વિન્ડોઝમાં શું સખ્તાઇ થઈ રહી છે અને સિસ્ટમ એડમિન વિના તેને કેવી રીતે લાગુ કરવું

જો તમે સર્વર્સ અથવા યુઝર કમ્પ્યુટર્સનું સંચાલન કરો છો, તો તમે કદાચ તમારી જાતને આ પ્રશ્ન પૂછ્યો હશે: હું વિન્ડોઝને સારી ઊંઘ માટે પૂરતું સુરક્ષિત કેવી રીતે બનાવી શકું? વિન્ડોઝમાં સખ્તાઇ તે એક વખતની યુક્તિ નથી, પરંતુ હુમલાની સપાટી ઘટાડવા, ઍક્સેસ મર્યાદિત કરવા અને સિસ્ટમને નિયંત્રણમાં રાખવા માટે નિર્ણયો અને ગોઠવણોનો સમૂહ છે.

કોર્પોરેટ વાતાવરણમાં, સર્વર્સ કામગીરીનો પાયો છે: તેઓ ડેટા સંગ્રહિત કરે છે, સેવાઓ પૂરી પાડે છે અને મહત્વપૂર્ણ વ્યવસાય ઘટકોને જોડે છે; તેથી જ તેઓ કોઈપણ હુમલાખોર માટે મુખ્ય લક્ષ્ય છે. શ્રેષ્ઠ પ્રથાઓ અને બેઝલાઇન સાથે વિન્ડોઝને મજબૂત બનાવીને, તમે નિષ્ફળતાઓ ઓછી કરો છો, તમે જોખમો મર્યાદિત કરો છો અને તમે એક સમયે કોઈ ઘટનાને બાકીના માળખામાં ફેલાતા અટકાવો છો.

વિન્ડોઝમાં હાર્ડનિંગ શું છે અને તે શા માટે મહત્વપૂર્ણ છે?

સખ્તાઇ અથવા મજબૂતીકરણમાં શામેલ છે ઘટકોને ગોઠવો, દૂર કરો અથવા પ્રતિબંધિત કરો સંભવિત એન્ટ્રી પોઈન્ટ્સને બંધ કરવા માટે ઓપરેટિંગ સિસ્ટમ, સેવાઓ અને એપ્લિકેશનોનું સંચાલન. વિન્ડોઝ બહુમુખી અને સુસંગત છે, હા, પરંતુ "તે લગભગ દરેક વસ્તુ માટે કામ કરે છે" અભિગમનો અર્થ એ છે કે તે ખુલ્લી કાર્યક્ષમતાઓ સાથે આવે છે જેની તમને હંમેશા જરૂર હોતી નથી.

તમે જેટલા વધુ બિનજરૂરી કાર્યો, પોર્ટ્સ અથવા પ્રોટોકોલ સક્રિય રાખશો, તેટલી તમારી નબળાઈ વધારે હશે. સખ્તાઇનો ધ્યેય છે હુમલાની સપાટી ઓછી કરોવિશેષાધિકારોને મર્યાદિત કરો અને ફક્ત જરૂરી હોય તે જ છોડી દો, જેમાં અપ-ટુ-ડેટ પેચ, સક્રિય ઓડિટિંગ અને સ્પષ્ટ નીતિઓ શામેલ હોય.

આ અભિગમ ફક્ત વિન્ડોઝ પૂરતો જ નથી; તે કોઈપણ આધુનિક સિસ્ટમ પર લાગુ પડે છે: તે હજારો વિવિધ પરિસ્થિતિઓને હેન્ડલ કરવા માટે તૈયાર ઇન્સ્ટોલ કરેલું છે. તેથી જ તે સલાહભર્યું છે તમે જેનો ઉપયોગ નથી કરી રહ્યા તેને બંધ કરો.કારણ કે જો તમે તેનો ઉપયોગ નહીં કરો, તો કોઈ બીજું તમારા માટે તેનો ઉપયોગ કરવાનો પ્રયાસ કરી શકે છે.

