Jak zabezpieczyć serwery Windows i Linux przed najczęstszymi atakami ransomware w 2025 roku
Wprowadzenie – ransomware w 2025 roku uderza głównie w serwery
W 2025 r. ponad 70% ataków ransomware jest kierowanych nie w stacje robocze, lecz w serwery produkcyjne – Windows, Linux oraz hybrydowe środowiska chmurowe. Grupy APT stosują już nie tylko szyfrowanie danych, ale również kradzież informacji, sabotaż usług, niszczenie kopii zapasowych oraz podszywanie się pod usługi systemowe.
Dlatego ochrona serwerów musi być znacznie mocniejsza niż klasyczne zabezpieczenia stosowane na desktopach. Poniżej przedstawiam praktyczne, techniczne i zgodne z dzisiejszymi standardami metody zabezpieczenia Windows Server i Linux.
1. Wzmocnienie dostępu i autoryzacji
1.1. Obowiązkowe MFA dla administratorów (Windows + Linux)
- Windows: MFA dla RDP (NPS Extension, Azure AD, Duo, FIDO2).
- Linux: MFA dla SSH (Google Authenticator, PAM + OTP, FIDO2).
Bez MFA niemal każdy atak na serwer kończy się przejęciem zdalnej konsoli.
1.2. Ograniczenie dostępu RDP/SSH tylko z zaufanych adresów
Największym błędem firm jest pozostawienie portów:
- RDP: 3389
- SSH: 22
otwartych na cały świat.
Należy użyć:
- firewalli (Windows Defender Firewall, UFW, firewalld),
- ACL w chmurze,
- jump hosta / bastion hosta,
- tuneli VPN (WireGuard, IPSec, OpenVPN).
1.3. Zasada Zero Trust i rotacja kluczy
- Linux: rotacja kluczy SSH co 90 dni, blokada loginu na hasło.
- Windows: LAPS, rotacja haseł lokalnego admina, wyłączenie nieużywanych kont.
2. Minimalizacja powierzchni ataku
2.1. Odłączenie nieużywanych usług
Na serwerach Windows:
- wyłącz SMBv1,
- wyłącz PowerShell 2.0,
- wyłącz usługi Telnet, Fax, IIS jeśli nieużywane.
Na Linux:
- usuń pakiety FTP, rlogin, rsh,
- zatrzymaj demonów, których nie potrzebujesz (CUPS, Avahi, rpcbind).
2.2. Kernel Hardening
- włącz SELinux lub AppArmor (obydwa znacznie utrudniają działania ransomware),
- aktywuj auditd,
- aktywuj fs.protected_regular / fs.protected_symlinks w sysctl.
- ConfigLock,
- Windows Defender Application Control (WDAC),
- Attack Surface Reduction (ASR Rules).
3. Ochrona danych i backupy odporne na ransomware
3.1. Kopie zapasowe z WORM (“Write Once, Read Many”)
Nowoczesne ransomware próbuje:
- usuwać snapshoty (VSS),
- szyfrować backupy sieciowe,
- niszczyć obrazy offline.
Rozwiązanie:
- immutable backup (Veeam Hardened Repository, Wasabi Immutable Storage),
- snapshoty z blokadą czasową,
- backup offline (cyber vault).
3.2. Oddzielenie backup server od domeny
Backup powinien działać:
- na osobnym VLAN-ie,
- z oddzielną domeną lub bez domeny,
- z loginami niepowiązanymi z AD.
3.3. Testy odzyskiwania danych
Każda firma powinna wykonywać:
- test odtwarzania co 30–60 dni,
- test odtwarzania bare-metal.
To jedyny sposób, aby nie obudzić się z kompletnie zniszczonym środowiskiem.
4. Wykrywanie ransomware w czasie rzeczywistym
4.1. EDR/XDR na serwerach
- Microsoft Defender for Servers,
- CrowdStrike Falcon,
- SentinelOne.
