- Ang mga baseline (CIS, STIG ug Microsoft) naggiya sa makanunayon ug masukod nga pagpatig-a.
- Gamay nga espasyo: i-install lang kung unsa ang hinungdanon, limitahan ang mga pantalan ug mga pribilehiyo.
- Ang pag-patch, pag-monitor, ug pag-encrypt nagpatunhay sa seguridad sa paglabay sa panahon.
- Pag-automate sa mga GPO ug mga himan aron mapadayon ang imong postura sa seguridad.
Kung nagdumala ka sa mga server o mga kompyuter sa tiggamit, lagmit nakapangutana ka sa imong kaugalingon niini nga pangutana: unsaon nako paghimo nga luwas ang Windows aron matulog nga maayo? pagpagahi sa Windows Dili kini usa ka us aka limbong, apan usa ka hugpong sa mga desisyon ug mga pagbag-o aron makunhuran ang sulud sa pag-atake, limitahan ang pag-access, ug huptan nga kontrolado ang sistema.
Sa usa ka palibot sa korporasyon, ang mga server mao ang pundasyon sa mga operasyon: nagtipig sila og datos, naghatag serbisyo, ug nagkonektar sa mga kritikal nga sangkap sa negosyo; mao nga sila usa ka panguna nga target sa bisan kinsa nga tig-atake. Pinaagi sa pagpalig-on sa Windows nga adunay labing kaayo nga mga gawi ug mga sukaranan, Gipamenos nimo ang mga kapakyasan, imong gilimitahan ang mga risgo ug imong gipugngan ang usa ka insidente sa usa ka punto gikan sa pagsaka ngadto sa uban nga mga imprastraktura.
Unsa ang hardening sa Windows ug ngano nga kini yawe?
Ang hardening o reinforcement naglangkob sa pag-configure, pagtangtang o pagpugong sa mga sangkap sa operating system, mga serbisyo, ug mga aplikasyon sa pagsira sa mga potensyal nga entry point. Ang Windows kay versatile ug compatible, oo, pero kanang "work for almost everything" approach nagpasabot nga naay open functionality nga dili nimo kinahanglan.
Ang labi ka wala kinahanglana nga mga gimbuhaton, pantalan, o mga protocol nga imong gipadayon nga aktibo, mas dako ang imong pagkahuyang. Ang tumong sa pagpatig-a mao ang pagpakunhod sa nawong sa pag-atakeLimitahi ang mga pribilehiyo ug ibilin lamang ang gikinahanglan, nga adunay pinakabag-o nga mga patch, aktibo nga pag-awdit, ug klaro nga mga palisiya.
Kini nga pamaagi dili talagsaon sa Windows; magamit kini sa bisan unsang modernong sistema: na-install kini nga andam sa pagdumala sa usa ka libo nga lainlaing mga senaryo. Mao nga kini gitambagan Isira ang wala nimo gamita.Tungod kay kung dili nimo kini gamiton, tingali adunay lain nga mosulay sa paggamit niini alang kanimo.
Mga sukaranan ug mga sumbanan nga nagplano sa kurso
Alang sa pagpagahi sa Windows, adunay mga benchmark sama sa CIS (Sentro sa Seguridad sa Internet) ug ang DoD STIG nga mga giya, dugang pa sa Mga Baseline sa Microsoft Security (Microsoft Security Baselines). Kini nga mga pakisayran naglangkob sa girekomendar nga mga configuration, mga bili sa palisiya, ug mga kontrol alang sa lain-laing mga tahas ug mga bersyon sa Windows.
Ang pagpadapat ug baseline makapapaspas pag-ayo sa proyekto: makapamenos kini sa mga kal-ang tali sa default configuration ug sa labing maayong mga gawi, paglikay sa "mga kal-ang" nga kasagaran sa paspas nga pagdeploy. Bisan pa, ang matag palibot talagsaon ug kini gitambagan sulayi ang mga pagbag-o sa wala pa sila dad-on ngadto sa produksyon.
Windows Hardening Lakang sa Lakang
Pagpangandam ug pisikal nga seguridad
Ang pagpagahi sa Windows magsugod sa dili pa ma-install ang sistema. Ipadayon a kompleto nga imbentaryo sa serverIlain ang mga bag-o gikan sa trapiko hangtod nga sila gahi, panalipdan ang BIOS / UEFI gamit ang usa ka password, pag-disable boot gikan sa eksternal nga media ug gipugngan ang autologon sa recovery consoles.
