Найкращі способи захисту VPS/VDS на Windows Server

VDS/VPS на серверах Windows є популярними рішеннями серед широкого кола користувачів, головним чином завдяки простоті управління та майже інтуїтивно зрозумілому інтерфейсу. На додаток до зручного підходу, клієнти серверів Windows отримують більший рівень безпеки завдяки регулярним оновленням.

Незважаючи на базові характеристики безпеки, можна зробити ваш користувацький досвід ще більш захищеним, додавши лише кілька моментів. У цій статті ми поділимося деякими простими методами захисту вашого VPS на сервері Windows, тож якщо ця тема вас зацікавила, просто продовжуйте читати, і ви отримаєте всю необхідну інформацію.

Основні практики безпеки для захисту вашого VPS/VDS на Windows Server

Давайте зануримося в наші топ-5 рекомендацій щодо захисту VPS/VDS, які можуть значно мінімізувати ризики злому вашої системи. Ці практики легко впровадити, тому буквально будь-хто може внести деякі прості зміни після ознайомлення з нашими рекомендаціями.  

Ми зосередимося на практиках, що стосуються безпосередньо робочого столу, таких як зміна пароля, обмеження підключення до віддаленого робочого столу тощо.

1. Видалення облікового запису адміністратора за замовчуванням для підвищення безпеки

Зазвичай VPS/VDS на Windows працюють з обліковим записом адміністратора за замовчуванням, і це дуже зручно під час початкового встановлення ОС. Однак це може стати дійсно проблематичним і викликати серйозні проблеми в найближчому майбутньому. Основні ризики пов'язані з хакерами, які працюють методом грубого злому, намагаючись автоматично вгадати облікові дані з метою входу в систему. Для всіх онлайн-хакерів обліковий запис адміністратора за замовчуванням може бути дуже корисним у їхній незаконній діяльності. Існують різні підходи до мінімізації цих ризиків, і, напевно, найпростіший з них - відключення облікового запису за замовчуванням.

Тут ми опишемо процес відключення облікового запису в серверній версії Windows 2019, процедура для інших версій може дещо відрізнятися, але загальна концепція та сама.

Крок 1: Ідентифікація та доступ до облікового запису адміністратора за замовчуванням

Для ідентифікації та доступу до облікового запису адміністратора за замовчуванням, ви повинні спочатку увійти до менеджера сервера. Після того, як ви увійшли до менеджера і побачили деталі панелі керування, натисніть кнопку «Інструменти», яка знаходиться у правій верхній частині екрана. Після цього вам потрібно вибрати диспетчер комп'ютерів.

У лівій частині вікна керування комп'ютером ви одразу побачите локальних користувачів, серед яких ви можете знайти свій обліковий запис за замовчуванням.

Крок 2: Створення нового користувача з правами адміністратора

Все ще перебуваючи у вікні керування комп'ютером, у меню локальних користувачів виберіть користувачів, а потім клацніть правою кнопкою миші на користувачах. Після цього ви побачите кілька варіантів, і вам потрібно натиснути Новий користувач.

Крок 3: Передайте основні ролі новому адміністратору

Створення нового адміністратора і передача основних ролей є відносно простим завданням. Після натискання кнопки Новий користувач ви побачите вікно, в якому потрібно ввести ім'я користувача і пароль. Тут ви повинні бути уважними не тільки з вибором пароля, про який ми поговоримо пізніше в статті, але і з вибором правильного імені користувача. Не використовуйте очевидні слова, такі як root/administrator/admin1, але бажано використовувати випадкову комбінацію цифр або просто ваше звичайне ім'я.

У нижній частині вікна ви побачите кілька додаткових опцій, з яких вам потрібно вибрати лише «Пароль ніколи не змінюється». Опції «користувач не може змінити пароль» та «обліковий запис вимкнено» не слід обирати.

Крок 4: Вимкнення облікового запису адміністратора за замовчуванням

Щоб почати вимкнення облікового запису адміністратора на сервері Windows, вам слід почати з додавання новоствореного облікового запису до адміністраторів, інакше цей процес не може бути запущено.

В управлінні комп'ютером поверніться до локальних користувачів, виберіть Групи і натисніть Адміністратори.

Крок 5: Перевірка процесу деактивації

Для правильного процесу деактивації, після того, як ви вибрали Адміністратори, ви побачите вікно з властивостями адміністраторів, де вам потрібно натиснути Додати, а в іншому вікні, яке з'явиться після натискання Додати, вам потрібно буде ввести імена об'єктів для вибору (введіть ім'я новоствореного користувача) і натиснути кнопку ОК.

Крок 6: Захистіть облікові дані адміністратора резервної копії

Ми майже завершили процес, але перед тим, як повністю відключити адміністратора за замовчуванням на вашому Windows VPS, вам слід вийти з облікового запису адміністратора за замовчуванням і знову увійти в систему з новоствореним ім'ям користувача/паролем.  

