Забезпечення безпеки Windows Server 2008/2012
- - Блокування RDP-підключень для облікових записів з порожнім паролем
- - Зміна стандартного порту Remote Desktop Protocol
- - Налаштування шлюзу служб терміналів (Terminal Services Gateway)
- Установка служби Шлюзу TS
- Створення сертифіката для шлюзу служб віддалених робочих столів
- Налаштування шлюзу TS на використання сертифіката
- - Захист RDP-сесії за допомогою SSL / TLS
Цей матеріал містить базові рекомендації щодо забезпечення безпеки серверів під управлінням Microsoft Windows Server 2008/2012:
Підтримка операційної системи і встановленого ПО в актуальному стані, крім усунення несправностей в роботі програм, допомагає забезпечити захист вашого сервера від частини вразливостей, про які стало відомо розробникам до моменту виходу апдейта. Ви можете налаштувати Windows на автоматичне завантаження (установку) важливих і рекомендованих оновлень через утиліту «Центр оновлення Windows» .
Незважаючи на поширеність якісних програмних open-source продуктів, доступних «в один клік», закликаємо вас вивчити відомі уразливості такого ПО перед його установкою і використовувати для завантаження дистрибутивів тільки офіційні джерела. Саме самостійна установка адміністратором або користувачем уразливого або вже «упакованого» вірусним кодом софта часто є причиною проблем з безпекою інфраструктури.
80 - HTTP
443 - HTTPS
Для портів, доступ до яких повинен залишатися відкритим, слід обмежити коло джерел підключення шляхом створення «білого списку» IP-адрес, з яких будуть прийматися звернення. Зробити це можна в правилах брандмауера Windows . Це забезпечить впевненість в тому, що у всіх, кому потрібен доступ до сервера, він є, але при цьому заборонений для тих, кого «не кликали».
Нижче представлений список портів, доступ до яких краще обмежити тільки колом клієнтів, внесених в білий список IP:
- 3389 - Стандартний порт RDP
- 990 - FTPS
- 5000-5050 - порти для роботи FTP в пасивному режимі
- 1433-1434 - стандартні порти SQL
- 53 - DNS
Оскільки стандартна запис локального адміністратора «Administrator» за замовчуванням включена у всіх сьогоднішніх версіях ОС Windows і має необмежені повноваження, саме до цього аккаунту частіше намагаються підібрати пароль для отримання доступу до управління сервером, тому що це простіше, ніж з'ясовувати імена користувачів.
Рекомендується змінити ім'я користувача для стандартної облікового запису Adminstrator. Для цього виконайте такі дії:
- Відкрийте оснастку «Виконати» (WIN + R), у вікні введіть: secpol.msc
- Відкрийте Редактор локальної політики безпеки. У меню виберіть Локальні політики -> Параметри безпеки -> Облікові записи: Перейменування облікового запису адміністратора
- У вкладці Параметр локальної безпеки змініть ім'я облікового запису адміністратора на бажане і збережіть зміни.
Якщо в адмініструванні вашої інфраструктури задіяно кілька людей, створіть для кожного з них окрему обліковий запис з адміністративними правами. Це допоможе відстежити, хто саме санкціонував чи іншу дію в системі.
Для виконання завдань, які потребують прав адміністратора, бажано використовувати обліковий запис звичайного користувача. У разі проникнення в систему, в т.ч. в результаті дій самого користувача, рівень уразливості сервера залишиться на рівні повноважень цього користувача. У разі ж отримання несакціоннірованного доступу до аккаунту адміністратору отримає і необмежений доступ до управління системою.
Ніколи не дозволяйте підключення до загальних папок сервера без введення пароля і анонімний доступ. Це виключить можливість простого отримання несакціонірованного доступу до ваших файлів. Навіть якщо ці файли самі по собі не мають ніякої цінності для зловмисника, вони можуть стати «вікном» для подальшого вторгнення, так як користувачі вашої інфраструктури, найімовірніше, довіряють цих файлів і навряд чи перевіряють їх на шкідливий код при кожному запуску.
