Mitä on koventaminen Windowsissa ja miten sitä sovelletaan ilman järjestelmänvalvojan oikeuksia?

Jos hallinnoit palvelimia tai käyttäjätietokoneita, olet luultavasti kysynyt itseltäsi tämän kysymyksen: miten teen Windowsista tarpeeksi turvallisen, jotta se voi nukkua sikeästi? koventaminen Windowsissa Se ei ole kertaluonteinen temppu, vaan joukko päätöksiä ja säätöjä hyökkäyspinnan pienentämiseksi, pääsyn rajoittamiseksi ja järjestelmän hallitsemiseksi.

Yritysympäristössä palvelimet ovat toiminnan perusta: ne tallentavat tietoja, tarjoavat palveluita ja yhdistävät kriittisiä liiketoimintakomponentteja; siksi ne ovat ensisijainen kohde kaikille hyökkääjille. Vahvistamalla Windowsia parhailla käytännöillä ja lähtötasoilla, Minimoit epäonnistumiset, rajoitat riskejä ja estät jossain vaiheessa tapahtuvan tapahtuman leviämisen muuhun infrastruktuuriin.

Mitä on Windowsin koventaminen ja miksi se on avainasemassa?

Karkaisu tai vahvistaminen koostuu komponenttien määrittäminen, poistaminen tai rajoittaminen käyttöjärjestelmän, palveluiden ja sovellusten sulkemiseksi mahdollisten pääsykohtien sulkemiseksi. Windows on kyllä ​​monipuolinen ja yhteensopiva, mutta "se toimii lähes kaikessa" -lähestymistapa tarkoittaa, että siinä on avoimia toimintoja, joita et aina tarvitse.

Mitä enemmän tarpeettomia toimintoja, portteja tai protokollia pidät aktiivisena, sitä suurempi on haavoittuvuutesi. Koventamisen tavoitteena on pienentää hyökkäyspinta-alaaRajoita käyttöoikeuksia ja jätä vain välttämättömät, käyttämällä ajantasaisia ​​korjauspäivityksiä, aktiivista auditointia ja selkeitä käytäntöjä.

Tämä lähestymistapa ei ole ainutlaatuinen Windowsille; se pätee mihin tahansa nykyaikaiseen järjestelmään: se on asennettu valmiiksi käsittelemään tuhatta erilaista tilannetta. Siksi se on suositeltavaa. Sulje se, mitä et käytä.Koska jos et käytä sitä, joku muu saattaa yrittää käyttää sitä puolestasi.

Lähtötasot ja standardit, jotka kuvaavat kurssia

Windowsin koventamista varten on olemassa vertailuarvoja, kuten CIS (Internet-tietoturvakeskus) ja puolustusministeriön STIG-ohjeiden lisäksi Microsoftin tietoturvan peruslinjat (Microsoftin tietoturvan perusviivat). Nämä viitteet kattavat suositellut määritykset, käytäntöarvot ja ohjausobjektit eri rooleille ja Windows-versioille.

Perustason soveltaminen nopeuttaa projektia huomattavasti: se vähentää oletuskokoonpanon ja parhaiden käytäntöjen välisiä eroja, välttäen nopeille käyttöönottoille tyypillisiä "aukkoja". Silti jokainen ympäristö on ainutlaatuinen ja on suositeltavaa testaa muutoksia ennen niiden ottamista tuotantoon.

Ikkunoiden koventaminen askel askeleelta

Valmistelu ja fyysinen turvallisuus

Windowsin suojaus alkaa ennen järjestelmän asentamista. Pidä täydellinen palvelininventaarioEristä uudet sovellukset liikenteestä, kunnes ne on vahvistettu, suojaa BIOS/UEFI salasanalla, poista käytöstä käynnistys ulkoiselta tallennusvälineeltä ja estää automaattisen kirjautumisen palautuskonsoleissa.

Jos käytät omia laitteita, sijoita ne paikkoihin, joissa fyysinen pääsynhallintaOikea lämpötila ja valvonta ovat olennaisia. Fyysisen pääsyn rajoittaminen on aivan yhtä tärkeää kuin loogisen pääsyn rajoittaminen, koska kotelon avaaminen tai USB:ltä käynnistäminen voi vaarantaa kaiken.

Tilit, tunnistetiedot ja salasanakäytäntö

Aloita poistamalla ilmeiset heikkoudet: poista vierastili käytöstä ja mahdollisuuksien mukaan poistaa käytöstä tai nimeää uudelleen paikallisen järjestelmänvalvojanLuo järjestelmänvalvojan tili, jolla on ei-triviaali nimi (kysely Paikallisen tilin luominen Windows 11:ssä offline-tilassa) ja käyttää käyttöoikeuksia vailla olevia tilejä päivittäisiin tehtäviin, nostaen käyttöoikeuksia "Suorita nimellä" -toiminnolla vain tarvittaessa.

