- Baasjooned (CIS, STIG ja Microsoft) suunavad järjepidevat ja mõõdetavat karastumist.
- Vähem ruumi: installi ainult hädavajalik, piira portide ja õigustega.
- Turvalisuse säilitamiseks aja jooksul kasutatakse paikamist, jälgimist ja krüpteerimist.
- Turvalisuse säilitamiseks automatiseerige tegevusi rühmapoliitika objektide ja tööriistade abil.
Kui haldate servereid või kasutajaarvuteid, olete endale ilmselt esitanud järgmise küsimuse: kuidas muuta Windows piisavalt turvaliseks, et rahulikult magada? karastamine Windowsis See pole ühekordne trikk, vaid otsuste ja kohanduste kogum, et vähendada rünnakupinda, piirata juurdepääsu ja hoida süsteemi kontrolli all.
Ettevõtte keskkonnas on serverid tegevuse alustalaks: need salvestavad andmeid, pakuvad teenuseid ja ühendavad kriitilisi ärikomponente; seepärast on nad iga ründaja jaoks nii peamine sihtmärk. Tugevdades Windowsi parimate tavade ja lähteandmetega, Sa minimeerid ebaõnnestumisi, piirad riske ja te takistate ühel hetkel intsidendi eskaleerumist ülejäänud infrastruktuuri.
Mis on Windowsi karastamine ja miks see on võtmetähtsusega?
Karastamine või tugevdamine koosneb komponentide konfigureerimine, eemaldamine või piiramine operatsioonisüsteemi, teenuste ja rakenduste võimalike sisenemispunktide sulgemiseks. Windows on küll mitmekülgne ja ühilduv, aga see "see töötab peaaegu kõigega" lähenemisviis tähendab, et sellel on avatud funktsioonid, mida te alati ei vaja.
Mida rohkem ebavajalikke funktsioone, porte või protokolle te aktiivsena hoiate, seda suurem on teie haavatavus. Karastamise eesmärk on vähendada rünnakupindaPiira privileege ja jäta alles ainult hädavajalik, kasutades ajakohaseid parandusi, aktiivset auditeerimist ja selgeid poliitikaid.
See lähenemisviis pole Windowsile ainuomane; see kehtib iga tänapäevase süsteemi kohta: see on installitud tuhande erineva stsenaariumi käsitlemiseks valmis. Seetõttu on see soovitatav. Sulge see, mida sa ei kasuta.Sest kui sa seda ei kasuta, võib keegi teine proovida seda sinu eest kasutada.
Kursust kavandavad lähtetasemed ja standardid
Windowsi kõvastamiseks on olemas võrdlusalused, näiteks CIS (Interneti-turvalisuse keskus) ja lisaks Kaitseministeeriumi STIG-i suunistele Microsofti turbe lähtetasemed (Microsofti turbebaasjooned). Need viited hõlmavad Windowsi erinevate rollide ja versioonide soovitatavaid konfiguratsioone, poliitikaväärtusi ja juhtelemente.
Baastaseme rakendamine kiirendab projekti oluliselt: see vähendab erinevusi vaikekonfiguratsiooni ja parimate tavade vahel, vältides kiirele juurutamisele iseloomulikke "lünki". Sellegipoolest on iga keskkond ainulaadne ja soovitatav on testi muudatusi enne nende tootmisse võtmist.
Windowsi karastamine samm-sammult
Ettevalmistus ja füüsiline turvalisus
Windowsi süsteemi karastamine algab enne installimist. Hoidke täielik serveri inventuurIsoleerige uued võrgud liiklusest kuni nende karastamiseni, kaitske BIOS/UEFI parooliga, keelake käivitamine väliselt andmekandjalt ja takistab automaatset sisselogimist taastekonsoolidel.
Kui kasutate oma riistvara, asetage see kohtadesse, kus füüsilise juurdepääsu kontrollÕige temperatuur ja jälgimine on olulised. Füüsilise juurdepääsu piiramine on sama oluline kui loogilise juurdepääsu piiramine, sest korpuse avamine või USB-lt käivitamine võib kõike kahjustada.
Kontode, volituste ja paroolipoliitika
Alustage ilmsete nõrkuste kõrvaldamisest: keelake külaliskonto ja võimaluse korral keelab või nimetab ümber kohaliku administraatoriLooge administraatori konto mittetriviaalse nimega (päring Kuidas luua kohalikku kontot Windows 11-s võrguühenduseta režiimis) ja kasutab igapäevaste toimingute jaoks privileegideta kontosid, suurendades õigusi „Käivita nimega” kaudu ainult vajadusel.
Tugevdage oma paroolipoliitikat: veenduge, et see oleks piisavalt keerukas ja pikk. perioodiline aegumineAjalugu, et vältida taaskasutamist ja konto lukustamist pärast ebaõnnestunud katseid. Kui juhite mitut meeskonda, kaaluge lahendusi nagu LAPS kohalike volituste vahetamiseks; oluline on see, et vältige staatilisi volitusi ja lihtne ära arvata.
