مقاوم‌سازی در ویندوز: مراحل، بهترین شیوه‌ها و ابزارها

خطوط مبنا (CIS، STIG و مایکروسافت) یک مقاوم‌سازی مداوم و قابل اندازه‌گیری را هدایت می‌کنند.
فضای کمتر: فقط موارد ضروری را نصب کنید، پورت‌ها و امتیازات را محدود کنید.
وصله کردن، نظارت و رمزگذاری، امنیت را در طول زمان حفظ می‌کنند.
با استفاده از GPOها و ابزارها، وضعیت امنیتی خود را حفظ کنید.

اگر سرورها یا کامپیوترهای کاربران را مدیریت می‌کنید، احتمالاً این سوال را از خودتان پرسیده‌اید: چگونه می‌توانم ویندوز را به اندازه کافی امن کنم تا به طور کامل به خواب برود؟ سخت شدن در ویندوز این یک ترفند یکباره نیست، بلکه مجموعه‌ای از تصمیمات و تنظیمات برای کاهش سطح حمله، محدود کردن دسترسی و تحت کنترل نگه داشتن سیستم است.

در یک محیط سازمانی، سرورها پایه و اساس عملیات هستند: آنها داده‌ها را ذخیره می‌کنند، خدمات ارائه می‌دهند و اجزای حیاتی کسب و کار را به هم متصل می‌کنند؛ به همین دلیل است که آنها هدف اصلی هر مهاجمی هستند. با تقویت ویندوز با بهترین شیوه‌ها و اصول اولیه، شما شکست‌ها را به حداقل می‌رسانید، خطرات را محدود می‌کنید و شما از گسترش یک حادثه در یک نقطه به بقیه زیرساخت جلوگیری می‌کنید.

مقاوم‌سازی در ویندوز چیست و چرا کلیدی است؟

سخت‌کاری یا تقویت شامل موارد زیر است: پیکربندی، حذف یا محدود کردن اجزا از سیستم عامل، سرویس‌ها و برنامه‌ها برای بستن نقاط ورود احتمالی. بله، ویندوز همه‌کاره و سازگار است، اما رویکرد «تقریباً برای همه چیز کار می‌کند» به این معنی است که دارای قابلیت‌های باز و آزادی است که همیشه به آنها نیاز ندارید.

هرچه توابع، پورت‌ها یا پروتکل‌های غیرضروری بیشتری را فعال نگه دارید، آسیب‌پذیری شما بیشتر می‌شود. هدف از مقاوم‌سازی این است کاهش سطح حملهامتیازات را محدود کنید و فقط موارد ضروری را با وصله‌های به‌روز، حسابرسی فعال و سیاست‌های واضح، باقی بگذارید.

این رویکرد مختص ویندوز نیست؛ در مورد هر سیستم مدرنی صدق می‌کند: این سیستم عامل برای مدیریت هزاران سناریوی مختلف آماده نصب است. به همین دلیل توصیه می‌شود آنچه را که استفاده نمی‌کنید، ببندید.چون اگر از آن استفاده نکنید، ممکن است شخص دیگری سعی کند از آن برای شما استفاده کند.

خطوط مبنا و استانداردهایی که مسیر را ترسیم می‌کنند

برای مقاوم‌سازی در ویندوز، معیارهایی مانند موارد زیر وجود دارد: CIS (مرکز امنیت اینترنت) و دستورالعمل‌های وزارت دفاع STIG، علاوه بر اصول اولیه امنیتی مایکروسافت (مبانی امنیتی مایکروسافت). این منابع، پیکربندی‌های پیشنهادی، مقادیر سیاست‌ها و کنترل‌ها را برای نقش‌ها و نسخه‌های مختلف ویندوز پوشش می‌دهند.

اعمال یک خط مبنا، پروژه را به میزان زیادی تسریع می‌کند: شکاف‌های بین پیکربندی پیش‌فرض و بهترین شیوه‌ها را کاهش می‌دهد و از «شکاف‌های» معمول در استقرارهای سریع جلوگیری می‌کند. با این حال، هر محیطی منحصر به فرد است و توصیه می‌شود که تغییرات را تست کنید قبل از اینکه آنها را به مرحله تولید برسانند.

مقاوم‌سازی ویندوز گام به گام

آمادگی و امنیت فیزیکی

مقاوم‌سازی در ویندوز قبل از نصب سیستم آغاز می‌شود. موجودی کامل سرورموارد جدید را تا زمان مقاوم‌سازی از ترافیک جدا کنید، از BIOS/UEFI با رمز عبور محافظت کنید، غیرفعال کنید بوت از رسانه خارجی و از ورود خودکار به کنسول‌های بازیابی جلوگیری می‌کند.

