افزایش امنیت سرور ویندوز و ریموت دسکتاپ ویندوز

چقدر نسبت به ویندوز شناخت دارید؟ آیا مشکلات امنیتی ویندوز را می‎شناسید؟ آیا فکر میکنید با نصب یک آنتی ویروس از ویندوز در برابر انواع تهدید ها محافظت می‎کنید؟ شاید ندانید ویندوز دارای ویژگی های امنیتی زیادی میباشد که با فعال سازی آنها حتی دیگر نیاز به نصب آنتی ویروس نیست. چرا که این ویژگی ها سیستم عامل ویندوز را در برابر اکثر تهدیدها محافظت می‎کند. بگذارید بیشتر برایتان این موضوع را با یک مثال روشن کنم. مثلا زمانی که از ویژگی UAC صحبت میشود اکثر کاربران ایرانی با افتخار دم از خاموش بود این ویژگی میزنند. UAC از سیستم عامل ویندوز در برابر انواع بد افزارها محافظت میکند. فقط با اجازه گرفتن از شما در مواقعی که قرار است ویرایش یا تغییر مدیریتی رو ویندوز ایجاد شود. (یعنی در واقع بد افزارها باید از شما برای انجام کارهای شیطانی خود اجازه بگیرند) در آموزش ایمن سازی سرور ویندوز و ریموت دسکتاپ شما با ویژگی های آشنا می‎شوید که به صورت پیشفرض غیر فعال هستند. یا اگر هم فعال بودند توسط خود کاربر برای راحتی در امور انجام کارهای کامپیوتری غیرفعال شده اند. اگر شما هم به ایمن سازی ویندوز علاقه دارید در ادامه این مطلب در بلاگ رسانگار قصد داریم به راهکارهای مختلف برای ایمین تر کردن سرور مجازی ویندوز ، یا سرور اختصاصی ویندوز یا کلا هر نوع سرور ( یا رایانه ) با سیستم عامل ویندوز اشاره کنیم ، با نگاه گرم خود تا انتها با ما همراه باشید

افزایش امنیت ریموت دسکتاپ

یکی از اساسی ترین مشکلات سرور ویندوز که باعث میگردد هکر و کرکرها از آن طریق سرور شما را هک کنند فعال بودن ریموت دسک تاپ با می‎باشد. هنگامی که ریموت دسکتاپ روی سرور ویندوز شما با تنظیمات پیش فرض و روی پورت اصلی و پیشفرض فعال میباشد، این امکان را به هکرها می‎دهید تا بتوانند راحتتر حملات Brute Force روی سرور ویندوز شما انجام دهند و در نتیجه سریعتر بتوانند سرور شما را هک کنند. اگر انتخاب یک پسورد امن میتواند تا حد زیادی از موفقیت هکر ها در شکستن رمز ورود به ویندوز جلوگیری نماید اما خوب ، تعداد زیاد لاگ تلاش برای ورود در ویندوز یا آنتی ویروی و یا دیگر سیستم های محافظتی می‎تواند آزار دهند باشد

افزایش امنیت ریموت دسکتاپ با تغییر پورت پیش فرض ریموت دسکتاپ

برای جلوگیری از هک شدن سرور و اولین گام در افزایش امنیت سرور ویندوز باید پورت پیش فرض ریموت دسکتاپ را تغییر دهید. حتی در صورتی که آی پی استاتیک دارید پیشنهاد میگردد محدودیت آی پی را نیز به سرور های ویندوز خود اعمال کنید. البته فراموش نکنید که این محدودیت احتمال دارد که کار شمارا با اختلال مواجه کند. پس آی پی هایی را تراست کنید که در مواقع مشکلات بتوانید به آنها دسترسی داشته باشید.

در نظر داشته باشید که قبل از اعمال تنظیمات مربوط به تغییر پورت ریموت دسکتاپ حتما پورت مربوطه را طبق ادامه آموزش ها روی فایروال ویندوز سرور اضافه کنید.

آموزش تغییر پورت ریموت دسکتاپ در سرور مجازی یا اختصاصی ویندوز

تغییر پورت پیش فرض ریموت دسکتاپ روی ویندوز سرور از طریق رجیستری ویندوز قابل انجام میباشد که در این آموزش این روش معرفی خواهد شد.

