উইন্ডোজে কী শক্ত হচ্ছে এবং সিসাদমিন না হয়েও কীভাবে এটি প্রয়োগ করবেন

আপনি যদি সার্ভার বা ব্যবহারকারী কম্পিউটার পরিচালনা করেন, তাহলে আপনি সম্ভবত নিজেকে এই প্রশ্নটি করেছেন: আমি কীভাবে উইন্ডোজকে পর্যাপ্ত নিরাপদ করে তুলব যাতে ভালো ঘুম হয়? উইন্ডোজে শক্ত করা এটি কোনও এককালীন কৌশল নয়, বরং আক্রমণের পৃষ্ঠ কমাতে, অ্যাক্সেস সীমিত করতে এবং সিস্টেমকে নিয়ন্ত্রণে রাখার জন্য সিদ্ধান্ত এবং সমন্বয়ের একটি সেট।

কর্পোরেট পরিবেশে, সার্ভারগুলি হল ক্রিয়াকলাপের ভিত্তি: তারা ডেটা সঞ্চয় করে, পরিষেবা প্রদান করে এবং গুরুত্বপূর্ণ ব্যবসায়িক উপাদানগুলিকে সংযুক্ত করে; এই কারণেই তারা যেকোনো আক্রমণকারীর জন্য একটি প্রধান লক্ষ্য। সর্বোত্তম অনুশীলন এবং বেসলাইন দিয়ে উইন্ডোজকে শক্তিশালী করে, তুমি ব্যর্থতা কমাও, ঝুঁকিও সীমিত করো এবং আপনি এক পর্যায়ে কোনও ঘটনাকে অবকাঠামোর বাকি অংশে ছড়িয়ে পড়া থেকে রোধ করেন।

উইন্ডোজে শক্ত হওয়া কী এবং কেন এটি গুরুত্বপূর্ণ?

শক্তকরণ বা শক্তিবৃদ্ধির মধ্যে রয়েছে উপাদানগুলি কনফিগার, অপসারণ বা সীমাবদ্ধ করুন সম্ভাব্য প্রবেশপথগুলি বন্ধ করার জন্য অপারেটিং সিস্টেম, পরিষেবা এবং অ্যাপ্লিকেশনগুলির উপর নির্ভর করে। হ্যাঁ, উইন্ডোজ বহুমুখী এবং সামঞ্জস্যপূর্ণ, কিন্তু "এটি প্রায় সবকিছুর জন্য কাজ করে" পদ্ধতির অর্থ হল এটি এমন উন্মুক্ত কার্যকারিতা নিয়ে আসে যা আপনার সবসময় প্রয়োজন হয় না।

আপনি যত বেশি অপ্রয়োজনীয় ফাংশন, পোর্ট, অথবা প্রোটোকল সক্রিয় রাখবেন, আপনার দুর্বলতা তত বেশি হবে। শক্ত করার লক্ষ্য হল আক্রমণের পৃষ্ঠ কমানোসুযোগ-সুবিধা সীমিত করুন এবং কেবলমাত্র প্রয়োজনীয় জিনিসগুলিই ছেড়ে দিন, হালনাগাদ প্যাচ, সক্রিয় অডিটিং এবং স্পষ্ট নীতি সহ।

এই পদ্ধতিটি উইন্ডোজের জন্য অনন্য নয়; এটি যেকোনো আধুনিক সিস্টেমের ক্ষেত্রে প্রযোজ্য: এটি হাজার হাজার ভিন্ন পরিস্থিতি পরিচালনা করার জন্য প্রস্তুত ইনস্টল করা আছে। তাই এটি যুক্তিযুক্ত আপনি যা ব্যবহার করছেন না তা বন্ধ করুন।কারণ তুমি যদি এটি ব্যবহার না করো, তাহলে অন্য কেউ তোমার জন্য এটি ব্যবহার করার চেষ্টা করতে পারে।