Kung mogamit ka sa imong kaugalingon nga hardware, ibutang ang kagamitan sa mga lokasyon nga adunay kontrol sa pisikal nga pag-accessAng husto nga temperatura ug pag-monitor hinungdanon. Ang paglimite sa pisikal nga pag-access sama ka hinungdanon sa lohikal nga pag-access, tungod kay ang pag-abli sa usa ka chassis o pag-boot gikan sa USB mahimong makompromiso ang tanan.
Mga account, kredensyal, ug palisiya sa password
Pagsugod pinaagi sa pagwagtang sa dayag nga mga kahuyang: pag-disable sa guest account ug, kung mahimo, nag-disable o nag-ilis sa ngalan sa lokal nga AdministratorPaghimo usa ka administratibo nga account nga adunay dili hinungdanon nga ngalan (query Giunsa paghimo ang usa ka lokal nga account sa Windows 11 offline) ug naggamit ug walay pribilehiyo nga mga account alang sa adlaw-adlaw nga buluhaton, nga nagpataas sa mga pribilehiyo pinaagi sa "Pagdagan ingon" lamang kung gikinahanglan.
Lig-ona ang polisiya sa imong password: siguroha ang tukma nga pagkakomplikado ug gitas-on. periodic expirationKasaysayan aron mapugngan ang paggamit pag-usab ug pag-lock sa account pagkahuman sa napakyas nga mga pagsulay. Kung nagdumala ka daghang mga team, hunahunaa ang mga solusyon sama sa LAPS aron i-rotate ang mga lokal nga kredensyal; ang importante mao likayi ang static nga mga kredensyal ug dali nga makatag-an.
Ribyuha ang mga membership sa grupo (Mga Administrator, Mga Gumagamit sa Remote Desktop, Mga Operator sa Pag-backup, ug uban pa) ug kuhaa ang bisan unsang wala kinahanglana. Ang prinsipyo sa ubos nga pribilehiyo Kini ang imong labing maayo nga kaalyado sa paglimite sa mga paglihok sa kilid.
Network, DNS ug time synchronization (NTP)
Kinahanglan adunay usa ka server sa produksiyon Static IP, mahimutang sa mga bahin nga giprotektahan luyo sa firewall (ug nahibal-an Giunsa pag-block ang mga kadudahang koneksyon sa network gikan sa CMD (kung gikinahanglan), ug adunay duha ka DNS server nga gihubit alang sa redundancy. Tinoa nga ang mga rekord sa A ug PTR anaa; hinumdomi nga ang DNS propagation... mahimo kini Ug maayo nga magplano.
I-configure ang NTP: ang usa ka pagtipas sa pipila lang ka minuto makaguba sa Kerberos ug hinungdan sa talagsaong mga kapakyasan sa pag-authenticate. Ipasabut ang usa ka kasaligan nga timer ug i-synchronize kini. ang tibuok panon sa mga barko batok niini. Kung dili nimo kinahanglan, i-disable ang mga legacy protocol sama sa NetBIOS sa TCP/IP o pagpangita sa LMHosts pagpakunhod sa kasaba ug exhibition.
Mga tahas, mga bahin ug mga serbisyo: dili kaayo daghan
I-install lamang ang mga papel ug mga bahin nga imong gikinahanglan alang sa katuyoan sa server (IIS, .NET sa gikinahanglan nga bersyon niini, ug uban pa). Ang matag dugang nga pakete mao ang dugang nga nawong alang sa mga kahuyangan ug pag-configure. I-uninstall ang default o dugang nga mga aplikasyon nga dili magamit (tan-awa Winaero Tweaker: Mapuslanon ug Luwas nga Pag-adjust).
Pagrepaso sa mga serbisyo: ang gikinahanglan, awtomatiko; kadtong nagsalig sa uban, sa Awtomatiko (nalangan nga pagsugod) o uban sa maayong pagkahubit nga mga dependency; bisan unsa nga dili makadugang bili, disabled. Ug alang sa mga serbisyo sa aplikasyon, gamita piho nga mga account sa serbisyo nga adunay gamay nga pagtugot, dili Lokal nga Sistema kung mahimo nimo kini malikayan.
