Search
Close this search box.

6 Belangrijke stappen bij het implementeren van de Windows Server

Iedereen weet dat een kant-en-klare Windows-server mogelijk niet alle noodzakelijke beveiligingsmaatregelen heeft om meteen in productie te gaan, hoewel Microsoft de standaardconfiguratie in elke serverversie heeft verbeterd. Specifieke best practices verschillen afhankelijk van de behoefte, maar het aanpakken van deze zes stappen voordat een server aan internet wordt blootgesteld, beschermt tegen de meest voorkomende exploits. Veel van deze zijn standaardaanbevelingen die van toepassing zijn op servers van elke smaak, terwijl sommige Windows-specifiek zijn en ingaan op enkele van de manieren waarop u het Microsoft-serverplatform kunt verbeteren. Hierbij de zes stappen bij het implementeren van de Windows Server.

1. Gebruikersconfiguratie en netwerkconfiguratie

Moderne Windows Server-edities dwingen je om dit te doen, maar zorg ervoor dat het wachtwoord voor het lokale beheerdersaccount opnieuw is ingesteld op iets veiligs. Schakel bovendien de lokale beheerder waar mogelijk uit. Er zijn maar weinig scenario’s waarin dit account vereist is en omdat het een populair doelwit is voor aanvallen, moet het helemaal worden uitgeschakeld om te voorkomen dat het wordt misbruikt. Met dat account uit de weg, moet u een beheerdersaccount instellen om te gebruiken. U kunt een geschikt domeinaccount toevoegen als uw server lid is van een Active Directory (AD) of een nieuw lokaal account maken en dit in de beheerdersgroep plaatsen.
Vergeet niet uw wachtwoorden te beschermen. Gebruik een sterk wachtwoordbeleid om ervoor te zorgen dat accounts op de server niet in gevaar kunnen worden gebracht. Als uw server lid is van AD, wordt het wachtwoordbeleid ingesteld op domeinniveau in het standaarddomeinbeleid. Stand-alone servers kunnen worden ingesteld in de lokale beleidseditor. Hoe dan ook, met een goed wachtwoordbeleid wordt in elk geval het volgende vastgesteld:

  • Complexiteits- en lengtevereisten – hoe sterk het wachtwoord moet zijn
  • Wachtwoord verloopt – hoe lang het wachtwoord geldig is
  • Wachtwoordgeschiedenis – hoe lang duurt het voordat eerdere wachtwoorden opnieuw kunnen worden gebruikt
  • Accountvergrendeling – hoeveel mislukte wachtwoordpogingen voordat het account is opgeschort

1.1 Windows Server-netwerkconfiguratie

Productieservers moeten een statisch IP-adres hebben, zodat klanten ze betrouwbaar kunnen vinden. Dit IP moet zich in een beschermd segment bevinden, achter een firewall. Configureer minimaal twee DNS-servers voor redundantie en controleer de naamomzetting met nslookup vanaf de opdrachtprompt. Zorg ervoor dat de server een geldig A-record in DNS heeft met de gewenste naam, evenals een PTR-record voor reverse lookups. Houd er rekening mee dat het enkele uren kan duren voordat DNS-wijzigingen zich over het internet verspreiden, dus moeten productie-adressen worden vastgesteld ruim voor een live-venster. Schakel ten slotte alle netwerkservices uit die de server niet gebruikt, zoals IPv6. Dit is afhankelijk van uw omgeving en eventuele wijzigingen moeten goed worden getest voordat ze in productie worden genomen.

2. Windows-functies, rollenconfiguratie en update-installatie

Microsoft gebruikt rollen en functies om OS-pakketten te beheren. Rollen zijn in feite een verzameling functies die zijn ontworpen voor een specifiek doel, dus over het algemeen kunnen rollen worden gekozen als de server erbij past, en vervolgens kunnen de functies vanaf daar worden aangepast. Twee even belangrijke dingen om te doen zijn 1) zorg ervoor dat alles wat je nodig hebt is geïnstalleerd (bijv. NET-frameworkversie of IIS); zonder de juiste onderdelen werken uw applicaties niet. 2) Verwijder alles wat u niet nodig heeft. Externe pakketten vergroten onnodig het aanvalsoppervlak van de server en moeten waar mogelijk worden verwijderd. Servers moeten worden ontworpen met de noodzaak in gedachten en gestript om de benodigde onderdelen zo soepel en snel mogelijk te laten werken.

