Kio estas hardado en Vindozo kaj kiel apliki ĝin sen esti sistemadministranto

Se vi administras servilojn aŭ komputilojn de uzantoj, vi verŝajne jam demandis al vi ĉi tiun demandon: kiel mi povas igi Vindozon sufiĉe sekura por dormi profunde? hardado en Vindozo Ĝi ne estas unufoja truko, sed aro da decidoj kaj alĝustigoj por redukti la ataksurfacon, limigi aliron kaj teni la sistemon sub kontrolo.

En entreprena medio, serviloj estas la fundamento de operacioj: ili stokas datumojn, provizas servojn kaj konektas kritikajn komercajn komponantojn; tial ili estas tia ĉefa celo por iu ajn atakanto. Fortigante Vindozon per plej bonaj praktikoj kaj bazlinioj, Vi minimumigas fiaskojn, vi limigas riskojn kaj vi malhelpas, ke okazaĵo je unu punkto eskaladiĝas al la resto de la infrastrukturo.

Kio estas hardado en Vindozo kaj kial ĝi estas ŝlosila?

Hardado aŭ plifortigo konsistas el agordi, forigi aŭ limigi komponantojn de la operaciumo, servoj kaj aplikaĵoj por fermi eblajn enirejojn. Vindozo estas multflanka kaj kongrua, jes, sed tiu aliro "ĝi funkcias por preskaŭ ĉio" signifas, ke ĝi venas kun malfermaj funkcioj, kiujn vi ne ĉiam bezonas.

Ju pli da nenecesaj funkcioj, pordoj aŭ protokoloj vi tenas aktivaj, des pli granda estas via vundebleco. La celo de plifortigo estas redukti la ataksurfaconLimigu privilegiojn kaj lasu nur tion, kio estas esenca, kun ĝisdataj flikaĵoj, aktiva revizio kaj klaraj politikoj.

Ĉi tiu aliro ne estas unika al Vindozo; ĝi validas por iu ajn moderna sistemo: ĝi estas instalita preta por pritrakti mil malsamajn scenarojn. Tial ĝi estas konsilinda. Fermu tion, kion vi ne uzas.Ĉar se vi ne uzas ĝin, iu alia eble provos uzi ĝin por vi.

Bazlinioj kaj normoj kiuj mapas la kurson

Por plifortigo en Vindozo, ekzistas komparnormoj kiel ekzemple CIS (Centro por Interreta Sekureco) kaj la gvidliniojn de DoD STIG, krom la Bazlinioj de Sekureco de Microsoft (Bazlinioj de Sekureco de Microsoft). Ĉi tiuj referencoj kovras rekomenditajn agordojn, strategiajn valorojn kaj kontrolojn por malsamaj roloj kaj versioj de Vindozo.

Apliki bazlinion multe akcelas la projekton: ĝi reduktas la breĉojn inter la defaŭlta agordo kaj plej bonaj praktikoj, evitante la "breĉojn" tipajn por rapidaj deplojoj. Tamen, ĉiu medio estas unika kaj estas konsilinde... testi la ŝanĝojn antaŭ ol preni ilin en produktadon.

Hardigo de Vindozo Paŝon post Paŝo

Preparo kaj fizika sekureco

Hardigo en Vindozo komenciĝas antaŭ ol la sistemo estas instalita. Konservu kompleta servila inventaroIzolu novajn de trafiko ĝis ili estas harditaj, protektu BIOS/UEFI per pasvorto, malŝaltu starti de ekstera amaskomunikilo kaj malhelpas aŭtomatan ensaluton en reakiraj konzoloj.

Se vi uzas vian propran aparataron, metu la ekipaĵon en lokojn kun fizika alirkontroloĜusta temperaturo kaj monitorado estas esencaj. Limigi fizikan aliron estas same grava kiel logika aliro, ĉar malfermi ĉasion aŭ startigi de USB povas kompromiti ĉion.

Politiko pri kontoj, akreditaĵoj kaj pasvortoj

Komencu per eliminado de evidentaj malfortoj: malŝaltu la gastan konton kaj, kie eble, malŝaltas aŭ renomas la lokan AdministrantonKrei administran konton kun netriviala nomo (demando Kiel krei lokan konton en Vindozo 11 senrete) kaj uzas neprivilegiajn kontojn por ĉiutagaj taskoj, levante privilegiojn per "Ruli kiel" nur kiam necese.

Plifortigu vian pasvortpolitikon: certigu taŭgan kompleksecon kaj longon. perioda eksvalidiĝoHistorio por malebligi reuzon kaj kontoŝlosadon post malsukcesaj provoj. Se vi administras multajn teamojn, konsideru solvojn kiel LAPS por rotacii lokajn akreditaĵojn; la grava afero estas evitu senmovajn akreditaĵojn kaj facile divenebla.

