6 kroků ke správnému nastavení Windows virtuálního privátního serveru (VPS)

Pořídili jste si VPS (virtuální privátní server)? Nyní je zásadní co nejdříve provést základní nastavení, které zajistí nejen bezpečnost serveru, ale i jeho bezproblémový chod. V tomto článku se zaměříme na klíčové oblasti správy serveru. Připravili jsme pro vás návody krok za krokem společně s doporučeními na konkrétní nástroje, které vám pomůžou server připravit pro správný chod. Dozvíte se:

• Jak změnit heslo admin účtu
• Jak nainstalovat potřebné role a funkce na serveru
• Jak nastavit Bránu Firewall
• Jak naplánovat aktualizace Windows OS
• Jak nastavit logování na Windows Serveru
• Jak zabezpečit server pomocí antiviru

Nastavení nového VPS serveru

Pro správu serveru lze využít Server Manager, což je vestavěný nástroj, který se automaticky spouští po přihlášení na server. Tento nástroj poskytuje přehledné rozhraní pro správu serverových rolí, aktualizací a nastavení zabezpečení.

Upozornění: Postup konfigurace VPS se může lišit v závislosti na poskytovateli a použitém operačním systému. Tento článek se zaměřuje na nastavení VPS s operačním systémem Windows Server od Active24.

Krok 1: Změna hesla administrátorského účtu

Po zřízení VPS od nás obdržíte v zřizovacím e-mailu přihlašovací údaje: IP adresu serveru a přihlašovací jméno a heslo k účtu, který je členem lokální skupiny Administrators (nejvyšší úroveň oprávnění na serveru).

Ihned po prvním přihlášení vám doporučujeme toto heslo změnit a přispět tak k lepšímu zabezpečení vašeho serveru. Heslo můžete změnit hned několika způsoby.

1. Pomocí zkratky Ctrl+Alt+End
2. Přes Server Manager

Jak změnit heslo přes Server Manager

1. V pravém horním rohu vyberte Tools.
2. Z nabídky zvolte Computer Management.
3. Otevřete Local Users and Groups > Users.
4. Pravým tlačítkem klikněte na požadovaného uživatele, kterému chcete heslo změnit (např. AdminXXXX).
5. Zvolte možnost Set Password a nastavte nové heslo.

Krok 2: Instalace potřebných rolí a funkcí na serveru

Po změně hesla je důležité nainstalovat a nakonfigurovat role a funkce, které budou odpovídat vašim potřebám a potřebám vašeho serveru.

Proč instalovat role a funkce hned po prvním přihlášení? Pokud nainstalujete role a funkce před spuštěním prvního systémového updatu, zajistíte, že se ihned stáhnou i veškeré dostupné aktualizace pro nainstalované komponenty. To znamená, že nebudete muset operační systém aktualizovat víckrát.

Jakmile nainstalujete role a funkce, budete vědět, jaké porty a IP adresy je třeba povolit v dalším kroku při konfiguraci firewallu.

Jak nainstalovat role a funkce přes Server Manager

1. Spusťte Server Manager (automaticky se otevře po přihlášení do Windows Server).
2. V pravém horním rohu klikněte na Manage a zvolte Add Roles and Features.
3. Postupujte podle průvodce, který vás provede instalací rolí a funkcí:
   • Role: Definují hlavní funkce serveru (např. webový server, DNS server, Active Directory).
   • Funkce: Podpůrné komponenty pro rozšíření základních rolí (např. .NET Framework, Windows PowerShell).
4. Po dokončení instalace restartujte server, pokud je to vyžadováno, aby se role a funkce správně zavedly.

Přehled základních rolí a funkcí

Role/Funkce	Popis	Doporučení
Webový server (IIS)	Umožňuje hostování webových stránek a aplikací	Vhodné pro webové aplikace
File and Storage Services	Umožňuje správu sdílených složek a diskových úložišť	Doporučeno pro souborové servery
DNS server	Překlad doménových jmen na IP adresy	Nutné pro interní sítě

Krok 3: Nastavení Brány Firewall

Když nastavujete virtuální privátní server (VPS), zabezpečení by mělo být vaší hlavní prioritou. Firewall hraje klíčovou roli při ochraně serveru před neoprávněným přístupem a potenciálními kybernetickými hrozbami.

Windows Firewall je na serverech aktivní už ve výchozím nastavení. Než se vrhnete na jeho konfiguraci, ověřte, že je aktivní. Udělat to můžete buď přes Server Manager, nebo klávesovou zkratkou:

• Server Manager: Otevřete Server Manager, klikněte na Tools a vyberte Windows Defender Firewall with Advanced Security.
• Klávesová zkratka: Stiskněte Win + R pro otevření dialogu Run (Spustit), napište wf.msc a stiskněte Enter.