برای شروع کار ابتدا از طریق RUN دستور regedit را اجرا کنید. با اجرای این دستور شما وارد رجیستری ویندوز خواهید شد. در نظر داشته باشید که مقادیر رجیستری را بدون اطلاع و آشنایی به هیچ عنوان تغییر ندهید. زیرا تغییر آنها ممکن است صدمات جبران ناپذیری روی ویندوز سرور خود مشاهده کنید.

بعد از ورود به محیط رجیستری ویندوز از طریق پنجره سمت چپ وارد مسیر زیر شوید.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

بررسی و تامین و افزایش امنیت سیستم عامل

برای تکمیل امنیت سرور ویندوز ابتدا به بررسی بعضی از ویژگی های امنیتی ویندوز میپردازیم. مثلا همان ویژگی UAC یا User Account Control که بسیار در حفظ امنیت ویندوز کمک کننده می‎باشد.

افزایش امنیت پایه‎ای ویندوز

1. فهمیدن این که UAC در چه وضعیتی می‎باشد UserAccountControlSettings را در RUN تایپ کنید یا از آدرس Control Panel\System And Security\ پنجره UAC را باز کنید بهترین حالت UAC روی گزینه دوم یعنی Recommended if you use familiar app and website میباشد که اگر روی گزینه اول بیاید امنیت بیشتر هم میشود.
2. مطمئن شوید که دیوار آتش ( فایروال )  فعال می‎باشد تا از ورودی خروجی های غیر مجاز جلوگیری کند firewall.cpl را در Run تایپ کنید یا از آدرس Control Panel\System And Security گزینه Firewall را انتخاب کنید. در صورتی که Firewall خاموش باشد رنگ آن قرمز میشود برای فعال کردن روی گزینه Turn Windows Firewall on or off کلیک کنید و گزینه های اول را انتخاب کنید (Turn On Windows Firewall)
3. از فعال بودن Anti-Malware ویندوز یعنی Windows Defender اطمینان حاصل کنید %programfiles%\Windows Defender\MSASCui.exe را در Run تایپ کنید. یا در جستجوی استارت Windows Defender را جستجو کنید و مطمئن شوید که فعال میباشد رنگ سبز به معنای فعال بود و رنگ زرد به معنای نیاز به آپدیت است و رنگ قرمز در بعضی مواقع به معنای غیر فعال بود و در بعضی دیگر از مواقع به معنای نیاز به بروز رسانی جدی میباشد (Database out Dated) در صفحه اول روی گزینه Fix یا Clean یا Update کلیک کنید تا ه وضعیت آن سبز شود.
4. یک رمز عبور قوی برای سیستم عامل خود انتخاب کنید مثلا 123 البته نه به این قدرت یکم ضعیف تر همون 1 کافیه ؟  خجالت نمیکشید به 1 تا 8 میگید رمز؟ سعی کنید حداقل رمز عبور شما دارای 8 حرف باشه که حداقل از دو نوع کاراکتر مثلا حروف و عدد استفاده کرده باشید مثل سه حرف اول اسم و پنج حرف آخر شماره کارت عابر بانک؟ باور کنید این هم خوب نیست سعی کنید رمز رو از روی اطلاعات شخصی خودتون نگذارید به نظر من این رمز واقعاً رمزه (df98kG#0) چون قاتی پاتی و از چیز خاص معروفی هم الگو نگرفته شده. برای رمز گذاشتن از آدرس Control Panel\User Account وارد شوید سپس حساب کاربری خود را انتخاب کرده و روی آن رمز بگذارید.
5. ویندوز آپدیت را فعال کنید برای فعال کردن ویندوز آپدیت از آدرس Control Panel\System And Security گزینه Windows Update را انتخاب کرده سپس آن را در وضعیت Recommended قرار دهید.
6. درایو های که در آن اطلاعات شخصی دارید قفل کنید میتوانید با برنامه های مثل BitLocker درایو های که در آن اطلاعات شخصی دارید را قفل کنید برای آموزش فعال سازی BitLocker به پست آموزش ایمن سازی اطلاعات با استفاده از BitLocker مراجعه کنید.
7. به آدرس Control Panel\Network and Internet\Network and Sharing Center\Advanced sharing settings بروید سپس طبق شبکه ای که از آن استفاده میکنید مثلا All Network در زیر قسمت Password Protected Sharing گزینه اول یعنی Turn On Password Protected Sharing را انتخاب کنید تا هر فردی نتواند بدون اجازه از منابع به اشتراک گذاشته شده شما سوء استفاده کند.

