عند العمل مع Windows Server جديد ، فإن تأمينه ضد المهاجمين هو أحد الأشياء الأولى التي تريد القيام بها. لا يتم تأمين تكوين Windows Server الافتراضي بطبيعته ويترك الحماية المهمة مفتوحة ومتاحة للمتسللين. دعونا نلقي نظرة على كيفية تأمين خادم الويب الخاص بنا!
تغيير منفذ RDP من الافتراضي
بشكل افتراضي ، يكون وصول RDP إلى الخادم الخاص بك مفتوحًا على المنفذ 3389. هذا منفذ يستخدم على نطاق واسع لـ RDP وهو التكوين الافتراضي على معظم خوادم Windows وأجهزة الكمبيوتر على حد سواء.لأن هذا المنفذ هو الإعداد الافتراضي في العديد من الأنظمة ، سيحاول المتسللون مهاجمة RDP على هذا المنفذ لأي كمبيوتر متصل بالإنترنت باستخدام برامج آلية ، لتجربة الآلاف من مجموعات كلمات المرور ضد الخادم الخاص بك.
أحد أسهل الأشياء التي يمكننا القيام بها لتأمين خادمنا هو تغيير هذا المنفذ الافتراضي من 3389 إلى منفذ آخر غير مستخدم يكون من غير المرجح أن يستهدفه المهاجمون بشكل عشوائي. يمكننا استخدام هذا التسجيل لإجراء هذا التغيير الضروري.
للبدء ، افتح قائمة ابدأ وأدخل regedit لفتح محرر التسجيل.
انتقل إلى المفتاح الفرعي التالي ، الموجود في HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWinStationsRDP-TcpPortNumber.
افتح المفتاح الفرعي بالنقر المزدوج وتغيير نوع القاعدة من سداسي عشري إلى عشري.
ما عليك سوى تغيير هذه القيمة من المنفذ الافتراضي 3389 ، إلى المنفذ الذي تريده وغير المستخدم. على سبيل المثال ، 3301. بمجرد الحفظ ، يجب إعادة تشغيل الخادم الخاص بك حتى تحدث التغييرات.
هذا التغيير البسيط يمكن أن يبطئ ويمنع مئات أو آلاف الهجمات المحتملة على الخادم الخاص بك. إذا كان المهاجم لا يعرف منفذ RDP الخاص بك ، أو إذا كان منفذًا غير معتاد لا يحاول عادة ، فلن يتمكن من محاولة تسجيل الدخول إلى الخادم الخاص بك ويمكنك حفظ أنظمتك من هجمات القوة الغاشمة الناجحة.
هذا يقودنا إلى النقطة التالية ، تحديث كلمات مرور المستخدم والنظام.
تحديث كلمات المرور وإنشاء المستخدمين وتعطيل الحسابات الافتراضية
هناك طريقة بسيطة أخرى لحماية الخادم الخاص بك من المهاجمين وهي التأكد من تحديث جميع كلمات مرور النظام إلى بيانات اعتماد قوية وغير افتراضية وتعطيل أسماء المستخدمين الافتراضية أو تغييرها.
الآن مع Windows Server ، لا توجد كلمات مرور افتراضية للمستخدم ، حيث تقوم بتعيينها عند إعداد نظام التشغيل الخاص بك. ولكن إذا كان مسؤول الخادم أو الخادم لا يزال يستخدم مستخدم المسؤول الافتراضي ، فمن مصلحتك القصوى إنشاء كلمة مرور قوية ، أو الأفضل من ذلك ، إنشاء مستخدم جديد وتعطيل مستخدم المسؤول الافتراضي.
تمامًا مثل الهجمات الآلية ضد RDP ، سيستخدم المهاجمون برمجيًا البرامج لتخمين كلمات المرور ضد المستخدمين الافتراضيين. أحد المستخدمين الافتراضيين لنظام التشغيل Windows Server هو مستخدم المسؤول.
دعونا نرى كيف يمكننا إنشاء مستخدم إداري جديد ، وتحديث كلمة المرور هذه إلى شيء قوي حقًا ، وتعطيل حساب المسؤول الافتراضي.
للبدء ، انتقل إلى قائمة إدارة المستخدمين والحسابات المحلية من خلال البحث في جهاز الكمبيوتر الخاص بك عن lusrmgr.msc.
حدد مجموعة المستخدمين في جزء الإجراءات الأيسر وانقر بزر الماوس الأيمن فوق جزء الإجراءات الرئيسي لإنشاء مستخدم جديد.
