Saltar al contenido

Asegurar un nuevo servidor de Windows

No diría que Binance es la plataforma más fácil para principiantes, pero puede sentir que está seguro dentro de ella. Puede ...
Leer Más
Hoy, veremos una de las criptomonedas más exclusivas: Dogecoin y descubriremos dónde y cómo comprar Dogecoin. En esta guía, aprenderá ...
Leer Más
Este corredor en línea tiene tarifas de negociación bajas y una amplia cartera de instrumentos financieros. Cubriendo más de 135 ...
Leer Más

Cuando trabaje con un nuevo servidor de Windows, protegerlo contra atacantes es una de las primeras cosas que querrá hacer. Una configuración predeterminada de Windows Server no está inherentemente bloqueada y deja una protección importante abierta y accesible para los piratas informáticos. ¡Echemos un vistazo a cómo podemos proteger nuestro servidor web!

Cambiar el puerto RDP del predeterminado

De forma predeterminada, el camino RDP a su servidor está amplio en el puerto 3389. Este es un puerto ampliamente utilizado para RDP y es la configuración predeterminada en la mayoría de los servidores y computadoras de Windows por igual. Correcto a que este puerto es una configuración predeterminada en muchos sistemas, los piratas informáticos intentarán atacar RDP en este puerto para cualquier computadora conectada a Internet utilizando programas automatizados, para probar miles de combinaciones de contraseñas en su servidor.

Una de las cosas más fáciles que podemos hacer para proteger nuestro servidor es cambiar este puerto predeterminado de 3389 a otro puerto no utilizado que es menos probable que sea atacado al azar por los atacantes. Podemos utilizar este registro para realizar este cambio necesario.

Para comenzar, anconada su menú Inicio e ingrese regedit para rajar el Editor del registro.

Navegue a la venidero subclave, ubicada en HKEY_LOCAL_MACHINE System CurrentControlSet Control Terminal Server WinStations RDP-Tcp PortNumber.

Refugio la subclave haciendo doble clic y cambie el tipo de cojín de Hexadecimal a Quebrado.

Simplemente cambie este valencia del puerto predeterminado 3389 al puerto que desee, sin usar. Por ejemplo, 3301. Una vez guardado, debe reiniciar su servidor para que se realicen los cambios.

Este simple cambio puede detener y avisar cientos o miles de posibles ataques a su servidor. Si el atacante no conoce su puerto RDP, o si es un puerto inusual que normalmente no probaría, no puede intentar iniciar sesión en su servidor y usted puede exceptuar sus sistemas de ataques exitosos de fuerza bruta.

Esto nos lleva a nuestro venidero punto, desempolvar el sistema y las contraseñas de beneficiario.

Aggiornamento de contraseñas, creación de usuarios y deshabilitación de cuentas predeterminadas

Otra forma sencilla de proteger su servidor contra los atacantes es cerciorarse de acaecer actualizado todas las contraseñas del sistema a credenciales seguras y no predeterminadas y deshabilitar o cambiar los nombres de beneficiario predeterminados.

Ahora, con Windows Server, no hay contraseñas de beneficiario predeterminadas, ya que las configura al configurar su sistema activo. Pero si su servidor o administrador del servidor todavía utiliza el valencia predeterminado Administrador beneficiario, le conviene crear una contraseña segura o, mejor aún, crear un nuevo beneficiario y desactivar el beneficiario Administrador predeterminado.

Al igual que los ataques automatizados contra RDP, los atacantes utilizarán software mediante programación para adivinar las contraseñas de los usuarios predeterminados. Uno de los usuarios predeterminados de Windows Server es el Administrador beneficiario.

Veamos cómo podemos crear un nuevo beneficiario chupatintas, desempolvar esta contraseña a poco efectivamente resistente y deshabilitar la cuenta de administrador predeterminada.

Para comenzar, navegue hasta el menú de agencia de cuentas y usuarios circunscrito buscando en su computadora lusrmgr.msc.

Selecciona el Usuarios comunidad en el panel de acciones de la izquierda y haga clic con el mando derecho en nuestro panel de acciones principal para crear un Nuevo Sucesor.

Su nuevo nombre de beneficiario debe ser poco único e inesperado para un beneficiario chupatintas. Los hackers pueden adivinar fácilmente los nombres de beneficiario típicos, como itadmin, support o simplemente admin, y los atacarán mediante programación por ser nombres de beneficiario administrativos comunes. Sugiero mezclar el nombre de su empresa con el nombre de beneficiario, o proporcionar cuentas administrativas a usuarios específicos que las necesiten, a fin de proporcionar un nombre único que sería difícil de adivinar para un atacante. Adicionalmente, su contraseña debe tener más de 12 caracteres, incluida una combinación de trivio, números, símbolos y casos diferentes.

Una vez que haya ingresado la información deseada, seleccione Crear para crear el nuevo beneficiario. Ahora, busque su nuevo beneficiario en el comunidad de usuarios, haga clic con el mando derecho y vaya a Propiedades.

Vaya al “Miembro de pestaña para que podamos amplificar nuestro nuevo beneficiario al comunidad Administradores.

Hacer clic Añadir en la parte inferior del menú. Introduzca “Administradores” en “Introduzca los nombres de los objetos para decantarse” y haga clic en “Comprobar nombres”.

Se identificará y mostrará el comunidad de administradores completo. Si está utilizando Active Directory, puede ingresar su dominio y nombre de beneficiario para el comunidad de administradores.

Seleccione Okay ¡y podemos ver que nuestro beneficiario se agrega al comunidad de usuarios administradores! Haga clic en Aceptar para retornar al Usuarios locales y grupos administrador.

