Membuat Windows Server Lebih Aman

Pada artikel ini, penulis ingin memberikan beberapa tips yang baik untuk mengelola server Windows, yang karena beberapa alasan saya tidak dapat menemukan di Internet.

Mengikuti prinsip-prinsip ini, Anda akan sangat mengamankan server berbasis Windows Anda di lingkungan lokal dan publik.

1. Kami memasuki komputer dengan benar dalam AD

Jangan menggunakan pengguna dengan hak administratif untuk memasuki komputer di Active Directory. Tidak ada yang menjamin bahwa Keylogger belum muncul di komputer karyawan. Memiliki akun terpisah. Penyerang yang mencuri kredensial hanya dapat menambahkan lebih banyak komputer ke AD.

1.1. Buat pengguna baru

Untuk melakukan ini, buka ADUC (Pengguna direktori aktif dan Komputer). Klik pada ruang kosong di folder Users and Computers dan buat pengguna. Untuk kesederhanaan, sebut saja JoinAdmin.

1.2. Delegasikan otoritas

Setelah pengguna dibuat, ia harus diberi izin. Untuk melakukan ini, klik kanan pada folder "Users" dan pilih "Delegate Control". Klik "Selanjutnya" dan pilih admin kami.


Kami ingin pengguna hanya melakukan satu fungsi, jadi kami memilih opsi kedua.


Selanjutnya, pilih "Objek komputer" dan semua subtitelnya.



Gunakan pengguna ini dan jangan khawatir bahwa seseorang dapat mencuri kata sandi dari administrator.

2. Akses folder yang dikontrol

Windows Server 2019 memperkenalkan akses folder yang dikontrol fitur yang sangat diremehkan. Ini melarang akses ke rekaman untuk program yang tidak ada dalam daftar putih pada folder atau bagian yang dipilih.

Menyalakannya akan membantu melindungi data dari virus ransomware bahkan jika server Anda telah terinfeksi. Namun, ini tidak melindungi data Anda dari pencurian, itu bisa dibaca.

Anda dapat mengaktifkan fitur di Pusat Keamanan Windows atau melalui Powershell:

Set-MpPreference -EnableNetworkProtection Enabled 

Tambahkan program yang diizinkan:

Program yang diizinkan dapat ditambahkan melalui Windows Security Center, dan melalui Powershell Anda harus memasukkan path lengkap ke file yang dapat dieksekusi, dipisahkan dengan koma.

 Set-MpPreference -ControlledFolderAccessAllowedApplications "C:\Folder\File.exe"             . $ApplicationToAdd = "C:\Fodler\file.exe" $ExistingApplicationList = (Get-MpPreference).ControlledFolderAccessAllowedApplications $FullList = $ApplicationToAdd + $ExistingApplicationList Set-MpPreference -ControlledFolderAccessAllowedApplications $FullList 

Tambahkan folder yang dilindungi:

Folder ditambahkan dengan cara yang persis sama dengan program. Misalnya, dengan perintah ini kami menambahkan seluruh drive C:

 Set-MpPreference -ControlledFolderAccessProtectedFolders "C:\" 

3. SYSWOW64 dan SMB

Semua program 32 bit dijalankan pada 64 bit melalui lapisan kompatibilitas - SYSWOW64. Menonaktifkan komponen ini membuat semua perangkat lunak 32 bit tidak kompatibel, termasuk virus.

Sendiri, aplikasi 32-bit lebih rentan, program 64-bit tidak dapat diserang oleh buffer overflows, dan melalui mereka itu jauh lebih sulit untuk mengeksekusi kode yang tidak disediakan oleh program-program ini. Jika hanya komponen yang disematkan atau hanya program 64 bit yang bekerja di server, pastikan untuk menghapus komponen ini.

Apakah Anda ingat Wannacry yang berjalan melalui SMB1? SMB versi pertama masih merupakan komponen standar Windows Server dan diinstal secara default di setiap edisi.
Wannacry menembus kerentanan EternalBlue, kerentanan itu ditambal, tetapi endapan tetap ada.
Perintah ini menghapus SMB1 dan SYSWOW64:

 Remove-WindowsFeature WoW64-Support, FS-SMB1 

Layak untuk mengambil rekomendasi bukan sebagai alasan untuk menghapus komponen spesifik ini, tetapi sebagai menonaktifkan semua komponen yang tidak digunakan secara umum.

4. Nonaktifkan ping

Secara default, komputer berbasis Windows merespons ICMP hanya di jaringan lokal. Menonaktifkan ICMP sedikit meningkatkan keamanan server Anda. Sebagian, ini karena fakta bahwa ada panduan di kulhacker dan forum kiddie script lainnya tentang cara mencari tujuan yang bisa menjadi kekuatan brutal.

