Bảo mật VPS Windows là một công việc rất quan trọng và cần thiết nhằm đảm bảo hệ thống VPS hoạt động hiệu quả, tránh bị xâm nhập, chiếm đoạt, phá hoại dữ liệu, tài nguyên gây ảnh hưởng nghiêm trọng đến công việc, tài chính .v.v của người dùng. Nếu bạn vẫn chưa biết các bí quyết để bảo mật VPS Windows thì hãy đọc ngay bài viết sau đây. Bài viết này sẽ hướng dẫn bạn những cách vô cùng hiệu quả và chi tiết để đảm bảo an toàn cho hệ thống máy chủ VPS của bạn.
Bạn đang làm quen và mới sử dụng VPS, đừng lo lắng, hãy tham khảo bài viết sau nhé: Hướng Dẫn Sử Dụng VPS Windows Với Remote Desktop Chi Tiết Nhất
Cách kiểm tra đảm bảo bảo mật VPS Windows
Đặt mật khẩu có độ phức tạp cao
Nói đến vấn đề bảo mật VPS Windows, việc bạn sử dụng mật khẩu có độ phức tạp cao là vô cùng cần thiết. Tuy nhiên, hầu hết những người dùng dịch vụ VPS đều không quan trọng điều này. Việc đặt mật khẩu khó đoán sẽ tránh được sự xâm nhập của người khác vô cùng hiệu quả. Dưới đây là một số gợi ý dành cho bạn khi đặt mật khẩu:
- Nên sử dụng mật khẩu có kết hợp chữ viết hoa, viết thường, chữ số và các ký tự đặc biệt.
- Mật khẩu nên dài ít nhất từ 10 ký tự.
- Tránh việc sử dụng một kiểu mật khẩu cho nhiều VPS.
Với việt tạo mật khẩu phức tạp, trường hợp chính chủ quên mật khẩu cũng có thể xảy ra. Để an toàn hơn trong việc bảo mật VPS Windows, ghi nhớ các mật khẩu như vậy, bạn nên ghi chú lại khi đặt để tránh các trường hợp quên mật khẩu sau này.
Bảo mật Remote Desktop Connection
Remote Desktop Connection là một tính năng được tích hợp sẵn trên hệ điều hành Windows. Nó cho phép người dùng truy cập cũng như điều khiển hệ thống từ xa qua kết nối Internet hoặc hệ thống mạng nội bộ. Do vậy, việc bảo mật Remote Desktop Connection rất quan trọng.
Port kết nối mặc định của các kết nối thông qua Remote Desktop là 3389, người dùng nên thay đổi Port mặc định này để nâng cao bảo mật VPS Window. Các bạn hãy làm theo hướng dẫn mở port Remote Desktop dưới đây để thay đổi Port kết nối mặc định cho Remote Desktop:
Bước 1: Mở công cụ Search của Windows và nhập vào từ khóa “registry editor” hoặc dùng tổ hợp phím Windows + R và nhập cụm từ regedit.exe vào hộp thoại Run sau đó bấm Enter để mở chương trình Registry Editor.
Lưu ý: Trước khi thực hiện các chỉnh sửa bất kỳ trong Registry Editor, người dùng nên lưu lại trước một bản dự phòng để tránh tình trạng thực hiện cấu hình sai, ảnh hưởng tới hệ thống. Để lưu trữ tài liệu dự phòng, người dùng cần nhấp chuột phải vào registry muốn được backup, sau đó chọn Export và tiếp tục chọn nơi sẽ dùng để lưu trữ bản dự phòng.
Bước 2: Để thay đổi Port mặc định của Remote Desktop, bạn cần có phần mềm scan port, truy cập đường link sau trên Registry Editor: HKEY_LOCAL_MACHINE_System_CurrentControlSet_Control_Terminal Server_WinStations_RDP-Tcp_PortNumber
Bước 3: Nhấn chuột phải vào dòng chữ PortNumber, rồi chọn Modify…
Bước 4: Tại cửa sổ Edit DWORD, người dùng cần chọn Decimal để có thể sử dụng số thập phân, sau đó thay đổi Port hoạt động ở ô Value data, rồi bấm OK.
