Лучшие способы защиты VPS/VDS на Windows Server

VDS/VPS на серверах Windows являются популярными решениями среди множества пользователей в основном благодаря простоте управления и практически интуитивно понятному пользовательскому интерфейсу. Помимо удобного подхода, клиенты Windows-серверов получают больше безопасности благодаря регулярным обновлениям.

Несмотря на базовые характеристики безопасности, можно сделать работу пользователей еще более защищенной, просто добавив несколько практик в управление сервером. В этой статье мы поделимся некоторыми простыми методами обеспечения безопасности для защиты вашего VPS на сервере Windows, так что если эта тема кажется вам интересной, продолжайте читать, и вы узнаете все подробности.

Основные методы обеспечения безопасности для защиты вашего VPS/VDS на Windows Server

Давайте рассмотрим 5 основных рекомендаций по защите VPS/VDS, которые могут значительно минимизировать риски взлома вашей системы. Эти рекомендации просты в применении, поэтому буквально каждый сможет внести некоторые простые изменения после ознакомления с нашим руководством.  

Мы сосредоточимся в основном на непосредственной защите рабочего стола, такой как смена пароля, ограничение подключения к удаленному рабочему столу и многое другое.

1. Устраните учетную запись администратора по умолчанию для повышения безопасности

Обычно VPS/VDS под Windows работают с учетной записью администратора по умолчанию, и это довольно полезно при первоначальной установке ОС. Однако в ближайшем будущем это может стать очень проблематичным и привести к серьезным сбоям. Основные риски связаны с опасностью брутфорса хакеров, которые пытаются автоматически угадать учетные данные с целью проникновения в систему. Для всех сетевых хакеров учетная запись администратора по умолчанию может оказаться очень полезной в их незаконной деятельности. Существуют различные подходы к минимизации этих рисков, и, вероятно, самый простой из них – отключить учетную запись по умолчанию.

Здесь мы расскажем о процессе отключения учетной записи в Windows server версии 2019, процедура для других версий может немного отличаться, но общая концепция та же.

Шаг 1: Идентификация и доступ к учетной записи администратора по умолчанию

Для идентификации и получения доступа к учетной записи администратора по умолчанию необходимо изначально войти в диспетчер сервера. После того как вы вошли в менеджер и увидели детали приборной панели, нажмите кнопку Tools, которая находится в правой верхней части экрана. После этого необходимо выбрать менеджер компьютеров.

В левой части окна управления компьютером вы сразу же увидите локальных пользователей, где вы сможете найти учетную запись по умолчанию.

Шаг 2: Создание нового пользователя с правами администратора

Находясь в окне управления компьютером, в меню локальных пользователей выберите пользователей, а затем щелкните правой кнопкой мыши на них. После этого вы увидите несколько вариантов, поэтому вам нужно нажать кнопку Новый пользователь.

Шаг 3: Передача основных ролей новому администратору

Создание нового администратора и передача основных ролей – довольно простая задача. После нажатия кнопки New user появится окно, в котором нужно добавить имя пользователя и пароль. Здесь нужно быть внимательным не только с выбором пароля, о котором мы поговорим позже, но и с выбором правильного имени пользователя. Не используйте очевидные слова, такие как root/administrator/admin1, но желательно использовать случайную комбинацию цифр или просто ваше обычное имя.

В нижней части окна вы увидите несколько дополнительных опций, где вам нужно выбрать только «Пароль никогда не истекает». Опции «пользователь не может изменить пароль» и «учетная запись отключена» выбирать не следует.

Шаг 4: Отключение учетной записи администратора по умолчанию

Чтобы начать отключение учетной записи администратора на сервере Windows, необходимо добавить вновь созданную учетную запись в администраторы, иначе этот процесс может быть запущен.

В управлении компьютером вернитесь к локальным пользователям, выберите Группы и нажмите Администраторы.

Шаг 5: Проверка процесса деактивации

Для правильного процесса деактивации после выбора Администраторы появится окно со свойствами администраторов, в котором нужно нажать Добавить, а в другом окне, которое появится после нажатия Добавить, нужно ввести имена объектов, которые нужно выбрать (заполнить имя вновь созданного пользователя) и нажать OK.

Шаг 6: Защита учетных данных администратора резервного копирования

Итак, мы почти завершили процесс, но прежде чем полностью отключить администратора по умолчанию на вашем Windows VPS, вы должны выйти из учетной записи администратора по умолчанию и снова войти в систему с вновь созданным именем пользователя/паролем.  

Шаг 7: Проверка доступа для подтверждения безопасной настройки

Теперь, когда вы ввели только что созданную учетную запись и все работает правильно, вы можете отключить администратора по умолчанию для подтверждения безопасности. Войдите в Server Manager, выберите Tools, затем Computer Manager и в Local users выберите Users. Процесс аналогичен тому, когда вы только что создали нового пользователя, просто щелкните правой кнопкой мыши на администраторе и выберите свойства. Оказавшись в общем разделе свойств, отметьте пункт «Учетная запись отключена» и нажмите OK.

