Kinh nghiệm bảo mật cho hệ thống Windows Server vừa và nhỏ

1126

Nguồn Nguyễn Trung – Group Quản trị & Bảo mật hệ thống

Câu chuyện bảo mật cho hệ thống Windows Server vừa và nhỏ ? Làm sao giảm thiểu tối đa vấn nạn bị virus mã hóa dữ liệu và bị trộm dữ liệu. Tổng hợp lại các fact cơ bản cho anh em.

1. Các Server bị lây nhiễm chủ yếu nhiều nhất là Windows Server. Đặc biệt là Windows Server phiên bản cũ như 2008, 2012 vẫn còn rất nhiều. Một số dòng như 2008 và 2012 đã và gần như đã bị EOL (end of life) là các đối tượng dễ bị và nhiễm virus nhất.

2. Các Server chạy Windows Server đời cũ và có khả năng lây nhiễm cao thường có các đặc điểm đó là.

  • Được full quyền truy cập Internet như Users.
  • Nằm chung dải mạng với Users, thậm chí là mạng Wifi cho nhân viên, khách, hoặc đối tượng không nằm trong công ty.
  • Không có Antivirus.
  • Bị tắt firewall mặc định, bên trong mở nhiều dịch vụ không xác định.
  • Windows không được Update các bản vá.
  • Mật khẩu quá ngắn và dễ đoán.
  • Có NAT IP Public port 3389 để remote vào từ xa.

3. Khi Server đã được đặt mật khẩu chỉ có mình IT biết, thậm chí đổi thành pass ngẫu nhiên và không có ai biết. Nhưng vẫn có nguy cơ dính virus, đó có thể là nguồn từ các máy Users chung dải mạng với Server, các máy này bị dính virus và có thể lây qua đường Network LAN. Với hệ thống Server bao gồm các tính nhất lỏng lẻo như trên thì khả năng bị tấn công qua các lỗ hổng bảo mật là hết sức bình thường, lỗ hổng Windows Server là loại được khai thác và sử dụng nhiều nhất.

4. Không nên cài các phần mềm điều khiển từ xa khác mặc định ngoài Windows Remote Desktop, các phần mềm như TeamViewer, UltralView, Anydesk đều cần truy cập Internet mới có thể remote được. Tốt nhất là chỉ dùng remote desktop và giới hạn đối tượng truy cập.

5. Tìm hiểu và cấu hình VPN. Đây là hình thức truy cập từ xa vào hệ thống an toàn và tiện nhất.

6. Đổi port remote desktop từ 3389 sang port khác. Cách này cũng cực kỳ hiệu quả.

7. Nếu có server, hãy chuyển đổi và sử dụng ảo hóa ngay và luôn. Lợi ích chính đó là tối ưu và tận dụng được tài nguyên phần cứng, hỗ trợ backup server, nâng cao tính khả dụng của Server hơn.

8. Trên Windows Server và cả máy tính của Users, hãy cài đặt Antivirus. Có thể mua các bộ phần mềm AV bản Pro, Enterprise, kết hợp Domain Server đẩy policy Antivirus xuống Users. Việc này tăng cường khả năng bảo mật cho hệ thống cực kỳ cao, đối với doanh nghiệp vừa và nhỏ. Dù không biết nhiều về IT, không đủ khả năng và thời gian, chi phí, tiền bạc để nâng cấp hệ thống như trên thì vẫn có thể sử dụng Antivirus để bù đắp những điều trên, thậm chí hỗ trợ một số tính về Policy như trên Firewall.

Bao mat windows server

9. Máy của Admin hoặc IT nên bắt buộc phải cài Antivirus.

10. Khi sử dụng NAS hoặc File Server để Backup dữ liệu. Sai lầm lớn nhất đó là kết nối thẳng NAS vào Server và chạy backup trên chính server đó. Việc này hoàn toàn vô nghĩa. Khi Server đã dính virus thì kiểu gì cũng có quyền truy cập vào NAS hay File Server để mã hóa cả dữ liệu backup. Việc kết nối thẳng như này không khác gì mất thêm tiền lắp thêm ổ cho Server để không.

11. Nguyên tắc backup là không kết nối thẳng thiết bị Backup vào Host, cần một phần mềm thứ 3 đủ tin cậy và hiệu quả. Ví dụ VEEAM hoặc Naviko, Phần mềm này tất nhiên cũng phải được cài riêng biệt với Host, được cài riêng ra một Server hoặc máy tính khác, cài và update OS mới nhất cho máy này + Antivirus cho hiệu quả cao nhất, bảo vệ chính hệ thống Backup cao tuyệt đối để dữ liệu backup an toàn nhất.

12. Triển khai ảo hóa kết hợp với Backup là tuyệt nhất, nhờ vào cơ chế snapshot nên có thể tạo backup nhiều bản thay đổi với nhiều thay đổi và với dung lượng được tối giản nhất.

13. Khi backup bằng phần mềm, nên set password hoặc secret key cho backup file.

14. GIỚI hạn truy cập vào Server, bật Firewall trên Windows Server và nghiên cứu cách sử dụng.

15. Hãy tự tin bật Autoupdate trên Windows Server lên, tắt tự động Reboot đi hoặc hẹn giờ đêm để reboot update.

16. Cài riêng các Server với mục đích riêng. Domain Server thì không nên dùng làm Fire Server hoặc Web Server, tốt nhất nên cài riêng và khác dải mạng, được Route qua Router/Firewall là tốt nhất.

(Tổng hợp)