محتوای اختصاصی - اینجا را کلیک کنید نحوه مشاهده و حذف تاریخچه نقشه های گوگل

اگر از سخت‌افزار خودتان استفاده می‌کنید، تجهیزات را در مکان‌هایی با ... قرار دهید. کنترل دسترسی فیزیکیدمای مناسب و نظارت بر آن ضروری است. محدود کردن دسترسی فیزیکی به همان اندازه دسترسی منطقی مهم است، زیرا باز کردن شاسی یا بوت شدن از طریق USB می‌تواند همه چیز را به خطر بیندازد.

سیاست حساب‌ها، اعتبارنامه‌ها و رمز عبور

با از بین بردن نقاط ضعف آشکار شروع کنید: حساب مهمان را غیرفعال کنید و در صورت امکان، مدیر محلی را غیرفعال یا تغییر نام می‌دهدیک حساب کاربری مدیریتی با نامی غیر بدیهی ایجاد کنید (query نحوه ایجاد حساب کاربری محلی در ویندوز ۱۱ به صورت آفلاین) و از حساب‌های کاربری غیرممتاز برای کارهای روزمره استفاده می‌کند و فقط در صورت لزوم، امتیازات را از طریق «اجرا به عنوان» افزایش می‌دهد.

سیاست رمز عبور خود را تقویت کنید: از پیچیدگی و طول مناسب اطمینان حاصل کنید. انقضای دوره‌ایتاریخچه برای جلوگیری از استفاده مجدد و قفل شدن حساب پس از تلاش‌های ناموفق. اگر تیم‌های زیادی را مدیریت می‌کنید، راه‌حل‌هایی مانند LAPS را برای چرخش اعتبارنامه‌های محلی در نظر بگیرید؛ نکته مهم این است که از اعتبارنامه‌های ایستا اجتناب کنید و به راحتی قابل حدس زدن است.

عضویت‌های گروه (مدیران، کاربران ریموت دسکتاپ، اپراتورهای پشتیبان‌گیری و غیره) را بررسی کنید و موارد غیرضروری را حذف کنید. اصل ... امتیاز کمتر این بهترین متحد شما برای محدود کردن حرکات جانبی است.

شبکه، DNS و هماهنگ‌سازی زمان (NTP)

یک سرور عملیاتی باید داشته باشد IP استاتیکدر بخش‌هایی که پشت یک فایروال محافظت می‌شوند، قرار داشته باشند (و بدانند نحوه مسدود کردن اتصالات شبکه مشکوک از طریق CMD (در صورت لزوم) و دو سرور DNS برای افزونگی تعریف کنید. تأیید کنید که رکوردهای A و PTR وجود دارند؛ به یاد داشته باشید که انتشار DNS... ممکن است طول بکشد و توصیه می‌شود برنامه‌ریزی کنید.

پیکربندی NTP: انحراف فقط چند دقیقه از دستور Kerberos باعث اختلال در احراز هویت می‌شود. یک تایمر قابل اعتماد تعریف کنید و آن را همگام‌سازی کنید. کل ناوگان در مقابل آن. اگر نیازی به این کار ندارید، پروتکل‌های قدیمی مانند NetBIOS over TCP/IP یا جستجوی LMHosts را غیرفعال کنید. کاهش نویز و نمایشگاه.

نقش‌ها، ویژگی‌ها و خدمات: کمتر، بهتر

فقط نقش‌ها و ویژگی‌هایی را که برای هدف سرور نیاز دارید نصب کنید (IIS، .NET در نسخه مورد نیاز و غیره). هر بسته اضافی سطح اضافی برای آسیب‌پذیری‌ها و پیکربندی. برنامه‌های پیش‌فرض یا اضافی که استفاده نخواهند شد را حذف کنید (به Winaero Tweaker: تنظیمات مفید و ایمن).

بررسی خدمات: خدمات ضروری، به صورت خودکار؛ خدمات وابسته به دیگران، خودکار (شروع تاخیر) یا با وابستگی‌های کاملاً تعریف‌شده؛ هر چیزی که ارزش افزوده ایجاد نمی‌کند، غیرفعال شود. و برای سرویس‌های برنامه، از حساب‌های خدمات خاص با حداقل مجوزها، نه سیستم محلی اگر می‌توانید از آن اجتناب کنید.

محتوای اختصاصی - اینجا را کلیک کنید نحوه تبدیل عکس ها به PDF

فایروال و به حداقل رساندن میزان مواجهه

قانون کلی: به طور پیش‌فرض مسدود کنید و فقط موارد ضروری را باز کنید. اگر یک وب سرور است، آن را افشا کنید. HTTP / HTTPS و تمام؛ مدیریت (RDP، WinRM، SSH) باید از طریق VPN انجام شود و در صورت امکان، توسط آدرس IP محدود شود. فایروال ویندوز از طریق پروفایل‌ها (دامنه، خصوصی، عمومی) و قوانین جزئی، کنترل خوبی ارائه می‌دهد.