અભ્યાસક્રમનું ચાર્ટ બનાવતી પાયાની રેખાઓ અને ધોરણો

વિન્ડોઝમાં સખ્તાઇ માટે, બેન્ચમાર્ક છે જેમ કે સીઆઈએસ (સેન્ટર ફોર ઈન્ટરનેટ સિક્યુરિટી) અને DoD STIG માર્ગદર્શિકા, ઉપરાંત માઈક્રોસોફ્ટ સુરક્ષા બેઝલાઈન્સ (માઈક્રોસોફ્ટ સિક્યુરિટી બેઝલાઈન્સ). આ સંદર્ભો વિન્ડોઝના વિવિધ રોલ અને વર્ઝન માટે ભલામણ કરેલ રૂપરેખાંકનો, નીતિ મૂલ્યો અને નિયંત્રણોને આવરી લે છે.

બેઝલાઇન લાગુ કરવાથી પ્રોજેક્ટને મોટા પ્રમાણમાં વેગ મળે છે: તે ડિફોલ્ટ ગોઠવણી અને શ્રેષ્ઠ પ્રથાઓ વચ્ચેના અંતરને ઘટાડે છે, ઝડપી જમાવટના લાક્ષણિક "અંતર" ને ટાળે છે. તેમ છતાં, દરેક વાતાવરણ અનન્ય છે અને તે સલાહભર્યું છે કે ફેરફારોનું પરીક્ષણ કરો તેમને ઉત્પાદનમાં લેતા પહેલા.

વિન્ડોઝ હાર્ડનિંગ સ્ટેપ બાય સ્ટેપ

તૈયારી અને ભૌતિક સુરક્ષા

સિસ્ટમ ઇન્સ્ટોલ થાય તે પહેલાં વિન્ડોઝમાં હાર્ડનિંગ શરૂ થાય છે. રાખો સંપૂર્ણ સર્વર ઇન્વેન્ટરીનવાને ટ્રાફિકથી અલગ કરો જ્યાં સુધી તે સખત ન થાય, BIOS/UEFI ને પાસવર્ડથી સુરક્ષિત કરો, અક્ષમ કરો બાહ્ય મીડિયામાંથી બુટ કરો અને રિકવરી કન્સોલ પર ઓટોલોગોનને અટકાવે છે.

જો તમે તમારા પોતાના હાર્ડવેરનો ઉપયોગ કરો છો, તો સાધનોને એવી જગ્યાએ મૂકો જ્યાં ભૌતિક ઍક્સેસ નિયંત્રણયોગ્ય તાપમાન અને દેખરેખ જરૂરી છે. ભૌતિક ઍક્સેસને મર્યાદિત કરવી એ લોજિકલ ઍક્સેસ જેટલું જ મહત્વપૂર્ણ છે, કારણ કે ચેસિસ ખોલવાથી અથવા USB થી બુટ કરવાથી બધું જ જોખમમાં મુકાઈ શકે છે.

એકાઉન્ટ્સ, ઓળખપત્રો અને પાસવર્ડ નીતિ

સ્પષ્ટ નબળાઈઓને દૂર કરીને શરૂઆત કરો: ગેસ્ટ એકાઉન્ટને અક્ષમ કરો અને, જ્યાં શક્ય હોય ત્યાં, સ્થાનિક સંચાલકને અક્ષમ કરે છે અથવા તેનું નામ બદલી નાખે છેબિન-તુચ્છ નામ સાથે વહીવટી ખાતું બનાવો (પ્રશ્ન વિન્ડોઝ 11 ઑફલાઇનમાં સ્થાનિક એકાઉન્ટ કેવી રીતે બનાવવું) અને રોજિંદા કાર્યો માટે અનપ્રિવિલેજ્ડ એકાઉન્ટ્સનો ઉપયોગ કરે છે, જ્યારે જરૂરી હોય ત્યારે જ "આ રીતે ચલાવો" દ્વારા વિશેષાધિકારોને ઉન્નત કરે છે.

