በዊንዶውስ ውስጥ ምን እየጠነከረ ነው እና sysadmin ሳይሆኑ እንዴት እንደሚተገበሩ

የመጨረሻው ዝመና 18/11/2025
ደራሲ: ዳንኤል Terrasa

  • የመነሻ መስመሮች (CIS፣ STIG እና Microsoft) ወጥ እና ሊለካ የሚችል ማጠንከሪያን ይመራል።
  • ያነሰ ቦታ፡ አስፈላጊ የሆነውን ብቻ ይጫኑ፣ ወደቦችን እና ልዩ መብቶችን ይገድቡ።
  • መጠገኛ፣ ክትትል እና ምስጠራ በጊዜ ሂደት ደህንነትን ይጠብቃል።
  • የደህንነት አቋምዎን ለመጠበቅ በጂፒኦዎች እና መሳሪያዎች በራስ-ሰር ይስሩ።
ጠንካራ መስኮቶች

አገልጋዮችን ወይም የተጠቃሚ ኮምፒውተሮችን የምታስተዳድሩት ከሆነ ምናልባት እራስህን ይህን ጥያቄ ጠይቀህ ሊሆን ይችላል፡ ዊንዶውስ ጤናማ እንቅልፍ እንዲተኛ እንዴት ደህንነቱ የተጠበቀ እንዲሆን ማድረግ እችላለሁ? በዊንዶውስ ውስጥ ማጠንከሪያ የአንድ ጊዜ ተንኮል ሳይሆን የጥቃቱን ገጽታ ለመቀነስ፣ ተደራሽነትን ለመገደብ እና ስርዓቱን ለመቆጣጠር የውሳኔ እና ማስተካከያዎች ስብስብ ነው።

በኮርፖሬት አካባቢ, ሰርቨሮች የክወናዎች መሰረት ናቸው: መረጃን ያከማቻሉ, አገልግሎቶችን ይሰጣሉ እና ወሳኝ የንግድ ክፍሎችን ያገናኛሉ; ለዚህም ነው ለማንኛውም አጥቂ ዋና ኢላማ የሆኑት። ዊንዶውስን በምርጥ ልምዶች እና መሰረታዊ መስመሮች በማጠናከር፣ ውድቀቶችን ይቀንሳሉ, አደጋዎችን ይገድባሉ እና በአንድ ወቅት አንድ ክስተት ወደ ቀሪው የመሠረተ ልማት አውታር እንዳያድግ ይከላከላሉ.

በዊንዶውስ ውስጥ ምን እየጠነከረ ነው እና ለምን ቁልፍ ነው?

ማጠንከሪያ ወይም ማጠናከሪያ የሚከተሉትን ያካትታል ክፍሎችን ማዋቀር, ማስወገድ ወይም መገደብ ሊሆኑ የሚችሉ የመግቢያ ነጥቦችን ለመዝጋት የስርዓተ ክወናው ፣ አገልግሎቶች እና መተግበሪያዎች። ዊንዶውስ ሁለገብ እና ተኳሃኝ ነው፣ አዎ፣ ነገር ግን "ለሁሉም ነገር ይሰራል" የሚለው አካሄድ ሁል ጊዜ ከማያስፈልጉዋቸው ክፍት ተግባራት ጋር ይመጣል ማለት ነው።

ተጨማሪ የማያስፈልጉ ተግባራት፣ ወደቦች ወይም ፕሮቶኮሎች ንቁ ሆነው ባቆዩዋቸው መጠን ተጋላጭነትዎ ይጨምራል። የማጠንከር ግብ ነው። የጥቃቱን ገጽታ ይቀንሱልዩ መብቶችን ይገድቡ እና አስፈላጊ የሆነውን ብቻ ይተዉት ፣ በዘመኑ ጥገናዎች ፣ ንቁ ኦዲት እና ግልጽ ፖሊሲዎች።