Vaadake üle rühmade liikmesus (administraatorid, kaugtöölaua kasutajad, varundusoperaatorid jne) ja eemaldage kõik mittevajalikud. Põhimõte väiksem privileeg See on teie parim liitlane külgliikumiste piiramiseks.
Võrgu, DNS-i ja aja sünkroniseerimine (NTP)
Tootmisserveril peab olema Staatiline IP, asuma tulemüüri taga kaitstud segmentides (ja teadma Kuidas blokeerida CMD-st kahtlaseid võrguühendusi (vajadusel) ja määrake koondamise jaoks kaks DNS-serverit. Veenduge, et A- ja PTR-kirjed on olemas; pidage meeles, et DNS-i levimine... see võib võtta Ja on soovitatav planeerida.
NTP seadistamine: vaid minutite pikkune kõrvalekalle lõhub Kerberose ja põhjustab haruldasi autentimisvigu. Määrake usaldusväärne taimer ja sünkroonige see. kogu laevastik selle vastu. Kui te pole seda vaja, keelake pärandprotokollid, näiteks NetBIOS TCP/IP kaudu või LMHosts otsing Vähendage müra ja näitus.
Rollid, funktsioonid ja teenused: vähem on rohkem
Paigalda ainult need rollid ja funktsioonid, mida serveri otstarbeks vajad (IIS, .NET oma nõutavas versioonis jne). Iga lisapakett on lisapind haavatavuste ja konfiguratsiooni osas. Desinstallige vaike- või lisarakendused, mida te ei kasuta (vt Winaero Tweaker: kasulikud ja ohutud kohandused).
Vaadake teenused üle: vajalikud automaatselt; need, mis sõltuvad teistest, Automaatne (hilinenud käivitamine) või täpselt määratletud sõltuvustega; kõik, mis ei lisa väärtust, on keelatud. Ja rakendusteenuste puhul kasutage konkreetsed teenusekontod minimaalsete õigustega, mitte kohaliku süsteemiga, kui saate seda vältida.
Tulemüür ja kokkupuute minimeerimine
Üldreegel: blokeeri vaikimisi ja ava ainult see, mis on vajalik. Kui tegemist on veebiserveriga, siis avalda HTTP / HTTPS Ja ongi kõik; haldus (RDP, WinRM, SSH) peaks toimuma VPN-i kaudu ja võimalusel olema piiratud IP-aadressiga. Windowsi tulemüür pakub head kontrolli profiilide (domeen, privaatne, avalik) ja detailsete reeglite kaudu.
Spetsiaalne perimeetri tulemüür on alati pluss, sest see vähendab serveri koormust ja lisab täpsemad valikud (kontroll, IPS, segmenteerimine). Igal juhul on lähenemisviis sama: vähem avatud porte, vähem kasutatavat rünnakupinda.
Kaugjuurdepääs ja ebaturvalised protokollid
RDP ainult siis, kui see on hädavajalik, koos NLA, kõrge krüptimineVõimalusel kasutage MFA-d ja piirake juurdepääsu teatud gruppidele ja võrkudele. Vältige telneti ja FTP-d; kui vajate edastust, kasutage SFTP-d/SSH-d ja veelgi parem. VPN-istPowerShelli kaugjuurdepääsu ja SSH-d tuleb kontrollida: piirake, kes ja kust neile juurde pääseb. Kaugjuurdepääsu turvalise alternatiivina saate teada, kuidas seda teha. Chrome Remote Desktopi aktiveerimine ja seadistamine Windowsis.
Kui te seda ei vaja, keelake kaugregistreerimise teenus. Vaadake üle ja blokeerige. NullSessionPipes y NullSessionShares ressurssidele anonüümse juurdepääsu vältimiseks. Ja kui teie puhul IPv6-d ei kasutata, kaaluge selle keelamist pärast mõju hindamist.
Parandamine, värskendused ja muudatuste haldamine
Hoidke Windowsi ajakohasena, kasutades turvapaigad Igapäevane testimine kontrollitud keskkonnas enne tootmiskeskkonda üleminekut. WSUS või SCCM on liitlased parandustsükli haldamisel. Ärge unustage kolmanda osapoole tarkvara, mis on sageli nõrk lüli: planeerige värskendusi ja parandage haavatavused kiiresti.
osa draiverid Draiverid mängivad samuti rolli Windowsi turvalisuse parandamisel: aegunud seadmedraiverid võivad põhjustada krahhe ja haavatavusi. Looge regulaarne draiverite värskendamise protsess, seades stabiilsuse ja turvalisuse uute funktsioonide ette.
Sündmuste logimine, auditeerimine ja jälgimine
Konfigureeri turvalisuse auditeerimine ja suurenda logide suurust, et need ei vahelduks iga kahe päeva tagant. Tsentraliseeri sündmused ettevõtte vaaturisse või SIEM-i, sest iga serveri eraldi ülevaatamine muutub süsteemi kasvades ebapraktiliseks. pidev jälgimine Toimivuse baasväärtuste ja häirekünniste puhul tuleks vältida "pimesi käivitamist".
