Một số biện pháp tăng cường an toàn trên Server Windows
- Quản lý mật khẩu.
Trong mọi trường hợp, bạn cần thiết lập một chính sách nhất quán về mật khẩu, đảm bảo có thể áp dụng cho toàn bộ các tài khoản trên server.- Đảm bảo nguyên tắc về độ dài tối thiểu cho password (8-12 ký tự).
- Mật khẩu phải được đặt phức tạp với đủ các kiểu ký tự thường, hoa, ký tự số và ký tự đặc biệt.
- Nên có chính sách hết hạn cho mật khẩu trên server. Một mật khẩu thông thường chỉ nên tồn tại vài tuần đến vài tháng.
- Bảo đảm an toàn cho giao thức Remote Desktop (RDP):
Các cuộc tấn công dò mật khẩu brute-force trên Windows thường nhắm đến giao thức RDP, do vậy việc tăng cường bảo mật cho giao thức RDP nên được ưu tiên. Các biện pháp nên được cân nhắc bao gồm:- Giới hạn user thực sự cần thiết sử dụng RDP.
- Giới hạn địa chỉ IP được phép truy cập RDP bằng firewall hoặc cấu hình truy cập qua VPN.
- Đổi port RDP, không sử dụng port mặc định của Windows (3389).
- Bảo vệ tài khoản Administrator trên Windows Server:
Administrator là tài khoản người dùng mặc định trên hệ điều hành Windows đồng thời cũng là user có quyền cao nhất. Mặt khác, hầu hết các cuộc tấn công brute-force sẽ dò password của tài khoản này. Để bảo vệ tài khoản này, các bạn có thể sử dụng kết hợp các giải pháp sau:- Sử dụng một mật khẩu đủ mạnh với chính sách thay đổi thường xuyên.
- Tạo một tài khoản quản trị khác và vô hiệu hóa tài khoản Administrator.
- Đổi tên tài khoản Administrator.
- Vô hiêu hóa truy cập từ xa sử dụng tài khoản Administrator.
- Cân nhắc sử dụng giao thức SMB.
SMB (Server Message Block) là một giao thức lớp ứng dụng cho phép chia sẽ dữ liệu thông qua kiến trúc Client-Server.
IBM được tạo ra từ năm 1984, được tính hợp vào Windows từ phiên bản Windows 95. Qua quá trình phát triển, SMB đã bộc lộ nhiều vấn đề với khá nhiều lỗ hổng bảo mật đã được phát hiện trong những năm qua. Một số trong đó đã gây ra những hậu quả nghiêm trọng trên phạm vi toàn thế giới. Các cuộc tấn công ransomware hay mã hóa dữ liệu là một minh chứng cụ thể.
Để bảo vệ Server trước những nguy cơ từ giao thức SMB, bạn cần thực hiện các việc sau:- Gỡ bỏ SMBv1 trên server.
- Sử dụng phiên bản SMB mới nhất, đồng thời giới hạn các địa chỉ IP được phép truy cập.
- Trong trường hợp không có nhu cầu sử dụng. Bạn nên gở bỏ toàn bộ ứng dụng SMB (chặn toàn bộ truy cập đến port SMB 445).
- Quản lý truy cập bằng Windows Firewall.
Đảm bảo Windows Firewall được kích hoạt và luôn hoạt động hiệu quả là việc bắc buộc nhằm đảm bảo an toàn cho server của bạn. Chủ động kiểm soát tất cả truy cập thông qua firewall, cụ thể:- Disable hoặc xóa toàn bộ các rule allow mặc định.
- Cấu hình cho phép truy cập với các port hoặc ứng dụng thực sự cần thiết.
- Giới hạn địa chỉ IP được phép truy cập.
- Bạn có thể tham khảo hướng dẫn cấu hình Firewall trên Windows tại đây.
- Sử dụng ứng dụng Antivirus.
Một ứng dụng Antivirus hoạt động hiệu quả sẽ chủ động phát hiện và ngăn chặn các mối đe dọa bên trong cũng như bên ngoài server. Qua đó bảo vệ an toàn server trước những nguy cơ từ virus hoặc malware.
Hiện nay, có nhiều ứng dụng Antivirus trên Windows Server; hầu hết là có phí; như Kaspersky, Trend Micro, Bitdefender,…
Ngoài ra, bạn cũng có thể cân nhắc sử dụng Windows Defender, là một ứng dụng Antivirus của Windows được tính hợp sẳn trên hệ điều hành Windows Server từ phiên bản 2016. - Có kế hoạch update Windows thường xuyên.
Microsoft thường xuyên có các bản vá bảo mật, việc cài đặt cũng khá dể dàng thông qua Windows Update sẳn có trên Windows. Nhưng để Windows Update chạy tự động hoàn toàn sẽ ảnh hưởng một phần đến hiệu suất hoạt động của server. Thay vì thế, bạn có thể lập kế hoạch chủ động thực hiện việc tìm kiếm và update các bản vá Windows hàng tháng nhằm bảo vệ server của mình trước những nguy cơ bảo mật từ bên ngoài. - Sử dụng VPN cho các truy cập không an toàn.
Khi được public ra internet, một server Windows luôn đối mặt với nhiều nguy cơ tấn cần công từ bên ngoài, đặc biệt là nguy cơ tấn công (dò password hoặc tấn công vào lỗi bảo mật) đến các dịch vụ như Remote Desktop, SQL, SMB, Sharepoint,…
Để tránh những nguy cơ này, các bạn có thể cân nhắc sử dụng kết nối VPN để truy cập đến server. Bất kỳ kiểu kết nối VPN nào, Site-to-Site hay Client-to-Site đều có thể bảo vệ được những kết nối đến server thông qua Internet, giảm thiểu nguy cơ server bị tấn công.
Một lựa chọn kết nối VPN các bạn có thể cân nhắc sử dụng trên Windows là VPN Remote Access. - Backup hệ thống thường xuyên.
Một server hoặc một hệ thống nói chung đã thiết lập tất cả những biệt pháp bảo mật có thể, thì nguy cơ bị tấn công vẫn luôn tồn tại.
Là một quản trị viên server, bạn nên chuẩn bị cho một số kịch bản xấu nhất, như trong trường hợp server bị tấn công xóa mất dữ liệu hoặc bị mã hóa. Trong những kịch bản này, backup server thường xuyên là một biện pháp hữu hiệu để đảm bảo an toàn cho dữ liệu trên server. Một server backup thường xuyên sẽ dể dàng restore lại dữ liệu, nhanh chóng khắc phục sự cố.
Ở Long Vân, các dịch vụ cloud sẽ được backup hằng ngày nhằm hỗ trợ mọi khách hàng trong những trường hợp như vậy.
Ngoài ra, nếu bạn muốn chủ động trong việc backup dữ liệu hoặc mong muốn tần suất backup cao hơn, có thể tham khảo thêm dịch vụ Business Backup của chúng tôi.
Như vậy, Long Vân đã hoàn thành hướng dẫn quý khách một số cách để có thể nâng cao mức độ an toàn cho một server sử dụng hệ điều hành Windows. Chúc quý khách thành công!