 

Reviziu grupanojn (Administrantoj, Uzantoj de Fora Skribotablo, Rezervaj Operatoroj, ktp.) kaj forigu iujn ajn nenecesajn. La principo de malpli granda privilegio Ĝi estas via plej bona aliancano por limigi lateralajn movojn.

Reto, DNS kaj temposinkronigado (NTP)

Produktada servilo devas havi Statika IP, estu lokita en segmentoj protektitaj malantaŭ fajromuro (kaj sciu Kiel bloki suspektindajn retkonektojn de CMD (kiam necese), kaj havu du DNS-servilojn difinitajn por redundo. Kontrolu, ke la A kaj PTR-rekordoj ekzistas; memoru, ke DNS-disvastigo... ĝi povas preni Kaj estas konsilinde plani.

Agordu NTP: devio de nur minutoj rompas Kerberos kaj kaŭzas maloftajn aŭtentigajn malsukcesojn. Difinu fidindan tempigilon kaj sinkronigu ĝin. la tuta floto kontraŭ ĝi. Se vi ne bezonas, malŝaltu heredaĵajn protokolojn kiel NetBIOS super TCP/IP aŭ LMHosts-serĉon por redukti bruon kaj ekspozicio.

Roloj, trajtoj kaj servoj: malpli estas pli

Instalu nur la rolojn kaj funkciojn, kiujn vi bezonas por la celo de la servilo (IIS, .NET en ĝia bezonata versio, ktp.). Ĉiu ekstra pakaĵo estas plia surfaco por vundeblecoj kaj agordo. Malinstalu defaŭltajn aŭ aldonajn aplikaĵojn, kiuj ne estos uzataj (vidu Winaero Tweaker: Utilaj kaj Sekuraj Alĝustigoj).

Revizii servojn: la necesajn, aŭtomate; tiujn, kiuj dependas de aliaj, en Aŭtomata (prokrastita komenco) aŭ kun bone difinitaj dependecoj; ĉio, kio ne aldonas valoron, estas malŝaltita. Kaj por aplikaĵaj servoj, uzu specifaj servokontoj kun minimumaj permesoj, ne Loka Sistemo se vi povas eviti ĝin.

Fajromuro kaj minimumigo de eksponiĝo

La ĝenerala regulo: bloki defaŭlte kaj malfermi nur tion, kio estas necesa. Se temas pri retservilo, malkaŝi HTTP / HTTPS Kaj jen ĉio; administrado (RDP, WinRM, SSH) devus esti farita per VPN kaj, se eble, limigita per IP-adreso. La fajromuro de Vindozo ofertas bonan kontrolon per profiloj (Domajno, Privata, Publika) kaj detalaj reguloj.

Dediĉita perimetra fajromuro ĉiam estas avantaĝo, ĉar ĝi malŝarĝas la servilon kaj aldonas Altnivelaj Ebloj (inspektado, IPS, segmentado). Ĉiukaze, la aliro estas la sama: malpli da malfermaj pordoj, malpli da uzebla ataksurfaco.

Malproksima aliro kaj nesekuraj protokoloj

RDP nur se absolute necese, kun NLA, alta ĉifradoMFA se eble, kaj limigita aliro al specifaj grupoj kaj retoj. Evitu telnet kaj FTP; se vi bezonas translokigon, uzu SFTP/SSH, kaj eĉ pli bone, de VPNPowerShell Remoting kaj SSH devas esti kontrolataj: limigu kiu povas aliri ilin kaj de kie. Kiel sekura alternativo por fora kontrolo, lernu kiel Aktivigi kaj agordi Chrome Remote Desktop en Vindozo.

Se vi ne bezonas ĝin, malŝaltu la servon Fora Registrado. Reviziu kaj bloku NulaSesioPipoj y NulaSesioKunhavigo por malebligi anoniman aliron al rimedoj. Kaj se IPv6 ne estas uzata en via kazo, konsideru malŝalti ĝin post taksado de la efiko.

Pekado, ĝisdatigoj kaj ŝanĝkontrolo

Tenu Vindozon ĝisdatigita per sekurecaj diakiloj Ĉiutaga testado en kontrolita medio antaŭ ol transiri al produktado. WSUS aŭ SCCM estas aliancanoj por administri la ciklon de riparoj. Ne forgesu triapartan programaron, kiu ofte estas la malforta ligo: planu ĝisdatigojn kaj rapide riparu vundeblecojn.

la ŝoforoj Ŝoforoj ankaŭ ludas rolon en plifortigo de Vindozo: malmodernaj peliloj povas kaŭzi kraŝojn kaj vundeblecojn. Establu regulan procezon de ĝisdatigo de peliloj, prioritatigante stabilecon kaj sekurecon super novaj funkcioj.