یک فایروال اختصاصی همیشه یک مزیت است، زیرا بار سرور را کاهش داده و به آن اضافه می‌کند. گزینه های پیشرفته (بازرسی، IPS، قطعه‌بندی). در هر صورت، رویکرد یکسان است: پورت‌های باز کمتر، سطح حمله‌ی قابل استفاده‌ی کمتر.

دسترسی از راه دور و پروتکل‌های ناامن

RDP فقط در صورت لزوم، با NLA، رمزگذاری بالادر صورت امکان، MFA و دسترسی محدود به گروه‌ها و شبکه‌های خاص. از telnet و FTP اجتناب کنید؛ اگر به انتقال نیاز دارید، از SFTP/SSH و حتی بهتر از آن استفاده کنید. از یک VPNPowerShell Remoting و SSH باید کنترل شوند: محدود کنید چه کسی و از کجا می‌تواند به آنها دسترسی داشته باشد. به عنوان یک جایگزین امن برای کنترل از راه دور، یاد بگیرید که چگونه فعال‌سازی و پیکربندی Chrome Remote Desktop در ویندوز.

اگر به آن نیازی ندارید، سرویس ثبت نام از راه دور را غیرفعال کنید. بررسی و مسدود کنید. لوله‌های NullSession y NullSessionShares برای جلوگیری از دسترسی ناشناس به منابع. و اگر در مورد شما از IPv6 استفاده نمی‌شود، پس از ارزیابی تأثیر، غیرفعال کردن آن را در نظر بگیرید.

چگونه رمزهای عبور را بدون ارسال فایل به طور ایمن با خانواده خود به اشتراک بگذاریم

وصله‌گذاری، به‌روزرسانی‌ها و کنترل تغییرات

ویندوز را با این روش به‌روز نگه دارید وصله های امنیتی آزمایش روزانه در یک محیط کنترل‌شده قبل از انتقال به مرحله تولید. WSUS یا SCCM متحدانی برای مدیریت چرخه پچ هستند. نرم‌افزارهای شخص ثالث را فراموش نکنید، که اغلب حلقه ضعیف هستند: به‌روزرسانی‌ها را برنامه‌ریزی کنید و آسیب‌پذیری‌ها را به سرعت برطرف کنید.

ل درایور درایورها نیز در مقاوم‌سازی ویندوز نقش دارند: درایورهای قدیمی دستگاه می‌توانند باعث خرابی و آسیب‌پذیری شوند. یک فرآیند به‌روزرسانی منظم درایور ایجاد کنید و ثبات و امنیت را بر ویژگی‌های جدید اولویت دهید.

ثبت وقایع، حسابرسی و نظارت

حسابرسی امنیتی را پیکربندی کنید و اندازه گزارش‌ها را افزایش دهید تا هر دو روز یکبار تغییر نکنند. رویدادها را در یک نمایشگر شرکتی یا SIEM متمرکز کنید، زیرا با رشد سیستم شما، بررسی جداگانه هر سرور غیرعملی می‌شود. نظارت مستمر با داشتن خطوط مبنای عملکرد و آستانه‌های هشدار، از «کورکورانه عمل کردن» خودداری کنید.

فناوری‌های نظارت بر یکپارچگی فایل (FIM) و ردیابی تغییرات پیکربندی به تشخیص انحرافات از خط پایه کمک می‌کنند. ابزارهایی مانند ردیاب تغییرات Netwrix آنها تشخیص و توضیح اینکه چه چیزی، چه کسی و چه زمانی تغییر کرده است را آسان‌تر می‌کنند، پاسخ را سرعت می‌بخشند و به انطباق کمک می‌کنند (NIST، PCI DSS، CMMC، STIG، NERC CIP).

رمزگذاری داده‌ها در حالت سکون و در حین انتقال

برای سرورها، از BitLocker این در حال حاضر یک الزام اساسی در تمام درایوهای دارای داده‌های حساس است. اگر به جزئیات سطح فایل نیاز دارید، از ... استفاده کنید. EFSIPsec امکان رمزگذاری ترافیک بین سرورها را فراهم می‌کند تا محرمانگی و یکپارچگی، که از موارد کلیدی در ... هستند، حفظ شود. شبکه‌های بخش‌بندی‌شده یا با مراحل کمتر قابل اعتماد. این موضوع وقتی در مورد مقاوم سازی در ویندوز صحبت می کنیم بسیار مهم است.