Отключение администратора по умолчанию – важный шаг, который может существенно обезопасить ваш Windows VPS. Для всех хакеров процесс атаки на Windows-сервер без администратора по умолчанию намного сложнее.

В случае если у вас VPS на Linux, существует множество ресурсов, которые также могут помочь в защите VPS на этой операционной системе.   

2. Защитите учетную запись администратора надежным паролем

Теперь, когда ваш администратор по умолчанию отключен, следующим важным шагом будет использование надежного пароля для нового пользователя-администратора. Существует множество подробных статей о выборе надежных паролей для ваших Windows VPS, так что вы можете ознакомиться с ними.

Мы же поделимся лишь основными рекомендациями, которые определенно работают. Первый важный фактор – длина пароля. В идеале самым безопасным считается максимально длинный пароль, но вы можете начать с 10 символов. Не используйте свое имя, дату рождения или другие словарные слова и цифры, которые могут быть чрезвычайно предсказуемы для автоматических инструментов. Кроме того, не забывайте использовать прописные и строчные символы, чтобы повысить безопасность ваших учетных данных.  

Это довольно стандартные рекомендации, но не стоит ими пренебрегать, если вы хотите максимально обезопасить свой Windows VPS.

3. Настройте порты удаленного рабочего стола для дополнительной защиты

Наиболее распространенным методом доступа к Windows VPS является использование удаленного рабочего стола. Обычно Remote Desktop и все остальные программы доступа функционируют на основе порта по умолчанию (3389). Это не конфиденциальная информация, поэтому все хакеры используют стандартные порты для доступа к Windows VPS. Однако вы можете легко изменить значение порта по умолчанию и повысить безопасность VPS.

Для изменения этого значения необходимо войти в редактор реестра в Windows, что совершенно не актуально для пользователей Linux. Находясь в редакторе, необходимо изменить следующий ключ:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

Все, что вам нужно сделать, это нажать PortNumber и выбрать опцию modify. Рекомендуется выбрать случайную комбинацию номеров портов, которую будет сложно обнаружить хакерам. Единственная проблема, которая может возникнуть с новым номером порта, – это возможность блокировки брандмауэром. Поэтому следует выбирать тот номер порта, который не используется другой службой или приложением, иначе это может привести к конфликту.  

4. Доступ к удаленному рабочему столу через ограничение подключений к определенным IP-адресам

Еще одна хорошая практика, которая может повлиять на безопасность вашего Windows VPS, – ограничение количества IP-адресов для удаленного рабочего стола. Этот метод очень полезен для ограниченного числа пользователей, которые всегда подключаются с определенного места. Это может быть ваш домашний IP-адрес или офисное местоположение, но это должен быть статический IP-сервис. Этот метод может иметь некоторые последствия, если пользователи пытаются подключиться не из одного и того же места.

Конечно, такая практика может подойти не всем пользователям Windows VPS, но те, кто ее использует, определенно повысят уровень своей безопасности.

Чтобы добавить конкретные IP-адреса, зайдите в Удаленный рабочий стол – Свойства, выберите область действия, в разделе Удаленные IP-адреса нажмите Добавить, а затем укажите нужный IP. После этого нажмите OK, чтобы изменения были сохранены.  

5. Усиление безопасности с помощью управления брандмауэром и дополнительных средств защиты

Большинство Windows VPS поставляется вместе со стандартным брандмауэром, и он работает довольно хорошо, если вы не размещаете веб-сайт или запускаете приложение, содержащее конфиденциальные данные. Если же вы будете размещать платформу, на которой ваши клиенты оставляют данные своих кредитных карт или реальные имена/местонахождение, то настоятельно рекомендуется использовать другое программное обеспечение, специально созданное для работы с конфиденциальной информацией.

Если вы работаете в небольшой компании или группе пользователей, вы можете улучшить работу брандмауэра Windows, выбрав политику «Запретить все». Это действительно безопасный подход, с помощью которого вы можете блокировать весь трафик, кроме того, который поступает от конкретных пользователей. Одной из главных проблем такого подхода является вероятность блокировки нужных пользователей, но эту проблему можно решить.

Заключительные мысли

Создание максимально возможного уровня безопасности на вашем Windows VPS полностью зависит от ваших осмысленных действий. Вы можете отключить стандартную учетную запись администратора, использовать наиболее безопасный пароль, настроить порты удаленного рабочего стола, но не забывайте, что главное, от чего зависит безопасность VPS, – это выбор наиболее надежного и стабильного веб-провайдера.