⚡ TL;DR - תקציר מהיר
🎯 מטרה: צמצום משטח התקיפה (Attack Surface) על ידי הסרת רכיבים מיותרים והגדרת אבטחה חזקה
🔑 עקרונות: Least Privilege + Defense in Depth + עדכונים שוטפים + ניטור מתמיד
📊 סטטיסטיקה: 80% מהפריצות ניתנות למניעה עם הקשחה נכונה
✅ חובה: MFA לכל גישה ניהולית, גיבויים מבודדים, לוגים מרוכזים
מהי הקשחת שרתים? 🔧
הקשחת שרתים (Server Hardening) היא תהליך שיטתי של צמצום נקודות התורפה בשרת על ידי הסרת רכיבים מיותרים, הגדרת הרשאות מינימליות, וחיזוק מנגנוני האבטחה. זהו לא פרויקט חד-פעמי אלא תהליך מתמשך.
שרת לא מוקשח הוא כמו בית עם דלתות וחלונות פתוחים - לא משנה כמה טוב המנעול בדלת הראשית אם החלון האחורי פתוח לרווחה.
📊 למה זה קריטי? המספרים מדברים
🎯 תחומי ההקשחה העיקריים
מערכת הפעלה
- ✓ השבתת שירותים מיותרים
- ✓ הפעלת חומת אש
- ✓ הצפנת דיסקים
- ✓ AppLocker/SELinux
ניהול גישה
- ✓ Least Privilege
- ✓ MFA חובה
- ✓ סיסמאות חזקות
- ✓ ביקורת הרשאות
אבטחת רשת
- ✓ Default Deny
- ✓ TLS 1.3
- ✓ VPN לגישה מרחוק
- ✓ הפרדת רשתות
עדכונים ופאצ'ים
- ✓ עדכוני אבטחה קריטיים
- ✓ בדיקה בסביבת Test
- ✓ תוכנית Rollback
- ✓ סריקת פגיעויות
לוגים וניטור
- ✓ ניטור התחברויות
- ✓ SIEM מרכזי
- ✓ התראות בזמן אמת
- ✓ שמירת לוגים 90+ יום
גיבוי ושחזור
- ✓ אסטרטגיית 3-2-1
- ✓ Immutable Backups
- ✓ בדיקות שחזור
- ✓ גיבוי מוצפן
💻 הקשחת מערכת ההפעלה
🪟 Windows Server
- • השבתת שירותים מיותרים
Print Spooler, Browser Service, Remote Registry
- • Windows Firewall
הפעלה + חוקים מותאמים לכל פרופיל
- • BitLocker + TPM
הצפנת דיסקים עם Recovery Key מאוחסן בטוח
- • AppLocker / WDAC
Whitelisting של תוכנות מורשות
- • Credential Guard
הגנה על LSASS מפני Mimikatz
🐧 Linux Server
- • הסרת חבילות מיותרות
apt autoremoveאוyum autoremove - • SELinux / AppArmor
Mandatory Access Control פעיל ב-Enforcing
- • iptables / nftables
Default DROP + חוקים מפורשים
- • SSH Hardening
PermitRootLogin no, מפתחות RSA בלבד
- • Fail2ban
חסימת IP אחרי ניסיונות כושלים
👥 ניהול גישה והרשאות
🎯 עקרון Least Privilege
כל משתמש, תהליך או שירות צריך לקבל רק את ההרשאות המינימליות הנדרשות לביצוע המשימה. לא יותר.
❌ לא לעשות
- • שימוש ב-Admin לעבודה יומית
- • Domain Admin לכל IT
- • root login ב-SSH
✅ לעשות
- • חשבון רגיל + הרשאה זמנית
- • Role-Based Access Control
- • sudo עם logging
🔄 לבדוק
- • ביקורת הרשאות רבעונית
- • הסרת חשבונות לא פעילים
- • Access Review אוטומטי
🔐 Multi-Factor Authentication (MFA)
חובה להפעיל עבור:
- ✓ כל גישה ניהולית (RDP, SSH, Console)
- ✓ גישה ל-Cloud portals
- ✓ VPN connections
- ✓ גישה למידע רגיש
שיטות מומלצות:
- 🥇 FIDO2 Security Keys
- 🥈 Microsoft/Google Authenticator
- ⚠️ SMS - רק כגיבוי
🌐 אבטחת רשת
פורטים נפוצים - המלצות טיפול
| פורט | שירות | המלצה |
|---|---|---|
| 23 | Telnet | חסום תמיד |
| 21 | FTP | השתמש ב-SFTP |
| 445 | SMB | הגבל לרשת פנימית |
| 3389 | RDP | VPN only |
| 22 | SSH | הגבל IP sources |
🔥 חומת אש
- • Default Deny - חסימת כל מה שלא הותר במפורש
- • פתיחת פורטים ספציפיים בלבד
- • הגבלת IP sources לשירותי ניהול
- • Logging של כל חיבור שנחסם
🔒 הצפנת תעבורה
- • TLS 1.3 בלבד לכל התקשורת
- • השבתת SSL, TLS 1.0/1.1
- • Certificate Management מסודר
- • Perfect Forward Secrecy
🔄 עדכונים וניהול פאצ'ים
תהליך עדכון מומלץ
בדיקה
בסביבת Test
Backup
Snapshot לפני עדכון
עדכון
בשעות שפל
ניטור
בדיקה אחרי עדכון
Rollback
תוכנית מוכנה
🚨 קריטי
עדכוני אבטחה קריטיים - התקנה תוך 24-48 שעות
⚠️ חשוב
עדכוני אבטחה רגילים - בדיקה שבועית
🔍 שוטף
סריקת פגיעויות - חודשית
📊 לוגים וניטור
מה לנטר?