Registrado, revizio kaj monitorado de eventoj

Agordu sekurecan revizion kaj pliigu la grandecon de la protokolo por ke ili ne rotaciu ĉiujn du tagojn. Centrigu eventojn en entreprena spektilo aŭ SIEM, ĉar revizii ĉiun servilon individue fariĝas nepraktika dum via sistemo kreskas. kontinua monitorado Kun bazlinioj de rendimento kaj sojloj de alarmo, evitu "pafi blinde".

Teknologioj pri Dosiera Integreco-Monitorado (FIM) kaj spurado de konfiguraciaj ŝanĝoj helpas detekti bazajn deviojn. Iloj kiel ekzemple Netwrix Ŝanĝspurilo Ili faciligas detekti kaj klarigi kio ŝanĝiĝis, kiu kaj kiam, akcelante la respondon kaj helpante kun plenumo de regularoj (NIST, PCI DSS, CMMC, STIG, NERC CIP).

Datumĉifrado dum ripozo kaj dum transito

Por serviloj, Bitlocker Ĝi jam estas baza postulo por ĉiuj diskoj kun sentemaj datumoj. Se vi bezonas dosiernivelan detalecon, uzu... EFSInter serviloj, IPsec permesas ĉifri trafikon por konservi konfidencon kaj integrecon, ion ŝlosilan en segmentitaj retoj aŭ per malpli fidindaj paŝoj. Ĉi tio estas decida kiam oni diskutas pri hardado en Vindozo.

Aliradministrado kaj kritikaj politikoj

Apliku la principon de malplej privilegio al uzantoj kaj servoj. Evitu konservi haŝojn de LAN-Manaĝero kaj malŝalti NTLMv1 krom por heredaĵaj dependecoj. Agordu permesitajn Kerberos-ĉifradajn tipojn kaj reduktu dosier- kaj presil-kunhavigon kie ĝi ne estas esenca.

Valoro Limigi aŭ bloki forpreneblajn datumportilojn (USB) por limigi la elfiltradon aŭ eniron de malica programaro. Ĝi montras juran avizon antaŭ ensaluto ("Neaŭtorizita uzo malpermesita"), kaj postulas Stir + Alt + Del kaj ĝi aŭtomate finas neaktivajn sesiojn. Ĉi tiuj estas simplaj mezuroj, kiuj pliigas la reziston de la atakanto.

Iloj kaj aŭtomatigo por gajni subtenon

Por apliki bazliniojn amase, uzu GPO kaj la Sekurecaj Bazlinioj de Microsoft. La CIS-gvidiloj, kune kun taksaj iloj, helpas mezuri la interspacon inter via nuna stato kaj la celo. Kie skalo postulas ĝin, solvoj kiel ekzemple CalCom Hardening Suite (CHS) Ili helpas lerni pri la medio, antaŭdiri efikojn, kaj apliki politikojn centre, konservante plifortiĝon laŭlonge de la tempo.

Sur klientaj sistemoj, ekzistas senpagaj iloj kiuj simpligas la "hardadon" de la necesaĵoj. Syshardener Ĝi proponas agordojn pri servoj, fajromuro kaj komuna programaro; Hardentoloj malŝaltas eble ekspluateblajn funkciojn (makroojn, ActiveX, Windows Script Host, PowerShell/ISE por ĉiu retumilo); kaj Malmola_Konfigurilo Ĝi permesas al vi ludi kun SRP, blankaj listoj laŭ vojo aŭ haŝo, SmartScreen sur lokaj dosieroj, blokado de nefidindaj fontoj kaj aŭtomata ekzekuto sur USB/DVD.

Fajromuro kaj aliro: praktikaj reguloj kiuj funkcias

Ĉiam aktivigu la fajromuron de Vindozo, agordu ĉiujn tri profilojn kun alvenanta blokado defaŭlte, kaj malfermu nur kritikaj havenoj al la servo (kun IP-amplekso se aplikeble). Fora administrado plej bone fariĝas per VPN kaj kun limigita aliro. Reviziu heredaĵajn regulojn kaj malŝaltu ĉion, kio jam ne necesas.

Ne forgesu, ke plifortigo en Vindozo ne estas statika bildo: ĝi estas dinamika procezo. Dokumentu vian bazlinion. monitoras deviojnReviziu la ŝanĝojn post ĉiu ĝisdatigo kaj adaptu la rimedojn al la efektiva funkcio de la ekipaĵo. Iom da teknika disciplino, nuanco de aŭtomatigo kaj klara riskotakso faras Vindozon multe pli malfacile difektebla sistemo sen oferi ĝian versatilecon.