Ahora que hemos creado nuestro nuevo beneficiario administrador, con una contraseña segura y un nombre de beneficiario difícil de adivinar, podemos desactivar completamente nuestro beneficiario administrador llamativo.

Para hacer esto, haga clic con el mando derecho en el Administrador, vaya a Propiedades y verifique La cuenta está desactivada. ¡Haz clic en aplicar!

¡Felicidades! Ahora ha creado un nuevo beneficiario administrador y ha desactivado la cuenta de administrador predeterminada. Entre el beneficiario predeterminado deshabilitado y nuestro puerto RDP predeterminado modificado, nuestro servidor ya es más seguro que nunca contra ataques automatizados.

¡Pero esto es solo el aparición! Siga un proceso similar en cualquier software o servicio de terceros que esté utilizando su servidor. Puede desempolvar los nombres de beneficiario y las contraseñas predeterminados de los servidores SQL, los paneles de control y cualquier otro servicio accesible a través de Internet para asegurar la seguridad de su servidor Windows.

Creación de reglas de firewall seguras y soledad de conexiones entrantes

Una parte importante de la seguridad del servidor es crear reglas de firewall sólidas para evitar que se produzcan malas conexiones en primer ocasión.

En la mayoría de las circunstancias, los firewalls deben configurarse para estrechar todas las conexiones entrantes a menos que se especifique lo contrario. Esto le brinda la maduro seguridad posible, ya que está bloqueando todo excepto ciertos puertos y servicios que ha configurado manualmente para permitir.

Si proporcionadamente no podemos determinar exactamente qué puertos y servicios se están utilizando en su servidor, puede usar este artículo provisto para ayudarlo a configurar su firewall reformista.

Lo más importante es cerciorarse de que todas las conexiones entrantes estén bloqueadas a menos que se haga una excepción con una nueva regla de firewall. Esta es una configuración predeterminada para Windows Server, ¡pero vale la pena verificarla en su servidor!

Los puertos comunes que pueden ser necesarios para su servidor web incluyen el puerto TCP 80 (https), 443 (ssl), 1433 (MSSQL), 3306 (MySQL), ad 3389 (RDP).

Todas las reglas creadas en el firewall deben ser para direcciones IP remotas específicas cuando corresponda, en ocasión de estar abiertas a Internet como un todo. Es posible que no sea necesario ceder a servicios como SQL a través de Internet caudillo y es posible que solo sea necesario ceder a ellos mediante un único servidor o dirección IP. Vale la pena tomarse un tiempo adicional para cerciorarse de que el camino remoto para cualquier puerto o servicio se limite a las direcciones que absolutamente necesitan camino; de lo contrario, abriremos nuestro servidor a posibles ataques, exploits e intentos de fuerza bruta.

Recuerde, siempre puede estrechar un puerto y retornar a abrirlo si causa problemas o necesita camino remoto adicional. Apoyar nuestro servidor de esta modo, abriendo solo los servicios necesarios, contribuirá en gran medida a proteger nuestros datos y credenciales importantes.

Instalación de una protección antivirus sólida y actualizada

Otra excelente forma de proteger nuestros servidores de los atacantes es implementar una protección antivirus y antispam sólida y segura.

El software antivirus adecuado evitará que se ejecuten ejecutables maliciosos en su servidor, en caso de que se descarguen o logren venir a sus sistemas. El software antivirus o antivirus debe ser una prioridad y vale la pena llevar el pasta extra para obtener un buen servicio que lo proteja de las últimas amenazas.

El software antivirus debe estar actualizado y parcheado con frecuencia, ya que cada día surgen nuevas amenazas. Adicionalmente, la incorporación de protección contra correo no deseado puede ayudar a evitar que un beneficiario de su ordenamiento reciba archivos maliciosos. Esto ayuda a evitar que los mensajes potencialmente dañinos lleguen a las bandejas de entrada, lo que reduce la posibilidad de que un beneficiario desprevenido anconada o ejecute dicho archivo.

La incorporación de software de soledad y detección de fuerza bruta incluso puede detener a los piratas informáticos. El software de detección de fuerza bruta puede detectar intentos fallidos de inicio de sesión en RDP, SQL y otros servicios y estrechar direcciones remotas posteriormente de varios intentos fallidos. A menudo, estas aplicaciones bloquearán una dirección IP durante un período de tiempo determinado posteriormente de, digamos, 5 intentos de inicio de sesión incorrectos. De esa modo, si un beneficiario malintencionado está intentando atacar su servidor, será identificado y bloqueado rápida y automáticamente.

Si un beneficiario verdadero de su ordenamiento es bloqueado, siempre podrá incluir en la nómina blanca determinadas direcciones IP o usuarios para permitirles el camino.

Apoyar su servidor: cubriendo los conceptos básicos

Si proporcionadamente estas son solo algunas de las formas en que podemos, y necesitamos, proteger nuestros servidores, estos son, con mucho, los principios más importantes a implementar primero. Estas sencillas pautas seguramente protegerán su servidor de una modo que no sería posible si no estuvieran incorporadas.

La seguridad es un trabajo 24 horas al día, 7 días a la semana, 365 días al año, y los piratas informáticos siempre están listos y ejecutando ataques. Podemos utilizar software automatizado y reglas de entrada sólidas para dominar la cantidad de ataques que ingresan al servidor y disminuir la posibilidad de que un compromiso tenga éxito.

Entre credenciales de RDP sólidas, nombres de beneficiario y contraseñas no predeterminados, reglas de firewall sólidas y software antivirus actualizado, está proporcionadamente inclinado para proteger los datos y servicios confidenciales de los atacantes en todo el mundo.