কোর্সের তালিকা তৈরি করে এমন ভিত্তিরেখা এবং মানদণ্ড

উইন্ডোজে শক্ত করার জন্য, কিছু মানদণ্ড রয়েছে যেমন সিআইএস (ইন্টারনেট নিরাপত্তা কেন্দ্র) এবং DoD STIG নির্দেশিকা, এর পাশাপাশি মাইক্রোসফট নিরাপত্তার ভিত্তিরেখা (মাইক্রোসফট সিকিউরিটি বেসলাইন)। এই রেফারেন্সগুলিতে উইন্ডোজের বিভিন্ন ভূমিকা এবং সংস্করণের জন্য প্রস্তাবিত কনফিগারেশন, নীতি মান এবং নিয়ন্ত্রণগুলি অন্তর্ভুক্ত রয়েছে।

একটি বেসলাইন প্রয়োগ প্রকল্পটিকে ব্যাপকভাবে ত্বরান্বিত করে: এটি ডিফল্ট কনফিগারেশন এবং সর্বোত্তম অনুশীলনের মধ্যে ব্যবধান হ্রাস করে, দ্রুত স্থাপনার সাধারণ "ব্যবধান" এড়িয়ে যায়। তবুও, প্রতিটি পরিবেশ অনন্য এবং এটি যুক্তিযুক্ত যে পরিবর্তন পরীক্ষা করুন উৎপাদনে নেওয়ার আগে।

ধাপে ধাপে উইন্ডোজ হার্ডেনিং

প্রস্তুতি এবং শারীরিক নিরাপত্তা

সিস্টেম ইনস্টল করার আগেই উইন্ডোজের হার্ডেনিং শুরু হয়। একটি রাখুন সম্পূর্ণ সার্ভার ইনভেন্টরিনতুনগুলিকে ট্র্যাফিক থেকে আলাদা করুন যতক্ষণ না সেগুলি শক্ত হয়ে যায়, BIOS/UEFI কে পাসওয়ার্ড দিয়ে সুরক্ষিত করুন, অক্ষম করুন বহিরাগত মিডিয়া থেকে বুট করুন এবং পুনরুদ্ধার কনসোলগুলিতে অটোলগন প্রতিরোধ করে।

যদি আপনি নিজের হার্ডওয়্যার ব্যবহার করেন, তাহলে সরঞ্জামগুলি এমন স্থানে রাখুন যেখানে শারীরিক প্রবেশাধিকার নিয়ন্ত্রণসঠিক তাপমাত্রা এবং পর্যবেক্ষণ অপরিহার্য। ভৌত অ্যাক্সেস সীমিত করা যৌক্তিক অ্যাক্সেসের মতোই গুরুত্বপূর্ণ, কারণ চ্যাসি খোলা বা USB থেকে বুট করা সবকিছুকে ঝুঁকির মধ্যে ফেলতে পারে।

অ্যাকাউন্ট, শংসাপত্র এবং পাসওয়ার্ড নীতি

সুস্পষ্ট দুর্বলতাগুলি দূর করে শুরু করুন: অতিথি অ্যাকাউন্টটি নিষ্ক্রিয় করুন এবং, যেখানে সম্ভব, স্থানীয় প্রশাসককে নিষ্ক্রিয় করে বা পুনঃনামকরণ করেএকটি অ-তুচ্ছ নাম দিয়ে একটি প্রশাসনিক অ্যাকাউন্ট তৈরি করুন (প্রশ্ন উইন্ডোজ ১১ অফলাইনে কীভাবে একটি স্থানীয় অ্যাকাউন্ট তৈরি করবেন) এবং দৈনন্দিন কাজের জন্য সুবিধাবঞ্চিত অ্যাকাউন্ট ব্যবহার করে, শুধুমাত্র প্রয়োজনে "এভাবে চালান" এর মাধ্যমে সুবিধাগুলি বৃদ্ধি করে।

আপনার পাসওয়ার্ড নীতি শক্তিশালী করুন: উপযুক্ত জটিলতা এবং দৈর্ঘ্য নিশ্চিত করুন। পর্যায়ক্রমিক মেয়াদোত্তীর্ণতাব্যর্থ প্রচেষ্টার পরে পুনঃব্যবহার এবং অ্যাকাউন্ট লকআউট প্রতিরোধের জন্য ইতিহাস। আপনি যদি অনেক দল পরিচালনা করেন, তাহলে স্থানীয় শংসাপত্রগুলি ঘোরানোর জন্য LAPS এর মতো সমাধানগুলি বিবেচনা করুন; গুরুত্বপূর্ণ বিষয় হল স্ট্যাটিক শংসাপত্র এড়িয়ে চলুন এবং অনুমান করা সহজ।