ይህ አቀራረብ ለዊንዶውስ ብቻ አይደለም; በማንኛውም ዘመናዊ ስርዓት ላይ ተፈጻሚ ይሆናል፡ ተጭኗል አንድ ሺህ የተለያዩ ሁኔታዎችን ለማስተናገድ ዝግጁ ነው። ለዚህ ነው የሚመከር የማይጠቀሙትን ዝጋ።ምክንያቱም ካልተጠቀምክበት ሌላ ሰው ሊጠቀምብህ ሊሞክር ይችላል።

በዊንዶውስ ውስጥ ማጠንከሪያ

ትምህርቱን የሚወስኑ መሰረታዊ እና ደረጃዎች

በዊንዶውስ ውስጥ ለማጠንከር ፣ እንደ መመዘኛዎች አሉ። ሲአይኤስ (የበይነመረብ ደህንነት ማዕከል) እና የ DoD STIG መመሪያዎች ከ የማይክሮሶፍት ደህንነት መሰረታዊ መስመሮች (የማይክሮሶፍት ሴኩሪቲ ቤዝላይን)። እነዚህ ማጣቀሻዎች ለተለያዩ የዊንዶውስ ሚናዎች እና ስሪቶች የተመከሩ ውቅሮችን፣ የፖሊሲ እሴቶችን እና መቆጣጠሪያዎችን ይሸፍናሉ።

የመነሻ መስመርን መተግበር ፕሮጀክቱን በእጅጉ ያፋጥነዋል፡ በነባሪው ውቅር እና በምርጥ ልምዶች መካከል ክፍተቶችን ይቀንሳል፣ ፈጣን ማሰማራት የተለመደ “ክፍተቶችን” ያስወግዳል። እንደዚያም ሆኖ፣ እያንዳንዱ አካባቢ ልዩ ነው እና ይመከራል ለውጦቹን ይፈትሹ ወደ ምርት ከመውሰዳቸው በፊት.

የዊንዶውስ ማጠንከሪያ ደረጃ በደረጃ

ዝግጅት እና አካላዊ ደህንነት

በዊንዶውስ ውስጥ ማጠንከሪያ ስርዓቱ ከመጫኑ በፊት ይጀምራል. አቆይ ሀ የተሟላ የአገልጋይ ክምችትእስኪጠነክሩ ድረስ አዳዲሶችን ከትራፊክ ይለዩ፣ ባዮስ/UEFIን በይለፍ ቃል ይጠብቁ፣ ያሰናክሉ። ከውጪ ሚዲያ መነሳት እና በመልሶ ማግኛ ኮንሶሎች ላይ አውቶሎጎን ይከላከላል።

ልዩ ይዘት - እዚህ ጠቅ ያድርጉ  ሳይንቀሳቀስ በቃል በመስመር ላይ እንዴት እንደሚፃፍ

የራስዎን ሃርድዌር የሚጠቀሙ ከሆነ መሳሪያዎቹን በቦታዎች ያስቀምጡ አካላዊ መዳረሻ ቁጥጥርትክክለኛው የሙቀት መጠን እና ክትትል አስፈላጊ ናቸው. አካላዊ ተደራሽነትን መገደብ ልክ እንደ ሎጂካዊ መዳረሻ አስፈላጊ ነው፣ ምክንያቱም ቻሲስ መክፈት ወይም ከዩኤስቢ መነሳት ሁሉንም ነገር ሊያበላሽ ይችላል።

መለያዎች፣ ምስክርነቶች እና የይለፍ ቃል ፖሊሲ

ግልጽ ድክመቶችን በማስወገድ ይጀምሩ፡ የእንግዳ መለያውን ያሰናክሉ እና ከተቻለ፣ የአካባቢ አስተዳዳሪን ያሰናክላል ወይም ይሰይማልቀላል ያልሆነ ስም ያለው የአስተዳደር መለያ ይፍጠሩ (ጥያቄ በዊንዶውስ 11 ከመስመር ውጭ የአካባቢ መለያ እንዴት መፍጠር እንደሚቻል) እና አስፈላጊ ሆኖ ሲገኝ ብቻ በ"Run as" በኩል ልዩ መብቶችን ከፍ በማድረግ ለዕለት ተዕለት ተግባራት ያልተከፈሉ አካውንቶችን ይጠቀማል።