Dle osvědčených bezpečnostních postupů je vhodné povolit pouze ty porty, které jsou nezbytné pro fungování serveru nebo aplikací. Dokumentaci k potřebným portům by měl poskytnout výrobce aplikace, případně ji naleznete v instalační příručce.

Klíčovým portem pro vzdálený přístup k vašemu serveru je port 3389 (RDP). Doporučujeme omezit přístup k tomuto portu pouze na specifické IP adresy, ze kterých se budete připojovat, abyste minimalizovali riziko neoprávněného přístupu.

Jak konfigurovat firewall pro RDP přístup (port 3389):

1. Otevřete Windows Firewall with Advanced Security dle instrukcí výše.
2. V levém menu vyberte Inbound Rules.
3. Najděte pravidlo Remote Desktop – User Mode (TCP-In).
4. Klikněte pravým tlačítkem myši a zvolte Properties.
5. Přejděte na záložku Scope a v sekci Remote IP addresses vyberte možnost These IP addresses.
6. Klikněte na Add, kde můžete zadat konkrétní IP adresu nebo rozsah IP adres.
7. Potvrďte změny tlačítky OK a Apply.

Tímto způsobem omezíte přístup k serveru pouze na vybrané IP adresy, což výrazně zvyšuje bezpečnost.

Pokud se k serveru budete připojovat primárně z domácího připojení, je lepší využít VPN, protože většina poskytovatelů internetu nenabízí statické IP adresy. VPN vám zajistí bezpečný a stabilní přístup k serveru bez ohledu na měnící se IP adresu.

Zapněte si také monitorování firewallu, abyste mohli sledovat, kdo a kdy se pokusil přistoupit k vašemu serveru. Tento nástroj může být velmi užitečný při identifikaci a řešení potenciálních bezpečnostních incidentů.

Jak si ověřit, že firewall funguje

Po konfiguraci firewallu je zásadní ověřit, že všechna pravidla fungují správně a že je váš server dostatečně zabezpečený. K tomu můžete použít tyto nástroje:

• PowerShell: Pomocí příkazů lze ověřit, které porty jsou otevřené a jestli firewall funguje dle očekávání. Příkladem níže ověříte, zda je na cílovém VPS otevřen port pro RDP z klientského zařízení:
  
  Test-Netconnection -ComputerName vpswi4567.a24net.cz -Port 3389
Test-Netconnection -ComputerName 81.95.107.123 -Port 3389

• nmap: Tento nástroj můžete spustit z vašeho počítače a otestovat, které porty jsou otevřené. Nmap můžete použít také online, například na této stránce.

Shrnutí základních firewall pravidel

Pravidlo	Protokol	Port	Doporučení
RDP přístup	TCP	3389	Omezte přístup na specifické IP adresy
Webový server (HTTP/HTTPS)	TCP	80/443	Otevřete pro veřejné IP adresy (pokud provozujete web)
Služby DNS	UDP	53	Otevřené pouze pro interní IP adresy (pokud provozujete DNS server)

Krok 4: Naplánujte aktualizace Windows OS

Aktualizace systému Windows Server jsou klíčové pro zajištění jeho bezpečnosti a stabilního výkonu. Microsoft vydává aktualizace pravidelně každé druhé úterý v měsíci v rámci tzv. Patch Tuesday. Tyto aktualizace obsahují opravy zranitelností, a zároveň zajišťují zlepšení výkonu serveru. Neaktuální systém je vystaven většímu riziku napadení malwarem, ransomwarem nebo útokům typu zero-day.

Tyto aktualizace ale zpravidla vyžadují restart serveru, který je dobré si naplánovat tak, aby to neovlivnilo vaši práci nebo chod aplikace. Proto operační systém Windows Server nabízí nastavení tzv. aktivních hodin.

Jak nastavit Windows Update

Jak otevřít nastavení aktualizací:

1. Klikněte na Start a vyberte Nastavení (ikona ozubeného kolečka).
2. Přejděte na Aktualizace a zabezpečení > Windows Update.

Jak změnit aktivní hodiny:

1. V okně Windows Update klikněte na Změnit aktivní hodiny.
2. Pokud je dostupná možnost Automaticky upravovat aktivní hodiny na základě aktivity zařízení, vypněte ji.
3. Nastavte počáteční a koncový čas, které odpovídají době, kdy je server aktivně využíván (například od 8:00 do 18:00). Maximální délka aktivních hodin může být až 18 hodin.
4. Klikněte na Uložit, aby se změny projevily.

Krok 5: Nastavení logování na Windows Serveru

V posledních letech jsou data a systémy vystaveny neustálým hrozbám a počet odhalených zranitelností se rapidně zvyšuje. Proto je důležité mít nastavené mechanismy pro sledování a zaznamenávání aktivit na vašem serveru.

