Chuyển tới nội dung chính

Tăng Cường Bảo Mật Windows Server Cơ Bản

Giới Thiệu

Trong môi trường công nghệ thông tin hiện đại, việc bảo vệ máy chủ là ưu tiên hàng đầu. Windows Server, nền tảng cốt lõi cho nhiều doanh nghiệp, đòi hỏi các biện pháp bảo mật mạnh mẽ để chống lại các mối đe dọa ngày càng tinh vi. "Hardening" Windows Server là quá trình cấu hình hệ thống để giảm thiểu bề mặt tấn công, loại bỏ các lỗ hổng tiềm ẩn và củng cố khả năng phòng thủ. Hướng dẫn này sẽ trình bày các bước cơ bản nhưng cực kỳ quan trọng giúp bạn tăng cường bảo mật cho máy chủ Windows của mình.

📋 Thời gian: 30-60 phút | Độ khó: Cơ bản

Yêu Cầu

Để thực hiện các bước trong hướng dẫn này, bạn cần:

  • Một máy chủ Windows Server (phiên bản 2016, 2019, 2022 hoặc tương đương).
  • Quyền truy cập với tài khoản Quản trị viên (Administrator) trên máy chủ.
  • Kết nối Internet (để cập nhật hệ thống).
  • Hiểu biết cơ bản về quản lý Windows Server và PowerShell.

Các Bước Thực Hiện

Bước 1: Cập nhật Hệ Điều Hành và Phần Mềm

Việc giữ cho hệ điều hành và tất cả phần mềm được cập nhật là tuyến phòng thủ đầu tiên và quan trọng nhất. Các bản vá lỗi thường xuyên khắc phục các lỗ hổng bảo mật đã biết mà tin tặc có thể khai thác.

  • Kiểm tra và cài đặt cập nhật:
    • Mở Start Menu, tìm kiếm Windows Update và chọn Check for updates.
    • Hoặc sử dụng công cụ cấu hình máy chủ sconfig bằng cách gõ sconfig vào PowerShell hoặc Command Prompt, sau đó chọn tùy chọn 6) Download and Install Updates.
    • Hãy đảm bảo rằng máy chủ được cấu hình để tự động cài đặt các bản cập nhật quan trọng.
# Sử dụng sconfig để quản lý cập nhật (chạy trong console)
# sconfig

# Để kiểm tra trạng thái Windows Update bằng PowerShell (cần module PSWindowsUpdate)
# Install-Module PSWindowsUpdate -Force
# Get-WindowsUpdate

💡 Mẹo: Sau khi cài đặt các bản cập nhật, hãy khởi động lại máy chủ nếu được yêu cầu để đảm bảo tất cả các thay đổi có hiệu lực.

Bước 2: Quản lý Tài Khoản Người Dùng và Mật Khẩu

Tài khoản người dùng là điểm yếu phổ biến nhất nếu không được quản lý đúng cách.

  • Đổi tên tài khoản Administrator mặc định: Kẻ tấn công thường nhắm mục tiêu vào tài khoản Administrator mặc định. Đổi tên nó sẽ làm giảm khả năng bị tấn công brute-force.

    # Đổi tên tài khoản Administrator thành một tên khác
    Rename-LocalUser -Name "Administrator" -NewName "ServerAdmin_[TênCủaBạn]"

    ⚠️ Cảnh báo: Hãy ghi nhớ tên tài khoản mới!

  • Tạo tài khoản quản trị viên riêng: Thay vì sử dụng tài khoản Administrator đã đổi tên cho các tác vụ hàng ngày, hãy tạo một tài khoản quản trị viên riêng biệt cho mỗi người dùng cần quyền quản trị.

    # Tạo tài khoản người dùng mới
    New-LocalUser -Name "UserAdmin_[Tên]" -Password (Read-Host -AsSecureString "Nhập mật khẩu") -FullName "Admin User [Tên]" -Description "Dedicated admin account"

    # Thêm tài khoản mới vào nhóm Administrators
    Add-LocalGroupMember -Group "Administrators" -Member "UserAdmin_[Tên]"

  • Thực thi chính sách mật khẩu mạnh: Sử dụng Group Policy để yêu cầu mật khẩu phức tạp, độ dài tối thiểu và thời gian hết hạn.