Untuk menunjukkan bahwa Anda akan menang jika Anda menonaktifkan ICMP, dua server dibuat. RDP dibuka pada keduanya, namun salah satu server tidak menanggapi ICMP.

ICMP dinonaktifkan:


ICMP diaktifkan:


Seperti yang dapat dilihat dari tangkapan layar, ini tidak menghentikan semua orang, tetapi banyak. Untuk mengumpulkan data tentang seberapa banyak mereka ingin meretas Anda, Anda dapat menggunakan skrip ini:

 function Get-Bruteforce {    $Last = 4    $Attempts = 10    #Getting date -one hour (default)    $DateTime = [DateTime]::Now.AddHours(-$Last)    $BruteEvents = Get-EventLog -LogName 'Security' -InstanceId 4625 -After $DateTime -ErrorAction SilentlyContinue | Select-Object @{n='IpAddress';e={$_.ReplacementStrings[-2]} }    $TopPunks = $BruteEvents | Group-Object -property IpAddress | Sort-Object Count    #Get bruteforsers that tried to login greated or equal than 4 times (default)    $GetPunks = $TopPunks | where {$_.Count -ge $attempts} | Select -property Name    Write-host Unique attackers IP: $GetPunks.Length -ForegroundColor Green    Write-Host Total bruteforce attempts: $BruteEvents.Length -ForegroundColor Green    #Output-punks    foreach ($i in $TopPunks | where {$_.Count -ge $attempts}) {    $PunkRdns = (Resolve-DnsName $i.Name -ErrorVariable ProcessError -ErrorAction SilentlyContinue).NameHost    if ($ShowRDNS) {        if ($PunkRdns) {            Write-Host "attempts": $i.count IP: $PunkRdns        }        else {            Write-Host "attempts": $i.count IP: $i.name        }    }    else {        Write-Host "attempts": $i.count IP: $i.name    }    }  } Get-Bruteforce 

Anda masih dapat memantau server Anda, misalnya, dengan memeriksa ketersediaan port tertentu:

 Test-NetConnection 192.168.0.1 -Port 3389 

5. Tidak semua nama sama baiknya

Menggunakan skrip lain, mencabut nama pengguna paling populer yang diserang.

Jika Anda menginstal Layanan Desktop Jarak Jauh, kami sangat menyarankan Anda menghindari nama-nama ini. Dalam kombinasi dengan kata sandi yang lemah, Anda dapat menjamin akun peretasan cepat.

Demi kenyamanan Anda, daftar nama "buruk" telah ditulis ulang ke dalam tabel:

Anda bisa mendapatkan daftar yang sama di server Anda dengan skrip ini:

 function Get-Badname {    $Last = 24    $Attempts = 40      $DateTime = [DateTime]::Now.AddHours(-$Last)    $BruteEvents = Get-EventLog -LogName 'Security' -InstanceId 4625 -After $DateTime -ErrorAction SilentlyContinue | Select-Object @{n='IpAddress';e={$_.ReplacementStrings[5]} }    $TopPunks = $BruteEvents | Group-Object -property IpAddress | Sort-Object Count      $GetPunks = $TopPunks | where {$_.Count -ge $attempts} | Select -property Name    Write-host Unique attackers IP: $GetPunks.Length -ForegroundColor Green    Write-Host Total bruteforce attempts: $BruteEvents.Length -ForegroundColor Green    #Output    foreach ($i in $TopPunks | where {$_.Count -ge $attempts}) {        Write-Host "Attempts": $i.count Username: $i.name    }  } Get-Badname 

6. Hal-hal yang jelas

Baiklah, kita akhiri artikel dengan hal-hal yang jelas:

1. Buat gateway - Untuk mengelola infrastruktur besar, yang terbaik adalah mengamankan diri Anda dengan satu titik masuk. Lebih detail .
2. Instal pembaruan. Secara khusus, di server pertempuran.
3. Nonaktifkan layanan yang tidak Anda gunakan - ini adalah area tambahan untuk diserang.
4. Gunakan Server Core, ia memiliki area serangan paling sedikit dan paling sedikit reboot ketika menginstal pembaruan
5. Remote Desktop Server untuk banyak pengguna adalah ide yang buruk. Patuhi prinsip satu orang atau layanan - satu server.
6. Buat cadangan dan pastikan untuk mengujinya. Cadangan yang belum diuji bukan cadangan.

Kami berharap lima poin pertama bermanfaat dan menarik bagi Anda.

Kami menawarkan tarif UltraDSite Windows VDS yang diperbarui untuk 99 rubel dengan Windows Server 2019 Core yang diinstal.