כיצד לאבטח שרתי Windows 2003 ללא תמיכת מיקרוסופט?

אם קיימת דרישה עסקית להמשיך להשתמש במערכת Windows 2003 למרות העובדה כי מיקרוספוט (Microsoft) הפסיקה את התמיכה, חשוב לצמצם את הפגיעות הקיימת של השרת.

אין חשש שהשרת יפסיק לתפקד ללא תמיכה, עם זאת מיקרוסופט לא תספק יותר עדכוני אבטחה על מנת לתקן את הפגיעות אשר יתגלו במערכת ההפעלה.

במידה ואינכם נמצאים בתהליך מיגרציה והשרת העסקי ימשיך להתקיים ברשת למשך תקופה הקרובה של שבועות או חודשים, רמת החשיפה אשר קיימת בשרת תהיה גבוהה ביותר.

למרות שלכאורה שדרוג מערכת ההפעלה הוא תהליך יחסית פשוט, התאמת אפליקציות הרצות על השרת הוא תהליך מורכב אשר דורש לפעמים שכתוב קוד או החלפת האפליקציות או שינוי מהותי בארכיקטורה.

צעדים נדרשים על מנת להגביר את רמת ההגנה בשימוש שרתי windows 2003

כולנו מסכימים כי חשוב להגן על שרתים בארגון, במיוחד על אלו אשר מכילים מידע רגיש, ובמיוחד אלו אשר רמת הפגיעות שלהם היא גבוהה יותר בגלל היותם ללא תמיכת יצרן.

מיקוד בשרתים אלו הוא חשוב מאוד ולכן יישור קו בנושא עדכוני אבטחת מידע הוא קריטי ביותר. כמו כן, הפעלת תיעוד מורחב לפעילות בשרת (לוג), בידוד השרת משאר רכיבי הרשת, הפעלת גיבוי מוגבר וכמובן בקרה הדוקה על האפליצקיות הרצות בו .

פעולות אלו אומנם לא יספקו את ההגנה הקיימת על מערכות הפעלה נתמכות על ידי היצרן, עם זאת הן כן יצמצמו משמעותית את רמת הפגיעות הקיימת בשרת לתווך קצר עד בינוני.

עדכוני אבטחת מידע
● חשוב לוודא כי שרת ה-windows 2003 מעודכן עד הטלאי האחרון ביותר אשר פורסם על ידי מיקרוסופט. הריצו מערכת סריקה כגון Tenable Nessus על מנת לודא כי עדכוני האבטחה יושמו כנדרש.
● וודאו כי אפליקציות גנריות כגון Adobe Reader ו-Adobe Flash מעודכנות ברמה הגבוה ביותר. ניתן לבצע זאת על ידי מערכת עדכונים כמו IBM BigFix.

תיעוד ולוג
● הפעילו את מנגנון הלוגים המורחב הקיים בשרת ובדקו בתדירות גבוהה סימנים לחדירה. הפעילו מנגנוני התרעה על מנת להודיע על על אירועים חריגים אשר מתרחשים ברשת.
● הפעילו במערכת SIEM (לדוגמה מערכת IBM qradar) חוקים מיוחדים לשרתים אשר נמצאים ברמת סיכון גבוהה יותר כגון שרתים על מערכת ההפעלה  windows 2003.

בידוד
הגבילו גישה לשרתים על מנת לצמצם את החשיפה הקיימת:
● סגרו את הפורטים אשר אינם נמצאים בשימוש על ידי השרת או אפליקציה, על ידי הפעלת פיירוול אישי.
● הגבילו גישת משתמשים לשרת לצרכים עסקים או תמיכה בלבד.
● ודאו כי אין הרשאות או משתמשים אשר אינם נדרשים על השרת.
● הפרידו את השרת משאר הרשת הארגונית על ידי פיירוול רשתי (ביצוע סגמנטציה).

החרגה (white listing)
הפעילו מנגנון החרגה בעזרת מערכת ייעודית כגון (Bit9+Carbon Black) אשר יאפשר הרצת אפליקציות מורשות מראש. שאר האפליצקיות יחסמו בצורה אוטומטית.

גיבוי תדיר
בצעו גיבוי תדיר למערכת ההפעלה והמידע הקיים על השרת. ודאו כי הגיבויים בוצעו כהלכה ושאכן ניתן לבצע שחזור במידת הצורך.

וירטואלזציה
קיימות מספר סיבות להשאיר שרת 2003 windows חי. לפעמים זה עקב אפליקציות עסקיות ישנות או מידע עסקי אשר נדרש על ידי הרגולציה. הדרך האפקטיבית ביותר לשמור שרתים אלו היא על ידי הפיכתם לשרתים וירטואלים על ביצוע תהליך P2V.

זכרו כי הרצת שרתי 2003 על חומרה ישנה יחסית אשר גם עלולה לצאת מתמיכה, עלולה להוות נקודת סיכון נוספת ליציבות השרת.

הכותב הינו CTO בפליקן טק.