Failide terviklikkuse jälgimise (FIM) tehnoloogiad ja konfiguratsioonimuudatuste jälgimine aitavad tuvastada algtaseme kõrvalekaldeid. Tööriistad, näiteks Netwrixi muutuste jälgija Need lihtsustavad muudatuste tuvastamist ja selgitamist, kes ja millal on muutunud, kiirendades reageerimist ja aidates tagada vastavust nõuetele (NIST, PCI DSS, CMMC, STIG, NERC CIP).
Andmete krüptimine nii puhkeolekus kui ka edastamisel
Serverite jaoks BitLocker See on juba põhinõue kõigil tundlike andmetega draividel. Kui vajate failitaseme detailsust, kasutage... EFSServerite vahel võimaldab IPsec liiklust krüpteerida, et säilitada konfidentsiaalsus ja terviklikkus, mis on võtmetähtsusega. segmenteeritud võrgud või vähem usaldusväärsete sammudega. See on Windowsi turvalisuse tugevdamisest rääkides ülioluline.
Juurdepääsuhaldus ja kriitilised poliitikad
Rakenda kasutajatele ja teenustele vähimate õiguste põhimõtet. Väldi räsi salvestamist LAN-haldur ja keelake NTLMv1, välja arvatud pärandsõltuvused. Konfigureerige lubatud Kerberose krüptimistüübid ja vähendage failide ja printerite jagamist seal, kus see pole hädavajalik.
Väärtus Eemaldatava andmekandja (USB) piiramine või blokeerimine pahavara sissetungimise või sisenemise piiramiseks. See kuvab enne sisselogimist juriidilise teate („Volitamata kasutamine keelatud“) ja nõuab Ctrl + Alt + Del ja see lõpetab automaatselt mitteaktiivsed seansid. Need on lihtsad meetmed, mis suurendavad ründaja vastupanuvõimet.
Tööriistad ja automatiseerimine haarde saavutamiseks
Baasjoonte hulgi rakendamiseks kasutage GPO ja Microsofti turbebaasjooned. CIS-juhendid koos hindamisvahenditega aitavad mõõta teie praeguse oleku ja eesmärgi vahelist lõhet. Kui mastaap seda nõuab, siis lahendused, näiteks CalComi kõvenduskomplekt (CHS) Need aitavad keskkonda tundma õppida, mõjusid ennustada ja poliitikat tsentraalselt rakendada, säilitades aja jooksul karmistumise.
Klientsüsteemides on tasuta utiliidid, mis lihtsustavad oluliste elementide "karastamist". Syshardener See pakub teenuste, tulemüüri ja levinud tarkvara seadeid; Hardentools keelab potentsiaalselt ärakasutatavad funktsioonid (makrod, ActiveX, Windows Script Host, PowerShell/ISE iga brauseri kohta); ja Hard_Configurator See võimaldab teil mängida SRP-ga, valgete nimekirjadega tee või räsi järgi, SmartScreeni kohalikes failides, ebausaldusväärsete allikate blokeerimisega ja automaatse käivitamisega USB/DVD-l.
Tulemüür ja juurdepääs: praktilised reeglid, mis toimivad
Aktiveeri alati Windowsi tulemüür, seadista kõik kolm profiili sissetuleva meili blokeerimisega vaikimisi ja ava ainult kriitilised pordid teenusele (koos IP-aadressi ulatusega, kui see on kohaldatav). Kaughaldust on kõige parem teha VPN-i kaudu ja piiratud juurdepääsuga. Vaadake üle pärandreeglid ja keelake kõik, mida enam ei vajata.
Ära unusta, et Windowsi kõvastumine ei ole staatiline kujutis: see on dünaamiline protsess. Dokumenteeri oma algtase. jälgib kõrvalekaldeidVaadake pärast iga parandust muudatused üle ja kohandage meetmeid seadme tegeliku funktsiooniga. Natuke tehnilist distsipliini, automatiseerimist ja selge riskihindamine muudavad Windowsi palju raskemini murdtavaks süsteemiks, ohverdamata selle mitmekülgsust.
Toimetaja on spetsialiseerunud tehnoloogiale ja internetiprobleemidele, omades rohkem kui kümneaastast kogemust erinevates digitaalsetes meediates. Olen töötanud toimetajana ja sisuloojana e-kaubanduse, kommunikatsiooni, veebiturunduse ja reklaamiettevõtetes. Olen kirjutanud ka majanduse, rahanduse ja teiste sektorite veebisaitidele. Minu töö on ka minu kirg. Nüüd minu artiklite kaudu Tecnobits, püüan uurida kõiki uudiseid ja uusi võimalusi, mida tehnoloogiamaailm meile iga päev oma elu parandamiseks pakub.