Windows Server 是最常用的服务器操作系统之一。由于通常涉及企业的操作的性质,Windows Server 安全性对于企业数据至关重要。
默认情况下,Windows Server 已采取一些安全措施。但是,您可以采取更多措施来确保您的 Windows 服务器能够充分防御潜在威胁。以下是保护 Windows Server 安全的一些重要提示。
1. 让您的 Windows 服务器保持最新状态
虽然这看起来似乎是理所当然的事情,但大多数安装了 Windows Server 映像的服务器都没有最新的安全和性能更新。安装最新的安全补丁对于保护您的系统免受恶意攻击至关重要。
如果您已设置新的 Windows 服务器或收到了其中一台的凭据,请确保下载并安装适用于您的计算机的所有最新更新。您可以将功能更新推迟一段时间,但您应该在安全更新可用时安装它。
2. 通过 Windows Server Core 仅安装必要的操作系统组件
在 Windows Server 2012 及更高版本上,您可以在其核心模式下使用操作系统。Windows Server 代码模式是一个最小安装选项,无需 GUI 即可安装 Windows Server,这意味着功能会减少。
安装 Windows Server Core 有很多好处。最明显的就是性能优势。您可以使用相同的硬件,通过未使用的操作系统组件来提高性能,从而减少 RAM 和 CPU 要求,延长正常运行时间和启动时间,并减少补丁数量。
虽然性能优势很好,但安全优势甚至更好。使用较少的工具和攻击向量攻击系统比攻击完全基于 GUI 的操作系统更困难。Windows Server Core 减少了攻击面,提供 Windows Server RSAT(远程服务器管理)工具以及从 Core 切换到 GUI 的能力。
3. 保护管理员帐户
Windows Server 中的默认用户帐户名为Administrator。因此,大部分暴力攻击都是针对该账户的。为了保护该帐户,您可以将其重命名为其他名称。或者,您也可以完全禁用本地管理员帐户并创建一个新的管理员帐户。
禁用本地管理员帐户后,检查本地访客帐户是否可用。本地来宾帐户的安全性最差,因此最好尽可能将其移开。对未使用的用户帐户使用相同的处理方法。
需要定期更改密码、包含数字、字符和特殊字符的复杂且冗长的密码的良好密码策略可以帮助您保护用户帐户免受暴力攻击。
4. NTP配置
将服务器配置为与 NTP(网络时间同步)服务器同步时间以防止时钟漂移非常重要。这是至关重要的,因为即使是几分钟的差异也可能会破坏各种功能,包括 Windows 登录。
组织使用的网络设备使用内部时钟或依赖公共互联网时间服务器进行同步。作为域成员的服务器通常与域控制器同步时间。但是,独立服务器将要求您将 NTP 设置为外部源以防止重放攻击。
5. 启用并配置 Windows 防火墙和防病毒软件
Windows 服务器配有内置防火墙和防病毒工具。在没有硬件防火墙的服务器上,Windows 防火墙可以通过限制必要路径的流量来减少攻击面并提供针对网络攻击的良好保护。也就是说,基于硬件或基于云的防火墙将提供更多保护并减轻服务器的负载。
配置防火墙可能是一项混乱的任务,并且一开始很难掌握。然而,如果配置不正确,未经授权的客户端可以访问的开放端口可能会给服务器带来巨大的安全风险。另外,请记下为其使用创建的规则和其他属性,以供将来参考。
6.安全远程桌面(RDP)
如果您使用 RDP(远程桌面协议),请确保它未向 Internet 开放。为了防止未经授权的访问,请更改默认端口,并将 RDP 访问限制为特定 IP 地址(如果您有权访问专用 IP 地址)。您可能还想决定谁可以访问和使用 RDP,因为默认情况下为服务器上的所有用户启用 RDP。
此外,采用所有其他基本安全措施来保护 RDP,包括使用强密码、启用双因素身份验证、保持软件最新、通过高级防火墙设置限制访问、启用网络级身份验证以及设置帐户锁定政策。
7.启用 BitLocker 驱动器加密
与Windows 10 Pro类似,该操作系统的服务器版本附带了一个名为BitLocker的内置驱动器加密工具。它被安全专家认为是最好的加密工具之一,因为即使服务器的物理安全性遭到破坏,它也允许您加密整个硬盘驱动器。
在加密过程中,BitLocker 捕获有关您的计算机的信息并使用它来验证计算机的真实性。验证通过后,您可以使用密码登录您的计算机。当检测到可疑活动时,BitLocker 将要求您输入恢复密钥。除非提供解密密钥,否则数据将保持锁定状态。
如果您不熟悉硬盘加密,请查看有关如何在 Windows 10 中使用 BitLocker 的详细指南。
8.使用微软基线安全分析器
Microsoft 基线安全分析器 (MBSA) 是 IT 专业人员用来帮助管理服务器安全的免费安全工具。它可以发现服务器的安全问题和缺失的更新,并根据 Microsoft 的安全建议推荐修复指南。
使用时,MBSA 将检查 Windows 管理漏洞,例如弱密码、SQL 和 IIS 漏洞的存在以及各个系统上缺少的安全更新。它还可以通过 IP 地址、域和其他属性扫描单个或一组计算机。最后,将准备一份详细的安全报告并以 HTML 形式显示在图形用户界面上。
9.配置日志监控并禁用不需要的网络端口
必须禁用 Windows Server 和已安装组件不需要或使用的任何服务或协议。您可以运行端口扫描来检查哪些网络服务暴露于互联网。
监视登录尝试对于防止入侵并保护您的服务器免受暴力攻击非常有用。专用的入侵防御工具可以帮助您查看和审查所有日志文件,并在检测到可疑活动时发送警报。根据警报,您可以采取适当的措施来阻止 IP 地址连接到您的服务器。
Windows Server 强化可以降低网络攻击的风险!
当涉及到 Windows Server 安全性时,通过定期审核系统的安全风险来掌握全局总是好的。您可以从安装最新更新开始,保护管理员帐户,尽可能使用 Windows Server Core 模式,并通过 BitLocker 启用驱动器加密。
虽然 Windows Server 可能与 Windows 10 消费者版共享相同的代码并且看起来相同,但其配置和使用方式却截然不同。