يجب أن يكون اسم المستخدم الجديد فريدًا وغير متوقع لمستخدم إداري. أسماء المستخدمين النموذجية مثل itadmin أو الدعم أو المسؤول فقط ، سيتم تخمينها بسهولة من قِبل المتسللين والهجوم عليها برمجيًا لكونها أسماء مستخدمين إدارية شائعة. أقترح خلط اسم عملك مع اسم المستخدم ، أو توفير حسابات إدارية لمستخدمين محددين يحتاجون إليها ، من أجل توفير اسم فريد يصعب على المهاجم تخمينه. بالإضافة إلى ذلك ، يجب أن تكون كلمة مرورك أكثر من 12 حرفًا ، بما في ذلك مزيج من الأحرف والأرقام والرموز والحالات المختلفة.
بمجرد إدخال المعلومات المطلوبة ، حدد إنشاء لإنشاء المستخدم الجديد. الآن ، ابحث عن المستخدم الجديد الخاص بك في مجموعة المستخدمين ، وانقر بزر الماوس الأيمن وانتقل إلى الخصائص.
انتقل إلى علامة التبويب "عضو في" حتى نتمكن من إضافة مستخدمنا الجديد إلى مجموعة المسؤولين.
انقر فوق إضافة في أسفل القائمة. أدخل "Administrators" في "أدخل أسماء الكائنات المراد تحديدها" وانقر فوق "التحقق من الأسماء".
سيتم تحديد وعرض مجموعة المسؤولين الكاملة. إذا كنت تستخدم Active Directory ، فيمكنك إدخال المجال واسم المستخدم لمجموعة المسؤولين.
حدد موافق ويمكننا أن نرى إضافة مستخدمنا إلى مجموعة المستخدمين المسؤولين! انقر فوق "موافق" للعودة إلى المستخدمين المحليين ومدير المجموعات.
الآن بعد أن أنشأنا مستخدم المسؤول الجديد لدينا ، بكلمة مرور قوية واسم مستخدم يصعب تخمينه ، يمكننا تعطيل مستخدم المسؤول الأصلي تمامًا.
للقيام بذلك ، انقر بزر الماوس الأيمن فوق المسؤول ، وانتقل إلى الخصائص ، وتحقق من تعطيل الحساب. انقر فوق تطبيق!
مبروك! لقد قمت الآن بإنشاء مستخدم مسؤول جديد وقمت بتعطيل حساب المسؤول الافتراضي. بين المستخدم الافتراضي المعطل ومنفذ RDP الافتراضي الذي تم تغييره ، أصبح خادمنا بالفعل أكثر أمانًا ضد الهجمات الآلية من أي وقت مضى.
لكن هذه لا تزال البداية فقط! اتبع عملية مماثلة على أي برامج أو خدمات تابعة لجهة خارجية يستخدمها خادمك. يمكنك تحديث أسماء المستخدمين وكلمات المرور الافتراضية لخوادم SQL ، ولوحات التحكم ، وأي خدمة أخرى يمكن الوصول إليها عبر الإنترنت لضمان أمان Windows Server الخاص بك.
إنشاء قواعد جدار الحماية الآمن وحظر الاتصالات الواردة
جزء مهم من أمان الخادم هو إنشاء قواعد جدار حماية قوية لمنع حدوث اتصالات سيئة في المقام الأول.
في معظم الظروف ، يجب تكوين جدران الحماية لحظر جميع الاتصالات الواردة ما لم ينص على خلاف ذلك. يمنحك هذا أكبر قدر ممكن من الأمان ، حيث تقوم بحظر كل شيء باستثناء بعض المنافذ والخدمات التي قمت بتكوينها يدويًا للسماح بها.
بينما لا يمكننا تحديد المنافذ والخدمات التي يتم استخدامها على خادمك بالضبط ، يمكنك استخدام هذه المقالة المتوفرة للمساعدة في تكوين إعدادات جدار الحماية المتقدمة.
أهم شيء هو التأكد من حظر جميع الاتصالات الواردة ما لم يتم استثناء قاعدة جدار الحماية الجديدة. هذا هو الإعداد الافتراضي لـ Windows Server ولكنه يستحق التحقق على الخادم الخاص بك!
المنافذ الشائعة التي قد تكون مطلوبة لخادم الويب الخاص بك تتضمن منفذ TCP 80 (https) ، 443 (ssl) ، 1433 (MSSQL) ، 3306 (MySQL) ، إعلان 3389 (RDP).