Крок 7: Тестовий вхід для підтвердження безпечного налаштування

Тепер, коли ви ввійшли в щойно створений обліковий запис і все працює належним чином, ви можете відключити адміністратора за замовчуванням для належного підтвердження безпеки. Увійдіть у Менеджер сервера, виберіть Інструменти, потім Диспетчер комп'ютера і в розділі Локальні користувачі виберіть Користувачі. Процес подібний до того, коли ви щойно створили нового користувача, просто клацніть правою кнопкою миші на Адміністратор і виберіть Властивості. Опинившись у загальному розділі властивостей, ви повинні поставити галочку напроти «Обліковий запис вимкнено» і натиснути OK.

Відключення адміністратора за замовчуванням є важливим кроком, який може суттєво захистити ваш Windows VPS. Для всіх хакерів процес атаки на сервер Windows без адміністратора за замовчуванням набагато складніший.

Якщо у вас VPS на Linux-системі, існує безліч ресурсів, які також можуть допомогти у захисті VPS на цій операційній системі.   

2. Захистіть свій обліковий запис адміністратора надійним паролем

Тепер, коли адміністратора за замовчуванням вимкнено, наступним важливим кроком є використання надійного пароля для нового користувача адміністратора. Існує безліч докладних статей про вибір надійних паролів для вашого Windows VPS, тож ви також можете ознайомитися з ними.

Ми ж поділимося лише основними рекомендаціями, які точно працюють. Перший вирішальний фактор - це довжина вашого пароля. В ідеалі, максимально довгий пароль вважається найбезпечнішим, але ви можете почати з 10 символів. Не використовуйте своє ім'я, дату народження або інші слова зі словника та цифри, які можуть бути дуже передбачуваними для автоматичних інструментів. Крім того, не забувайте використовувати великі та малі літери, щоб підвищити безпеку ваших облікових даних.  

Це досить стандартні рекомендації, але не нехтуйте ними, якщо хочете максимально підвищити безпеку свого Windows VPS.

3. Налаштування портів віддаленого робочого столу для додаткового захисту

Найпоширенішим методом доступу до Windows VPS є віддалений робочий стіл. Зазвичай віддалений робочий стіл і все інше програмне забезпечення для доступу працює на порті за замовчуванням (3389). Це не конфіденційна інформація, тому всі хакери використовують порти за замовчуванням для доступу до Windows VPS. Однак ви можете легко змінити значення порту за замовчуванням і підвищити безпеку VPS.

Щоб змінити це значення, потрібно зайти в редактор реєстру в Windows, що не має ніякого відношення до користувачів Linux. У редакторі слід змінити наступний ключ:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

Все, що вам потрібно зробити, це натиснути PortNumber і вибрати опцію змінити. Бажано, щоб номер порту був випадковою комбінацією, яку буде важко виявити хакерам. Єдина проблема, яка може виникнути з новим номером порту - це можливість блокування брандмауером. Тому слід обирати такий номер порту, який не використовується іншим сервісом або додатком, інакше це може спричинити конфлікт.  

4. Обмеження доступу до віддаленого робочого столу шляхом обмеження підключень до певних IP-адрес

Ще одна хороша практика, яка може вплинути на безпеку вашого Windows VPS, - це обмеження кількості IP-адрес у віддаленому робочому столі. Цей метод надзвичайно корисний для обмеженої кількості користувачів, які завжди підключаються з певного місця. Це може бути ваша домашня або офісна IP-адреса, але це має бути статична IP-адреса. Цей метод може мати певні наслідки, якщо користувачі намагатимуться підключатися не з однієї і тієї ж адреси.

Звичайно, така практика може підійти не всім користувачам Windows VPS, але для тих, хто її використовує, вона точно підвищить рівень безпеки.

Щоб додати конкретні IP-адреси, зайдіть в меню Віддалений робочий стіл - Властивості, виберіть область, в розділі віддалені IP-адреси натисніть Додати, а потім вкажіть потрібну IP-адресу. Після цього натисніть OK, щоб зміни збереглися.  

5. Посилення налаштувань безпеки за допомогою керування брандмауером і додаткових засобів захисту

Більшість Windows VPS надається разом зі стандартним брандмауером, і він працює досить добре, якщо ви не розміщуєте веб-сайт або запускаєте програму з чутливими даними. Якщо ж ви розміщуєте платформу, на якій ваші клієнти залишають дані своїх кредитних карток або справжні імена/місцезнаходження, то ми наполегливо рекомендуємо використовувати інше програмне забезпечення, створене для роботи з конфіденційною інформацією.

Якщо ви працюєте в невеликій компанії або групі користувачів, ви можете вдосконалити брандмауер Windows, вибравши політику «Заборонити все». Це дійсно безпечний підхід, за допомогою якого ви можете заблокувати весь трафік, окрім того, що надходить від певних користувачів. Однією з головних проблем такого підходу є ймовірність блокування потрібних користувачів, але цю проблему можна виправити.

Фінальні зауваження

Створення максимально можливого рівня безпеки на вашому Windows VPS повністю залежить від ваших осмислених кроків. Ви можете відключити обліковий запис адміністратора за замовчуванням, використовувати найбезпечніший пароль і відповідно налаштувати порти віддаленого робочого столу, але не забувайте, що головне, що впливає на безпеку VPS - це вибір найнадійнішого і стабільного веб-провайдера.