Vahvista salasanakäytäntöäsi: varmista, että salasana on riittävän monimutkainen ja pitkä. määräaikainen vanheneminenHistoria uudelleenkäytön ja tilin lukituksen estämiseksi epäonnistuneiden yritysten jälkeen. Jos hallinnoit useita tiimejä, harkitse ratkaisuja, kuten LAPS, paikallisten tunnistetietojen kierrättämiseen; tärkeintä on vältä staattisia tunnistetietoja ja helppo arvata.

 

Tarkista ryhmien jäsenyydet (järjestelmänvalvojat, etätyöpöytäkäyttäjät, varmuuskopiointioperaattorit jne.) ja poista tarpeettomat. Periaate pienempi etuoikeus Se on paras liittolaisesi sivuttaisliikkeiden rajoittamiseen.

Verkko-, DNS- ja aikasynkronointi (NTP)

Tuotantopalvelimella on oltava Staattinen IP, sijaita palomuurin takana suojatuissa segmenteissä (ja tietää Kuinka estää epäilyttävät verkkoyhteydet CMD:stä (tarvittaessa) ja määritä kaksi DNS-palvelinta redundanssia varten. Varmista, että A- ja PTR-tietueet ovat olemassa; muista, että DNS-levitys... se voi kestää Ja suunnittelu on suositeltavaa.

NTP:n konfigurointi: vain muutaman minuutin poikkeama rikkoo Kerberoksen ja aiheuttaa harvinaisia ​​todennusvirheitä. Määritä luotettava ajastin ja synkronoi se. koko laivasto sitä vastaan. Jos et tarvitse sitä, poista käytöstä vanhat protokollat, kuten NetBIOS TCP/IP:n kautta tai LMHosts-haku. Vähennä melua ja näyttely.

Roolit, ominaisuudet ja palvelut: vähemmän on enemmän

Asenna vain palvelimen tarkoitukseen tarvittavat roolit ja ominaisuudet (IIS, .NET vaaditussa versiossa jne.). Jokainen lisäpaketti on lisäpinta haavoittuvuuksien ja kokoonpanon varalta. Poista oletus- tai lisäsovellukset, joita ei käytetä (katso Winaero Tweaker: Hyödyllisiä ja turvallisia säätöjä).

Arvioi palvelut: automaattisesti välttämättömät; muista riippuvaiset Automaattinen (viivästynyt käynnistys) tai hyvin määritellyillä riippuvuuksilla; kaikki, mikä ei lisää arvoa, on poistettu käytöstä. Ja sovelluspalveluille käytä tietyt palvelutilit minimaalisilla oikeuksilla, ei paikallisessa järjestelmässä, jos se on mahdollista välttää.

Palomuuri ja altistumisen minimointi

Yleinen sääntö: estä oletuksena ja avaa vain tarvittavat osat. Jos kyseessä on web-palvelin, paljasta HTTP / HTTPS Ja siinä kaikki; hallinta (RDP, WinRM, SSH) tulisi tehdä VPN:n kautta ja mahdollisuuksien mukaan rajoittaa IP-osoitteen mukaan. Windowsin palomuuri tarjoaa hyvän hallinnan profiilien (toimialue, yksityinen, julkinen) ja yksityiskohtaisten sääntöjen avulla.

Erillinen perimeter-palomuuri on aina plussaa, koska se keventää palvelimen kuormitusta ja lisää lisäasetukset (tarkastus, IPS, segmentointi). Lähestymistapa on joka tapauksessa sama: vähemmän avoimia portteja, vähemmän käyttökelpoista hyökkäyspintaa.

Etäkäyttö ja suojaamattomat protokollat

RDP vain ehdottoman välttämättömissä tapauksissa NLA, korkea salausMFA, jos mahdollista, ja rajoitettu pääsy tiettyihin ryhmiin ja verkkoihin. Vältä telnetiä ja FTP:tä; jos tarvitset siirtoa, käytä SFTP/SSH:ta ja vielä parempi. VPN:stäPowerShell-etäkäyttöä ja SSH:ta on valvottava: rajoita, kuka voi käyttää niitä ja mistä. Turvallisena vaihtoehtona etäkäytölle opi, miten... Chrome-etätyöpöydän aktivointi ja määrittäminen Windowsissa.

Jos et tarvitse sitä, poista etärekisteröintipalvelu käytöstä. Tarkista ja estä NullSessionPipes y NullSessionShares estääksesi anonyymin pääsyn resursseihin. Ja jos IPv6:ta ei käytetä tapauksessasi, harkitse sen poistamista käytöstä arvioituasi sen vaikutukset.

Korjaukset, päivitykset ja muutostenhallinta

Pidä Windows ajan tasalla seuraavilla tavoilla: tietoturvakorjauksia Päivittäinen testaus kontrolloidussa ympäristössä ennen siirtymistä tuotantoon. WSUS tai SCCM ovat liittolaisia ​​korjauspäivitysten hallinnassa. Älä unohda kolmannen osapuolen ohjelmistoja, jotka ovat usein heikoin lenkki: aikatauluta päivitykset ja korjaa haavoittuvuudet nopeasti.

Los kuljettajat Myös ajurit auttavat suojaamaan Windowsia: vanhentuneet laiteajurit voivat aiheuttaa kaatumisia ja haavoittuvuuksia. Laadi säännöllinen ajuripäivitysprosessi ja aseta vakaus ja tietoturva etusijalle uusien ominaisuuksien sijaan.