2.1 Update-installatie van Windows Server

De beste manier om uw server veilig te houden, is hem up-to-date te houden. Dit betekent niet noodzakelijkerwijs dat je op de hoogte bent en updates moet toepassen zodra ze worden uitgebracht met weinig tot geen testen, maar gewoon een proces hebben om ervoor te zorgen dat updates binnen een redelijk venster worden toegepast.
Er zijn verschillende soorten updates: patches hebben de neiging om een ​​enkele kwetsbaarheid aan te pakken; roll-ups zijn een groep pakketten die verschillende, mogelijk gerelateerde kwetsbaarheden aanpakken, en servicepacks zijn updates voor een breed scala aan kwetsbaarheden, bestaande uit tientallen of honderden afzonderlijke patches. Houd er rekening mee dat de versie van het besturingssysteem ook een type update is en dat u met behulp van jaren oude serverversies ver achter de beveiligingscurve zit. Als uw productieschema dit toelaat, moet u automatische updates op uw server configureren. Het is echter veel gevaarlijker om een ​​productiesysteem niet gepatcht te laten dan om het automatisch bij te werken, tenminste voor kritieke patches. Indien mogelijk moeten de updates gespreid zijn, dus testomgevingen ontvangen ze ongeveer een week eerder, zodat teams hun gedrag kunnen observeren.

3. NTP-configuratie en firewall-configuratie

Een tijdsverschil van slechts 5 minuten zal Windows-aanmeldingen en verschillende andere functies die afhankelijk zijn van kerberos-beveiliging volledig verbreken. Servers die lid zijn van het domein zullen automatisch hun tijd synchroniseren met een domeincontroller bij toetreding tot het domein, maar voor stand alone servers moet NTP zijn ingesteld om te synchroniseren met een externe bron zodat de klok nauwkeurig blijft.

3.1 Firewall-configuratie op Windows Server

Als u bijvoorbeeld een webserver bouwt, wilt u alleen dat webpoorten (80 en 443) via internet voor die server openstaan. Als de server andere functies heeft, zoals extern bureaublad (RDP) voor beheer, zouden deze alleen beschikbaar moeten zijn via een VPN-verbinding, zodat onbevoegden de poort niet naar believen van het net kunnen exploiteren.
De Windows Server-firewall is een degelijke ingebouwde softwarefirewall waarmee poortgebaseerd verkeer vanuit het besturingssysteem kan worden geconfigureerd. Op een stand-alone server of elke server zonder een hardwarefirewall ervoor, biedt de Windows Server-firewall op zijn minst enige bescherming tegen netwerkgebaseerde aanvallen door het aanvalsoppervlak te beperken tot de toegestane poorten.

4. Externe toegang en serviceconfiguratie

Zoals gezegd, als u RDP (Remote Desktop Platform) gebruikt, zorg er dan voor dat het alleen toegankelijk is via VPN. Het open laten voor internet garandeert niet dat je gehackt wordt, maar het biedt potentiële hackers nog een andere toegang tot je server. Zorg ervoor dat RDP alleen toegankelijk is voor geautoriseerde gebruikers. Standaard kunnen alle beheerders RDP gebruiken zodra het op de server is ingeschakeld. Extra mensen kunnen lid worden van de Remote Desktop Users-groep voor toegang zonder beheerder te worden.
Naast RDP moeten verschillende andere externe toegangsmechanismen zoals Powershell en SSH zorgvuldig worden vergrendeld als ze worden gebruikt en alleen toegankelijk worden gemaakt binnen een VPN-omgeving.

4.1 Serviceconfiguratie op Windows Server

Windows-server heeft een aantal standaardservices die automatisch worden gestart en op de achtergrond worden uitgevoerd. Veel van deze zijn vereist om het besturingssysteem te laten werken, maar sommige zijn niet en moeten worden uitgeschakeld als ze niet worden gebruikt. Volgens dezelfde logica als de firewall, willen we het aanvalsoppervlak van de server minimaliseren door alles behalve primaire functionaliteit uit te schakelen. Oudere versies van MS-server hebben meer onnodige services dan nieuwere, dus controleer alle 2008 of 2003 (!) Servers zorgvuldig.
Ten slotte wordt elke service uitgevoerd in de beveiligingscontext van een specifieke gebruiker. Voor standaard Windows-services is dit vaak het account Local System, Local Service of Network Service. Deze configuratie werkt meestal wel, maar voor applicatie- en gebruikersservices schrijft de beste praktijk voor dat servicespecifieke accounts moeten worden ingesteld, lokaal of in AD, om deze services met de minimaal benodigde hoeveelheid toegang af te handelen. Dit voorkomt dat kwaadwillende actoren die een toepassing hebben gecompromitteerd, dat compromis uitbreiden naar andere delen van de server of het domein.