የይለፍ ቃል ፖሊሲዎን ያጠናክሩ፡ ተገቢውን ውስብስብነት እና ርዝመት ያረጋግጡ። በየጊዜው ማለቂያካልተሳኩ ሙከራዎች በኋላ መልሶ መጠቀምን እና የመለያ መቆለፍን ለመከላከል ታሪክ። ብዙ ቡድኖችን የምታስተዳድሩ ከሆነ፣ እንደ LAPS ያሉ መፍትሄዎችን አስቡበት፣ የአካባቢ ምስክርነቶችን ለማዞር፣ ዋናው ነገር ነው። የማይንቀሳቀሱ ምስክርነቶችን ያስወግዱ እና ለመገመት ቀላል.

 

የቡድን አባልነቶችን (አስተዳዳሪዎችን፣ የርቀት ዴስክቶፕ ተጠቃሚዎችን፣ የመጠባበቂያ ኦፕሬተሮችን ወዘተ) ይገምግሙ እና ማናቸውንም አላስፈላጊ የሆኑትን ያስወግዱ። መርህ የ ያነሰ መብት የጎን እንቅስቃሴዎችን ለመገደብ የእርስዎ ምርጥ አጋር ነው።

አውታረ መረብ፣ ዲ ኤን ኤስ እና የሰዓት ማመሳሰል (NTP)

የምርት አገልጋይ ሊኖረው ይገባል። የማይንቀሳቀስ IP, ከፋየርዎል ጀርባ በተጠበቁ ክፍሎች ውስጥ ይቀመጡ (እና ይወቁ አጠራጣሪ የአውታረ መረብ ግንኙነቶችን ከሲኤምዲ እንዴት ማገድ እንደሚቻል (አስፈላጊ ሲሆን) እና ሁለት የዲ ኤን ኤስ አገልጋዮች ለተደጋጋሚነት የተገለጹ ይኑሩ። የ A እና PTR መዝገቦች መኖራቸውን ያረጋግጡ; ያስታውሱ የዲ ኤን ኤስ ስርጭት… ሊወስድ ይችላል እና እቅድ ማውጣት ተገቢ ነው.

NTP አዋቅር፡ የ ደቂቃ ልዩነት ከርቤሮስን ይሰብራል እና ብርቅዬ የማረጋገጫ ውድቀቶችን ያስከትላል። የታመነ ጊዜ ቆጣሪን ይግለጹ እና ያመሳስሉት። መላውን መርከቦች በእሱ ላይ። የማያስፈልግዎ ከሆነ፣ እንደ NetBIOS በTCP/IP ወይም LMHosts ፍለጋ ያሉ የቆዩ ፕሮቶኮሎችን ያሰናክሉ ድምጽን ይቀንሱ እና ኤግዚቢሽን.

ሚናዎች፣ ባህሪያት እና አገልግሎቶች፡ ያነሰ ነው።

ለአገልጋዩ ዓላማ የሚፈልጓቸውን ሚናዎች እና ባህሪያትን ብቻ ይጫኑ (IIS፣ .NET በሚፈለገው ስሪት፣ ወዘተ)። እያንዳንዱ ተጨማሪ ጥቅል ነው። ተጨማሪ ወለል ለተጋላጭነት እና ውቅር. ጥቅም ላይ የማይውሉትን ነባሪ ወይም ተጨማሪ መተግበሪያዎችን ያራግፉ (ይመልከቱ Winaero Tweaker: ጠቃሚ እና አስተማማኝ ማስተካከያዎች).