તમારી પાસવર્ડ નીતિને મજબૂત બનાવો: યોગ્ય જટિલતા અને લંબાઈની ખાતરી કરો. સમયાંતરે સમાપ્તિનિષ્ફળ પ્રયાસો પછી પુનઃઉપયોગ અને એકાઉન્ટ લોકઆઉટ અટકાવવા માટે ઇતિહાસ. જો તમે ઘણી ટીમોનું સંચાલન કરો છો, તો સ્થાનિક ઓળખપત્રોને ફેરવવા માટે LAPS જેવા ઉકેલોનો વિચાર કરો; મહત્વપૂર્ણ બાબત એ છે કે સ્થિર ઓળખપત્રો ટાળો અને અનુમાન લગાવવું સરળ છે.

 

ગ્રુપ મેમ્બરશિપ (એડમિનિસ્ટ્રેટર, રિમોટ ડેસ્કટોપ યુઝર્સ, બેકઅપ ઓપરેટર્સ, વગેરે) ની સમીક્ષા કરો અને કોઈપણ બિનજરૂરી મેમ્બરશિપ દૂર કરો. સિદ્ધાંત ઓછા વિશેષાધિકાર બાજુની ગતિવિધિઓને મર્યાદિત કરવા માટે તે તમારો શ્રેષ્ઠ સાથી છે.

નેટવર્ક, DNS અને સમય સમન્વયન (NTP)

પ્રોડક્શન સર્વર પાસે હોવું આવશ્યક છે સ્થિર આઇપી, ફાયરવોલ પાછળ સુરક્ષિત સેગમેન્ટમાં સ્થિત હોવું જોઈએ (અને જાણો CMD તરફથી શંકાસ્પદ નેટવર્ક કનેક્શન્સને કેવી રીતે બ્લોક કરવા (જ્યારે જરૂરી હોય ત્યારે), અને રિડન્ડન્સી માટે બે DNS સર્વર વ્યાખ્યાયિત કરો. ચકાસો કે A અને PTR રેકોર્ડ અસ્તિત્વમાં છે; યાદ રાખો કે DNS પ્રચાર... તે લાગી શકે છે અને આયોજન કરવું સલાહભર્યું છે.

NTP ગોઠવો: માત્ર મિનિટોનું વિચલન Kerberos ને તોડે છે અને દુર્લભ પ્રમાણીકરણ નિષ્ફળતાઓનું કારણ બને છે. વિશ્વસનીય ટાઈમર વ્યાખ્યાયિત કરો અને તેને સિંક્રનાઇઝ કરો. આખો કાફલો તેની વિરુદ્ધ. જો તમને જરૂર ન હોય, તો TCP/IP અથવા LMHosts લુકઅપ પર NetBIOS જેવા લેગસી પ્રોટોકોલને અક્ષમ કરો. અવાજ ઓછો કરો અને પ્રદર્શન.

ભૂમિકાઓ, સુવિધાઓ અને સેવાઓ: ઓછું એટલે વધુ

સર્વરના હેતુ માટે તમને જોઈતી ભૂમિકાઓ અને સુવિધાઓ જ ઇન્સ્ટોલ કરો (IIS, .NET તેના જરૂરી સંસ્કરણમાં, વગેરે). દરેક વધારાના પેકેજમાં વધારાની સપાટી નબળાઈઓ અને ગોઠવણી માટે. ડિફોલ્ટ અથવા વધારાની એપ્લિકેશનો અનઇન્સ્ટોલ કરો જેનો ઉપયોગ કરવામાં આવશે નહીં (જુઓ વિનેરો ટ્વીકર: ઉપયોગી અને સલામત ગોઠવણો).

સમીક્ષા સેવાઓ: જરૂરી સેવાઓ, આપમેળે; જે અન્ય લોકો પર આધાર રાખે છે, તેમાં સ્વચાલિત (વિલંબિત પ્રારંભ) અથવા સારી રીતે વ્યાખ્યાયિત નિર્ભરતાઓ સાથે; કોઈપણ વસ્તુ જે મૂલ્ય ઉમેરતી નથી, અક્ષમ છે. અને એપ્લિકેશન સેવાઓ માટે, ઉપયોગ કરો ચોક્કસ સેવા ખાતાઓ જો તમે તેને ટાળી શકો તો સ્થાનિક સિસ્ટમ નહીં, ઓછામાં ઓછી પરવાનગીઓ સાથે.