Tapahtumien lokikirjaus, auditointi ja valvonta

Määritä tietoturvan auditointi ja kasvata lokien kokoa, jotta ne eivät vaihdu kahden päivän välein. Keskitä tapahtumat yrityksen katseluohjelmaan tai SIEM-järjestelmään, koska jokaisen palvelimen yksittäinen tarkastelu tulee epäkäytännölliseksi järjestelmän kasvaessa. jatkuva seuranta Suorituskyvyn perustasojen ja hälytyskynnysten kanssa vältä "sokeasti käynnistymistä".

Tiedostojen eheyden valvonta (FIM) -tekniikat ja kokoonpanomuutosten seuranta auttavat havaitsemaan lähtötilanteen poikkeamat. Työkalut, kuten Netwrix-muutosseuranta Ne helpottavat muutosten havaitsemista ja selittämistä, kuka on tehnyt muutokset ja milloin, nopeuttavat reagointia ja auttavat vaatimustenmukaisuudessa (NIST, PCI DSS, CMMC, STIG, NERC CIP).

Tietojen salaus sekä levossa että siirron aikana

Palvelimille, BitLocker Se on jo perusvaatimus kaikille arkaluonteisia tietoja sisältäville asemille. Jos tarvitset tiedostotason tarkkuutta, käytä... EFSPalvelinten välillä IPsec mahdollistaa liikenteen salaamisen luottamuksellisuuden ja eheyden säilyttämiseksi, mikä on avainasemassa segmentoidut verkot tai vähemmän luotettavilla vaiheilla. Tämä on ratkaisevan tärkeää Windowsin koventamisen yhteydessä.

Pääsynhallinta ja kriittiset käytännöt

Sovelta pienimpien oikeuksien periaatetta käyttäjille ja palveluille. Vältä tiivisteiden tallentamista LAN-hallinta ja poista NTLMv1 käytöstä vanhoja riippuvuuksia lukuun ottamatta. Määritä sallitut Kerberos-salaustyypit ja vähennä tiedostojen ja tulostimien jakamista siellä, missä se ei ole välttämätöntä.

Arvo Rajoita tai estä siirrettävien tallennusvälineiden (USB) käyttö haittaohjelmien leviämisen tai pääsyn rajoittamiseksi. Se näyttää oikeudellisen ilmoituksen ennen kirjautumista ("Luvaton käyttö kielletty") ja vaatii Ctrl + Alt + Del ja se lopettaa automaattisesti passiiviset istunnot. Nämä ovat yksinkertaisia ​​toimenpiteitä, jotka lisäävät hyökkääjän vastustuskykyä.

Työkalut ja automaatio vauhdin lisäämiseksi

Jos haluat käyttää perusviivoja kerralla, käytä GPO ja Microsoftin tietoturvan lähtötasot. CIS-oppaat ja arviointityökalut auttavat mittaamaan nykytilan ja tavoitteen välistä kuilua. Laaja-alaisuuden niin vaatiessa ratkaisut, kuten CalComin kovettumispaketti (CHS) Ne auttavat oppimaan ympäristöstä, ennustamaan vaikutuksia ja soveltamaan käytäntöjä keskitetysti, pitäen suojelun voimassa ajan kuluessa.

Asiakasjärjestelmissä on ilmaisia ​​apuohjelmia, jotka yksinkertaistavat olennaisten ominaisuuksien "koventamista". Syshardener Se tarjoaa asetuksia palveluille, palomuurille ja yleisille ohjelmistoille; Hardentools poistaa käytöstä mahdollisesti hyödynnettävät toiminnot (makrot, ActiveX, Windows Script Host, PowerShell/ISE selainta kohden); ja Hard_Configurator Sen avulla voit leikkiä SRP:llä, polun tai hajautusarvon mukaisilla valkolistoilla, SmartScreenillä paikallisissa tiedostoissa, epäluotettavien lähteiden estämisellä ja automaattisella suorittamisella USB/DVD-levyllä.

Palomuuri ja käyttöoikeus: toimivat käytännön säännöt

Aktivoi aina Windowsin palomuuri, määritä kaikki kolme profiilia oletusarvoisesti estämään saapuvat postit ja avaa vain kriittiset portit palveluun (IP-laajuudella, jos sovellettavissa). Etähallinta onnistuu parhaiten VPN:n kautta ja rajoitetulla käyttöoikeudella. Tarkista vanhat säännöt ja poista käytöstä kaikki, mitä ei enää tarvita.

Muista, että Windowsin koventaminen ei ole staattinen kuva: se on dynaaminen prosessi. Dokumentoi lähtötilanteesi. seuraa poikkeamiaTarkista muutokset jokaisen päivityksen jälkeen ja mukauta toimenpiteet laitteen todelliseen toimintaan. Hieman teknistä kurinalaisuutta, ripaus automaatiota ja selkeä riskinarviointi tekevät Windowsista paljon vaikeamman järjestelmän murtaa tinkimättä sen monipuolisuudesta.