    1. Mở gpedit.msc (Local Group Policy Editor).
    2. Đi tới Computer Configuration -> Windows Settings -> Security Settings -> Account Policies -> Password Policy.
    3. Cấu hình các cài đặt sau:
      • Enforce password history: 24 passwords
      • Maximum password age: 60-90 ngày
      • Minimum password age: 1 ngày
      • Minimum password length: 12-14 ký tự
      • Password must meet complexity requirements: Enabled
      • Store passwords using reversible encryption: Disabled

Bước 3: Cấu hình Tường Lửa (Windows Firewall)

Windows Firewall là một công cụ mạnh mẽ để kiểm soát lưu lượng mạng vào và ra khỏi máy chủ.

  • Đảm bảo tường lửa được bật:

    # Kiểm tra trạng thái của Windows Firewall
    Get-NetFirewallProfile | Select-Object Name, Enabled

    # Bật Windows Firewall cho tất cả các profile (nếu chưa bật)
    Set-NetFirewallProfile -Profile Domain,Private,Public -Enabled True

    Thành công: Tường lửa của bạn hiện đang hoạt động và bảo vệ máy chủ.

  • Chỉ cho phép các dịch vụ cần thiết: Theo nguyên tắc "ít đặc quyền nhất", chỉ cho phép các cổng và dịch vụ thực sự cần thiết.

    1. Mở wf.msc (Windows Defender Firewall with Advanced Security).
    2. Xem xét các quy tắc Inbound (Đến) và Outbound (Đi).
    3. Vô hiệu hóa hoặc xóa các quy tắc cho các dịch vụ bạn không sử dụng (ví dụ: File and Printer Sharing nếu máy chủ không phải là máy chủ tệp).
    4. Tạo quy tắc mới để chỉ cho phép lưu lượng truy cập từ các địa chỉ IP cụ thể nếu có thể (ví dụ: chỉ cho phép RDP từ mạng nội bộ).

Bước 4: Vô hiệu hóa Dịch vụ Không Cần Thiết

Mỗi dịch vụ đang chạy đều là một điểm vào tiềm năng cho kẻ tấn công. Vô hiệu hóa các dịch vụ không cần thiết sẽ giảm đáng kể bề mặt tấn công của máy chủ.

  1. Liệt kê các dịch vụ đang chạy: 
    # Liệt kê tất cả các dịch vụ và trạng thái của chúng
    Get-Service | Select-Object Name, Status, DisplayName | Format-Table -AutoSize
  2. Xác định và vô hiệu hóa các dịch vụ không cần thiết: Xem xét danh sách và xác định các dịch vụ không liên quan đến vai trò của máy chủ (ví dụ: Fax, Bluetooth Support Service trên máy chủ không có fax/bluetooth). 
    # Dừng một dịch vụ
    Stop-Service -Name "Fax"

    # Vô hiệu hóa một dịch vụ để nó không khởi động cùng hệ thống
    Set-Service -Name "Fax" -StartupType Disabled
    ⚠️ Cảnh báo: Nghiên cứu kỹ chức năng của một dịch vụ trước khi vô hiệu hóa nó để tránh làm gián đoạn các chức năng quan trọng của máy chủ.

Bước 5: Cấu hình Remote Desktop Protocol (RDP) An Toàn

RDP là một công cụ quản lý mạnh mẽ nhưng cũng là mục tiêu phổ biến của kẻ tấn công.

  • Bật Xác thực Cấp độ Mạng (NLA): NLA yêu cầu người dùng xác thực trước khi kết nối RDP hoàn tất, ngăn chặn các cuộc tấn công từ chối dịch vụ (DoS) hoặc brute-force vào phiên RDP.

    1. Mở System Properties (nhấn Win + Pause/Break).
    2. Chọn Remote settings.
    3. Trong phần Remote Desktop, chọn Allow remote connections to this computer và tích vào Allow connections only from computers running Remote Desktop with Network Level Authentication (recommended).