ફાયરવોલ અને એક્સપોઝર ન્યૂનતમકરણ

સામાન્ય નિયમ: ડિફૉલ્ટ રૂપે બ્લોક કરો અને ફક્ત તે જ ખોલો જે જરૂરી છે. જો તે વેબ સર્વર છે, તો એક્સપોઝ કરો HTTP / HTTPS અને બસ; વહીવટ (RDP, WinRM, SSH) VPN દ્વારા થવો જોઈએ અને જો શક્ય હોય તો, IP સરનામાં દ્વારા પ્રતિબંધિત હોવો જોઈએ. વિન્ડોઝ ફાયરવોલ પ્રોફાઇલ્સ (ડોમેન, ખાનગી, જાહેર) અને ઝીણાદાર નિયમો દ્વારા સારું નિયંત્રણ પ્રદાન કરે છે.

સમર્પિત પરિમિતિ ફાયરવોલ હંમેશા એક વત્તા છે, કારણ કે તે સર્વરને ઓફલોડ કરે છે અને ઉમેરે છે અદ્યતન વિકલ્પો (નિરીક્ષણ, IPS, વિભાજન). કોઈ પણ સંજોગોમાં, અભિગમ સમાન છે: ઓછા ખુલ્લા પોર્ટ, ઓછી ઉપયોગી હુમલો સપાટી.

દૂરસ્થ ઍક્સેસ અને અસુરક્ષિત પ્રોટોકોલ

RDP ફક્ત જો એકદમ જરૂરી હોય તો જ, સાથે NLA, ઉચ્ચ એન્ક્રિપ્શનશક્ય હોય તો MFA, અને ચોક્કસ જૂથો અને નેટવર્ક્સની પ્રતિબંધિત ઍક્સેસ. ટેલનેટ અને FTP ટાળો; જો તમને ટ્રાન્સફરની જરૂર હોય, તો SFTP/SSH નો ઉપયોગ કરો, અને તેનાથી પણ સારું, VPN માંથીપાવરશેલ રિમોટિંગ અને SSH નિયંત્રિત હોવા જોઈએ: કોણ અને ક્યાંથી તેમને ઍક્સેસ કરી શકે છે તે મર્યાદિત કરો. રિમોટ કંટ્રોલના સુરક્ષિત વિકલ્પ તરીકે, જાણો કે કેવી રીતે Windows પર Chrome રિમોટ ડેસ્કટોપને સક્રિય અને ગોઠવો.

જો તમને તેની જરૂર ન હોય, તો રિમોટ રજિસ્ટ્રેશન સેવાને અક્ષમ કરો. સમીક્ષા કરો અને અવરોધિત કરો નલસેશનપાઇપ્સ y નલસેશનશેર્સ સંસાધનોની અનામી ઍક્સેસ અટકાવવા માટે. અને જો તમારા કિસ્સામાં IPv6 નો ઉપયોગ ન થયો હોય, તો અસરનું મૂલ્યાંકન કર્યા પછી તેને અક્ષમ કરવાનું વિચારો.

પેચિંગ, અપડેટ્સ અને ફેરફાર નિયંત્રણ

વિન્ડોઝને અપ ટુ ડેટ રાખો સુરક્ષા પેચો ઉત્પાદન શરૂ કરતા પહેલા નિયંત્રિત વાતાવરણમાં દૈનિક પરીક્ષણ. WSUS અથવા SCCM પેચ ચક્રનું સંચાલન કરવા માટે સહયોગી છે. તૃતીય-પક્ષ સોફ્ટવેરને ભૂલશો નહીં, જે ઘણીવાર નબળી કડી હોય છે: અપડેટ્સ શેડ્યૂલ કરો અને નબળાઈઓને ઝડપથી સંબોધિત કરો.

આ ડ્રાઇવરો વિન્ડોઝને મજબૂત બનાવવામાં ડ્રાઇવરો પણ ભૂમિકા ભજવે છે: જૂના ડિવાઇસ ડ્રાઇવરો ક્રેશ અને નબળાઈઓનું કારણ બની શકે છે. નિયમિત ડ્રાઇવર અપડેટ પ્રક્રિયા સ્થાપિત કરો, નવી સુવિધાઓ કરતાં સ્થિરતા અને સુરક્ષાને પ્રાથમિકતા આપો.

