विंडोज सर्वर को सुरक्षित बनाना

इस लेख में, लेखक विंडोज सर्वरों को प्रशासित करने के लिए कुछ अच्छे सुझाव देना चाहता है, जो किसी कारण से मुझे इंटरनेट पर नहीं मिल पाए।

इन सिद्धांतों का पालन करते हुए, आप अपने विंडोज-आधारित सर्वर को स्थानीय और सार्वजनिक दोनों परिवेशों में सुरक्षित करेंगे।

1. हम सही ढंग से AD में कंप्यूटर दर्ज करते हैं

सक्रिय निर्देशिका में कंप्यूटर दर्ज करने के लिए प्रशासनिक विशेषाधिकारों वाले उपयोगकर्ताओं का उपयोग न करें। कोई भी गारंटी नहीं देता है कि Keylogger कर्मचारी के कंप्यूटर पर पहले से दिखाई नहीं दिया है। एक अलग खाता है। एक हमलावर जो क्रेडेंशियल्स चुराता है, केवल अधिक कंप्यूटरों को एडी में जोड़ सकता है।

1.1। एक नया उपयोगकर्ता बनाएँ

ऐसा करने के लिए, ADUC (सक्रिय निर्देशिका उपयोगकर्ता और कंप्यूटर) पर जाएं। उपयोगकर्ता और कंप्यूटर फ़ोल्डर में एक खाली जगह पर क्लिक करें और एक उपयोगकर्ता बनाएँ। सरलता के लिए, आइए इसे JoinAdmin कहते हैं।

1.2। प्रतिनिधि प्राधिकरण

उपयोगकर्ता द्वारा बनाए जाने के बाद, उसे अनुमतियाँ निर्दिष्ट करने की आवश्यकता होती है। ऐसा करने के लिए, "उपयोगकर्ता" फ़ोल्डर पर राइट-क्लिक करें और "डेलिगेट कंट्रोल" चुनें। "अगला" पर क्लिक करें और हमारे व्यवस्थापक का चयन करें।


हम चाहते हैं कि उपयोगकर्ता केवल एक फ़ंक्शन करें, इसलिए हम दूसरा विकल्प चुनते हैं।


अगला, "कंप्यूटर ऑब्जेक्ट्स" और उसके सभी सबिटम्स का चयन करें।



इस उपयोगकर्ता का उपयोग करें और चिंता न करें कि कोई व्यक्ति व्यवस्थापक से पासवर्ड चुरा सकता है।

2. नियंत्रित फ़ोल्डर का उपयोग

विंडोज सर्वर 2019 ने एक बहुत ही अंडररेटेड फीचर - नियंत्रित फ़ोल्डर एक्सेस की शुरुआत की। यह उन प्रोग्रामों के लिए रिकॉर्डिंग तक पहुंच को प्रतिबंधित करता है जो चयनित फ़ोल्डर या अनुभागों में सफेद सूची में नहीं हैं।

इसे चालू करने से रैंसमवेयर वायरस से डेटा को बचाने में मदद मिलेगी, भले ही आपका सर्वर संक्रमित हो गया हो। हालांकि, यह आपके डेटा को चोरी से बचाता नहीं है, इसे पढ़ा जा सकता है।

आप Windows सुरक्षा केंद्र या Powershell के माध्यम से इस सुविधा को सक्षम कर सकते हैं:

Set-MpPreference -EnableNetworkProtection Enabled 

अनुमत कार्यक्रम जोड़ें:

अनुमति प्राप्त प्रोग्राम विंडोज सिक्योरिटी सेंटर के माध्यम से जोड़े जा सकते हैं, और पॉवर्सशेल के माध्यम से आपको कॉमा द्वारा अलग किए गए निष्पादन योग्य फ़ाइलों में पूर्ण पथ दर्ज करने की आवश्यकता होती है।

 Set-MpPreference -ControlledFolderAccessAllowedApplications "C:\Folder\File.exe"             . $ApplicationToAdd = "C:\Fodler\file.exe" $ExistingApplicationList = (Get-MpPreference).ControlledFolderAccessAllowedApplications $FullList = $ApplicationToAdd + $ExistingApplicationList Set-MpPreference -ControlledFolderAccessAllowedApplications $FullList 