محتوای اختصاصی - اینجا را کلیک کنید چگونه در تلفن همراه بدون دسترسی به آن مداخله کنیم؟

مدیریت دسترسی و سیاست‌های حیاتی

اصل حداقل دسترسی را برای کاربران و سرویس‌ها اعمال کنید. از ذخیره هش‌های ... خودداری کنید. مدیر شبکه و NTLMv1 را به جز وابستگی‌های قدیمی غیرفعال کنید. انواع رمزگذاری مجاز Kerberos را پیکربندی کنید و اشتراک‌گذاری فایل و چاپگر را در مواردی که ضروری نیست، کاهش دهید.

والورا محدود کردن یا مسدود کردن رسانه‌های قابل حمل (USB) برای محدود کردن خروج یا ورود بدافزار. قبل از ورود، یک اخطار قانونی ("استفاده غیرمجاز ممنوع") نمایش می‌دهد و نیاز دارد Ctrl + Alt + Del و به طور خودکار جلسات غیرفعال را خاتمه می‌دهد. اینها اقدامات ساده‌ای هستند که مقاومت مهاجم را افزایش می‌دهند.

ابزارها و اتوماسیون برای جلب توجه

برای اعمال خطوط پایه به صورت دسته جمعی، از GPO و خطوط پایه امنیتی مایکروسافت. راهنماهای CIS، همراه با ابزارهای ارزیابی، به اندازه‌گیری فاصله بین وضعیت فعلی شما و هدف کمک می‌کنند. در جایی که مقیاس ایجاب می‌کند، راه‌حل‌هایی مانند مجموعه سخت‌کاری CalCom (CHS) آنها به یادگیری در مورد محیط، پیش‌بینی تأثیرات و اعمال سیاست‌ها به صورت متمرکز کمک می‌کنند و در طول زمان، مقاوم‌سازی را حفظ می‌کنند.

در سیستم‌های کلاینت، ابزارهای رایگانی وجود دارند که «مقاوم‌سازی» موارد ضروری را ساده می‌کنند. سیشاردنر تنظیماتی روی سرویس‌ها، فایروال و نرم‌افزارهای رایج ارائه می‌دهد؛ هاردنتولز توابع بالقوه قابل سوءاستفاده (ماکروها، ActiveX، Windows Script Host، PowerShell/ISE در هر مرورگر) را غیرفعال می‌کند؛ و پیکربندی سخت این به شما امکان می‌دهد با SRP، لیست‌های سفید بر اساس مسیر یا هش، SmartScreen روی فایل‌های محلی، مسدود کردن منابع غیرقابل اعتماد و اجرای خودکار روی USB/DVD کار کنید.

فایروال و دسترسی: قوانین کاربردی که کار می‌کنند

همیشه فایروال ویندوز را فعال کنید، هر سه پروفایل را به طور پیش‌فرض با مسدود کردن ورودی‌ها پیکربندی کنید و باز کنید فقط پورت‌های حیاتی به سرویس (در صورت لزوم با محدوده IP). مدیریت از راه دور بهتر است از طریق VPN و با دسترسی محدود انجام شود. قوانین قدیمی را بررسی کنید و هر چیزی را که دیگر نیازی به آن نیست غیرفعال کنید.

فراموش نکنید که مقاوم‌سازی در ویندوز یک تصویر ایستا نیست: یک فرآیند پویا است. مبنای خود را مستند کنید. انحرافات را رصد می‌کندتغییرات را پس از هر وصله بررسی کنید و اقدامات را با عملکرد واقعی تجهیزات تطبیق دهید. کمی انضباط فنی، کمی اتوماسیون و ارزیابی ریسک واضح، ویندوز را به سیستمی بسیار دشوارتر برای نفوذ تبدیل می‌کند، بدون اینکه انعطاف‌پذیری آن را از بین ببرد.

مقاله مرتبط:

چگونه بر Task Manager و Resource Monitor مسلط شویم؟

دانیل تراسا

ویراستار متخصص در مسائل فناوری و اینترنت با بیش از ده سال تجربه در رسانه های مختلف دیجیتال. من به عنوان ویراستار و تولید کننده محتوا برای شرکت های تجارت الکترونیک، ارتباطات، بازاریابی آنلاین و تبلیغات کار کرده ام. من همچنین در وب سایت های اقتصاد، دارایی و سایر بخش ها نوشته ام. کار من نیز علاقه من است. اکنون، از طریق مقالات من در Tecnobits، سعی می کنم تمام اخبار و فرصت های جدیدی را که دنیای فناوری هر روز برای بهبود زندگی مان به ما ارائه می دهد، کشف کنم.