Крім обов'язкового використання пароля, бажано розмежувати права доступу до загальних тек для їх користувачів. Значно простіше встановити обмежені права користувачам, яким не потрібен повний доступ (запис / читання / зміна), ніж стежити за тим, щоб жоден з клієнтських акаунтів згодом не був скомпрометований, що може спричинити за собою несприятливі наслідки і для інших клієнтів, які звертаються до загальних мережних ресурсів.
Якщо ви використовуєте фізичний сервер Windows, настійно рекомендуємо включити запит пароля користувача при виході з режиму очікування. Зробити це можна у вкладці «Електроживлення» Панелі управління (область завдань сторінки «Виберіть план електроживлення»).
Крім цього, варто включити запит введення пароля користувача при підключенні до сесії після встановленого часу її бездіяльності. Це виключить можливість простого входу від імені користувача в разі, коли останній, наприклад, забув закрити RDP-клієнт на персональному комп'ютері, на якому параметри безпеки рідко бувають досить стійкими. Для конфігурації цієї опції ви можете скористатися утилітою налаштування локальних політик secpol.msc, спричиненої через меню «Виконати» (Win + R-> secpol.msc).
Майстер налаштування безпеки ( SCW - Security Configuration Wizard ) Дозволяє створювати XML-файли політик безпеки, які потім можна перенести на різні сервери вашої інфраструктури. Ці політики включають в себе правила використання сервісів, конфігурацію загальних параметрів системи і правила Firewall.
Крім попереднього налаштування групових політик Active Directory (при їх використанні) час від часу проводите їх ревізію і повторну конфігурацію. Цей інструмент є одним з основних способів забезпечення безпеки Windows-інфраструктури.
Для зручності управління груповими політиками, ви можете використовувати не тільки вбудовану в дистрибутиви Windows Server утиліту «gpmc.msc», а й пропоновану Microsoft утиліту «Спрощені параметри налаштування безпеки» (SCM-Security Compliance Manager) , Назва якої повністю описує призначення.
Крім використання групових політик безпеки Active Directory слід також використовувати локальні політики, так як вони зачіпають не тільки права користувачів, що виконують вхід через доменну обліковий запис, а й локальні акаунти. Для управління локальними політиками ви можете використовувати відповідну оснастку «Локальна політика безпеки», що викликається командою secpol.msc ( «Виконати» (WIN + R)).
- Блокування RDP-підключень для облікових записів з порожнім паролем
Цей захід є досить очевидною, але вона не повинна ігноруватися. Для блокування підключень до віддалених робочих столів користувачеві, пароль для якого невідомий, відкрийте утиліту «Computer Configuration» -> «Налаштування Windows» -> «Налаштування безпеки» -> «Локальні політики безпеки ->« Параметри безпеки »і включіть (Enable) параметр «Облікові записи: Дозволити використання порожніх паролів тільки при консольному вході (Accounts: Limit local account use of blank passwords to console logon only ).
- Зміна стандартного порту Remote Desktop Protocol
Зміна порту RDP за замовчуванням, не дивлячись на видиму простоту цього заходу, є непоганим захистом від атак, спрямованих на моніторинг well-known портів.
Щоб змінити порт для підключення RDP:
- Відкрийте редактор реєстру (regedit)
- Для перестраховки зробіть резервну копію поточного стану реєстру (Файл-> Експорт)
- Відкриваємо гілку: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp
- Знайдіть параметр Port Number, двічі клікніть по ньому, у вікні, виберіть десяткову систему числення з змініть поле Значення на бажаний порт.
- Натисніть ОК і закрийте редактор ресстра
- Зверніть увагу на ваші правила Firewall (Брандмауер Windows). Вони повинні дозволяти зовнішні підключення за встановленим вище порту. Для додавання дозволяє правила виконайте наступне:
- Відкрийте Брандмауер Windows
- У лівій частині вікна програми виберіть «Додаткові параметри», а потім «Правила для вхідних підключень», і натисніть «Створити правило»- У вікні Майстра виберете правило «Для порту»
- Далі вказуємо «Певний локальний порт TCP: {номер обраного вами вище порту}». Натискаємо готове. - > Перезавантажуємо сервер для застосування змін.