संरक्षित फ़ोल्डर जोड़ें:

फ़ोल्डरों को कार्यक्रमों के रूप में ठीक उसी तरह से जोड़ा जाता है। उदाहरण के लिए, इस कमांड के साथ हम संपूर्ण C: ड्राइव जोड़ते हैं:

 Set-MpPreference -ControlledFolderAccessProtectedFolders "C:\" 

3. SYSWOW64 और SMB

सभी 32 बिट प्रोग्राम संगतता परत के माध्यम से 64 बिट पर चलते हैं - SYSWOW64। इस घटक को अक्षम करना वायरस सहित सभी 32 बिट सॉफ़्टवेयर को असंगत बनाता है।

अपने आप से, 32-बिट एप्लिकेशन अधिक असुरक्षित हैं, 64-बिट प्रोग्राम्स को बफर ओवरफ्लो द्वारा हमला नहीं किया जा सकता है, और उनके माध्यम से इन कार्यक्रमों द्वारा प्रदान किए गए कोड को निष्पादित करना अधिक कठिन है। यदि केवल एम्बेडेड घटक या केवल 64 बिट प्रोग्राम सर्वर पर काम करते हैं, तो इस घटक को निकालना सुनिश्चित करें।

क्या आपको Wannacry याद है जो SMB1 से गुजरे थे? पहला संस्करण SMB अभी भी विंडोज सर्वर का एक मानक घटक है और प्रत्येक संस्करण में डिफ़ॉल्ट रूप से स्थापित होता है।
Wannacry ने EternalBlue भेद्यता में प्रवेश किया, भेद्यता को पैच किया गया, लेकिन तलछट बनी रही।
यह आदेश SMB1 और SYSWOW64 दोनों को हटा दें:

 Remove-WindowsFeature WoW64-Support, FS-SMB1 

यह इन विशिष्ट घटकों को हटाने के लिए एक बहाने के रूप में अनुशंसा लेने के लायक नहीं है, लेकिन सामान्य रूप से सभी अप्रयुक्त घटकों को अक्षम करने के रूप में।

4. पिंग अक्षम करें

डिफ़ॉल्ट रूप से, Windows- आधारित कंप्यूटर केवल ICMP पर स्थानीय नेटवर्क पर प्रतिक्रिया करता है। ICMP को अक्षम करने से आपके सर्वर की सुरक्षा बढ़ जाती है। आंशिक रूप से, यह इस तथ्य के कारण है कि कुल्हैकर और अन्य स्क्रिप्ट किडी मंचों पर मार्गदर्शिकाएं हैं कि कैसे उन लक्ष्यों की तलाश की जाए जो क्रूर बल हो सकते हैं।

यह दिखाने के लिए कि आप ICMP को निष्क्रिय कर देंगे, तो दो सर्वर बनेंगे। आरडीपी उन दोनों पर खोला गया था, हालांकि सर्वर में से एक ने आईसीएमपी का जवाब नहीं दिया।

ICMP अक्षम है:


ICMP सक्षम:


जैसा कि स्क्रीनशॉट से देखा जा सकता है, यह हर किसी को नहीं रोकता है, लेकिन कई। वे आपको कितना हैक करना चाहते हैं, इसके बारे में डेटा एकत्र करने के लिए, आप इस स्क्रिप्ट का उपयोग कर सकते हैं:

 function Get-Bruteforce {    $Last = 4    $Attempts = 10    #Getting date -one hour (default)    $DateTime = [DateTime]::Now.AddHours(-$Last)    $BruteEvents = Get-EventLog -LogName 'Security' -InstanceId 4625 -After $DateTime -ErrorAction SilentlyContinue | Select-Object @{n='IpAddress';e={$_.ReplacementStrings[-2]} }    $TopPunks = $BruteEvents | Group-Object -property IpAddress | Sort-Object Count    #Get bruteforsers that tried to login greated or equal than 4 times (default)    $GetPunks = $TopPunks | where {$_.Count -ge $attempts} | Select -property Name    Write-host Unique attackers IP: $GetPunks.Length -ForegroundColor Green    Write-Host Total bruteforce attempts: $BruteEvents.Length -ForegroundColor Green    #Output-punks    foreach ($i in $TopPunks | where {$_.Count -ge $attempts}) {    $PunkRdns = (Resolve-DnsName $i.Name -ErrorVariable ProcessError -ErrorAction SilentlyContinue).NameHost    if ($ShowRDNS) {        if ($PunkRdns) {            Write-Host "attempts": $i.count IP: $PunkRdns        }        else {            Write-Host "attempts": $i.count IP: $i.name        }    }    else {        Write-Host "attempts": $i.count IP: $i.name    }    }  } Get-Bruteforce 

