webh.pl
Panel klienta

Zabezpieczenie Windows VPS

Jak chronić serwer z publicznym IP: zapora, ograniczenie RDP do zaufanych adresów, silne hasła, VPN i ochrona przed atakami.

  • czytania
  • Zaktualizowano:
Bezpieczeństwo Firewall Pulpit zdalny (RDP)
Windows VPS

Serwer Windows VPS ma publiczny adres IP i jest widoczny w internecie. Oznacza to, że jego zabezpieczenie leży po Twojej stronie, bo to Ty jako administrator decydujesz, kto i jak może się z nim łączyć. Na szczęście Windows daje do tego wszystkie potrzebne narzędzia, a w razie pomyłki masz awaryjny dostęp przez VNC. Ten poradnik zbiera sprawdzone praktyki.

Podstawa: silne hasło

Większość ataków na serwery z RDP to próby zgadywania hasła metodą słownikową. Dlatego najważniejszym i najprostszym zabezpieczeniem jest długie, losowe hasło konta Administrator, którego nie da się łatwo złamać. Szczegóły opisuje poradnik hasło administratora.

Ogranicz dostęp do RDP do zaufanych adresów

Jeśli łączysz się ze stałego adresu IP, najlepszym zabezpieczeniem jest wpuszczanie ruchu RDP tylko z tego adresu:

  1. Otwórz Zapora Windows Defender z zabezpieczeniami zaawansowanymi.
  2. Znajdź regułę przychodzącą dla pulpitu zdalnego (port 3389).
  3. W zakładce Zakres ogranicz zdalne adresy IP do swojego adresu (lub puli adresów).

Dzięki temu nikt spoza wskazanych adresów nie nawiąże nawet próby połączenia RDP.

Wskazówka

Możesz też zmienić domyślny port RDP (3389) na inny, co dodatkowo ogranicza automatyczne skanowanie. Pamiętaj wtedy o dopuszczeniu nowego portu w zaporze.

Co, jeśli zablokujesz sobie dostęp

To częsta obawa przy konfiguracji zapory. Nie musisz się jej bać: jeśli przypadkiem zablokujesz RDP, zawsze wejdziesz na serwer przez konsolę VNC w panelu i poprawisz lub usuniesz błędną regułę. VNC działa niezależnie od zapory i sieci.

VPN

Nie udostępniamy usługi VPN, możesz natomiast skonfigurować dowolny VPN samodzielnie w systemie Windows (serwer pozwala m.in. na rolę RRAS). Miej jednak na uwadze dwie rzeczy:

  • Wymuszenie połączenia z serwerem wyłącznie przez VPN wyklucza łatwy dostęp „z dowolnego miejsca", bo każdy komputer musiałby najpierw wejść do tej samej sieci VPN.
  • W sieci działa mechanizm anty-spoofing IP. Uwzględnij go przy konfiguracji RRAS/NAT i przekazywania pakietów, bo nieprawidłowa konfiguracja może uniemożliwić ruch przychodzący.

Informacja

Kilka Twoich serwerów VPS „widzi się" nawzajem, więc możesz samodzielnie zbudować z nich sieć (np. w oparciu o tunel VPN), jeśli kartę sieci lokalnej zrealizujesz programowo.

Konto techniczne UH

Na serwerze znajdziesz automatycznie utworzone konto techniczne (oznaczane jako UH / UltimaHost). Służy ono nam do udzielenia Ci awaryjnego wsparcia, np. naprawy uszkodzonego profilu czy dostępu, gdy zablokujesz sobie logowanie. Możesz je wyłączyć, ale weź pod uwagę, że wtedy w razie problemów nie będziemy mieli jak wejść na serwer i pomóc.

Ochrona przed atakami i DDoS

  • Przed serwerem działa po naszej stronie filtr anty-DDoS, który w razie dużego ataku stosuje blackholing atakowanego adresu. Ataki w kierunku Windows VPS są jednak rzadkie.
  • Nie filtrujemy zwykłego ruchu kierowanego do Twojego serwera. Niepożądany ruch (np. zalewające logi pakiety na nietypowych portach) blokujesz samodzielnie w zaporze systemu.
  • Warto mieć włączony i aktualny program antywirusowy (wbudowany Windows Defender jest wystarczający).

Powiązane artykuły