Windows Server เป็นหนึ่งในระบบปฏิบัติการที่ใช้กันมากที่สุดสำหรับการเปิดเครื่องเซิร์ฟเวอร์ เนื่องจากลักษณะของการดำเนินการที่มักจะเกี่ยวข้องกับธุรกิจ การรักษาความปลอดภัย Windows Server จึงมีความสำคัญต่อข้อมูลขององค์กร
โดยค่าเริ่มต้น Windows Server มีมาตรการรักษาความปลอดภัยบางอย่าง แต่คุณสามารถทำสิ่งต่างๆ ได้มากขึ้นเพื่อให้แน่ใจว่าเซิร์ฟเวอร์ Windows ของคุณมีการป้องกันภัยคุกคามที่อาจเกิดขึ้นเพียงพอ ต่อไปนี้คือเคล็ดลับสำคัญบางประการในการรักษาความปลอดภัย Windows Server ของคุณ
1. ทำให้ Windows Server ของคุณทันสมัยอยู่เสมอ
แม้ว่าอาจดูเหมือนเป็นสิ่งที่ควรทำ แต่เซิร์ฟเวอร์ส่วนใหญ่ที่ติดตั้งอิมเมจ Windows Server นั้นไม่มีการอัปเดตความปลอดภัยและประสิทธิภาพล่าสุด การติดตั้งแพตช์ความปลอดภัยล่าสุดมีความสำคัญในการปกป้องระบบของคุณจากการโจมตีที่เป็นอันตราย
หากคุณได้ตั้งค่าเซิร์ฟเวอร์ Windows ใหม่หรือได้รับข้อมูลประจำตัว ตรวจสอบให้แน่ใจว่าได้ดาวน์โหลดและติดตั้งการอัปเดตล่าสุดทั้งหมดที่มีสำหรับคอมพิวเตอร์ของคุณ คุณเลื่อนการอัปเดตฟีเจอร์ได้สักระยะ แต่ควรติดตั้งอัปเดตความปลอดภัยเมื่อมีให้บริการ
2. ติดตั้งเฉพาะส่วนประกอบ OS ที่สำคัญผ่าน Windows Server Core
ใน Windows Server 2012 ขึ้นไป คุณสามารถใช้ระบบปฏิบัติการในโหมดหลักได้ โหมดรหัสเซิร์ฟเวอร์ Windows เป็นตัวเลือกการติดตั้งขั้นต่ำที่จะติดตั้ง Windows Server โดยไม่มี GUI ซึ่งหมายถึงคุณสมบัติที่ลดลง
การติดตั้ง Windows Server Core มีประโยชน์มากมาย สิ่งหนึ่งที่ชัดเจนคือความได้เปรียบด้านประสิทธิภาพ คุณสามารถใช้ฮาร์ดแวร์เดียวกันเพื่อปรับปรุงประสิทธิภาพผ่านส่วนประกอบระบบปฏิบัติการที่ไม่ได้ใช้งาน ส่งผลให้ความต้องการ RAM และ CPU น้อยลง เวลาทำงานและบูตที่ดีขึ้น และแพตช์น้อยลง
แม้ว่าประโยชน์ด้านประสิทธิภาพจะดี แต่ประโยชน์ด้านความปลอดภัยก็ยังดีกว่า การโจมตีระบบด้วยเครื่องมือและเวกเตอร์การโจมตีน้อยกว่านั้นยากกว่าการแฮ็กระบบปฏิบัติการที่ใช้ GUI อย่างสมบูรณ์ Windows Server Core ลดพื้นผิวการโจมตี มีเครื่องมือ Windows Server RSAT (การดูแลเซิร์ฟเวอร์ระยะไกล) และความสามารถในการเปลี่ยนจาก Core เป็น GUI
3. ปกป้องบัญชีผู้ดูแลระบบ
บัญชีผู้ใช้เริ่มต้นใน Windows Server มีชื่อว่า Administrator . ด้วยเหตุนี้ การโจมตีด้วยกำลังเดรัจฉานส่วนใหญ่จึงตกเป็นเป้าหมายของบัญชีนี้ เพื่อปกป้องบัญชี คุณสามารถเปลี่ยนชื่อเป็นอย่างอื่นได้ อีกวิธีหนึ่ง คุณยังสามารถปิดใช้งานบัญชีผู้ดูแลระบบภายในทั้งหมดและสร้างบัญชีผู้ดูแลระบบใหม่ได้
เมื่อคุณปิดใช้งานบัญชีผู้ดูแลระบบในพื้นที่แล้ว ให้ตรวจสอบว่ามีบัญชีผู้เยี่ยมชมในพื้นที่หรือไม่ บัญชีผู้เยี่ยมชมในพื้นที่มีความปลอดภัยน้อยที่สุด ดังนั้นจึงควรหลีกเลี่ยงหากเป็นไปได้ ใช้แนวทางเดียวกันกับบัญชีผู้ใช้ที่ไม่ได้ใช้