تا اینجای کار امنیت پایه سیستم عامل ویندوز تامین شده، اما در ادامه به مطالبی اشاره میشود که امنیت سیستم عامل ویندوز راتا حد زیادی افزایش میدهد.

افزایش امنیت ویندوز با بکارگیری ویژگی‎های خاص

در این قسمت به ویژگیهای از ویندوز می‎پردازم که فقط کاربران حرفه ای ویندوز از اونها با خبر هستند. مثل افرادی که در زمینه شبکه های کامپیوتری کار میکنند.

1- ابتدا حساب کاربری Administrator را فعال کنید برای فعال سازی lusrmgr.msc را در پنجره Run تایپ کنید سپس از قسمت Users روی حساب کاربری Administrator کلیک راست کرده روی گزینه Properties کلیک کنید سپس تیک گزینه Account is Disabled را بردارید. و برای آن یک رمز عبور قوی و پیچیده که یادتان بماند بگذارید.

2- حساب کاربری فعلی خود را روی Standard بگذارید برای اینکار در همان پنجره lusrmgr.msc گزینه Group را از سمت چپ انتخاب کرده سپس روی گروه Administrators دو بار کلیک کرده و نام کاربری خود را از آنجا حذف کنید مثلا نام حساب کاربری من Administrator می‎باشد پس باید روی Administrator کلیک کنم و سپس روی گزینه Remove قسمت پایین همان پنجره کلیک کنم.

3- از سیاست های رمز عبور (Password Policy) برای حساب های کاربری در سیستم عامل خود استفاده کنید. برای این عمل باید Group Policy سیستم خود را ویرایش کنید. gpedit.msc را در پنجره Run تایپ کنید سپس از قسمت Computer Configuration به آدرس Windows Settings\Security Settings\Account Policy\Password Policy رفته و مقادیر سمت راست را هر یک به نوبت ویرایش کنید مثل:

گزینه Enforce Password History برای ذخیره کردن رمز ها در حافظه ویندوز میباشد تا فرد نتواند از رمز های قدیمی خود دوباره استفاده کند این گزینه را روی عدد 15 یا 20 بگذارید. کافیست تا روی آن دو بار کلیک کرده و سپس آن را تغییر دهید.

گزینه Maximum Password Age طول عمر یک رمز عبور را مشخص میکند این گزینه را بین 45 تا 60 قرار دهید تا بعد از این مدت فرد مجبور به تعویض رمز عبور خود شود در صورتی که از رمز Complex استفاده میکنید این گزینه را میتوانید روی 175 تا 200 هم قرار دهید

گزینه Minimum Password Age هم کمترین عمر یک رمز عبور را مشخص میکند آن را بین 3 تا 5 بگذارید.

گزینه Minimum Password Length تعداد کاراکتر های رمز عبور را مشخص میکند آن را بین 6 تا 12 رقم قرار دهید به نظر من 8 خوبه

گزینه Password Must Meet the Complexity Requirement مشخص میکند که یک رمز عبور باید پیچیده باشد یعنی حداقل باید از سه نوع کاراکتر در آن استفاده نمود مثل حروف بزرگ ، حروف کوچک و عدد یا علامت این گزینه را هم Enable کنید تا کار حدس زدن رمز عبور را به کمتر از 3% برسانید.

گزینه Store passwords using reversible encryption را هم برای کد گذاری رمز های عبور Enable کنید.

4- ورودی خروجی های سیستم عامل خود را کنترل کنید برای کار در همان Group Policy و قسمت Computer Configuration به آدرس Windows Settings\Account Policy\Account Lockout Policy رفته سپس همانند زیر عمل کنید.

روی گزینه Account lockout threshold کلیک کرده و یک عدد بین 5 تا نهایتا 7 را به آن بدهید این گزینه تعداد تلاش های نا موفق به حساب کاربری را مشخص میکند یعنی بعد از 5 بار اشتباه وارد کردن رمز عبور دسترسی به سیستم تا مدت زمان مشخصی قطع شود.