5. Verdere uitharding

Microsoft biedt best practices-analyzers op basis van rol- en serverversie die u kunnen helpen uw systemen verder te versterken door te scannen en aanbevelingen te doen – server security patching. Hoewel Gebruikersaccountbeheer (UAC) voorkomt dat applicaties zonder u worden uitgevoerd zoals u. Dit voorkomt dat malware op de achtergrond wordt uitgevoerd en dat kwaadwillende websites installatieprogramma’s of andere code starten. Laat UAC indien mogelijk aan.
De tips in deze handleiding helpen het Windows-besturingssysteem te beveiligen, maar elke toepassing die u uitvoert, moet ook worden gehard. Veelvoorkomende Microsoft-servertoepassingen zoals MSSQL en Exchange hebben specifieke beveiligingsmechanismen die hen kunnen helpen beschermen tegen aanvallen zoals ransomware, zorg ervoor dat u elke toepassing onderzoekt en aanpast voor maximale veerkracht. Als u een webserver bouwt, kunt u ook onze verhardingsgids volgen om de beveiliging tegen internet te verbeteren.

6. Logging en monitoring

Ten slotte moet u ervoor zorgen dat uw logboeken en monitoring zijn geconfigureerd en de gewenste gegevens vastleggen, zodat u in geval van een probleem snel kunt vinden wat u nodig hebt en dit kunt oplossen. Logging werkt anders, afhankelijk van of uw server deel uitmaakt van een domein. Domeinaanmeldingen worden verwerkt door domeincontrollers en hebben als zodanig de auditlogboeken voor die activiteit, niet het lokale systeem. Op stand-alone servers zullen beveiligingsaudits beschikbaar zijn en kunnen worden geconfigureerd om passages en / of storingen te tonen.
Standaardwaarden voor logbestanden zijn bijna altijd veel te klein om complexe productietoepassingen te controleren. Als zodanig moet de schijfruimte worden toegewezen tijdens serverbuilds voor logboekregistratie, met name voor toepassingen zoals MS Exchange. Er moet een back-up van logboeken worden gemaakt volgens het bewaarbeleid van uw organisatie en vervolgens worden gewist om ruimte te maken voor meer actuele gebeurtenissen. Overweeg een gecentraliseerde oplossing voor logboekbeheer als het verwerken van logboeken op servers overweldigend wordt. Net als een syslog-server in de Linux-wereld, kan een gecentraliseerde viewer voor Windows-servers helpen bij het versnellen van probleemoplossing en hersteltijden voor middelgrote tot grote omgevingen.

6.1 Monitoring

Of u nu de ingebouwde Windows-prestatiemonitor gebruikt of een oplossing van derden die een client of SNMP gebruikt om gegevens te verzamelen, u moet prestatie-informatie verzamelen op elke server. Zaken als beschikbare schijfruimte, processor- en geheugengebruik, netwerkactiviteit en zelfs temperatuur moeten constant worden geanalyseerd en vastgelegd, zodat anomalieën gemakkelijk kunnen worden geïdentificeerd en opgelost.

Windows Server Setup en hoe kan ITAF u helpen?

Elk van deze stappen kan enige tijd duren om te implementeren, vooral als u dit voor de eerste keer doet. Maar door een routine van initiële serverconfiguratie en infrastructuur op te zetten, kunt u ervoor zorgen dat nieuwe machines in uw omgeving veerkrachtig zijn. Voor vragen met betrekking tot uw server-naar-server communicatie-instellingen kunt u contact met ons opnemen. We helpen u graag verder.

7 manieren om een Cryptolocker aanval te voorkomen

Op een dag kan u al uw data verliezen. Uw bedrijfsgegevens kunnen in een luttele seconde verloren gaan door één simpele klik. Velen onder ons hebben dit reeds ervaren. En voor diegene die het nog niet hebben meegemaakt: dit kan zeer snel het geval zijn. In dit artikel zullen wij 7 manieren opnoemen hoe u een Cryptolocker aanval kunt voorkomen.