يجب أن تكون أي قواعد تم إنشاؤها على جدار الحماية لعناوين IP بعيدة محددة عند الاقتضاء ، بدلاً من الانفتاح على الإنترنت ككل. قد لا تحتاج خدمات مثل SQL إلى الوصول إليها عن طريق الإنترنت العام وقد تحتاج فقط إلى الوصول إليها عن طريق خادم واحد أو عنوان IP. يجدر بنا أن نأخذ وقتًا إضافيًا للتأكد من أن الوصول عن بُعد لأي منفذ أو خدمة يقتصر على العناوين التي تحتاج تمامًا للوصول ، وإلا فإننا نفتح خادمنا أمام الهجمات المحتملة والاستغلال ومحاولات الإكراه الغاشمة.
تذكر أنه يمكنك دائمًا قفل أحد المنافذ وإعادة فتحه إذا تسبب في حدوث مشكلات أو يحتاج إلى وصول إضافي عن بُعد. تأمين خادمنا بهذه الطريقة ، من خلال فتح الخدمات الضرورية فقط ، سيقطع شوطًا طويلاً في حماية بياناتنا وبيانات الاعتماد المهمة.
تثبيت حماية قوية ومحدثة من الفيروسات
طريقة رائعة أخرى لحماية خوادمنا من المهاجمين وهي تنفيذ حماية قوية وآمنة من الفيروسات والبريد العشوائي.
ستمنع برامج مكافحة الفيروسات المناسبة تشغيل الملفات التنفيذية الضارة على الخادم الخاص بك ، في حالة تنزيلها أو تمكنها من العثور على طريقها إلى أنظمتك. يجب أن يكون برنامج مكافحة الفيروسات ، أو برامج AV ، أولوية ، ويستحق إنفاق أموال إضافية للحصول على خدمة جيدة تحميك من أحدث التهديدات.
يجب أن تكون برامج الصوت والصورة محدثة ومصححة في كثير من الأحيان ، حيث تظهر تهديدات جديدة يوميًا. بالإضافة إلى ذلك ، يمكن أن يساعد دمج الحماية من البريد العشوائي في منع تلقي أي مستخدم في مؤسستك للملفات الضارة. يساعد هذا في منع وصول الرسائل التي قد تكون ضارة إلى البريد الوارد ، مما يقلل من فرصة قيام المستخدم المطمئن بفتح أو تنفيذ مثل هذا الملف.
يمكن أن يؤدي دمج برامج الكشف عن القوة الغاشمة والحظر إلى إيقاف المتسللين في مساراتهم.يمكن لبرنامج الكشف عن القوة الغاشمة اكتشاف محاولات تسجيل الدخول الفاشلة ضد RDP و SQL والخدمات الأخرى وحظر العناوين البعيدة بعد عدد من المحاولات الفاشلة. غالبًا ما تحظر هذه التطبيقات عنوان IP لفترة محددة من الوقت بعد 5 محاولات تسجيل دخول سيئة على سبيل المثال. بهذه الطريقة ، إذا حاول مستخدم ضار مهاجمة الخادم الخاص بك ، فسيتم تحديده وحظره بسرعة وبشكل تلقائي.
إذا تم حظر مستخدم شرعي في مؤسستك ، فستتمكن دائمًا من إضافة عناوين IP أو المستخدمين إلى القائمة البيضاء للسماح لهم بالوصول.
تأمين الخادم الخاص بك: تغطية الأساسيات
في حين أن هذه ليست سوى عدد قليل من الطرق التي يمكننا ونحتاج إليها لحماية خوادمنا ، فهذه هي إلى حد بعيد أهم العناصر التي يجب تنفيذها أولاً. هذه الإرشادات البسيطة ستؤمن بالتأكيد خادمك بطريقة لن تكون ممكنة إذا لم يتم دمجها.
الأمن هو عمل 24/7 365 والمتسللين جاهزون دائمًا وينفذون الهجمات. يمكننا استخدام برامج آلية وقواعد داخلية قوية لتقليل كمية الهجمات التي تأتي إلى الخادم وتقليل فرصة نجاح التسوية.
بين بيانات اعتماد RDP القوية وأسماء المستخدمين وكلمات المرور غير الافتراضية وقواعد جدار الحماية القوية وبرامج مكافحة الفيروسات المحدثة ، أنت في طريقك لحماية البيانات والخدمات الحساسة من المهاجمين في جميع أنحاء العالم.