گزینه های Account lockout duration و Reset account lockout counter after زمان تلاش مجدد را مشخص میکنند یعنی بعد از این زمان مشخص دوباره میتوان رمز عبور را وارد کرد به نظر من همان 30 دقیقه مطلوب میباشد.

5- فعال نمودن نیاز به ALT+CTRL+DEL برای بالا بردن امنیت ورود به حساب کاربری (User Logging) از طریق همان gpedit.msc وارد قسمت Computer Configuration شوید سپس به آدرس Windows Settings\Security Settings\Local Policy\Security Option رفته و دنبال گزینه Interactive logon: Do not require CTRL+ALT+DEL رفته و این گزینه را Disable کنید تا برای ورود نیاز به CTRL+ALT+DEL باشد.

6- تغییر نام حساب کاربری Administrator میتوانید برای افزایش امنیت نام حساب کاربری Administrator را به چیز دیگری مثلا Root تغییر دهید یا هر چه که خود میخواهید. در همان آدرس قبل به دنبال Accounts: Rename administrator account بگردید و آن را به هر چه که میخواهید تغییر دهید.

7- افزایش امنیت با نشان ندادن نام کاربری هنگام ورود به سیستم (User Logging) در همان آدرس قبل به دنبال Interactive logon: Do not display last user name بگردید و این گزینه را هم Enable کنید

اگر فقط همین هفت تا ویژگی امنیتی رو فعال کنید امینت سیستم عامل ویندوز رو تا حد بسزایی افزایش دادید.

غیر فعال سازی برنامه‎ها یا سرویس‌های بلا استفاده

1. غیر فعال کردن سرویس های که به آنها نیاز ندارید مثلا برنامه های نصب نموده اید که حال دیگر از آن استفاده نمیکنید مثل Teamviewer یا به ندرت از آن استفاده میکنید msconfig را در Run تایپ کنید و به قسمت Services بروید و تیک گزینه Hide All Microsoft Services را بگذارید تا سرویس های حیاتی ویندوز نمایش داده نشود سپس در این قسمت هر چه که استفاده نمیکنید را غیر فعال کنید. کافیست تا تیک این سرویس ها را بردارید تا آنها غیر فعال شوند.
2. پوشه های بدون استفاده که به اشتراک گذاشته شده اند را از اشتراک در بیاورید برای اینکار آدرس 127.0.0.1\\ را در آدرس بار Explore ویندوز خود تایپ کنید و هر پوشه ای که دیگر نیاز به مشترک بودن آن نیست حذف کنید.
3. حذف Task های که زمانبندی شده اند و دیگر استفاده نمیشوند Task Scheduler را در استارت جستجو کنید سپس هر Task که اضافی میباشد را حذف کنید.

افزایش امنیت ویندوز با بکارگیری ابزارهای تکمیلی

نصب آنتی ویروی روی سرور مجازی ویندوز

مرحله‌به‌مرحله که جلوتر می‌رویم، امنیت VPS ویندوز هم بیشتر می‌شود. مرحله‌ی بعدی نصب آنتی ویروس است. اگر روی سرور مجازی خود آنتی ویروس نصب نکنید، احتمال آلوده شدن آن بسیار زیاد می‌شود. انواع نرم‌افزارهای مخرب و جاسوس، تروجان، ویروس و غیره می‌توانند وارد سرور مجازی شما شوند.

اهمیت آنتی ویروس برای افزایش امنیت VPS کاملاً روشن است. برای شروع می‌توانید از آنتی ویروس Security Essentials محصول شرکت مایکروسافت شروع کنید. این آنتی ویروس گزینه‌ای مناسب و البته رایگان برای محافظت از سرور مجازی شماست که به‌صورت خودکار هم به‌روزرسانی می‌شود

نصب ابزار ضد جاسوسی یا Spyware Protection

نرم‌افزارهای جاسوسی ( Spyware ) به‌راحتی VPS شما را آلوده می‌کنند. نرم‌افزار جاسوسی به برنامه‌ای گفته می‌شود که تبلیغات ناخواسته را بر روی ماشین شما اجرا می‌کند. این برنامه اطلاعات شما را بدون اجازه جمع کرده و تنظیمات VPS را تغییر می‌دهد. اگر یک نرم‌افزار جاسوسی بر ویندوز شما وارد شود، می‌تواند تولبار، لینک و بوکمارک ناخواسته ایجاد کند، تنظیمات پیش‌فرض صفحه‌ی اصلی را تغییر دهد و تبلیغات pop-up را نمایش دهد. همچنین نرم‌افزارهای جاسوسی می‌توانند اطلاعات خصوصی شما را به سرقت ببرند. نرم‌افزارهای جاسوسی از اینترنت به سمت شما می‌آیند. 