- Щоб з'єднатися з сервером через встановлений вручну порт необхідно на локальній машині ввести номер порту після IP-адреси сервера, розділивши ці значення двокрапкою, у вікні підключення до віддаленого робочого столу, як показано на зображенні:
- Налаштування шлюзу служб терміналів (Terminal Services Gateway)
Служба «Шлюз TS (служб віддалених робочих столів)» дозволяє віддаленим користувачам здійснювати віддалене підключення до термінальних серверів і іншим машинам приватної мережі з активним з'єднанням RDP. Вона забезпечує безпеку підключень за рахунок використання протоколу HTTPS (SSL), знімаючи з адміністратора необхідність настройки VPN. Цей інструмент дозволяє комплексно контролювати доступ до машин, встановлювати правила авторизації і вимоги до віддаленим користувачам, а саме:
- користувачів (групи користувачів), які можуть підключатися до внутрішніх мережевих ресурсів;
- мережеві ресурси (групи комп'ютерів), до яких користувачі можуть підключатися;
- чи повинні клієнтські комп'ютери бути членами груп Active Directory;
- чи потрібно клієнтам використовувати перевірку автентичності на основі смарт-карт або пароля, або вони можуть використовувати будь-який з двох перерахованих вище способів аутентифікації.
Само собою, логіка роботи шлюзу віддалених робочих столів на увазі використання для нього окремої машини. При цьому це не означає, що не можна використовувати віртуальну машину, розгорнуту на будь-якому з хостів у вашій приватній мережі.
Установка служби Шлюзу TS
Для установки шлюзу служб терміналу на відповідній машині під управлінням Windows Server 2008/2012 виконайте наступні дії:
- Відкрийте утиліту Server Manager (Управління сервером) -> вкладка Ролі -> Додати роль
- На сторінці вибору ролей сервера виберіть Служби терміналу (Служби віддалених робочих столів)
- У вікні вибору служб ролей виберіть Шлюз TS (Шлюз служб віддалених робочих столів) і натисніть Далі
- На сторінці вибору сертифіката аутентифікації сервера для шифрування SSL виберіть опцію Вибрати сертифікат для SSL-шифрування пізніше. Цей вибір обумовлений тим, що відповідний сертифікат шлюзу TS ще не згенерований.
- На сторінці, що з'явилася створення політик авторизації для шлюзу виберіть опцію Пізніше
- На сторінці вибору служб ролей повинна бути відзначена служба Сервер мережевої політики (Network Policy Server)
- Встановіть необхідні служби ролей, які будуть відзначені системою за замовчуванням.
Створення сертифіката для шлюзу служб віддалених робочих столів
Для ініціювання SSL-підключень від клієнтів RDP, для шлюзу повинен бути створений відповідний сертифікат:
- У меню Адміністрування виберіть оснастку IIS Manager
- У лівій частині вікна, що з'явилося виберіть необхідний сервер, а потім пункт Сертифікати сервера -> Створити сертифікат домену
- На сторінці Певні властивості імені вкажіть потрібну інформацію. Зверніть увагу на поле Загальне ім'я - воно повинно відповідати імені, зазначеному в налаштуваннях клієнтів служб RDP.
- На наступній сторінці Інтерактивний центр сертифікації вибираємо ім'я Enterprise CA, від імені якого повинен бути виданий сертифікат, і вводимо значення параметра Мережеве ім'я.
Тепер відомості про створений сертифікаті відображаються у вікні Сертифікати сервера. При подвійному натисканні на цьому сертифікаті можна побачити інформацію про об'єкт призначення і про наявність закритого ключа для даного сертифіката (без якого сертифікат не використовується).
Налаштування шлюзу TS на використання сертифіката
Після створення сертифіката, необхідно налаштувати шлюз терміналів на його використання:
- Відкрийте меню «Адміністрування», виберіть «Служби терміналів (віддалених робочих столів)», виберіть Шлюз термінальних серверів.
- Зліва виберіть сервер, якій буде виконувати роль шлюзу. Буде відображена інформація про кроки, необхідні для завершення конфігурації.
- Виберіть опцію «Показати або змінити властивості сертифіката».
- У вкладці «SSL Сертифікат» перевірте активність опції «Вибрати існуючий сертифікат для SSL шифрування» і виберіть Перегляд сертифікатів для відображення оснащення для установки сертифікатів. Виберіть і встановіть раніше згенерований сертифікат.