- Falco (monitoring syscalli),
- CrowdStrike / Trend Micro / Elastic Agent,
- Wazuh HIDS.
EDR wykrywa:
- szyfrowanie plików,
- uruchamianie narzędzi hakerskich (Mimikatz, SharpHound),
- podejrzane połączenia SSH/RDP,
- manipulację usługami.
4.2. Wykrywanie szyfrowania w oparciu o anomalię I/O
Nowoczesne systemy monitorują:
- ilość operacji zapisu,
- nietypową zmianę rozszerzeń plików,
- próby masowej modyfikacji w krótkim czasie.
Linux: inotify, auditd, Falco rules
Windows: ASR + Defender File Activity Anomaly Monitoring
5. Ochrona komunikacji i aktualizacje
5.1. Aktualizacje systemu i usług – automatyczne, ale kontrolowane
unattended-upgrades,- patchowanie kernela bez restartu (kpatch, ksplice).
- WSUS/Intune + harmonogram testowy,
- aktualizacje sterowników i firmware.
5.2. Segmentacja sieci
Ransomware porusza się lateralnie. Zablokujesz je dzięki:
- mikrosegmentacji,
- oddzieleniu serwerów baz danych,
- zasadom firewalli na poziomie hosta,
- VLAN-om izolującym ruch.
6. Twarde reguły antyransomware dla Windows Server
Najważniejsze reguły ASR do włączenia:
- Block Office from injecting code into other processes
- Block executable content from email and web clients
- Block credential theft (Mimikatz)
- Block unsigned PowerShell
- Block untrusted USB
- Block child processes from Office files
Ransomware często korzysta z narzędzi systemowych (LOLbins) — te reguły to blokują.
7. Twarda ochrona Linux przed atakami
7.1. SSH Hardening
- włącz
AllowUsers, - zmień port (nie jest to zabezpieczenie, ale utrudnia skanowanie),
- włącz Fail2Ban z regułami dla SSH, Nginx, Exim, Apache.
7.2. Wykorzystanie Chroot / Containerization
Umieść usługi:
- w kontenerach Docker/Podman,
- w chroot,
- w sandbox (systemd-nspawn).
Jeśli ransomware zaatakuje usługę, jego zasięg zostanie odcięty.
7.3. Ochrona plików systemowych
chattr +idla krytycznych plików, np./etc/resolv.conf,/etc/hosts, wybranych plików konfiguracyjnych.
8. Ransomware a Microsoft 365 / serwery plików
Nowoczesne kampanie ransomware celują w:
- dyski sieciowe (SMB),
- serwery SharePoint/OneDrive,
- serwery NAS.
Zabezpieczenia:
- SMB Signing + SMB Encryption,
- blokada dziedziczonych uprawnień,
- least privilege,
- alerty na masowe usuwanie lub przenoszenie plików.
Podsumowanie — wielowarstwowa ochrona to jedyna skuteczna metoda
Aby skutecznie ochronić serwery Windows i Linux przed ransomware w 2025 roku, należy stosować 8 warstw zabezpieczeń:
- MFA i ograniczenie dostępu
- Hardening i blokada nieużywanych usług
- Kopie zapasowe odporne na modyfikację
- EDR/XDR i analiza w czasie rzeczywistym
- Monitoring aktywności plików
- Aktualizacje i ochrona komunikacji
- Hardening Windows (ASR)
- Hardening Linux (SELinux, AppArmor, SSH Hardening)
To podejście znacznie utrudnia atakującym przejęcie środowiska, a jednocześnie pozwala błyskawicznie odzyskać dane w przypadku incydentu.
💾 Programy do tworzenia kopii zapasowych w systemie Windows – Kompletny przewodnik Tworzenie kopii zapasowej to podstawowy element ochrony danych. Czytaj dalej
🧯 Windows 11 – Tryb awaryjny: Kompletny przewodnik uruchamiania, naprawy i diagnostyki Tryb awaryjny (Safe Mode) w Windows 11 to Czytaj dalej
