Windows Server是服务器最常用的操作系统之一。由于操作的性质通常涉及业务,Windows Server的安全性对企业数据至关重要。
默认情况下,Windows Server有一些安全措施。但是,您可以采取更多措施来确保您的Windows服务器对潜在威胁有足够的防御能力。这里有一些保护你的Windows服务器的关键技巧。
1. 让你的Windows服务器保持最新
虽然这看起来是一件显而易见的事情,但大多数安装了Windows Server映像的服务器都没有最新的安全和性能更新。安装最新的安全补丁对于保护您的系统免受恶意攻击至关重要。
如果您已经设置了新的Windows服务器或已收到凭据,请确保下载并安装您的计算机可用的所有最新更新。您可以将特性更新推迟一段时间,但是应该在安全更新可用时安装安全更新。
2. 通过Windows Server Core只安装必要的操作系统组件
在Windows Server 2012及以上版本上,您可以在其核心模式下使用操作系统。Windows Server Code Mode是一种最小的安装选项,可以在没有GUI的情况下安装Windows Server,这意味着减少了功能。
安装Windows Server Core有很多好处。最明显的是性能优势。您可以使用相同的硬件,通过未使用的操作系统组件来获得性能改进,从而减少RAM和CPU需求、更好的正常运行时间和引导时间以及更少的补丁。
虽然性能方面的好处很好,但安全性方面的好处更好。用更少的工具和攻击向量攻击一个系统比攻击一个完全基于gui的操作系统更难。Windows Server Core减少了攻击面,提供了Windows Server RSAT(远程服务器管理)工具以及从Core切换到GUI的能力。
3.保护管理员帐号
Windows Server默认用户名为Administrator。因此,大多数暴力攻击都针对这个帐户。为了保护该帐户,可以将其重命名为其他名称。或者,您也可以完全禁用本地管理员帐户,并创建一个新的管理员帐户。
禁用本地管理员帐户后,检查是否有本地访客帐户可用。本地访客帐户是最不安全的,所以最好尽可能地把它们清除掉。对未使用的用户帐户使用相同的处理方法。
良好的密码策略需要定期更改密码,使用包含数字、字符和特殊字符的复杂和冗长的密码,可以帮助您保护用户帐户免受暴力攻击。
4. 服务器时间同步
重要的是配置您的服务器与NTP(网络时间同步)服务器同步时间,以防止时钟漂移。这是非常重要的,因为即使是几分钟的差异也会破坏包括Windows登录在内的各种功能。
组织使用使用内部时钟的网络设备或依赖公共Internet时间服务器进行同步。域成员服务器的时间通常与域控制器同步。然而,独立服务器将要求您设置NTP到外部源,以防止重放攻击。
Windows服务器带有内置防火墙和防病毒工具。在没有硬件防火墙的服务器上,Windows防火墙可以减少攻击面,并通过将流量限制在必要的路径上提供适当的保护,以抵御网络攻击。也就是说,基于硬件或基于云的防火墙将提供更多的保护,并减轻服务器的负载。
配置防火墙可能是一项混乱的任务,一开始很难掌握。但是,如果配置不正确,未授权客户端可以访问的开放端口可能会给服务器带来巨大的安全风险。此外,请记录为其使用创建的规则和其他属性,以便将来参考。
6. 安全远程桌面(RDP)
如果您使用RDP(远程桌面协议),请确保它没有对互联网开放。为了防止非法访问,请修改默认端口,如果您可以访问专用的IP地址,则将RDP访问限制为指定的IP地址。您可能还想确定谁可以访问和使用RDP,因为默认情况下,服务器上的所有用户都启用了RDP。
此外,采用所有其他基本安全措施来保护RDP,包括使用强密码、启用双重身份验证、保持软件最新、通过高级防火墙设置限制访问、启用网络级身份验证以及设置帐户锁定策略。
相关:顶级远程访问软件控制您的Windows PC从任何地方
7. 启用BitLocker驱动器加密
与Windows 10 Pro类似,该操作系统的服务器版内置了一个名为BitLocker的驱动器加密工具。它被安全专家认为是最好的加密工具之一,因为它允许您加密整个硬盘驱动器,即使您的服务器的物理安全性被破坏。
在加密过程中,BitLocker捕获有关您的计算机的信息,并使用它来验证计算机的真实性。验证后,您可以使用密码登录到您的计算机。当检测到可疑活动时,BitLocker将要求您输入恢复密钥。除非提供解密密钥,否则数据将保持锁定状态。
如果您是硬盘加密的新手,请查看如何在Windows 10中使用BitLocker的详细指南。
8. 使用微软基线安全分析器
微软基线安全分析器(MBSA)是一种免费的安全工具,IT专业人员使用它来帮助管理服务器的安全性。它可以发现服务器的安全问题和丢失的更新,并根据微软的安全建议推荐补救指南。
当使用时,MBSA将检查Windows管理漏洞,如弱密码,SQL和IIS漏洞的存在,以及个别系统上缺失的安全更新。它还可以通过IP地址、域和其他属性扫描单个或组计算机。最后,将准备一份详细的安全报告,并以HTML格式显示在图形用户界面上。
Windows Server和已安装的组件不需要或不使用的任何服务或协议都必须禁用。您可以运行端口扫描来检查哪些网络服务暴露在internet上。
监视登录尝试对于防止入侵和保护服务器免受暴力攻击非常有用。专用的入侵防御工具可以帮助您查看和审查所有日志文件,并在检测到可疑活动时发送警报。根据这些警告,您可以采取适当的措施阻止IP地址连接到您的服务器。
Windows服务器加固可以降低网络攻击的风险!
当涉及到Windows Server的安全问题时,通过定期审计系统的安全风险来掌握一切总是好的。您可以从安装最新更新开始,保护管理员帐户,尽可能使用Windows Server核心模式,并通过BitLocker启用驱动器加密。
虽然Windows Server可能与Windows 10消费者版共享相同的代码,看起来也完全相同,但它的配置和使用方式却截然不同。