นโยบายรหัสผ่านที่ดีที่ต้องมีการเปลี่ยนรหัสผ่านเป็นประจำ รหัสผ่านที่ซับซ้อนและยาวด้วยตัวเลข อักขระ และอักขระพิเศษสามารถช่วยให้คุณรักษาความปลอดภัยบัญชีผู้ใช้จากการโจมตีด้วยกำลังเดรัจฉาน
4. การกำหนดค่า NTP
สิ่งสำคัญคือต้องกำหนดค่าเซิร์ฟเวอร์ของคุณให้ซิงค์เวลากับเซิร์ฟเวอร์ NTP (การซิงโครไนซ์เวลาเครือข่าย) เพื่อป้องกันไม่ให้นาฬิกาเคลื่อนตัว นี่เป็นสิ่งสำคัญเนื่องจากความแตกต่างเพียงไม่กี่นาทีก็สามารถทำลายฟังก์ชันต่างๆ ได้ รวมถึงการเข้าสู่ระบบ Windows
องค์กรใช้อุปกรณ์เครือข่ายที่ใช้นาฬิกาภายในหรืออาศัยเซิร์ฟเวอร์เวลาอินเทอร์เน็ตสาธารณะสำหรับการซิงโครไนซ์ เซิร์ฟเวอร์ที่เป็นสมาชิกโดเมนมักจะมีเวลาซิงค์กับตัวควบคุมโดเมน อย่างไรก็ตาม เซิร์ฟเวอร์แบบสแตนด์อโลนจะทำให้คุณต้องตั้งค่า NTP เป็นแหล่งข้อมูลภายนอกเพื่อป้องกันการโจมตีซ้ำ
5. เปิดใช้งานและกำหนดค่า Windows Firewall และ Antivirus
เซิร์ฟเวอร์ Windows มาพร้อมกับไฟร์วอลล์และเครื่องมือป้องกันไวรัสในตัว บนเซิร์ฟเวอร์ที่ไม่มีไฟร์วอลล์ฮาร์ดแวร์ Windows Firewall สามารถลดพื้นผิวการโจมตีและให้การป้องกันที่เหมาะสมต่อการโจมตีทางไซเบอร์โดยการจำกัดการรับส่งข้อมูลไปยังเส้นทางที่จำเป็น อย่างไรก็ตาม ไฟร์วอลล์แบบฮาร์ดแวร์หรือแบบคลาวด์จะให้การป้องกันที่มากกว่าและช่วยลดภาระการทำงานของเซิร์ฟเวอร์ของคุณ
การกำหนดค่าไฟร์วอลล์อาจเป็นงานที่ยุ่งยากและยากต่อการควบคุมในตอนแรก อย่างไรก็ตาม หากกำหนดค่าไม่ถูกต้อง พอร์ตเปิดที่เข้าถึงได้โดยไคลเอ็นต์ที่ไม่ได้รับอนุญาตอาจก่อให้เกิดความเสี่ยงด้านความปลอดภัยอย่างใหญ่หลวงต่อเซิร์ฟเวอร์ นอกจากนี้ ให้จดบันทึกกฎที่สร้างขึ้นสำหรับการใช้งานและคุณลักษณะอื่นๆ สำหรับการอ้างอิงในอนาคต
6. เดสก์ท็อประยะไกลที่ปลอดภัย (RDP)
หากคุณใช้ RDP (Remote Desktop Protocol) ตรวจสอบให้แน่ใจว่าไม่ได้เปิดอินเทอร์เน็ต เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต ให้เปลี่ยนพอร์ตเริ่มต้น และจำกัดการเข้าถึง RDP ไปยังที่อยู่ IP เฉพาะ หากคุณมีสิทธิ์เข้าถึงที่อยู่ IP เฉพาะ คุณยังอาจต้องการตัดสินใจว่าใครสามารถเข้าถึงและใช้ RDP ได้บ้าง เนื่องจากระบบจะเปิดใช้งานโดยค่าเริ่มต้นสำหรับผู้ใช้ทั้งหมดบนเซิร์ฟเวอร์
นอกจากนี้ ให้ใช้มาตรการรักษาความปลอดภัยพื้นฐานอื่นๆ ทั้งหมดเพื่อรักษาความปลอดภัย RDP รวมถึงการใช้รหัสผ่านที่รัดกุม การเปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัย ทำให้ซอฟต์แวร์ทันสมัยอยู่เสมอ การจำกัดการเข้าถึงผ่านการตั้งค่าไฟร์วอลล์ขั้นสูง การเปิดใช้งานการตรวจสอบสิทธิ์ระดับเครือข่าย และการตั้งค่าการล็อกบัญชี นโยบาย
7. เปิดใช้งานการเข้ารหัสลับไดรฟ์ด้วย BitLocker