Pagminus sa firewall ug pagkaladlad
Ang kinatibuk-ang lagda: i-block pinaagi sa default ug ablihi lang kung unsa ang kinahanglan. Kung kini usa ka web server, ibutyag HTTP / HTTPS Ug mao kana; Ang administrasyon (RDP, WinRM, SSH) kinahanglan buhaton sa VPN ug, kung mahimo, higpitan sa IP address. Ang Windows Firewall nagtanyag og maayong kontrol pinaagi sa mga profile (Domain, Private, Public) ug granular nga mga lagda.
Ang usa ka gipahinungod nga perimeter firewall kanunay nga usa ka plus, tungod kay kini nag-offload sa server ug nagdugang abante nga kapilian (inspeksyon, IPS, pagbahin). Sa bisan unsa nga kaso, ang pamaagi parehas: gamay nga bukas nga mga pantalan, dili kaayo magamit nga nawong sa pag-atake.
Hilit nga pag-access ug dili sigurado nga mga protocol
RDP lamang kung gikinahanglan gayud, uban sa NLA, taas nga encryptionMFA kung mahimo, ug gipugngan ang pag-access sa piho nga mga grupo ug network. Likayi ang telnet ug FTP; kung kinahanglan nimo ang pagbalhin, gamita ang SFTP/SSH, ug mas maayo pa, gikan sa VPNKinahanglang kontrolahon ang PowerShell Remoting ug SSH: limitahan kung kinsa ang maka-access niini ug diin gikan. Isip usa ka luwas nga alternatibo alang sa remote control, pagkat-on unsaon I-aktibo ug i-configure ang Chrome Remote Desktop sa Windows.
Kung dili nimo kinahanglan, i-disable ang serbisyo sa Remote Registration. Pagrepaso ug pag-block NullSessionPipes y NullSessionShares aron mapugngan ang dili mailhan nga pag-access sa mga kapanguhaan. Ug kung wala gigamit ang IPv6 sa imong kaso, ikonsiderar ang pag-disable niini pagkahuman masusi ang epekto.
Pag-patching, pag-update, ug pagkontrol sa pagbag-o
Ipadayon ang Windows hangtod karon mga patch patch Adlaw-adlaw nga pagsulay sa usa ka kontrolado nga palibot sa wala pa mobalhin sa produksiyon. Ang WSUS o SCCM mga kaalyado sa pagdumala sa patch cycle. Ayaw kalimti ang software sa ikatulo nga partido, nga kasagaran ang huyang nga link: pag-iskedyul sa mga update ug pag-ayo dayon sa mga kahuyangan.
ang drayber Ang mga drayber adunay papel usab sa pagpagahi sa Windows: ang mga karaan nga mga drayber sa aparato mahimong hinungdan sa mga pagkahagsa ug pagkahuyang. Paghimo usa ka regular nga proseso sa pag-update sa drayber, pag-una sa kalig-on ug seguridad kaysa bag-ong mga bahin.
Pag-log sa panghitabo, pag-audit, ug pag-monitor
I-configure ang pag-audit sa seguridad ug dugangi ang gidak-on sa log aron dili sila magtuyok matag duha ka adlaw. Isentralisa ang mga panghitabo sa usa ka corporate viewer o SIEM, tungod kay ang pagrepaso sa matag server nga tagsa-tagsa mahimong dili praktikal samtang ang imong sistema motubo. padayon nga pagmonitor Uban sa mga baseline sa performance ug alert threshold, likayi ang "pagpabuto nga buta".
Ang mga teknolohiya sa File Integrity Monitoring (FIM) ug pagsubay sa pagbag-o sa configuration makatabang sa pag-ila sa mga baseline deviations. Mga himan sama sa Pagsubay sa Pagbag-o sa Netwrix Gipasayon nila ang pag-ila ug pagpatin-aw kung unsa ang nausab, kinsa ug kanus-a, pagpadali sa pagtubag ug pagtabang sa pagsunod (NIST, PCI DSS, CMMC, STIG, NERC CIP).
Pag-encrypt sa datos sa pagpahulay ug sa pagbiyahe
Para sa mga server, Bitlocker Kini usa na ka sukaranan nga kinahanglanon sa tanan nga mga drive nga adunay sensitibo nga datos. Kung kinahanglan nimo ang file-level granularity, gamita... EFSTaliwala sa mga server, gitugotan sa IPsec ang trapiko nga ma-encrypt aron mapreserbar ang kompidensyal ug integridad, usa ka butang nga hinungdanon gibahin nga mga network o uban sa dili kaayo kasaligan nga mga lakang. Importante kini kung maghisgot sa hardening sa Windows.