Bước 5: Sau đó, để truy cập vào và điều khiển máy chủ VPS từ xa, người dùng truy cập vào VPS với địa chỉ như sau: <hostname>:<port> hay <địa chỉ IP>:<port> là hoàn thành thiết lập bảo mật VPS Windows.
Chặn các IP Quốc tế
Hầu hết các cuộc tấn công DoS/DDoS thường được các chuyên gia ghi nhận bắt nguồn từ IP nước ngoài. Để hạn chế tình trạng này, tăng độ bảo mật VPS Windows, bạn có thể sử dụng cách chủ động cấu hình Windows Firewall (tường lửa ) như sau:
Bước 1: Tải file script PowerShell về tại đường link sau và giải nén: live.vinahost.vn/img/232/import_firewall_blocklist.zip
Bước 2: Mở công cụ Search của Windows, gõ từ khóa “windows powershell“, sau đó nhấp chuột phải vào kết quả vừa tìm được, nhấn chọn Run as Administrator.
Bước 3: Thực thi lần lượt các lệnh như sau:
- PowerShell.exe -ExecutionPolicy Bypass => Cấu hình policy cho thực thi file script PowerShell
- cd Desktop => Di chuyển đến thư mục có chứa file script (ví dụ như bạn đang đặt tại Desktop).
- .\Import-Firewall-Blocklist.ps1 -zone CN => Thực thi script, với CN là mã quốc gia muốn chặn, tra cứu mã quốc gia tại www.worldatlas.com/aatlas/ctycodes.htm
Bạn có thể thực hiện chặn IP từ nhiều quốc gia khác nhau thông qua việc thực thi lại các lệnh trên, sau đó thay thế bằng mã quốc gia muốn chặn.
- PowerShell.exe -ExecutionPolicy Restricted => Cấu hình lại policy để thực thi file script PowerShell
Như vậy bạn đã hoàn tất việc chặn các IP từ các quốc gia không mong muốn.
Vô hiệu hóa giao thức SMB
SMB ( hay Server Message Block) là một giao thức của hệ điều hành Windows cho phép người dùng có thể chia sẻ máy in, tập tin, serial port… qua lại giữa các máy. Tuy nhiên, để đề phòng trường hợp bị kẻ xấu tìm đến lỗ hổng bảo mật bằng giao thức SMB, người dùng có thể chủ động vô hiệu hóa giao thức này trên hệ thống Server/VPS theo cách sau:
Vô hiệu hóa SMB Server
Bước 1: Mở công cụ Search của Windows, gõ từ khóa “windows powershell“, sau đó nhấp chuột phải vào kết quả vừa tìm được, chọn Run as Administrator.
Bước 2: Thực thi các lệnh sau:
- Đối với Windows server 2012:
- Set-SmbServerConfiguration -EnableSMB1Protocol $false
- Set-SmbServerConfiguration -EnableSMB2Protocol $false
- Đối với Windows Server 2008:
- HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
- HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
Bước 3: Khởi động lại Server/VPS
Vô hiệu hóa SMB Client
Bước 1: Mở công cụ Search của Windows, gõ từ khóa “windows powershell“, sau đó nhấp chuột phải vào kết quả vừa tìm được, chọn Run as Administrator.
Bước 2: Thực thi các lệnh sau:
- sc.exe config_lanmanworkstation_depend= bowser/mrxsmb20/nsi
- sc.exe config_mrxsmb10 start= disabled
- sc.exe config_lanmanworkstation_depend= bowser/mrxsmb10/nsi
- sc.exe config_mrxsmb20 start= disabled
Bước 3: Khởi động lại Server/VPS
Cập nhật phiên bản mới nhất cho Windows
Thường xuyên thực hiện quá trình cập nhật Windows là một trong những cách hiệu quả để ngăn chặn tình trạng bị kẻ xấu khai thác lỗ hổng bảo mật VPS Window. Người dùng có thể thiết lập để Windows tự động cập nhật nhằm tăng cường bảo mật VPS Windows như sau:
- Truy cập Control Panel, sau đó chọn System and Security, rồi chọn Windows Update.