 

نصب برنامه‌های رایگان یا بازدید از یک وب‌سایت می‌توانند عواملی برای ورود جاسوس‌افزارها به سیستم شما باشند. سریع‌ترین راه مبارزه، استفاده از ابزارهای ضد جاسوسی است. این ابزار به شما ورود جاسوس‌‌افزار را هشدار می‌دهد. با این ابزار شما می‌توانید سیستم خود را اسکن کرده و جاسوس‌افزارهای احتمالی را از بین ببرید. برای افزایش ایمنی حتماً سعی کنید تا ابزار ضد جاسوسی خود را به‌روز نگه دارید.

هر کدی که در سیستم‌عامل به کار می‌رود، بی‌نقص و عالی است؛ مگر اینکه یک حفره‌ی امنیتی برای آن پیدا شود.سیستم‌عامل سرور مجازی را باید در اسرع وقت به‌روزرسانی کنید. پس هرچه سریع‌تر به‌روزرسانی خودکار سیستم‌عامل VPS خود را روشن کنید. این به‌روزرسانی‌ها می‌توانند از سرور شما در برابر خطرات احتمالی محافظت کنند. در ادامه به به‌روزرسانی نرم‌افزارهای ویندوز سرور مجازی و اهمیت انجام این کار اشاره خواهیم کرد.

راه اندازی Remote Desktop Gateway

کدگذاری اطلاعات یکی از بهترین تکنیک‌ها برای افزایش ایمنی VPS است و این کار را  Remote Desktop Gateway به بهترین نحو ممکن انجام می‌دهد. این ابزار دسترسی شمارا به VPS از طریق وب و پروتکل‌های SSL/TLS مقدور می‌سازد. بنابراین پیکربندی Remote Desktop Gateway را به‌گونه‌ای تنظیم کنید که اطلاعات شما همگی رمزگذاری شوند. 

 

فعال سازی رمزگذاری BitLocker Drive برای سرور ویندوز

برای افزایش امنیت سرور مجازی رمزگذاری Windows BitLocker Drive را مورد استفاده قرار دهید، که پروسه بوت شدن سیستم عامل را تضمین می کند و مانع از دسترسی های غیرمجاز اطلاعات می شود. رمزگذاری BitLocker Drive حتی زمانی که سرور خاموش است کار می کند! این یک ابزار ضد هک بسیار موثر در برابر هکر ها و بدافزار ها است.

امنیت موضوعی بسیار مهم در اینترنت است. باز گذاشتن سرور مانند باز گذاشتن در خانه یا قفل نکردن خودرو در خیابان است. بنابراین هیچ‌گاه نباید در مورد اطلاعات شخصی خود یا مشتریانتان ریسک کنید. به این شکل درایو دوم شما در سرور مجازی یا اختصاصی ویندوز میتواند پس از ریبوت یا با انتخاب شما قبل شود توجه کنید در صورت فعال کردن بیت لاکر برای درایو سیستمی ویندوز بعد از هر بار ریبوت سرور از شما رشته کلید رمز بازگشایی ( و نه پسورد ) پرسیده می شود که برای اینکه ان را وارد کنید باید حتما از کنسول VNC سرور و یا ابزارهای دیگر که برای دسترسی به کنسول سرور و یا مانیتور و کی‏‎برد در سرورهای فیزیکی استفاده کنید

جمع بندی

با رعایت نکاتی که در بالا به آن‌ها اشاره شد، می‌توانید امنیت سرور مجازی ویندوز خود را تضمین کنید. بدین ترتیب از خطرات و حملات رایج در امان خواهید بود.

در صورت داشتن هر گونه سوال یا انتقاد ما را  از محبت خود محروم نکنید. همچنین در صورت داشتن هر گونه نظر یا پیشنهاد در زمینه ایمن‎سازی ویندوز آن را در بخش نظرات بیان کنید تا همه از علم مفید شما بهره مند شوند. و در صورت لزوم آن را به این آموزش اضافه کنیم