ઇવેન્ટ લોગિંગ, ઑડિટિંગ અને મોનિટરિંગ

સુરક્ષા ઓડિટિંગ ગોઠવો અને લોગનું કદ વધારો જેથી તે દર બે દિવસે ફેરવાય નહીં. કોર્પોરેટ વ્યૂઅર અથવા SIEM માં ઇવેન્ટ્સને કેન્દ્રિત કરો, કારણ કે તમારી સિસ્ટમ વધતી જાય તેમ દરેક સર્વરની વ્યક્તિગત રીતે સમીક્ષા કરવી અવ્યવહારુ બની જાય છે. સતત દેખરેખ કામગીરીની બેઝલાઇન અને ચેતવણી થ્રેશોલ્ડ સાથે, "આંધળી ગોળીબાર" ટાળો.

ફાઇલ ઇન્ટિગ્રિટી મોનિટરિંગ (FIM) ટેકનોલોજી અને રૂપરેખાંકન પરિવર્તન ટ્રેકિંગ બેઝલાઇન વિચલનો શોધવામાં મદદ કરે છે. સાધનો જેમ કે નેટવ્રિક્સ ચેન્જ ટ્રેકર તેઓ શું બદલાયું છે, કોણ અને ક્યારે બદલાયું છે તે શોધવા અને સમજાવવાનું સરળ બનાવે છે, પ્રતિભાવને ઝડપી બનાવે છે અને પાલનમાં મદદ કરે છે (NIST, PCI DSS, CMMC, STIG, NERC CIP).

આરામ અને પરિવહન દરમિયાન ડેટા એન્ક્રિપ્શન

સર્વર્સ માટે, બીટલોકર સંવેદનશીલ ડેટા ધરાવતી બધી ડ્રાઇવ્સ પર તે પહેલાથી જ એક મૂળભૂત આવશ્યકતા છે. જો તમને ફાઇલ-સ્તરની ગ્રેન્યુલારિટીની જરૂર હોય, તો ઉપયોગ કરો... ઇએફએસસર્વર્સ વચ્ચે, IPsec ગુપ્તતા અને અખંડિતતા જાળવવા માટે ટ્રાફિકને એન્ક્રિપ્ટ કરવાની મંજૂરી આપે છે, જે કંઈક મુખ્ય છે વિભાજિત નેટવર્ક્સ અથવા ઓછા વિશ્વસનીય પગલાં સાથે. વિન્ડોઝમાં સખ્તાઇની ચર્ચા કરતી વખતે આ મહત્વપૂર્ણ છે.

ઍક્સેસ મેનેજમેન્ટ અને મહત્વપૂર્ણ નીતિઓ

વપરાશકર્તાઓ અને સેવાઓને ઓછામાં ઓછા વિશેષાધિકારનો સિદ્ધાંત લાગુ કરો. હેશ સ્ટોર કરવાનું ટાળો લ Managerન મેનેજર અને લેગસી ડિપેન્ડન્સી સિવાય NTLMv1 ને અક્ષમ કરો. માન્ય Kerberos એન્ક્રિપ્શન પ્રકારોને ગોઠવો અને જ્યાં જરૂરી ન હોય ત્યાં ફાઇલ અને પ્રિન્ટર શેરિંગ ઘટાડો.

મૂલ્ય દૂર કરી શકાય તેવા મીડિયા (USB) ને પ્રતિબંધિત અથવા અવરોધિત કરો માલવેર એક્સફિલ્ટ્રેશન અથવા એન્ટ્રી મર્યાદિત કરવા માટે. તે લોગિન પહેલાં કાનૂની સૂચના પ્રદર્શિત કરે છે ("અનધિકૃત ઉપયોગ પ્રતિબંધિત"), અને જરૂરી છે Ctrl + Alt + ડેલ અને તે આપમેળે નિષ્ક્રિય સત્રોને સમાપ્ત કરે છે. આ સરળ પગલાં છે જે હુમલાખોરના પ્રતિકારને વધારે છે.