- Nếu Server/VPS của bạn chưa từng được thực hiện cập nhật trước đó hoặc tính năng tự động cập nhật đang bị tắt, bạn cần bấm vào Turn on automatic updates.
- Ngoài ra, bạn có thể tự chọn lịch thực hiện kế hoạch cập nhật Windows thông qua việc chọn mục Change settings ở phía bên trái, rồi chọn vào kế hoạch cập nhật bạn mong muốn:
- Thông thường, sau khi bạn cập nhật xong một số bản vá nhất định, hệ điều hành Windows sẽ yêu cầu bạn khởi động lại hệ thống để có thể hoàn tất quá trình cập nhật.
Cài đặt phần mềm Antivirus
VPS nhìn chung rất dễ bị tấn công bởi vi-rút, các phần mềm quảng cáo, gián điệp, … do nhiều trình duyệt chạy trên đó. Do đó, bạn cần cài đặt các phần mềm Antivirus dùng để ngăn chặn nguy cơ bị virus xâm nhập, bảo mật VPS Windows.
Hiện nay, có rất nhiều phần mềm diệt Virus từ miễn phí đến trả phí. Mặc định Windows Defender được tích hợp từ Windows 7 trở lên đã đủ cho các yêu cầu bảo mật cơ bản . Tuy nhiên tùy theo yêu cầu và mục đích, các bạn nên tham khảo thêm các phần mềm diệt Virus uy tín của các bên thứ 3 để bổ sung và hỗ trợ cho công tác bảo mật VPS trở nên hoàn hảo và tốt nhất.
Phát hiện và ngăn chặn xâm nhập
Để có thể thiết lập công cụ giúp phát hiện và ngăn chặn các xâm nhập trên VPS, bảo mật VPS Windows , bạn cần thuê các chuyên gia am hiểu trong lĩnh vực này. Đơn giản và hiệu quả nhất là bạn nên liên hệ với các nhà cung cấp Windows VPS cho bạn để được tư vấn, trợ giúp.
Để thực hiện, bạn cần phải có một phần mềm giống tường lửa để tiến hành phân tích lưu lượng truy cập mạng thời gian thực vào VPS. Ngoài ra, chữ ký tấn công cũng phải được xác định bởi phần mềm này.
Cài đặt tường lửa
Hệ điều hành Windows luôn trang bị sẵn một hệ thống tường lửa giúp người dùng bảo vệ các trình duyệt cũng như máy chủ một cách tốt nhất. Hệ thống này có thể giúp ngăn chặn hầu hết các phần mềm độc hại và hacker, đảm bảo an toàn cho VPS của bạn. Do đó, việc cài đặt tường lửa cho VPS là một lựa chọn nâng cao tính bảo mật đơn giản và hiệu quả nhất.
Vô hiệu hoá tài khoản Admin mặc định và cấp quyền Admin mới
Với lần đầu sử dụng VPS, bạn sẽ được nhà cung cấp tạo cho một tài khoản Admin mặc định. Tuy nhiên, độ an toàn của tài khoản này không được chắc chắn và rất dễ bị tấn công, khó bảo mật VPS Windows.
Do đó, để đảm bảo sự an toàn cho VPS, người dùng nên vô hiệu hóa tài khoản Admin mặc định. Sau đó, tự mình thiết lập nên một tài khoản Admin mới. Tài khoản này có thể cung cấp cho bạn đầy đủ các quyền quản lý , đồng thời ngăn chặn khả năng bị xâm nhập hiệu quả.
Với bài viết chia sẻ cách bảo mật VPS Windows hiệu quả, hy vọng người dùng có thể dễ dàng áp dụng và đảm bảo an toàn cho thiết bị của mình.
