. ماشین‌ مجازی محافظت شده (shielded virtual machine) می‌تواند از چنین حملاتی جلوگیری کند. قابلیت بعدی یعنی Guard fabric سه جزء دارد: Host Guardian Service، یک یا چند هاست محافظت شده (guarded host)، و ماشین‌های مجازی محافظت شده (Shielded virtual machine).
• Virtual machine Trusted Platform Module (TPM): ویندوز سرور 2016 و ویندوز سرور 2019 از TPM در ماشین‌های مجازی پشتیبانی می‌کنند. این ماژول به شما اجازه می‌دهد فناوری‌های امنیتی پیشرفته‌ای مانند BitLocker Drive Encryption را در ماشین‌های مجازی به کار بگیرید.
• Software-Defined Networking – Micro-segmentation firewall: ویندوز سرور 2016 و ویندوز سرور 2019 از شبکه‌سازی نرم‌افزارمحور یا SDN (مخفف Software-Defined Networking) پشتیبانی می‌کند. شبکه‌سازی نرم‌افزارمحور روشی برای پیکربندی و مدیریت متمرکز تجهیزات شبکه مجازی (مثل Hyper-V Virtual Switch) است. شبکه نرم‌افزارمحور اجازه می‌دهد شبکه مجازی مرکز داده و نحوه تعامل آن با شبکه فیزیکی‌تان را به‌صورت پویا مدیریت کنید. یکی از فناوری‌های SDN، فایروال مرکز داده (Datacenter Firewall) است. این فناوری، مدیریت متمرکز سیاست‌های فایروال را امکان‌پذیر و به محافظت از ماشین‌های مجازی در برابر ترافیک نامطلوب اینترنت و شبکه‌های اینترانت شما کمک می‌کند.

آنچه درباره روش‌های افزایش امنیت ویندوز سرور یاد گرفتیم

در عصری که حملات سایبری هوشمندتر از قبل شده‌اند، باید بیشتر از قبل به امنیت سرور و شبکه خود اهمیت دهید. در این مقاله، 9 گام کلیدی به توصیه مایکروسافت را به‌عنوان روش‌های افزایش امنیت ویندوز سرور به شما معرفی کردیم که با رعایت کردن آنها می‌توانید از سیستم‌عامل سرور خود در برابر حملات سایبری محافظت بیشتری کنید. اگر در این زمینه به کمک تخصصی‌تر نیاز دارید، می‌توانید از خدمات کارشناسان ما استفاده کنید.

خدمات امنیت شبکه توسط بهترین‌ها

متخصصان ما با اجرای بیش از 9 هزار پروژه موفق IT و به پشتوانه سه دهه تجربه در ارائه تجهیزات و خدمات شبکه، امنیت شبکه شما را به بهترین نحو تامین می‌کنند. همین حالا با ما تماس بگیرید و ضمن استفاده از مشاوره رایگان متخصصان ما، شبکه‌ی خود را به دژی غیر قابل نفوذ تبدیل کنید.

خدمات امنیت شبکهمشاوره رایگان