ટ્રેક્શન મેળવવા માટે સાધનો અને ઓટોમેશન

જથ્થાબંધ બેઝલાઇન લાગુ કરવા માટે, ઉપયોગ કરો GPO અને માઇક્રોસોફ્ટની સુરક્ષા બેઝલાઇન્સ. CIS માર્ગદર્શિકાઓ, મૂલ્યાંકન સાધનો સાથે, તમારી વર્તમાન સ્થિતિ અને લક્ષ્ય વચ્ચેના અંતરને માપવામાં મદદ કરે છે. જ્યાં સ્કેલને તેની જરૂર હોય, ત્યાં ઉકેલો જેમ કે કેલકોમ હાર્ડનિંગ સ્યુટ (CHS) તેઓ પર્યાવરણ વિશે શીખવામાં, અસરોની આગાહી કરવામાં અને નીતિઓને કેન્દ્રિય રીતે લાગુ કરવામાં મદદ કરે છે, સમય જતાં સખ્તાઇ જાળવી રાખે છે.

ક્લાયંટ સિસ્ટમો પર, મફત ઉપયોગિતાઓ છે જે આવશ્યક બાબતોને "સખત" કરવાનું સરળ બનાવે છે. સિશાર્ડનર તે સેવાઓ, ફાયરવોલ અને સામાન્ય સોફ્ટવેર પર સેટિંગ્સ ઓફર કરે છે; હાર્ડન્ટૂલ્સ સંભવિત રીતે શોષણ કરી શકાય તેવા કાર્યોને અક્ષમ કરે છે (મેક્રો, એક્ટિવએક્સ, વિન્ડોઝ સ્ક્રિપ્ટ હોસ્ટ, બ્રાઉઝર દીઠ પાવરશેલ/ISE); અને હાર્ડ_કન્ફિગ્યુરેટર તે તમને SRP સાથે રમવા, પાથ અથવા હેશ દ્વારા વ્હાઇટલિસ્ટ કરવા, સ્થાનિક ફાઇલો પર સ્માર્ટસ્ક્રીન, અવિશ્વસનીય સ્ત્રોતોને અવરોધિત કરવા અને USB/DVD પર સ્વચાલિત અમલીકરણની મંજૂરી આપે છે.

ફાયરવોલ અને ઍક્સેસ: વ્યવહારુ નિયમો જે કાર્ય કરે છે

હંમેશા વિન્ડોઝ ફાયરવોલ સક્રિય કરો, ત્રણેય પ્રોફાઇલ્સને ડિફોલ્ટ રૂપે ઇનકમિંગ બ્લોકિંગ સાથે ગોઠવો અને ખોલો ફક્ત મહત્વપૂર્ણ પોર્ટ સેવામાં (જો લાગુ હોય તો IP સ્કોપ સાથે). રિમોટ એડમિનિસ્ટ્રેશન VPN દ્વારા અને પ્રતિબંધિત ઍક્સેસ સાથે શ્રેષ્ઠ રીતે કરવામાં આવે છે. જૂના નિયમોની સમીક્ષા કરો અને જે કંઈપણ હવે જરૂરી નથી તેને અક્ષમ કરો.

ભૂલશો નહીં કે વિન્ડોઝમાં સખ્તાઇ એ સ્થિર છબી નથી: તે એક ગતિશીલ પ્રક્રિયા છે. તમારા બેઝલાઇનને દસ્તાવેજીકૃત કરો. વિચલનો પર નજર રાખે છેદરેક પેચ પછી થયેલા ફેરફારોની સમીક્ષા કરો અને માપદંડોને સાધનોના વાસ્તવિક કાર્ય અનુસાર અનુકૂલિત કરો. થોડી ટેકનિકલ શિસ્ત, ઓટોમેશનનો સ્પર્શ અને સ્પષ્ટ જોખમ મૂલ્યાંકન વિન્ડોઝને તેની વૈવિધ્યતાને બલિદાન આપ્યા વિના તોડવાનું ખૂબ મુશ્કેલ બનાવે છે.