Pagdumala sa pag-access ug kritikal nga mga palisiya
Gamita ang prinsipyo sa labing gamay nga pribilehiyo sa mga tiggamit ug serbisyo. Likayi ang pagtipig sa mga hash sa LAN Manager ug disable NTLMv1 gawas sa legacy dependencies. I-configure ang gitugotan nga mga tipo sa pag-encrypt sa Kerberos ug pakunhuran ang pagpaambit sa file ug printer kung dili kini kinahanglanon.
Bili Limitahi o babagan ang matangtang nga media (USB) aron limitahan ang malware exfiltration o pagsulod. Nagpakita kini usa ka ligal nga pahibalo sa wala pa mag-login ("Gidili ang dili awtorisado nga paggamit"), ug kinahanglan Ctrl + Alt + Del ug kini awtomatiko nga nagtapos sa dili aktibo nga mga sesyon. Kini mga yano nga mga lakang nga nagdugang sa pagsukol sa tig-atake.
Mga himan ug automation aron makakuha og traksyon
Aron magamit ang mga baseline sa kadaghanan, gamita GPO ug Microsoft's Security Baselines. Ang mga giya sa CIS, kauban ang mga himan sa pagtasa, makatabang sa pagsukod sa gintang tali sa imong kahimtang karon ug sa target. Kung gikinahanglan ang sukod, mga solusyon sama sa CalCom Hardening Suite (CHS) Nakatabang sila sa pagkat-on bahin sa kalikopan, pagtagna sa mga epekto, ug pag-aplikar sa mga palisiya sa sentro, pagpadayon sa pagkagahi sa paglabay sa panahon.
Sa mga sistema sa kliyente, adunay mga libre nga kagamitan nga nagpasimple sa "pagpagahi" sa mga kinahanglanon. Syshardener Nagtanyag kini og mga setting sa mga serbisyo, firewall ug komon nga software; Hardentools gi-disable ang posibleng mapahimuslan nga mga gimbuhaton (macros, ActiveX, Windows Script Host, PowerShell/ISE kada browser); ug Hard_Configurator Gitugotan ka nga magdula sa SRP, mga whitelist pinaagi sa agianan o hash, SmartScreen sa mga lokal nga file, pag-block sa dili kasaligan nga mga gigikanan ug awtomatik nga pagpatay sa USB / DVD.
Firewall ug access: praktikal nga mga lagda nga nagtrabaho
Kanunay nga i-aktibo ang Windows firewall, i-configure ang tanan nga tulo nga mga profile nga adunay umaabot nga pag-block sa default, ug ablihi. mga kritikal nga pantalan lamang sa serbisyo (nga adunay IP scope kung mahimo). Ang layo nga administrasyon labing maayo nga buhaton pinaagi sa VPN ug adunay limitado nga pag-access. Ribyuha ang mga lagda sa kabilin ug i-disable ang bisan unsang butang nga dili na kinahanglan.
Ayaw kalimti nga ang pagpagahi sa Windows dili usa ka static nga imahe: kini usa ka dinamikong proseso. Idokumento ang imong baseline. nagmonitor sa mga pagtipasRibyuha ang mga pagbag-o pagkahuman sa matag patch ug ipahiangay ang mga lakang sa aktuwal nga function sa kagamitan. Ang usa ka gamay nga teknikal nga disiplina, usa ka paghikap sa automation, ug usa ka tin-aw nga pagsusi sa peligro naghimo sa Windows nga usa ka labi ka lisud nga sistema nga bungkagon nga wala isakripisyo ang pagkadaku niini.
Ang editor nga espesyalista sa teknolohiya ug mga isyu sa internet nga adunay labaw sa napulo ka tuig nga kasinatian sa lainlaing digital media. Nagtrabaho ko isip editor ug tiglalang sa sulod alang sa e-commerce, komunikasyon, online marketing ug mga kompanya sa advertising. Nakasulat usab ako sa mga website sa ekonomiya, pinansya ug uban pang mga sektor. Ang akong trabaho mao usab ang akong hilig. Karon, pinaagi sa akong mga artikulo sa Tecnobits, naningkamot ko nga tukion ang tanang balita ug bag-ong mga oportunidad nga gitanyag kanato sa kalibotan sa teknolohiya kada adlaw aron mapauswag ang atong kinabuhi.