- 👤 ניסיונות התחברות
מוצלחים + כושלים, במיוחד Admin
- 📁 שינויים בקבצי מערכת
File Integrity Monitoring
- 🌐 פעילות רשת חריגה
חיבורים יוצאים לא מוכרים
- ⚙️ שינויי הגדרות
GPO, Registry, Config files
כלים מומלצים
🪟 Windows
Event Viewer, Azure Sentinel, Windows Defender ATP
🐧 Linux
rsyslog, journalctl, auditd, OSSEC
🌍 SIEM
Splunk, ELK Stack, Graylog, QRadar
💡 טיפ חשוב: שמירת לוגים
- • שמירה מרוכזת בשרת SIEM נפרד (לא על השרת המנוטר)
- • הגנה על integrity - למנוע שינוי לוגים על ידי תוקף
- • שמירה למשך 90+ ימים לפחות (רגולציה עשויה לדרוש יותר)
💾 גיבוי ושחזור מוקשחים
אסטרטגיית גיבוי 3-2-1
עותקים
של הנתונים הקריטיים
סוגי מדיה
דיסק + ענן / קלטת
Offsite
עותק מחוץ לאתר
🔒 הקשחת גיבויים
- ✓ הפרדת גיבויים מהרשת הראשית
- ✓ הצפנת גיבויים (AES-256)
- ✓ Immutable Backups - הגנה מפני מחיקה
- ✓ Air-gapped backup לנתונים קריטיים
🧪 בדיקות שחזור
- ✓ בדיקות שחזור תקופתיות (חודשי/רבעוני)
- ✓ תיעוד של RTO/RPO בפועל
- ✓ תרגולי DR מלאים שנתיים
- ✓ אימות integrity של גיבויים
✅ Checklist להקשחת שרתים
מערכת הפעלה
- הסרת שירותים מיותרים
- עדכונים מותקנים
- חומת אש מוגדרת
- הצפנת דיסקים
- סיסמאות ברירת מחדל הוחלפו
רשת
- פורטים מיותרים חסומים
- TLS 1.3 בלבד
- VPN לגישה מרחוק
- הפרדת רשתות
גישה
- MFA מופעל
- הרשאות מינימליות
- ביקורת הרשאות תקופתית
- מדיניות סיסמאות חזקה
ניטור
- Logging מרוכז
- התראות על פעילות חשודה
- סריקות פגיעויות
- בדיקות חדירות
גיבוי
- גיבויים אוטומטיים
- בדיקות שחזור
- גיבוי offsite
- הגנה מפני מחיקה
🔧 כלים מומלצים להקשחה
🪟 Windows
- Microsoft Security Baseline - הגדרות מומלצות
- CIS Benchmarks - סטנדרטים בינלאומיים
- LAPS - ניהול סיסמאות Admin
- SCM - Security Compliance Manager
🐧 Linux
- Lynis - סריקת אבטחה מקיפה
- OpenSCAP - בדיקת תאימות
- CIS-CAT - בדיקות CIS Benchmarks
- AIDE - File Integrity
🌍 Cross-Platform
- Nessus / OpenVAS - סריקת פגיעויות
- Qualys - ניהול פגיעויות
- CrowdStrike / SentinelOne - EDR
- Ansible - Configuration Management
📝 סיכום
הקשחת שרתים היא תהליך מתמשך, לא פעולה חד-פעמית. הנקודות העיקריות לזכור:
צמצום משטח התקיפה - פחות שירותים = פחות פרצות
Least Privilege - הרשאות מינימליות לכל משתמש ושירות
עדכונים שוטפים - פאצ'ים הם קו ההגנה הראשון
ניטור ולוגים - לא תדעו שפרצו אליכם בלי ניטור
גיבויים מוקשחים - ההגנה האחרונה מפני Ransomware
MFA לכל גישה ניהולית - ללא יוצאים מן הכלל
צריכים עזרה בהקשחת השרתים שלכם?
הצוות שלנו מתמחה באבטחת תשתיות IT - משרתים פיזיים ועד ענן