አገልግሎቶችን ይገምግሙ: አስፈላጊዎቹን, በራስ-ሰር; በሌሎች ላይ የተመኩ ፣ በ ራስ-ሰር (የዘገየ መጀመሪያ) ወይም በደንብ ከተገለጹ ጥገኞች ጋር; ዋጋ የማይጨምር ማንኛውም ነገር፣ ተሰናክሏል። እና ለመተግበሪያ አገልግሎቶች, ይጠቀሙ ልዩ የአገልግሎት መለያዎች በትንሹ ፍቃዶች እንጂ የአካባቢ ስርዓትን ማስወገድ ከቻሉ።

ልዩ ይዘት - እዚህ ጠቅ ያድርጉ  ላልተገናኘ ሰው ዋትሳፕን እንዴት መላክ እንደሚቻል

ፋየርዎል እና የተጋላጭነት ቅነሳ

አጠቃላይ ህግ፡ በነባሪ አግድ እና አስፈላጊ የሆነውን ብቻ ይክፈቱ። የድር አገልጋይ ከሆነ አጋልጡ ኤችቲቲፒ / ኤችቲቲፒኤስ እና ያ ነው; አስተዳደር (RDP, WinRM, SSH) በ VPN እና ከተቻለ በአይፒ አድራሻ መገደብ አለበት. የዊንዶውስ ፋየርዎል በመገለጫዎች (ጎራ ፣ የግል ፣ የህዝብ) እና በጥራጥሬ ህጎች በኩል ጥሩ ቁጥጥር ይሰጣል።

የተወሰነ ፔሪሜትር ፋየርዎል ሁል ጊዜ ተጨማሪ ነው፣ ምክንያቱም አገልጋዩን ስለሚያወርድ እና ስለሚጨምር የላቀ አማራጮች (ምርመራ, አይፒኤስ, ክፍፍል). ያም ሆነ ይህ፣ አቀራረቡ አንድ ነው፡ ጥቂት ክፍት ወደቦች፣ ብዙም ጥቅም ላይ የማይውል የጥቃት ወለል።

የርቀት መዳረሻ እና ደህንነቱ ያልተጠበቀ ፕሮቶኮሎች

RDP በጣም አስፈላጊ ከሆነ ብቻ ከ ጋር NLA፣ ከፍተኛ ምስጠራከተቻለ ኤምኤፍኤ፣ እና ለተወሰኑ ቡድኖች እና አውታረ መረቦች መዳረሻን ገድቧል። ቴልኔት እና ኤፍቲፒን ያስወግዱ; ማስተላለፍ ከፈለጉ፣ SFTP/SSH ይጠቀሙ፣ እና እንዲያውም የተሻለ፣ ከ VPNPowerShell Remoting እና SSH ቁጥጥር ሊደረግባቸው ይገባል፡ ማን እና ከየት ሊደርስባቸው እንደሚችል ይገድቡ። ለርቀት መቆጣጠሪያ እንደ አስተማማኝ አማራጭ፣ እንዴት እንደሚችሉ ይወቁ Chrome የርቀት ዴስክቶፕን በዊንዶው ላይ ያግብሩ እና ያዋቅሩ.

ካላስፈለገዎት የርቀት ምዝገባ አገልግሎቱን ያሰናክሉ። ይገምግሙ እና ያግዱ NullSessionPipes y NullSessionShares ስም-አልባ የሀብቶች መዳረሻን ለመከላከል። እና በእርስዎ ጉዳይ ላይ IPv6 ጥቅም ላይ ካልዋለ ተጽእኖውን ከገመገሙ በኋላ ማሰናከል ያስቡበት።

ፋይሎችን ሳይልኩ የይለፍ ቃሎችን እንዴት ደህንነቱ በተጠበቀ ሁኔታ ለቤተሰብዎ ማጋራት እንደሚችሉ

ማስተካከል፣ ማዘመን እና ቁጥጥርን መቀየር

ዊንዶውስን ወቅታዊ ያድርጉት የደህንነት ጥገናዎች ወደ ምርት ከመሄድዎ በፊት በየቀኑ ቁጥጥር በሚደረግበት አካባቢ መሞከር. WSUS ወይም SCCM የ patch ዑደቱን ለመቆጣጠር አጋሮች ናቸው። የሶስተኛ ወገን ሶፍትዌርን አትርሳ, እሱም ብዙውን ጊዜ ደካማ አገናኝ: ማሻሻያዎችን መርሐግብር እና ድክመቶችን በፍጥነት መፍታት.

