Windows Server biztonsági checklist (10 lépés)

Egy Windows Server üzemeltetése egyben egy célpont kezelését is jelenti. A Verizon 2025 Data Breach Investigations Report szerint a biztonsági incidensek 20%-a sérülékenység kihasználásával kezdődött — ez 34%-os növekedés az előző évhez képest. A Mandiant Time-to-Exploit kutatása szerint a támadók már kb. 5 napon belül elkezdik kihasználni az újonnan közzétett sérülékenységeket — miközben a tipikus iparági javítási idő ágazattól függően 60 nap vagy több.

Ebben a résben történik a legtöbb betörés. Ez a checklist a 10 legfontosabb lépést tartalmazza, amelyekkel a legnagyobb kockázatokat zárhatja be egy Windows Serveren. Egyik sem igényel drága eszközöket vagy dedikált biztonsági csapatot. A legtöbb egy délután alatt elvégezhető.

1. Milyen gyakran kell frissíteni a Windows Servert?

Miért fontos. A közelmúlt kritikus Windows sérülékenységei között van egy RDP kliens heap-buffer túlcsordulás, amely akkor sülhet el, ha egy felhasználó rosszindulatú RDP szerverhez csatlakozik (CVE-2025-29966), egy WSUS hitelesítés nélküli távoli kódfuttatási hiba, amelyet aktívan kihasználnak (CVE-2025-59287), és egy Remote Desktop Services jogosultság-emelési nulladik napi sérülékenység (CVE-2026-21533). Bármelyik belépési pont lehet egy frissítetlen szerveren.

Teendő. Engedélyezze az automatikus Windows Update-et a biztonsági javításokhoz. Havonta ellenőrizze és alkalmazza a kumulatív frissítéseket. Prioritást élvez minden „Kritikus" vagy „Aktívan kihasznált" jelölésű javítás. Ha az automatikus frissítés nem opció, ütemezzen havi karbantartási ablakot és tartsa be.

2. Hogyan biztosítsuk a távoli asztalt (RDP)?

Miért fontos. Az RDP továbbra is a kibertámadásokban leggyakrabban kihasznált legális eszköz — a Sophos 2025 Active Adversary Report által vizsgált incidenskezelési esetek 84%-ában szerepelt. Az automatizált szkennerek perceken belül megtalálják a kitett RDP portokat.

Teendő.

• Kapcsolja be a Network Level Authentication-t (NLA) — blokkolja a hitelesítés előtti támadásokat.
• Állítson be fiókzárolási házirendet (például 10 sikertelen kísérlet / 30 perces zárolás).
• Korlátozza az RDP elérést meghatározott IP-címekre a Windows Tűzfalon keresztül.
• Ha lehetséges, helyezze az RDP-t VPN vagy Remote Desktop Gateway mögé a 3389-es port közvetlen kitétele helyett.
• Adjon hozzá automatikus brute force védelmet. A BruteFence figyeli a sikertelen RDP bejelentkezéseket (Event ID 4625) és valós időben blokkolja a támadó IP-címeket — öt perc alatt telepíthető és helyben fut, felhőfüggőség nélkül. Az ingyenes BruteFence Checker eszközzel megnézheti, mennyi támadás éri már most a szerverét.

Részletesebben olvashat a Mi az az RDP brute force támadás? és a Biztonságos-e az RDP-t kitenni az internetre? cikkeinkben.

3. Mi tesz egy jelszóházirendet erőssé 2026-ban?

Miért fontos. A kompromittált hitelesítő adatok továbbra is a betörések leggyakoribb kiindulópontja. A frissített NIST SP 800-63B Rev. 4 irányelvek jelentősen eltérnek a régi bonyolultsági szabályoktól.

Teendő.