- Після вказівки сертифіката слід налаштувати політики авторизації підключень і авторизації ресурсів. Політика авторизації підключення (CAP - Сonnection Authorization Policy) дозволяє контролювати повноваження клієнтів при їх підключенні до терміналів через шлюз:
Відкрийте меню «Політики авторизації з'єднань», що знаходиться у вкладці «Політики» -> «Створити нову політику» -> Майстер (Wizard), на вкладці «Політики авторизації» -> виберіть Створена тільки TS CAP. Вводимо ім'я створюваної політики. У нашому випадку «1cloud Gateway». На вкладці «Вимоги» активуємо вимога пароля, а потім вказуємо групи користувачів, яким необхідно надати доступ в інфраструктуру терміналів - введіть ім'я додається групи і натисніть "Перевірити імена (Check Names)».
Дозвольте перенаправлення пристроїв для всіх клієнтських пристроїв. Ви також можете відключити перенаправлення для деяких типів вуст-в. На сторінці Результати параметрів TS CAP перевіряємо обрані раніше параметри і завершуємо майстер конфігурації.
- Тепер налаштуйте політику авторизації ресурсів (Resource Authorization Policy - RAP), що визначає доступність для підключення ззовні сервери і робочі станції:
Для цього перейдіть в меню «Політика авторизації ресурсів» панелі Менеджер шлюзів серверів терміналів (віддалених робочих столів), виберіть пункт «Створити нову політику» -> Майстер -> Створити тільки TS RAP.Введіть ім'я створюваної політики. У вкладці Групи користувачів виберіть групи, які поставлені створюваної політикою. На вкладці Група комп'ютерів вкажіть сервери і робочі станції, до яких застосовується політика RAP. В даному прикладі ми вибрали опцію «Дозволити користувачам підключатися до будь-якого ресурсу (комп'ютера) мережі» для дозволу підключень до всіх хостам мережі. Перевірте параметри TS RAP і завершите майстер конфігурації.
- На цьому настройку шлюзу серверів терміналів (віддалених робочих столів) можна вважати завершеною.
- Захист RDP-сесії за допомогою SSL / TLS
Для забезпечення безпеки підключень по RDP в разі, коли з'єднання з сервером здійснюється не через VPN, рекомендується використовувати SSL / TLS-туннелирование з'єднання.
Опцію RDP через TLS можна включити через групову політику безпеки сервера віддалених робочих столів (команда gpedit.msc або меню «Адміністрування» -> «Компоненти Windows» -> Сервер віддалених робочих столів (Remote Desktop Session »->« Безпека »), де необхідно активувати опцію запиту певного рівня безпеки для віддалених підключень (Require use of specific security layer for remote connections ). Рекомендоване значення цієї опцій - SSL (TLS 1.0) only.
Також включити вищевказану опцію можна і через меню управління сервером віддалених робочих столів (Remote Desktop Session Host Configuration), вибравши зі списку Connections необхідну підключення і перейшовши в його властивості, де вибрати рівень безпеки «Security Level». Для TLS-шифрування сесій буде потрібно, принаймні, серверний сертифікат. Як правило він вже є в системі (генерується автоматично).
Для настройки TLS-тунелювання RDP-підключень відкрийте інструментів «Управління сервером віддалених робочих столів (Remote Desktop Session Host Configuration)» через меню «Адміністрування» -> Підключення до віддалених робочих столів ».
Виберіть зі списку з'єднань то, для якого потрібно налаштувати захист SSL / TLS і відкрийте його властивості (Properties). У вкладці «Загальні» (General) виберіть необхідний рівень шифрування (Encryption Level). Рекомендуємо використовувати RDP FIPS140-1 Encryption.
Одна з основних завдань попереднього планування безпеки серверної інфраструктури полягає в диверсифікації ризиків ураження критично важливих сегментів інфраструктури при успішні атаки на окремі вузли. Чим більше ролей бере на себе кожен вузол, тим більше привабливим об'єктом для атак він стає і тим серйозніші наслідки може мати поразку цього вузла. Для мінімізації таких ризиків необхідно, по-перше, розмежовувати критично важливі ролі серверів на стадії розгортання інфраструктури (при наявності такої можливості), а по-друге, відключати на серверах сервіси і ролі, в використанні яких немає реальної необхідності.