አሽከርካሪዎች ዊንዶውስ በማጠንከር አሽከርካሪዎች ሚና ይጫወታሉ፡ ጊዜ ያለፈባቸው የመሳሪያ አሽከርካሪዎች ብልሽት እና ተጋላጭነትን ሊያስከትሉ ይችላሉ። ከአዳዲስ ባህሪያት ይልቅ ለመረጋጋት እና ለደህንነት ቅድሚያ በመስጠት መደበኛ የአሽከርካሪ ማሻሻያ ሂደት ይፍጠሩ።

የክስተት ምዝግብ ማስታወሻ፣ ኦዲት እና ክትትል

በየሁለት ቀኑ እንዳይዞሩ የደህንነት ኦዲትን ያዋቅሩ እና የምዝግብ ማስታወሻ መጠን ይጨምሩ። በድርጅት መመልከቻ ወይም SIEM ውስጥ ያሉ ክስተቶችን መካከለኛ አድርግ፣ ምክንያቱም እያንዳንዱን አገልጋይ በተናጠል መገምገም ስርዓትህ እያደገ ሲሄድ ተግባራዊ ሊሆን አይችልም። የማያቋርጥ ክትትል በአፈጻጸም መነሻ መስመሮች እና የማንቂያ ገደቦች፣ “በጭፍን መተኮስ”ን ያስወግዱ።

የፋይል ኢንተግሪቲ ክትትል (FIM) ቴክኖሎጂዎች እና የውቅረት ለውጥ መከታተያ የመነሻ መስመር መዛባትን ለመለየት ያግዛሉ። እንደ መሳሪያዎች Netwrix ለውጥ መከታተያ ምን እንደተለወጠ ለማወቅ እና ለማብራራት ቀላል ያደርጉታል፣ ማን እና መቼ፣ ምላሹን በማፍጠን እና በማክበር ላይ እገዛን (NIST፣ PCI DSS፣ CMMC፣ STIG፣ NERC CIP)።

በእረፍት እና በመጓጓዣ ላይ የውሂብ ምስጠራ

ለአገልጋዮች፣ BitLocker ሚስጥራዊነት ያለው መረጃ ባላቸው ሁሉም ድራይቮች ላይ አስቀድሞ መሰረታዊ መስፈርት ነው። የፋይል ደረጃ ግርዶሽ ከፈለጉ፣ ተጠቀም... EFSበአገልጋዮች መካከል፣ IPsec ምስጢራዊነትን እና ታማኝነትን ለመጠበቅ ትራፊክን ኢንክሪፕት ለማድረግ ያስችላል። የተከፋፈሉ አውታረ መረቦች ወይም ባነሰ አስተማማኝ እርምጃዎች. በዊንዶውስ ውስጥ ስለ ማጠንከሪያ ሲወያዩ ይህ ወሳኝ ነው.

ልዩ ይዘት - እዚህ ጠቅ ያድርጉ  በዲጂታዊ መንገድ እንዴት እንደሚፈርሙ

የመዳረሻ አስተዳደር እና ወሳኝ ፖሊሲዎች

ለተጠቃሚዎች እና አገልግሎቶች አነስተኛ መብት የሚለውን መርህ ተግብር። ሃሽዎችን ከማጠራቀም ተቆጠብ ላን አስተዳዳሪ እና ከውርስ ጥገኞች በስተቀር NTLMv1ን ያሰናክሉ። የተፈቀዱ የKerberos ምስጠራ አይነቶችን ያዋቅሩ እና አስፈላጊ በማይሆንበት ቦታ የፋይል እና የአታሚ መጋራትን ይቀንሱ።

ዋጋ ተንቀሳቃሽ ሚዲያን (USB) ገድብ ወይም አግድ የማልዌር መስፋፋትን ወይም መግባትን ለመገደብ። ከመግባትዎ በፊት ህጋዊ ማስታወቂያ ያሳያል ("ያልተፈቀደ አጠቃቀም የተከለከለ")፣ እና ያስፈልገዋል Ctrl + Alt + Del እና የቦዘኑ ክፍለ-ጊዜዎችን በራስ-ሰር ያጠፋል. እነዚህ ቀላል እርምጃዎች የአጥቂውን የመቋቋም አቅም ይጨምራሉ.