คล้ายกับ Windows 10 Pro รุ่นเซิร์ฟเวอร์ของระบบปฏิบัติการมาพร้อมกับเครื่องมือเข้ารหัสไดรฟ์ในตัวที่เรียกว่า BitLocker . ผู้เชี่ยวชาญด้านความปลอดภัยถือได้ว่าเป็นเครื่องมือเข้ารหัสที่ดีที่สุด เนื่องจากช่วยให้คุณเข้ารหัสฮาร์ดไดรฟ์ทั้งหมดได้ แม้ว่าความปลอดภัยทางกายภาพของเซิร์ฟเวอร์จะถูกละเมิด
ระหว่างการเข้ารหัส BitLocker จะรวบรวมข้อมูลเกี่ยวกับคอมพิวเตอร์ของคุณและใช้เพื่อตรวจสอบความถูกต้องของคอมพิวเตอร์ เมื่อตรวจสอบแล้ว คุณสามารถเข้าสู่ระบบคอมพิวเตอร์โดยใช้รหัสผ่าน เมื่อตรวจพบกิจกรรมที่น่าสงสัย BitLocker จะขอให้คุณป้อนคีย์การกู้คืน ข้อมูลจะยังคงล็อกอยู่ เว้นแต่จะระบุคีย์ถอดรหัสไว้
หากคุณยังใหม่ต่อการเข้ารหัสฮาร์ดไดรฟ์ โปรดดูคำแนะนำโดยละเอียดเกี่ยวกับวิธีใช้ BitLocker ใน Windows 10
8. ใช้ Microsoft Baseline Security Analyzer
Microsoft Baseline Security Analyzer (MBSA) เป็นเครื่องมือรักษาความปลอดภัยฟรีที่ใช้โดยผู้เชี่ยวชาญด้านไอทีเพื่อช่วยจัดการความปลอดภัยของเซิร์ฟเวอร์ สามารถพบปัญหาด้านความปลอดภัยและการอัปเดตที่ขาดหายไปกับเซิร์ฟเวอร์และแนะนำแนวทางการแก้ไขตามคำแนะนำด้านความปลอดภัยของ Microsoft
เมื่อใช้ MBSA จะตรวจสอบช่องโหว่ในการดูแลระบบ Windows เช่น รหัสผ่านที่ไม่รัดกุม ช่องโหว่ของ SQL และ IIS และการอัปเดตความปลอดภัยที่ขาดหายไปในแต่ละระบบ นอกจากนี้ยังสามารถสแกนคอมพิวเตอร์แต่ละเครื่องหรือกลุ่มตามที่อยู่ IP โดเมน และคุณลักษณะอื่นๆ สุดท้าย รายงานความปลอดภัยโดยละเอียดจะถูกจัดเตรียมและแสดงบนอินเทอร์เฟซผู้ใช้แบบกราฟิกใน HTML
9. กำหนดค่าการตรวจสอบบันทึกและปิดใช้งานพอร์ตเครือข่ายที่ไม่จำเป็น
บริการหรือโปรโตคอลใด ๆ ที่ Windows Server ไม่ต้องการหรือใช้และส่วนประกอบที่ติดตั้งจะต้องปิดการใช้งาน คุณเรียกใช้การสแกนพอร์ตเพื่อตรวจสอบว่าบริการเครือข่ายใดบ้างที่เชื่อมต่ออินเทอร์เน็ตได้
การตรวจสอบความพยายามในการเข้าสู่ระบบมีประโยชน์ในการป้องกันการบุกรุกและปกป้องเซิร์ฟเวอร์ของคุณจากการโจมตีแบบเดรัจฉาน เครื่องมือป้องกันการบุกรุกโดยเฉพาะสามารถช่วยให้คุณดูและตรวจสอบไฟล์บันทึกทั้งหมด และส่งการแจ้งเตือนหากตรวจพบกิจกรรมที่น่าสงสัย จากการแจ้งเตือน คุณสามารถดำเนินการที่เหมาะสมเพื่อบล็อกที่อยู่ IP ไม่ให้เชื่อมต่อกับเซิร์ฟเวอร์ของคุณ
Windows Server Hardening สามารถลดความเสี่ยงจากการโจมตีทางไซเบอร์ได้!
เมื่อพูดถึงความปลอดภัยของ Windows Server คุณควรตรวจสอบระบบเพื่อหาความเสี่ยงด้านความปลอดภัยเป็นประจำ คุณสามารถเริ่มต้นด้วยการติดตั้งการอัปเดตล่าสุด ปกป้องบัญชีผู้ดูแลระบบ ใช้โหมด Windows Server Core ทุกครั้งที่ทำได้ และเปิดใช้งานการเข้ารหัสไดรฟ์ผ่าน BitLocker
แม้ว่า Windows Server อาจใช้รหัสเดียวกันกับ Windows 10 รุ่นสำหรับผู้บริโภคและมีลักษณะเหมือนกัน แต่วิธีกำหนดค่าและใช้งานนั้นแตกต่างกันมาก