 

গ্রুপ সদস্যপদ (প্রশাসক, রিমোট ডেস্কটপ ব্যবহারকারী, ব্যাকআপ অপারেটর, ইত্যাদি) পর্যালোচনা করুন এবং অপ্রয়োজনীয় সদস্যপদগুলি সরিয়ে ফেলুন। নীতি কম বিশেষাধিকার পার্শ্বীয় নড়াচড়া সীমিত করার জন্য এটি আপনার সেরা মিত্র।

নেটওয়ার্ক, ডিএনএস এবং সময় সিঙ্ক্রোনাইজেশন (এনটিপি)

একটি প্রোডাকশন সার্ভারে অবশ্যই থাকতে হবে স্ট্যাটিক আইপি, ফায়ারওয়ালের পিছনে সুরক্ষিত অংশে অবস্থিত (এবং জেনে রাখুন) সিএমডি থেকে সন্দেহজনক নেটওয়ার্ক সংযোগগুলি কীভাবে ব্লক করবেন (যখন প্রয়োজন), এবং রিডানডেন্সির জন্য দুটি DNS সার্ভার সংজ্ঞায়িত করুন। A এবং PTR রেকর্ড বিদ্যমান কিনা তা যাচাই করুন; মনে রাখবেন যে DNS প্রচার... এটা লাগতে পারে এবং পরিকল্পনা করা বাঞ্ছনীয়।

NTP কনফিগার করুন: মাত্র কয়েক মিনিটের ব্যবধান Kerberos কে ভেঙে দেয় এবং বিরল প্রমাণীকরণ ব্যর্থতার কারণ হয়। একটি বিশ্বস্ত টাইমার নির্ধারণ করুন এবং এটি সিঙ্ক্রোনাইজ করুন। পুরো নৌবহর এর বিপরীতে। যদি আপনার প্রয়োজন না হয়, তাহলে TCP/IP অথবা LMHosts লুকআপের মাধ্যমে NetBIOS এর মতো লিগ্যাসি প্রোটোকল অক্ষম করুন আওয়াজ কমান এবং প্রদর্শনী।

ভূমিকা, বৈশিষ্ট্য এবং পরিষেবা: কমই বেশি

সার্ভারের উদ্দেশ্যে আপনার প্রয়োজনীয় ভূমিকা এবং বৈশিষ্ট্যগুলি ইনস্টল করুন (IIS, .NET এর প্রয়োজনীয় সংস্করণে, ইত্যাদি)। প্রতিটি অতিরিক্ত প্যাকেজ হল অতিরিক্ত পৃষ্ঠ দুর্বলতা এবং কনফিগারেশনের জন্য। ডিফল্ট বা অতিরিক্ত অ্যাপ্লিকেশন আনইনস্টল করুন যা ব্যবহার করা হবে না (দেখুন উইনারো টুইকার: দরকারী এবং নিরাপদ সমন্বয়).

পর্যালোচনা পরিষেবা: প্রয়োজনীয় পরিষেবাগুলি, স্বয়ংক্রিয়ভাবে; যেগুলি অন্যদের উপর নির্ভরশীল, স্বয়ংক্রিয় (দেরী শুরু) অথবা সুনির্দিষ্ট নির্ভরতা সহ; যে কোনও কিছু যা মূল্য যোগ করে না, অক্ষম। এবং অ্যাপ্লিকেশন পরিষেবাগুলির জন্য, ব্যবহার করুন নির্দিষ্ট পরিষেবা অ্যাকাউন্ট ন্যূনতম অনুমতি সহ, যদি আপনি এটি এড়াতে পারেন তবে স্থানীয় সিস্টেম নয়।