• Állítson be minimum 15 karakteres jelszóhosszt.
• Ne kényszerítsen rendszeres jelszóváltást — csak akkor kérje a változtatást, ha kompromittálás gyanúja áll fenn.
• Ne követelje meg a bonyolultsági szabályokat (nagybetű + szám + szimbólum) — a hossz fontosabb a bonyolultságnál.
• Szűrje a jelszavakat ismert kiszivárgott listák ellen — az Azure AD Password Protection vagy az Enzoic automatikusan megteszi ezt.
• Engedélyezze a többfaktoros hitelesítést (MFA) ahol csak lehetséges.

4. Miért kell külön rendszergazdai fiókokat használni?

Miért fontos. A Microsoft AD fenyegetés-csökkentési útmutatója hangsúlyozza, hogy a túlzott jogosultságokkal rendelkező fiókok a legtöbb támadás elsődleges célpontjai. Egy rendszergazdai fiók, amelyet webböngészésre vagy e-mail olvasásra is használnak, egyetlen adathalász kattintásra van a teljes tartomány átvételétől.

Teendő.

• Hozzon létre dedikált rendszergazdai fiókokat, amelyeket kizárólag szerver-felügyelethez használ.
• A napi munkához (e-mail, webböngészés) használjon normál felhasználói fiókot.
• Soha ne jelentkezzen be szerverre Domain Admin fiókkal, hacsak nem feltétlenül szükséges.
• Rendszeresen ellenőrizze, kinek van rendszergazdai jogosultsága, és vonja meg a már nem szükséges hozzáféréseket.

5. Tartsa bekapcsolva a Windows Tűzfalat

Miért fontos. A Windows Tűzfal kikapcsolása az egyik leggyakoribb hibás konfiguráció, amelyet biztonsági auditokon találnak. Korlátlan bejövő és kimenő forgalmat tesz lehetővé.

Teendő.

• Soha ne kapcsolja ki a Windows Tűzfalat — belső hálózaton sem.
• Alapértelmezetten blokkoljon minden bejövő portot. Csak azt nyissa meg, amire a szerver tényleg szüksége van.
• Korlátozza a felügyeleti portokat (RDP 3389, SMB 445, WinRM 5985/5986) meghatározott megbízható IP-címekre.
• Blokkolja a régi NetBIOS portokat (137-139), hacsak kifejezetten nem szükségesek.

6. Kapcsolja ki a felesleges szolgáltatásokat és protokollokat

Miért fontos. Minden futó szolgáltatás potenciális támadási felület. Az olyan régi protokolloknak, mint az SMB1, ismert, aktívan kihasznált sérülékenységei vannak.

Teendő.

• Ellenőrizze, hogy az SMB1 ki van-e kapcsolva — a Windows Server 2025-ben alapértelmezetten eltávolításra került, de régebbi verziókon még aktív lehet.
• Tekintse át a futó szolgáltatásokat (services.msc) és kapcsoljon ki mindent, amire a szerver nincs szüksége.
• Kapcsolja ki a Print Spooler szolgáltatást azokon a szervereken, amelyek nem kezelnek nyomtatókat — több kritikus sérülékenység célpontja volt.
• Távolítsa el a nem használt szerver-szerepköröket és -funkciókat a Server Manageren keresztül.

7. Biztosítsa a fájlmegosztást (SMB)

Miért fontos. Az SMB az egyik leggyakrabban használt protokoll a hálózaton belüli oldalirányú mozgáshoz a kezdeti betörés után. A támadók fájlok elérésére és más gépekre való terjedésre használják.

Teendő.

• Engedélyezze az SMB aláírást — a Windows Server 2025 alapértelmezetten megköveteli kimenő kapcsolatokon. Régebbi verziókhoz a Group Policy-n keresztül engedélyezze.
• Blokkolja a TCP 445-ös portot a perimeteri tűzfalon — az SMB-nek soha nem szabad elérhetőnek lennie az internetről.
• Alkalmazza a legkisebb jogosultság elvét a megosztási engedélyeknél — kerülje a „Mindenki" teljes hozzáférésének megadását.
• Fontolja meg az SMB over QUIC használatát (elérhető Server 2025-ben) titkosított fájleléréshez VPN nélkül.