መጎተቻ ለማግኘት መሳሪያዎች እና አውቶማቲክ

የመነሻ መስመሮችን በጅምላ ለመተግበር፣ ተጠቀም GPO እና የማይክሮሶፍት ደህንነት መሰረታዊ መስመሮች። የሲአይኤስ መመሪያዎች፣ ከግምገማ መሳሪያዎች ጋር፣ አሁን ባለህበት ሁኔታ እና በዒላማው መካከል ያለውን ክፍተት ለመለካት ያግዛሉ። ሚዛን በሚፈልግበት ቦታ, እንደ መፍትሄዎች CalCom Hardening Suite (CHS) ስለ አካባቢው ለመማር፣ ተጽእኖዎችን ለመተንበይ እና ፖሊሲዎችን በማእከላዊነት በመተግበር በጊዜ ሂደት ጥንካሬን ለመጠበቅ ይረዳሉ።

በደንበኛ ስርዓቶች ላይ አስፈላጊ የሆኑትን "ማጠንጠን" የሚያቃልሉ ነፃ መገልገያዎች አሉ። ሲሻርዴነር በአገልግሎቶች, በፋየርዎል እና በጋራ ሶፍትዌሮች ላይ ቅንጅቶችን ያቀርባል; Hardentools ሊበዘብዙ የሚችሉ ተግባራትን ያሰናክላል (ማክሮስ፣ አክቲቭኤክስ፣ ዊንዶውስ ስክሪፕት አስተናጋጅ፣ ፓወር ሼል/አይኤስኢ በአሳሽ)፣ እና ሃርድ_አዋቅር ከSRP፣ ከተፈቀደላቸው ዝርዝር ውስጥ በመንገድ ወይም በሃሽ፣ በአካባቢያዊ ፋይሎች ላይ ስማርት ስክሪን፣ የማይታመኑ ምንጮችን ማገድ እና በዩኤስቢ/ዲቪዲ ላይ አውቶማቲክ አፈጻጸም እንዲጫወቱ ይፈቅድልዎታል።

ፋየርዎል እና መዳረሻ: የሚሰሩ ተግባራዊ ደንቦች

ሁል ጊዜ የዊንዶውስ ፋየርዎልን ያግብሩ ፣ ሶስቱንም መገለጫዎች በነባሪ ከገቢ እገዳ ጋር ያዋቅሩ እና ይክፈቱ ወሳኝ ወደቦች ብቻ ለአገልግሎቱ (የሚመለከተው ከሆነ ከአይፒ ወሰን ጋር)። የርቀት አስተዳደር በተሻለ ሁኔታ የሚከናወነው በቪፒኤን እና በተገደበ መዳረሻ ነው። የቆዩ ህጎችን ይገምግሙ እና ከአሁን በኋላ አስፈላጊ ያልሆነን ማንኛውንም ነገር ያሰናክሉ።

በዊንዶውስ ውስጥ ማጠንከሪያ የማይለዋወጥ ምስል አለመሆኑን መርሳት የለብዎትም: ይህ ተለዋዋጭ ሂደት ነው. የመነሻ መስመርዎን ይመዝግቡ። ልዩነቶችን ይቆጣጠራልከእያንዳንዱ ማጣበቂያ በኋላ ለውጦቹን ይገምግሙ እና ልኬቶችን ከመሳሪያው ትክክለኛ ተግባር ጋር ያመቻቹ። ትንሽ ቴክኒካል ዲሲፕሊን፣ የአውቶሜሽን ንክኪ እና ግልጽ የሆነ የአደጋ ግምገማ ዊንዶውስ ሁለገብነቱን ሳይከፍል ለመስበር በጣም ከባድ ስርዓት ያደርገዋል።

የተግባር አስተዳዳሪን እና የንብረት ክትትልን እንዴት መቆጣጠር እንደሚቻል
ተዛማጅ ጽሁፎች:
የተግባር አስተዳዳሪን እና የንብረት ክትትልን እንዴት መቆጣጠር እንደሚቻል