ফায়ারওয়াল এবং এক্সপোজার মিনিমাইজেশন

সাধারণ নিয়ম: ডিফল্টরূপে ব্লক করুন এবং শুধুমাত্র প্রয়োজনীয় জিনিসগুলি খুলুন। যদি এটি একটি ওয়েব সার্ভার হয়, তাহলে এইচটিটিপি / এইচটিটিপিএস আর এইটুকুই; প্রশাসন (RDP, WinRM, SSH) VPN এর মাধ্যমে করা উচিত এবং সম্ভব হলে IP ঠিকানা দ্বারা সীমাবদ্ধ করা উচিত। উইন্ডোজ ফায়ারওয়াল প্রোফাইল (ডোমেন, প্রাইভেট, পাবলিক) এবং গ্রানুলার নিয়মের মাধ্যমে ভাল নিয়ন্ত্রণ প্রদান করে।

একটি ডেডিকেটেড পেরিমিটার ফায়ারওয়াল সর্বদা একটি প্লাস, কারণ এটি সার্ভারটি অফলোড করে এবং যোগ করে উন্নত বিকল্প (পরিদর্শন, আইপিএস, বিভাজন)। যাই হোক না কেন, পদ্ধতিটি একই: কম খোলা পোর্ট, কম ব্যবহারযোগ্য আক্রমণ পৃষ্ঠ।

দূরবর্তী অ্যাক্সেস এবং অনিরাপদ প্রোটোকল

শুধুমাত্র যদি একেবারে প্রয়োজন হয়, তাহলেই RDP, এনএলএ, উচ্চ এনক্রিপশনসম্ভব হলে MFA, এবং নির্দিষ্ট গ্রুপ এবং নেটওয়ার্কগুলিতে সীমিত অ্যাক্সেস। টেলনেট এবং FTP এড়িয়ে চলুন; যদি আপনার স্থানান্তরের প্রয়োজন হয়, তাহলে SFTP/SSH ব্যবহার করুন, এবং আরও ভালো, একটি ভিপিএন থেকেপাওয়ারশেল রিমোটিং এবং SSH অবশ্যই নিয়ন্ত্রণ করতে হবে: কে এবং কোথা থেকে এগুলি অ্যাক্সেস করতে পারে তা সীমাবদ্ধ করুন। রিমোট কন্ট্রোলের নিরাপদ বিকল্প হিসাবে, কীভাবে করবেন তা শিখুন Windows-এ Chrome রিমোট ডেস্কটপ সক্রিয় এবং কনফিগার করুন.

যদি আপনার এটির প্রয়োজন না হয়, তাহলে রিমোট রেজিস্ট্রেশন পরিষেবাটি অক্ষম করুন। পর্যালোচনা করুন এবং ব্লক করুন নালসেশনপাইপস y নালসেশনশেয়ারস সম্পদগুলিতে বেনামী অ্যাক্সেস রোধ করতে। এবং যদি আপনার ক্ষেত্রে IPv6 ব্যবহার না করা হয়, তাহলে প্রভাব মূল্যায়ন করার পরে এটি নিষ্ক্রিয় করার কথা বিবেচনা করুন।

প্যাচিং, আপডেট এবং পরিবর্তন নিয়ন্ত্রণ

উইন্ডোজকে আপডেট রাখুন সুরক্ষা প্যাচ উৎপাদনে যাওয়ার আগে একটি নিয়ন্ত্রিত পরিবেশে প্রতিদিন পরীক্ষা করা। প্যাচ চক্র পরিচালনার জন্য WSUS বা SCCM হল সহযোগী। তৃতীয় পক্ষের সফ্টওয়্যারটি ভুলে যাবেন না, যা প্রায়শই দুর্বল লিঙ্ক: আপডেটের সময়সূচী তৈরি করুন এবং দ্রুত দুর্বলতাগুলি ঠিক করুন।

The ড্রাইভার উইন্ডোজকে শক্তিশালী করার ক্ষেত্রে ড্রাইভারদেরও ভূমিকা রয়েছে: পুরানো ডিভাইস ড্রাইভারগুলি ক্র্যাশ এবং দুর্বলতার কারণ হতে পারে। নতুন বৈশিষ্ট্যগুলির চেয়ে স্থিতিশীলতা এবং সুরক্ষাকে অগ্রাধিকার দিয়ে নিয়মিত ড্রাইভার আপডেট প্রক্রিয়া প্রতিষ্ঠা করুন।

