Відкриті DNS-резолвери можуть стати мішенню для зловмисників, які використовують їх для DDoS-атак або інших кіберзагроз. Нижче наведено покрокову інструкцію з закриття відкритих DNS-резолверів на Windows Server 2022.

1. Перевірка конфігурації DNS-сервера

Спочатку необхідно перевірити, чи сервер налаштований на обробку лише запитів із довірених клієнтів (наприклад, із локальної мережі):

1. Запустіть PowerShell від імені адміністратора.
2. Виконайте команду:Get-DnsServerRecursion
3. У вихідних даних знайдіть параметр EnableRecursion:
   • True — рекурсивні запити дозволені (потрібно для внутрішньої мережі).
   • False — рекурсивні запити заборонені (рекомендується для зовнішніх серверів).

2. Обмеження доступу до DNS-сервера

Необхідно дозволити доступ лише з певних IP-адрес:

Через DNS Manager:

1. Відкрийте DNS Manager (команда dnsmgmt.msc).
2. Натисніть правою кнопкою на імені сервера → Properties.
3. Перейдіть на вкладку Interfaces.
4. Виберіть опцію Only the following IP addresses і додайте IP-адреси довірених клієнтів.

Через PowerShell:

Set-DnsServerSetting -ListenAddresses "127.0.0.1","192.168.1.1"

Замініть 127.0.0.1 і 192.168.1.1 на IP-адреси вашої мережі.

3. Вимкнення рекурсивних запитів

Рекурсивні запити дозволяють серверу шукати відповіді на зовнішніх DNS-серверах. Якщо цього не потрібно:

Через DNS Manager:

1. Відкрийте властивості сервера.
2. На вкладці Advanced зніміть прапорець із пункту Enable recursion.

Через PowerShell:

Set-DnsServerRecursion -Enable $false

4. Налаштування брандмауера

Заблокуйте доступ до порту 53 з невідомих IP-адрес:

Через Windows Defender Firewall:

1. Відкрийте Windows Defender Firewall with Advanced Security.
2. Створіть нове правило для вхідного трафіку.
3. Вкажіть Port → UDP та TCP → порт 53.
4. Дозвольте доступ лише для довірених IP-адрес.

Через PowerShell:

New-NetFirewallRule -DisplayName "Allow DNS from Trusted IPs" -Direction Inbound -Protocol UDP -LocalPort 53 -RemoteAddress 192.168.1.0/24 -Action Allow New-NetFirewallRule -DisplayName "Block DNS from Untrusted IPs" -Direction Inbound -Protocol UDP -LocalPort 53 -RemoteAddress Any -Action Block            

5. Перевірка

Після налаштування протестуйте доступність сервера:

• Скористайтеся онлайн-інструментами, наприклад, Open Resolver Test.
• Перевірте локально через PowerShell:nslookup example.com 

Запити з невідомих IP-адрес мають блокуватися.

Дотримуючись цих кроків, ви закриєте ваш DNS-сервер від зовнішніх загроз і зменшите ризик зловживань. Це базова, але важлива міра для захисту вашої мережі.

У вас є можливість підвищити рівень безпеки свого сервера, змінивши стандартний порт RDP (Remote Desktop Protocol) в Windows. Використання стандартного порту 3389 може полегшити виявлення вашого сервера зловмисниками та стати об'єктом спроб несанкціонованого доступу. У цій статті ми розглянемо, як змінити стандартний порт RDP на більш безпечний.

Крок 1: Перевірте поточний порт RDP

Перш ніж змінювати порт, переконайтеся, що у вас є доступ до сервера через RDP та що поточний порт – 3389. Відкрийте командний рядок та виконайте таку команду:

bash  

1. netstat -an | find "3389"

Якщо результат показує, що порт 3389 використовується, це означає, що RDP використовує стандартний порт.

Крок 2: Відкрийте редактор реєстру

1. Натисніть Win + R, щоб відкрити "Виконати".
2. Введіть regedit і натисніть Enter.

Крок 3: Знайдіть ключ реєстру для RDP

1. Перейдіть за наступним шляхом у реєстрі:   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
2. Знайдіть параметр PortNumber справа. Цей параметр містить поточний порт RDP. Запам'ятайте його або запишіть.

Крок 4: Змініть порт RDP

1. Правою кнопкою миші клацніть по параметру PortNumber та виберіть "Змінити".
2. Змініть значення на новий порт (наприклад, 5000 або 6000).

Крок 5: Перезавантажте службу RDP

1. Натисніть Win + R.
2. Введіть services.msc і натисніть Enter.
3. Знайдіть службу "Remote Desktop Services" та перезапустіть її.

Крок 6: Перевірте новий порт

Тепер ви можете спробувати підключитися до сервера, використовуючи новий порт. Наприклад:

bash

 mstsc.exe /v:your_server_ip:новий_порт 

Замініть your_server_ip на реальну IP-адресу свого сервера, а новий_порт – на обраний вами порт.

Важливі зауваження:

• Переконайтеся, що обраний вами порт не використовується іншими службами і не заблокований у брандмауері.
• Запам'ятайте новий порт, оскільки ви будете використовувати його для підключення до сервера.

Дотримуйтеся цих кроків обережно, і не забувайте робити резервні копії реєстру перед внесенням змін. Зміна порту RDP може покращити безпеку сервера, але вимагає уважності.

Microsoft Windows Evaluation Center надає можливість безкоштовно протестувати продукти Microsoft перед придбанням ліцензії. Серед доступних для ознайомлення продуктів — Windows 11, Windows 10 Enterprise, Windows Server 2019, Windows Server 2016 та Windows Server 2012 R2.

Це повнофункціональні версії операційних систем із попередньо встановленим ознайомлювальним ключем (Evaluation). Тривалість тестового періоду становить 90 днів для Windows 10 Enterprise та 180 днів для всіх версій Windows Server.

Після завершення пробного терміну користувач повинен або придбати ліцензію, або припинити використання. Якщо тестового періоду недостатньо, Microsoft дозволяє подовжити його за допомогою спеціальної команди.

Для продовження терміну ознайомлення в Windows 10 Enterprise необхідно у командному рядку виконати команду: slmgr.vbs -rearm.
Для Windows Server використовується команда: slmgr /rearm.

Подовжувати період тестування для Windows Server можна до 5 разів, що дозволяє використовувати Evaluation-версію загалом до 3 років (180 днів × 6).

Важливо пам’ятати, що згідно з умовами використання, ознайомлювальні версії не можна застосовувати в комерційних цілях.