В ідеалі, один сервер повинен виконувати одну конкретну функцію (Контролер домену, файловий сервер, термінальний сервер і т.д.). Але так як на практиці така диверсифікація ролей рідко виявляється можливою в повній мірі. Тим не менш, ви можете розмежувати функції машин настільки, наскільки це можливо.
Для ізоляції ролей необов'язково використовувати виділені сервери для кожного конкретного завдання. Ви цілком можете використовувати для частини ролей віртуальні машини, налаштувавши параметри їх безпеки потрібним чином. На сьогоднішній день технології віртуалізації дозволяють не відчувати відчутних обмежень у функціональності віртуальних хостів і можуть запропонувати високий рівень продуктивності і стабільності. Грамотно сконфигурированная віртуальна інфраструктура цілком може бути повноцінною альтернативою дорогої «залізної» для бажаючих диверсифікувати ризики серйозних поразок.
Ми, команда хмарного сервісу 1cloud.ru , Зі свого боку не обмежуємо самостійне створення клієнтом віртуальних машин на орендованих у нас віртуальних серверах. Якщо ви бажаєте встановити віртуальну машину Windows на своєму сервері, просто зверніться в нашу технічну підтримку із запитом відповідної опції.
Windows Server Core є дистрибутив Windows Server 2008/2012 без встановленого графічного оточення (UI). Цей дистрибутив не використовує багато системних сервіси, необхідні для функціонування графічного інтерфейсу і, відповідно, позбавлений ряду вразливостей, пов'язаних з роботою цих сервісів. Ще одна перевага Windows Server Core - мінімальне навантаження на апаратні ресурси сервера. Це робить її відмінним вибором для установки на віртуальні машини.
На жаль, на сьогоднішній день для Server Core підтримуються тільки деякі функції Windows Server, через що цю систему ще не можна назвати повноцінним. Можливо, в недалекому майбутньому ситуація зміниться.
PS Інші інструкції:
Похожие
... во можна відключити"> Часом ми не знаємо, що у нас на Пк працюють служби, які сміливо можна відклю...... во можна відключити"> Часом ми не знаємо, що у нас на Пк працюють служби, які сміливо можна відключити. Вони впливають на продуктивність і найголовніше створюють додаткові уразливості. У списку представлені служби та короткий опис функціоналу. Служби можна сміливо відключати, тому що врахована залежність, якщо звичайно вам не потрібен їх функціонал. І так ctrl + r => services.msc і відключаємо: Пуск / Виконати / написати в командному SEO услуги Конечно, вы уже понимаете каждое слово кого-то интернет-маркетинга в терминах «SEO сольные...
SEO услуги Конечно, вы уже понимаете каждое слово кого-то интернет-маркетинга в терминах «SEO сольные услуги», но с другой стороны, SEO-услуги проникли во многие предприятия, частные лица и крупнейшие компании в Индонезии, но с другой стороны, мы должны конкурировать с SEO-экспертами, чтобы достичь позиции 1 в поисковых системах, таких как Yahoo, Bing и Google. Но мы здесь отвечаем из-за вашего страха конкурировать в поисковой системе, принадлежащей Google Цяжка знайсці чалавека, даўно працуе ў АС Windows, які б ні разу не чуў пра дэфрагментацыі дыска і ...
Цяжка знайсці чалавека, даўно працуе ў АС Windows, які б ні разу не чуў пра дэфрагментацыі дыска і не праводзіў яе ў надзеі паскорыць працу сістэмы. Вакол гэтай тэмы лунае мноства міфаў, на жаль, не ўсе выразна ўяўляюць, якія працэсы стаяць за гэтай з'явай. ... на різними способами. Найчастіше використовуються три варіанти: □ підключення по OLE DB - найбільш...
