Access Point

0
VN:F [1.9.22_1171]
Rating: 5.0/5 (2 votes cast)

Базовая безопасность windows server 2008

admin 05.11.2012

В статье рассмотрены базовые методы защиты сервера под управлением Windows Server.

Общий порядок действий:

  • Изменяем порт RDP
  • В брандмауре запрещаем всё кроме нужного
  • Защищаемся от подбора паролей
  • Изменяем имя учетной записи администратора
  • Обновляемся по максимуму.
  • Устанавливаем EMET

Изменением порт RDP

По умолчанию RDP слушает tcp порт 3389, брутфорсеры и прочие злодеи  постоянно сканируют сеть на наличие открытого порта 3389 и 445, подбирая пароли, кормят протокол эксплоитами, сервер из за этого в лучшем случае может зависнуть или уйти в BSOD, а в худшем он может быть скомпрометирован. Поэтому стоит изменить стандартный порт 3389 на любой другой, свободный порт. Сделать это можно специальной утилитой от microsoft или изменив ключ реестра. Утилита и описание находятся по этой ссылке — http://support.microsoft.com/kb/306759/

Внимание:  Перед изменением порта, не забываем добавить соответствующие правило в брандмауэр и записать где нибудь порт, но не на том сервере на котором изменяли.

В брандмауре запрещаем всё кроме нужного

Редактируем правила входящих подключений в брандмауре, отключаем всё что не нужно, обычно на веб-сервере не нужно ничего кроме:

  • DNS
  • HTTP
  • HTTPS
  • FTP
  • RDP

 

Защита от намеренного подбора паролей к учетных записям.

Так как мы выше изменили порт то теперь следует защитится от намеренного подбора паролей, делается это следующим образом

Заходим в локальную политику Control Panel\System and Security\Administrative Tools\Local Security Policy
Переходим в Account Policies — Account Lockout Police

Account lockout thresholdТут задается кол-во неудачных попыток входа до блокировки учетной записи (Устанавливаем 5 попыток, этого вполне достаточно)
Account lockout durationЧерез сколько учетная запись будет автоматически разблокирована (Устанавливаем 20 минут)
Reset account lockout counter after — Сброс счетчика неудачных попыток входа (Устанавливаем 20 минут)

Изменяем имя локального администратора.

Заходим в локальную политику Control Panel\System and Security\Administrative Tools\Local Security Policy
Переходим в Local Policies — Security Options — Account: Rename administrator account
Открываем правило и вводим новое имя учетной записи администратора.

Примечание: Выше есть правило отключения аккаунта администратора (Accounts: Administrator account status), но лучше просто переименовать, дело в том что  учетные записи пользователей блокируются после определенного кол-ва неудачных попыток входа в систему, и только аккаунт администратора не подвержен блокировкам, сделано это специально, чтобы администратор не потерял контроль над сервером в период блокировки всех остальных учетных записей.

Отключаем показ пользователей сервера при интерактивном подключении.

Переходим в Local Policies — Security Options и меняем следующие привила:

 

Interactive logon: Display user information when the session is locket

Открываем правило и в выпадающем меню выбираем «Do not display user information»

 

Interactive logon: Do not display last user name

Открываем правило и выставляем «Enabled»

 

Обновления

Как только вы запустили новый сервер, нужно позаботится о том что бы до ввода в эксплуатацию, были установлены все доступные обновления. В процессе работы тоже очень желательно устанавливать выходящие обновления, для этого можно выделять 1 день в месяц, непосредственная недоступность сервера обычно занимает в районе 15 минут.

 

Дополнительная защита

Желательно устанавливать EMET последней версии (на момент написания это 4.1) и выбрать профиль максимальной защиты. Это средство защиты от некоторых популярных типов уязвимостей. Но есть побочные эффекты.

Установить антивирус Microsoft Security Essentials, скачать его можно тут — http://windows.microsoft.com/ru-ru/windows/security-essentials-download (Учтите что это не нарушение лицензии на антивирус)

 

По возможности лучше вообще отказаться от прямого доступа к rdp для всех, лучше реализовать вариант с VPN и\или ограничить список IP адресов которые могут подключаться.

 

 Базовая безопасность windows server 2008, 5.0 out of 5 based on 2 ratings

Leave a Comment

Login to your account

Can't remember your Password ?

Register for this site!