ইভেন্ট লগিং, অডিটিং এবং পর্যবেক্ষণ

নিরাপত্তা নিরীক্ষা কনফিগার করুন এবং লগের আকার বাড়ান যাতে প্রতি দুই দিন অন্তর অন্তর ঘোরানো না হয়। কর্পোরেট ভিউয়ার বা SIEM-এ ইভেন্টগুলিকে কেন্দ্রীভূত করুন, কারণ আপনার সিস্টেম বৃদ্ধির সাথে সাথে প্রতিটি সার্ভার পৃথকভাবে পর্যালোচনা করা অবাস্তব হয়ে ওঠে। ক্রমাগত পর্যবেক্ষণ কর্মক্ষমতা বেসলাইন এবং সতর্কতা থ্রেশহোল্ড সহ, "অন্ধভাবে গুলি চালানো" এড়িয়ে চলুন।

ফাইল ইন্টিগ্রিটি মনিটরিং (FIM) প্রযুক্তি এবং কনফিগারেশন পরিবর্তন ট্র্যাকিং বেসলাইন বিচ্যুতি সনাক্ত করতে সাহায্য করে। যেমন সরঞ্জাম Netwrix Change Tracker সম্পর্কে এগুলি কী, কে এবং কখন পরিবর্তিত হয়েছে তা সনাক্ত করা এবং ব্যাখ্যা করা সহজ করে তোলে, প্রতিক্রিয়া দ্রুততর করে এবং সম্মতিতে সহায়তা করে (NIST, PCI DSS, CMMC, STIG, NERC CIP)।

বিশ্রামের সময় এবং পরিবহনের সময় ডেটা এনক্রিপশন

সার্ভারের জন্য, বিটলকার সংবেদনশীল ডেটা সহ সমস্ত ড্রাইভের জন্য এটি ইতিমধ্যেই একটি মৌলিক প্রয়োজনীয়তা। যদি আপনার ফাইল-স্তরের গ্র্যানুলারিটি প্রয়োজন হয়, তাহলে ব্যবহার করুন... EFSসার্ভারের মধ্যে, IPsec গোপনীয়তা এবং অখণ্ডতা রক্ষা করার জন্য ট্র্যাফিক এনক্রিপ্ট করার অনুমতি দেয়, যা গুরুত্বপূর্ণ কিছু খণ্ডিত নেটওয়ার্ক অথবা কম নির্ভরযোগ্য পদক্ষেপ সহ। উইন্ডোজে শক্তকরণ নিয়ে আলোচনা করার সময় এটি অত্যন্ত গুরুত্বপূর্ণ।

অ্যাক্সেস ব্যবস্থাপনা এবং গুরুত্বপূর্ণ নীতিমালা

ব্যবহারকারী এবং পরিষেবাগুলিতে সর্বনিম্ন সুবিধার নীতি প্রয়োগ করুন। হ্যাশ সংরক্ষণ করা এড়িয়ে চলুন ল্যান ম্যানেজার এবং লিগ্যাসি নির্ভরতা ব্যতীত NTLMv1 অক্ষম করুন। অনুমোদিত Kerberos এনক্রিপশন প্রকারগুলি কনফিগার করুন এবং যেখানে ফাইল এবং প্রিন্টার ভাগ করে নেওয়া অপরিহার্য নয় সেখানে হ্রাস করুন।

ভলোরা অপসারণযোগ্য মিডিয়া (USB) সীমাবদ্ধ বা ব্লক করুন ম্যালওয়্যার এক্সফিল্ট্রেশন বা এন্ট্রি সীমিত করতে। এটি লগইন করার আগে একটি আইনি নোটিশ প্রদর্শন করে ("অননুমোদিত ব্যবহার নিষিদ্ধ"), এবং প্রয়োজন জন্য Ctrl + Alt + + দেল এবং এটি স্বয়ংক্রিয়ভাবে নিষ্ক্রিয় সেশনগুলি বন্ধ করে দেয়। এগুলি হল সহজ ব্যবস্থা যা আক্রমণকারীর প্রতিরোধ ক্ষমতা বৃদ্ধি করে।