आप अभी भी अपने सर्वर की निगरानी कर सकते हैं, उदाहरण के लिए, एक विशिष्ट पोर्ट की उपलब्धता की जाँच करके:

 Test-NetConnection 192.168.0.1 -Port 3389 

5. सभी नाम समान रूप से अच्छे नहीं हैं

एक और स्क्रिप्ट का उपयोग करते हुए, सबसे लोकप्रिय उपयोगकर्ता नामों को बाहर निकाला गया जो हमला किया गया था।

यदि आप दूरस्थ डेस्कटॉप सेवा स्थापित कर रहे हैं, तो हम दृढ़ता से अनुशंसा करते हैं कि आप इन नामों से बचें। एक कमजोर पासवर्ड के साथ संयोजन में, आप एक त्वरित हैकिंग खाते की गारंटी दे सकते हैं।

आपकी सुविधा के लिए, "खराब" नामों की सूची को एक तालिका में फिर से लिखा गया है:

आप इस स्क्रिप्ट के साथ अपने सर्वर पर समान सूची प्राप्त कर सकते हैं:

 function Get-Badname {    $Last = 24    $Attempts = 40      $DateTime = [DateTime]::Now.AddHours(-$Last)    $BruteEvents = Get-EventLog -LogName 'Security' -InstanceId 4625 -After $DateTime -ErrorAction SilentlyContinue | Select-Object @{n='IpAddress';e={$_.ReplacementStrings[5]} }    $TopPunks = $BruteEvents | Group-Object -property IpAddress | Sort-Object Count      $GetPunks = $TopPunks | where {$_.Count -ge $attempts} | Select -property Name    Write-host Unique attackers IP: $GetPunks.Length -ForegroundColor Green    Write-Host Total bruteforce attempts: $BruteEvents.Length -ForegroundColor Green    #Output    foreach ($i in $TopPunks | where {$_.Count -ge $attempts}) {        Write-Host "Attempts": $i.count Username: $i.name    }  } Get-Badname 

6. स्पष्ट बातें

खैर, हम स्पष्ट बातों के साथ लेख को समाप्त करते हैं:

1. एक प्रवेश द्वार बनाएं - एक बड़े बुनियादी ढांचे का प्रबंधन करने के लिए, एकल प्रविष्टि बिंदु के साथ खुद को सुरक्षित करना सबसे अच्छा है। अधिक विस्तार से ।
2. अद्यतन स्थापित करें। विशेष रूप से, युद्ध सर्वरों पर।
3. ऐसी सेवाओं को अक्षम करें जिनका आप उपयोग नहीं करते हैं - यह हमला करने के लिए एक अतिरिक्त क्षेत्र है।
4. सर्वर कोर का उपयोग करें, इसमें सबसे कम हमला क्षेत्र और अद्यतन स्थापित करते समय सबसे कम संख्या में रिबूट होते हैं
5. कई उपयोगकर्ताओं के लिए दूरस्थ डेस्कटॉप सर्वर एक बुरा विचार है। एक व्यक्ति या सेवा के सिद्धांत का पालन करें - एक सर्वर।
6. बैकअप बनाएं और उनका परीक्षण करना सुनिश्चित करें। एक बैकअप जिसका परीक्षण नहीं किया गया है, वह बैकअप नहीं है।

हमें उम्मीद है कि पहले पांच अंक आपके लिए उपयोगी और दिलचस्प थे।

हम स्थापित विंडोज सर्वर 2019 कोर के साथ 99 रूबल के लिए एक अद्यतन अल्ट्रालाइट विंडोज वीडीएस टैरिफ प्रदान करते हैं।