Logování serveru není pouze otázkou bezpečnosti, ale také nástrojem pro správu a optimalizaci výkonu. Díky správnému nastavení logování můžete včas detekovat problémy, analyzovat bezpečnostní incidenty a být připraveni na forenzní analýzy v případě napadení.

Windows Server poskytuje vestavěný nástroj Event Viewer (Prohlížeč událostí), který slouží k záznamu a analýze událostí. Díky tomu můžete sledovat různé druhy událostí na serveru.

Jaké kategorie logování můžete v Event Vieweru sledovat

• System: Obsahuje informace o chybách a událostech na úrovni operačního systému.
• Security: Loguje události související s autentizací, pokusy o přihlášení, změny oprávnění apod. Tento protokol je klíčový pro bezpečnostní audit.
• Application: Sleduje události související s aplikacemi běžícími na serveru.

Některé důležité protokoly jsou však ve výchozím nastavení vypnuté, aby se minimalizoval dopad na výkon systému. Pro komplexní monitorování a auditování je důležité tyto protokoly povolit a optimalizovat. 

Jak povolit důkladné logování

• Otevřete Event Viewer:
  • Klikněte na Start, zadejte „Event Viewer“ a stiskněte Enter.
  • Případně otevřete dialog Run (Spustit) pomocí zkratky Win + R, zadejte eventvwr a stiskněte Enter.
• Zvolte správné protokoly:
  • V levém panelu rozbalte Windows Logs a klikněte na požadovanou kategorii, např. Security, System nebo Application.
  • Pro některé protokoly (např. Security) je třeba povolit detailnější sledování. To provedete pomocí Local Security Policy nebo Group Policy (pro větší organizace a doménové servery).
• Konfigurace auditování:
  • Otevřete Local Security Policy (v nabídce Tools v Server Manager).
  • Navigujte na Local Policies > Audit Policy.
  • Zde povolte auditování kritických událostí, jako jsou změny uživatelských účtů, pokusy o přístup k systému apod.

Co doporučujeme pro optimalizaci logování

1. Nastavte log rotation (rotaci logů): Aby logy nezaplnily disk, nastavte automatickou rotaci souborů logů, případně konfigurujte maximální velikost jednotlivých protokolů.
2. Centralizace logování: Pokud spravujete více serverů, je vhodné logy centralizovat do jednoho systému pomocí nástrojů jako Windows Event Forwarding (WEF) nebo externích řešení typu SIEM (např. Splunk nebo ELK Stack).
3. Monitorování kritických událostí: Nastavte si upozornění na určité typy událostí (např. neúspěšné pokusy o přihlášení), abyste byli informováni v reálném čase o možných bezpečnostních incidentech.

Pro lepší pochopení a pokročilou konfiguraci logování doporučujeme projít tréninkový modul od Microsoftu.

Krok 6: Zabezpečení pomocí antivirového programu

V prostředí virtuálního privátního serveru (VPS), který běží na operačním systému Windows Server, je instalace antivirového programu klíčová pro zajištění bezpečnosti. Zatímco firewall chrání server před útoky zvenčí, antivir se zaměřuje na ochranu proti malwaru, virům a dalším škodlivým souborům, které mohou infikovat server zevnitř, například prostřednictvím stažených souborů, e-mailových příloh či kompromitovaných aplikací.

Zvolte spolehlivý a ověřený antivirový software, který je kompatibilní s Windows Server a poskytuje pokročilou ochranu pro serverové prostředí. Mezi populární možnosti patří:

• Microsoft Defender for Endpoint: Integrovaný bezpečnostní nástroj přímo od Microsoftu
• ESET File Security pro servery
• Symantec Endpoint Protection
• Bitdefender GravityZone

Plánujete si VPS teprve pořídit?

Pokud teprve zvažujete přechod na VPS, prohlédněte si naše servery. Naši odborníci vám pomohou s migrací a zajistí, že váš nový server poběží hladce a bez přerušení po mnoho let.

Neváhejte nás kontaktovat a my se postaráme o vše, co potřebujete, aby váš VPS server vyhovoval všem vašim požadavkům.

Nevíte si rady? Rádi vám pomůžeme

Naše česká zákaznická podpora je vám k dispozici při každém kroku – ať už při běžném používání serveru, nebo během jeho nastavování. Pokud si s jakýmkoli krokem z tohoto článku nebudete jistí, stačí se nám ozvat. Podpora je dostupná 24/7 telefonicky, na chatu nebo mailu.

Je důležité zmínit, že v jednom článku není možné popsat ani zmínit zdaleka všechna nastavení. Pokud tedy nemáte zkušenosti se správou serverů, doporučuje se najmout odborníka, který vám nejen pomůže s nastavením, ale také zajistí pravidelnou údržbu serveru.