  • Thay đổi cổng RDP mặc định (tùy chọn nhưng được khuyến nghị): Thay đổi cổng 3389 mặc định thành một cổng khác ít được biết đến hơn có thể giúp tránh các cuộc quét cổng tự động.

    # Thay đổi cổng RDP từ 3389 sang cổng khác (ví dụ: 33890)
    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" -Name "PortNumber" -Value 33890 -Force

    # Mở cổng mới trong Windows Firewall (thay thế 33890 bằng cổng bạn chọn)
    New-NetFirewallRule -DisplayName "RDP Custom Port" -Direction Inbound -LocalPort 33890 -Protocol TCP -Action Allow -Profile Any

    # Khởi động lại dịch vụ Remote Desktop để áp dụng thay đổi
    Restart-Service -Name "TermService"

    ⚠️ Cảnh báo: Sau khi thay đổi cổng, bạn sẽ cần chỉ định cổng mới khi kết nối RDP (ví dụ: IP_Server:33890).

Troubleshooting

  • Không thể kết nối RDP sau khi thay đổi cổng hoặc cấu hình tường lửa:

    • Nguyên nhân: Cổng RDP mới chưa được mở trong tường lửa hoặc bạn đang cố gắng kết nối đến cổng cũ.
    • Xử lý:
      1. Kiểm tra lại quy tắc tường lửa để đảm bảo cổng RDP mới đã được cho phép.
      2. Đảm bảo bạn đang chỉ định đúng cổng khi kết nối RDP (ví dụ: mstsc /v:IP_Server:Port_Mới).
      3. Nếu không thể truy cập, sử dụng console hoặc các công cụ quản lý từ xa khác (ví dụ: iLO/DRAC/IPMI) để kiểm tra lại cấu hình.

  • Hiệu suất máy chủ giảm hoặc dịch vụ không hoạt động sau khi vô hiệu hóa dịch vụ:

    • Nguyên nhân: Bạn đã vô hiệu hóa một dịch vụ cần thiết cho hoạt động của máy chủ hoặc một ứng dụng.
    • Xử lý:
      1. Kiểm tra Event Viewer (eventvwr.msc) để tìm các lỗi liên quan đến dịch vụ.
      2. Xác định dịch vụ đã bị vô hiệu hóa gần đây và thử đặt lại StartupType của nó thành Manual hoặc Automatic, sau đó khởi động lại dịch vụ.
      # Ví dụ: Đặt lại dịch vụ Fax thành Manual
      Set-Service -Name "Fax" -StartupType Manual
      Start-Service -Name "Fax"

  • Không thể cài đặt cập nhật Windows:

    • Nguyên nhân: Lỗi kết nối mạng, dịch vụ Windows Update bị hỏng hoặc thiếu dung lượng đĩa.
    • Xử lý:
      1. Kiểm tra kết nối Internet của máy chủ.
      2. Đảm bảo dịch vụ Windows Update đang chạy.
      3. Giải phóng dung lượng đĩa nếu cần.
      4. Thử chạy sfc /scannowDISM /Online /Cleanup-Image /RestoreHealth để sửa chữa các tệp hệ thống.

Kết Luận

Hardening Windows Server là một quá trình liên tục và cần thiết để duy trì một môi trường an toàn. Các bước cơ bản này sẽ giúp bạn giảm thiểu đáng kể rủi ro bảo mật. Hãy nhớ rằng đây chỉ là điểm khởi đầu.

Best practices bao gồm:

  • Giám sát liên tục: Sử dụng công cụ giám sát để theo dõi các hoạt động đáng ngờ.
  • Sao lưu ưịnh kỳ: Luôn có bản sao lưu dữ liệu quan trọng để phục hồi sau sự cố.
  • Cài đặt phần mềm chống virus/malware: Bảo vệ máy chủ khỏi các mối đe dọa phần mềm độc hại.
  • Thực hiện kiểm tra bảo mật định kỳ: Đánh giá lỗ hổng và kiểm tra thâm nhập.
  • Sử dụng xác thực đa yếu tố (MFA): Cho các tài khoản quản trị viên và truy cập từ xa.

Bằng cách áp dụng các biện pháp này, bạn đang xây dựng một nền tảng vững chắc cho bảo mật hệ thống của mình. ✅