... на різними способами. Найчастіше використовуються три варіанти: □ підключення по OLE DB - найбільш рекомендований і сучасний варіант. Якщо клієнтська частина реалізована під Windows (що буває в більшості випадків), використання підключень по OLE DB - це і найшвидший спосіб; □ підключення по ODBC - успадкований, але до теперішнього часу дуже популярний спосіб; □ підключення з використанням BDE (Borland Database Engine) - зазвичай використовується в додатках, написаних Таким чином, ви користуєтеся Mac і, як і всі інші, ви, ймовірно, шукаєте швидкий, легкий і безболісний спосіб...
Таким чином, ви користуєтеся Mac і, як і всі інші, ви, ймовірно, шукаєте швидкий, легкий і безболісний спосіб збільшити і побудувати посилання на ваш сайт. До цих пір знайти зв'язок і SEO програмне забезпечення для Mac було ... ви можете або не знаєте, Google оновив свої алгоритми у 2014 році, щоб підтримати сайти HTTPS над H...
... ви можете або не знаєте, Google оновив свої алгоритми у 2014 році, щоб підтримати сайти HTTPS над HTTP-сайтами, але що це навіть означає? Простіше кажучи, якщо ваш сайт має сертифікат SSL, пов'язаний з ним, то він буде використовувати протокол HTTPS, з додатковим S означає безпечний . По суті це досягається захистом з'єднання веб-сайту за допомогою аутентифікації та шифрування. Сертифікат SSL дозволяє безпечне з'єднання між веб-сервером і браузером. Спочатку ... ts_starter.html"> Starter - Bardzo wygodny menedżer pobierania, który między innymi pozwala ed...
... ts_starter.html"> Starter - Bardzo wygodny menedżer pobierania, który między innymi pozwala edytować listę startową. Jest całkowicie darmowy i nie wymaga instalacji. Zajmując się automatycznym ładowaniem, przejdźmy do następnego elementu naszego programu - usług. Usługi to te same programy, które działają tylko w tle, tj. nie są widoczne dla użytkownika. Zasadniczo różne składniki systemu operacyjnego działają jako usługi, chociaż niektóre programy instalują swoje usługi. У цьому уроці розглядається процес створення анімованого об'єкта на прикладі черепахи. Урок розбитий на к...
У цьому уроці розглядається процес створення анімованого об'єкта на прикладі черепахи. Урок розбитий на кілька частин. У першій ми розглянемо моделювання, текстурування, настройку матеріалів і експорт статичної сцени в движок, в другій - ріггінг, анімацію, використання редактора нелінійної анімації (NLA), запікання і експорт анімаційних послідовностей. моделювання Спочатку методом динамічного скульптування була створена високополігональні модель. Також окремим Мешем створювалися ... на таргетированной рекламі ВКонтакте. У ній ви знайдете: опис форматів, переваги і недоліки, особливост...
... на таргетированной рекламі ВКонтакте. У ній ви знайдете: опис форматів, переваги і недоліки, особливості налаштувань, приклади застосування та кілька порад. Радимо до вивчення тем, хто тільки починає вникати в таргет. Таргетована реклама ВКонтакте ділиться 2 види: запис в Вступ До Windows Vista багато користувачів поставилися досить прохолодно, проте сьогодні вони з надією ...
Вступ До Windows Vista багато користувачів поставилися досить прохолодно, проте сьогодні вони з надією дивляться на наступну ОС від Microsoft. Компанія стверджує, що навчилася на своїх помилках і обіцяє більш ефективну ОС Windows 7. Оскільки нова операційна система буде встановлюватися на нові настільні ПК і ноутбуки після свого виходу в кінці цього року, то у Windows ... вачі інтернету по всьому світу використовують сотні тисяч додатків для комфортного відвідування ...
... вачі інтернету по всьому світу використовують сотні тисяч додатків для комфортного відвідування глобальної мережі інтернет"> Регулярно користувачі інтернету по всьому світу використовують сотні тисяч додатків для комфортного відвідування глобальної мережі інтернет. Одним з таких є браузер опера. Адміністрація прагнути йти в ногу з часом і регулярно оновлює його компоненти. Виключаються найменш корисні деталі, поступово зростає функціонал браузера. У зв'язку з цим у Ви можете або не знаєте, Google оновив свої алгоритми у 2014 році, щоб підтримати сайти HTTPS над HTTP-сайтами, але що це навіть означає?