Serverele obișnuite vin în toate dimensiunile, disponibilitatea și funcțiile. Iată câteva dintre cele mai comune sarcini pentru care serverele obișnuite sunt responsabile:
- Stocarea fișierelor
- Managementul imprimării
- Depozitarea și gestionarea bazelor de date SQL
- Managementul e-mailurilor
- Servicii Web
- aplicaţii
- faxuri
- Gestionarea imaginilor
- Funcțiile de management al resurselor umane
- Funcțiile aplicațiilor financiare
Când serverele obișnuite gestionează și conțin atât de importante informații și date, nu există nicio îndoială că astfel de servere ar trebui să se afle în partea de sus a listei atunci când rezolvă problema protejării computerelor din rețea. Desigur, există măsuri clare de securitate pe care le puteți lua, cum ar fi blocarea serverelor într-o cameră separată și într-o celulă închisă din cameră. Cu toate acestea, există configurații logice care vă pot ajuta, de asemenea, să vă protejați aceste servere. Aici vom examina aceste domenii și vom discuta cele mai bune modalități de îmbunătățire a securității serverelor membre.
Domeniile de securitate private ale serverului
Există multe zone de securitate pe care ar trebui să le țineți cont atunci când vă protejați serverele membre. Unele dintre cele mai importante domenii sunt, de asemenea, cele mai ușor configurabile dacă sunteți familiarizat cu instrumentele disponibile pentru a verifica dacă configurația de securitate este corectă. Cele mai importante domenii pe care trebuie să le protejați pentru toate serverele membre includ:
- SAM locale
- porturi
- Servicii
- Drepturile utilizatorilor
- Permisiunile aplicației
Protecție locală SAM
SAM local pe fiecare server membru este unic, prin urmare, fiecare server membru trebuie să fie luate în considerare atunci când proprietatea localizată pe server este protejată. SAM local conține atât configurații cât și obiecte care sunt de bază pentru a fi luate în considerare atunci când accesul la server este blocat. În interiorul SAM local, veți dori să luați în considerare următoarele zone pentru protecție:
Politicile contului - politicile contului de membru pentru serverul membru gestionează politicile de parole și politicile de blocare a contului pentru toate conturile de utilizator stocate în Local SAM. Aceasta este cea mai bună metodă pentru a vă asigura că politicile contului respectă sau depășesc politicile contului setate pentru conturile de domeniu ale utilizatorului care sunt configurate pe controlerul de domeniu. În mod implicit, serverele membre vor avea aceleași politici de cont, precum și controlere de domeniu, dar este foarte ușor de a schimba acest lucru folosind Group Policy Object (GPO - Group Policy Object).
Grupuri - fiecare server membru are un set de grupuri locale. Unele grupuri oferă privilegii ridicate pentru efectuarea sarcinilor de administrare pe acest server. Aceste grupuri ar trebui să fie protejate și configurate corespunzător pentru a se asigura că numai utilizatorii potriviți au calitatea de membru în aceste grupuri. Există o setare GPO denumită "Grupuri restrânse" care poate gestiona calitatea de membru în grupurile existente, după cum se arată în Figura 1.
Figura 1: "Grupurile restricționate" gestionează calitatea de membru în grupurile existente pe un server membru
Din nou, PolicyMaker ridică gestionarea grupurilor logice la un nou nivel, permițând gestionarea limitată a calității de membru al grupului, inclusiv opțiunile de filtrare numai pentru anumite servere membre.
Configurarea drepturilor utilizatorilor
Drepturile de utilizator sunt privilegii care sunt configurate pe un server membru bazat pe serverele membre. Unele dintre cele mai frecvente drepturi de utilizator relevante și legate de securitate includ:
Indiferent de drepturile utilizatorului, lista de utilizatori și grupuri atribuite acestor privilegii pe serverul membru trebuie să fie studiată și gestionată. Cea mai bună modalitate de a gestiona drepturile utilizatorilor pentru un server membru este utilizarea GPO, după cum se arată în Figura 2.
Figura 2: Drepturile utilizatorilor pentru serverele membre pot fi gestionate centralizat, folosind GPO
Administrarea porturilor și serviciilor
Adesea, porturile și serviciile merg mână în mână, deoarece unele servicii necesită utilizarea anumitor porturi. De exemplu, Internet Information Services (IIS) este responsabil pentru Wide Web (WWW) Editura Serviciului Mondial, care implicit este configurat pentru portul 80. Multe servicii cum ar fi IIS și WWW, oferă servicii excelente, dar poate crește vulnerabilități de securitate. Dacă serverul membru nu necesită o permisiune de serviciu sau de port, atunci acest serviciu sau port trebuie să fie dezactivat.
Gestionarea porturilor și a serviciilor nu este o sarcină simplă ca alții din acest articol. Serviciile pot fi gestionate utilizând GPO, dar nu toate setările de bază asociate cu serviciile. Gestionarea serviciului va fi ideală dacă gestionați modul de lansare a serviciului și contul acestuia. Setările GPO încorporate pentru servicii acceptă numai gestionarea modului de lansare, dar nu contul de serviciu. Cu PolicyMaker, puteți activa gestionarea contului de servicii în GPO.
Nivelul de securitate al aplicațiilor
Cu serverele de rang-și-fișiere care execută una sau mai multe aplicații, puteți intra într-o situație tipică. În principiu, doriți să aveți unul sau mai mulți utilizatori care au control de administrator asupra aplicației, dar nu pe server. Cu configurație integrată, care oferă Microsoft, nu există nici o modalitate de a indica faptul că utilizatorul are control administrativ asupra o singură aplicație, mai degrabă decât pe server. Dacă vă aflați în această situație, cea mai bună soluție - este de a încerca să pună acest utilizator în grupul Power Users pe server membru, și sperăm că el are suficiente privilegii pentru a rula aplicația. Dacă nu, este posibil să fie necesar să adăugați utilizatorul în grupul Administrators pentru a-i acorda privilegiile necesare pentru a susține aplicația.
concluzie
Serverele obișnuite sunt responsabile pentru majoritatea datelor companiei, a aplicațiilor financiare, a personalului și a altor resurse ale companiilor critice pentru misiuni. Este în general acceptat ca serverele obișnuite să fie protejate pentru a se asigura că datele plasate pe ele vor fi protejate împotriva atacurilor. Acest lucru se realizează cel mai bine utilizând setările GPO încorporate și poate fi extins utilizând câteva dintre instrumentele excelente de extindere a GPO de la terți. După ce SAM local, drepturile de utilizator, porturile, serviciile și aplicațiile sunt protejate, veți avansa bine pe calea asigurării unei bune protecții a serverelor membre.