আকর্ষণ অর্জনের জন্য সরঞ্জাম এবং অটোমেশন

প্রচুর পরিমাণে বেসলাইন প্রয়োগ করতে, ব্যবহার করুন জিপিও এবং মাইক্রোসফটের নিরাপত্তা ভিত্তিরেখা। সিআইএস নির্দেশিকা, মূল্যায়ন সরঞ্জাম সহ, আপনার বর্তমান অবস্থা এবং লক্ষ্যের মধ্যে ব্যবধান পরিমাপ করতে সাহায্য করে। যেখানে স্কেলের প্রয়োজন হয়, সেখানে সমাধান যেমন ক্যালকম হার্ডেনিং স্যুট (CHS) তারা পরিবেশ সম্পর্কে জানতে, প্রভাব পূর্বাভাস দিতে এবং কেন্দ্রীয়ভাবে নীতি প্রয়োগ করতে সাহায্য করে, সময়ের সাথে সাথে কঠোরতা বজায় রাখে।

ক্লায়েন্ট সিস্টেমে, এমন বিনামূল্যের ইউটিলিটি রয়েছে যা প্রয়োজনীয় জিনিসগুলিকে "শক্ত" করা সহজ করে। সিশারডেনার এটি পরিষেবা, ফায়ারওয়াল এবং সাধারণ সফ্টওয়্যারের সেটিংস অফার করে; হার্ডেন্টুলস সম্ভাব্যভাবে ব্যবহারযোগ্য ফাংশনগুলি অক্ষম করে (ম্যাক্রো, অ্যাক্টিভএক্স, উইন্ডোজ স্ক্রিপ্ট হোস্ট, ব্রাউজার প্রতি পাওয়ারশেল/আইএসই); এবং হার্ড_কনফিগারেটর এটি আপনাকে SRP দিয়ে খেলতে, পথ বা হ্যাশ অনুসারে সাদা তালিকাভুক্ত করতে, স্থানীয় ফাইলগুলিতে স্মার্টস্ক্রিন করতে, অবিশ্বস্ত উৎসগুলি ব্লক করতে এবং USB/DVD-তে স্বয়ংক্রিয়ভাবে সম্পাদন করতে দেয়।

ফায়ারওয়াল এবং অ্যাক্সেস: কার্যকরী ব্যবহারিক নিয়ম

সর্বদা উইন্ডোজ ফায়ারওয়াল সক্রিয় করুন, ডিফল্টরূপে ইনকামিং ইনকামিং ব্লকিং সহ তিনটি প্রোফাইল কনফিগার করুন এবং খুলুন শুধুমাত্র গুরুত্বপূর্ণ পোর্ট পরিষেবাটিতে (প্রযোজ্য হলে আইপি স্কোপ সহ)। দূরবর্তী প্রশাসন VPN এর মাধ্যমে এবং সীমিত অ্যাক্সেস সহ সর্বোত্তমভাবে করা হয়। লিগ্যাসি নিয়মগুলি পর্যালোচনা করুন এবং আর প্রয়োজন নেই এমন যেকোনো কিছু অক্ষম করুন।

ভুলে যাবেন না যে উইন্ডোজে শক্ত হওয়া কোনও স্থির চিত্র নয়: এটি একটি গতিশীল প্রক্রিয়া। আপনার বেসলাইনটি নথিভুক্ত করুন। বিচ্যুতি পর্যবেক্ষণ করেপ্রতিটি প্যাচের পরে পরিবর্তনগুলি পর্যালোচনা করুন এবং সরঞ্জামগুলির প্রকৃত কার্যকারিতার সাথে পরিমাপগুলি খাপ খাইয়ে নিন। সামান্য প্রযুক্তিগত শৃঙ্খলা, অটোমেশনের স্পর্শ এবং স্পষ্ট ঝুঁকি মূল্যায়ন উইন্ডোজকে তার বহুমুখীতা ত্যাগ না করেই ভাঙা অনেক কঠিন সিস্টেম করে তোলে।