Het verlies van gegevens kan op elk moment en op alle mogelijke manieren plaatsvinden – het kan het gevolg zijn van het fysiek falen van uw PC, diefstal, brand of zelfs het morsen van een kop koffie. Maar het kan ook een cyber misdaad zijn.

CryptoLocker is een ransomware trojan waarbij computers met Microsoft Windows het doelwit zijn. Het dook op in 2013 en verschuilde zich in e-mailbijlages van legitieme en vertrouwde bedrijven. Het lijkt misschien onschuldig, maar met een simpele klik kan het een echte nachtmerrie voor elk bedrijf worden. Hierbij de 7 manieren waarop u een Cryptolocker aanval kunt voorkomen:

1. Maak een back up van uw gegevens

De beste manier om de ransomware te verslaan is door regelmatig een nieuwe back-up uit te voeren. Wanneer uw systeem wordt aangevallen verliest u wellicht het werk dat u ’s morgens heeft verricht, maar de overige bedrijfsgegevens kan u zeer gemakkelijk terugzetten aan de hand van de vorige back-up.

2. Voorzie opleidingen voor uw personeel rond CryptoLocker

Aangezien CryptoLocker malware via de geinfecteerde bijlage in de mail op uw computer terecht komt, is de beste vorm van preventie het opleiden van uw personeel. Zij moeten in staat zijn ongewenste of verdachte mails te herkennen en onmiddellijk te verwijderen. CryptoLocker komt voor in de vorm van een .exe file (voorbeeld: factuur.pdf.exe), een uitvoerbaar bestand dat onveilig is bij het openen, wanneer het afkomstig is uit een email of het internet. De beste manier om uw werknemers op te leiden, is door voortdurende beveiligingsbewustzijnstraining en phishing-simulaties uit te voeren.

3. Maak gebruik van een anti-virus en hou deze up-to-date

Veel CryptoLocker slachtoffers hadden een malware op hun PC zonder het zelf te weten! Een cloud oplossing die complete beveiliging biedt tegen alle grote bedreigingen, inclusief CryptoLocker. Preventie is de eerste stap naar veiligheid!

4. Hou uw operating system en uw software up-to-date

Malware auteurs richten zich vaak op personen met verouderde software, wat de gekende kwetsbaarheid met zich meebrengt. Zij kunnen hierdoor onopgemerkt binnendringen op de computers door de gaten in de beveiliging. Indien u de mogelijkheid heeft, kan u best de automatische updates activeren, of onmiddellijk naar de website van de softwareleverancier gaan, aangezien Malware auteurs graag hun creaties naar buiten brengen via die software updates.

5. Controleer uw gebruikersrechten en verstreng waar u kunt

Zorg ervoor dat niemand van uw gebruikers lokale administrator rechten heeft, tenzij het absoluut noodzakelijk is.

6. Gebruik geavanceerde firewall tools die versleutelde methodes kunnen blokkeren

Door het gebruik maken van een intelligent cloud-based beveiligingsnetwerk, is er de mogelijkheid om malware op te sporen en te blokkeren met behulp van de verbeterde sandbox technologie. Elke gekende malware wordt automatisch geblokkeerd en verdachte bestanden worden in een isolement geplaatst waar deze uitvoerig getest worden voordat de infectie kan optreden.

7. Gebruik de ITAF Spamcluster

Mails die u niet ontvangen heeft, zullen zeker niet geopend worden! ITAF voorziet een spamcluster die mails met verdachte bijlagen filtert. Op deze manier krijgt de eindgebruiker de e-mail nooit te zien en is er geen kans om de besmette bijlage te openen. In ieder geval: preventie is altijd de beste oplossing!

Wat als het te laat is?

De Cryptolocker blokkeert extensies die dagelijks gebruikt worden zoals docx, xlsx, pptx, jpg, tot mp3 en meer… Als het te laat is, zijn de volgende bestanden aangetast:

  • Alle bestanden op uw lokale PC
  • Alle bestanden op de fileserver waartoe u toegang heeft (en ja – het kan gemakkelijk het volledige bedrijf aantasten!)

Reageer voordat het te laat is! Bescherm uw zakelijke bestanden binnen een private cloud-oplossing en houd uw werknemers op de hoogte van de Cryptolocker-aanvallen. Preventie is altijd de beste remedie – neem contact met ons op voor meer informatie.

Wij gebruiken cookies om onze website en onze service te optimaliseren.

Gebruik de onderstaande knop om je CV en sollicitatiebrief te uploaden (verplicht).