8. Állítson be naplózást és monitorozást

Miért fontos. Ha nem figyeli a naplókat, nem fogja tudni, hogy támadás alatt áll, amíg valami el nem romlik. Egy meghiúsult és egy sikeres támadás közötti különbség gyakran az, hogy valaki időben észrevette-e.

Teendő. Engedélyezze az auditálást és figyelje ezeket a kritikus Event ID-ket:

| Event ID | Mit jelent | |----------|------------| | 4625 | Sikertelen bejelentkezés — brute force jelző | | 4624 | Sikeres bejelentkezés — ki jelentkezik be | | 4740 | Fiók zárolva | | 1102 | Audit napló törölve — lehetséges manipuláció | | 4732 | Tag hozzáadva biztonsági csoporthoz | | 4719 | Audit házirend módosítva | | 4104 | PowerShell szkriptblokk végrehajtva |

Továbbítsa a naplókat egy központi helyre — SIEM-be, naplógyűjtőbe, vagy legalább egy külön szerverre. Ha a naplók csak azon a gépen léteznek, amelyik kompromittálódik, akkor használhatatlanok.

9. Milyen mentési stratégia véd a zsarolóvírusok ellen?

Miért fontos. A zsarolóvírusok először a biztonsági mentéseket célozzák. A klasszikus 3-2-1 mentési szabály (3 másolat, 2 adathordozó típus, 1 külső helyen) önmagában már nem elegendő.

Teendő. Kövesse a frissített 3-2-1-1-0 szabályt:

• 3 másolat az adatairól.
• 2 különböző tárolótípus (például helyi lemez + felhő).
• 1 másolat külső helyszínen.
• 1 másolat, amely megváltoztathatatlan vagy offline — digitálisan zárolva, így senki, még egy rendszergazda sem módosíthatja vagy törölheti egy meghatározott ideig.
• 0 hiba — rendszeresen tesztelje a visszaállítást. Egy mentés, amelyet soha nem tesztelt, nem mentés.

10. Kövesse nyomon az új sérülékenységeket

Miért fontos. A fenyegetettségi környezet hetente változik. Csak 2025-2026-ban több kritikus RDP sérülékenységet hoztak nyilvánosságra — köztük heap-buffer túlcsordulásokat, path traversal támadásokat és jogosultság-emelési nulladik napi hibákat. Elengedhetetlen, hogy ezekről a támadók előtt szerezzen tudomást.

Teendő.

• Iratkozzon fel a Microsoft Security Update Guide értesítéseire.
• Kövesse a CISA Known Exploited Vulnerabilities Catalog listáját — ezek azok, amelyeket aktívan használnak támadásokban.
• Évente tekintse át a CIS Benchmarks for Windows Server ajánlásokat és hasonlítsa össze a saját konfigurációjával.
• Rendszeresen ellenőrizze szervere kitettségét. Az ingyenes BruteFence Checker megmutatja, hány sikertelen bejelentkezési kísérlet érkezett az elmúlt 30 napban.

Kezdje egyetlen lépéssel

Nem kell mind a tízet ma elvégeznie. Válassza ki azt, amelyik a legnagyobb hiányosságot pótolja — a legtöbb szerver esetében ez a frissítés, az RDP biztonság vagy a jelszóházirend — és idővel haladjon végig a listán. Minden lépés érdemben csökkenti a támadási felületet, és egyikhez sem kell nagy költségvetés.

Ha szeretné látni, hol áll most a szervere, a BruteFence Checker gyors 30 napos pillanatképet ad a sikertelen bejelentkezésekről. Ha pedig folyamatos, automatikus RDP védelmet szeretne, a BruteFence 7 napos ingyenes próbaverziót kínál.