He aha ka paʻakikī ma Windows a pehea e hoʻohana ai me ka ʻole o ka sysadmin

Inā hoʻokele ʻoe i nā kikowaena a i ʻole kamepiula mea hoʻohana, ua nīnau paha ʻoe iā ʻoe iho i kēia nīnau: pehea wau e hoʻopaʻa pono ai iā Windows e hiamoe maikaʻi? paʻakikī ma Windows ʻAʻole ia he hoʻopunipuni hoʻokahi, akā he hoʻonohonoho o nā hoʻoholo a me nā hoʻoponopono e hōʻemi i ka ʻili o ka hoʻouka ʻana, kaupalena i ke komo ʻana, a mālama i ka ʻōnaehana ma lalo o ka mana.

I loko o kahi ʻoihana hui, ʻo nā kikowaena ke kumu o nā hana: mālama lākou i ka ʻikepili, hāʻawi i nā lawelawe, a hoʻopili i nā ʻāpana ʻoihana koʻikoʻi; ʻo ia ke kumu he pahuhopu nui lākou no kēlā me kēia mea hoʻouka. Ma ka hoʻoikaika ʻana i ka Windows me nā hana maikaʻi loa a me nā kumu, Hoʻemi ʻoe i nā hemahema, palena ʻoe i nā pilikia a ke pale aku nei ʻoe i kahi hanana i kekahi manawa mai ka piʻi ʻana i ke koena o ka ʻōnaehana.

He aha ka paʻakikī ma Windows a no ke aha ke kī?

ʻO ka paʻakikī a hoʻoikaika paha hoʻonohonoho, wehe a hoʻopaʻa i nā ʻāpana o ka ʻōnaehana hana, nā lawelawe, a me nā noi e pani i nā wahi komo. He maʻalahi a paʻa ʻo Windows, ʻae, akā ʻo ka "hana no nā mea āpau" ʻo ia ka mea e hele mai me nā hana hāmama āu e pono ʻole ai.

ʻOi aku ka nui o nā hana pono ʻole, nā awa, a me nā protocols āu e hoʻomau nei, ʻoi aku ka nui o kou nāwaliwali. ʻO ka pahuhopu o ka paʻakikī e hoemi i ka ili hooukaE kaupalena i nā pono a waiho wale i nā mea pono, me nā pākuʻi hou, ka loiloi ikaika, a me nā kulekele maopopo.

ʻAʻole kū hoʻokahi kēia ala i Windows; pili ia i nā ʻōnaehana hou: ua hoʻokomo ʻia me ka mākaukau e lawelawe i hoʻokahi kaukani ʻano hiʻohiʻona like ʻole. ʻO ia ke kumu kūpono Pani i ka mea āu e hoʻohana ʻole nei.No ka mea, inā ʻaʻole ʻoe e hoʻohana, e hoʻāʻo paha kekahi e hoʻohana iā ia no ʻoe.

Nā papa kuhikuhi a me nā maʻamau e hōʻike ana i ka papa

No ka paʻakikī ma Windows, aia nā pae hoʻohālikelike e like me CIS (Center for Internet Security) a me nā kuhikuhi DoD STIG, ma waho aʻe o ka ʻO Microsoft Security Baselines (Microsoft Security Baselines). Hoʻopili kēia mau kuhikuhi i nā hoʻonohonoho i manaʻo ʻia, nā waiwai kulekele, a me nā mana no nā hana like ʻole a me nā mana o Windows.

ʻO ka hoʻohana ʻana i kahi papa kuhikuhi e hoʻolalelale nui i ka pāhana: e hōʻemi ana i nā āpau ma waena o ka hoʻonohonoho paʻamau a me nā hana maikaʻi loa, e pale ana i nā "ākea" maʻamau o nā hoʻolaha wikiwiki. Eia nō naʻe, ʻokoʻa kēlā me kēia kaiapuni a pono ia e hoao i na hoololi ma mua o ka lawe ʻana iā lākou i ka hana.

Windows Hardening Step by Step

Hoʻomākaukau a me ka palekana kino

Hoʻomaka ka paʻakikī ma Windows ma mua o ka hoʻokomo ʻana o ka ʻōnaehana. E mālama i kahi hoʻopiha waihona waihonaE hoʻokaʻawale i nā mea hou mai ke kaʻa a hiki i ka paʻakikī, pale iā BIOS / UEFI me kahi ʻōlelo huna, hoʻopau boot mai ka media waho a pale i ka autologon ma nā consoles hoʻihoʻi.

Inā hoʻohana ʻoe i kāu lako ponoʻī, e kau i nā mea hana ma nā wahi me mana komo kinoPono ka mahana kūpono a me ka nānā ʻana. ʻO ka hoʻopaʻa ʻana i ke komo kino e like me ka mea nui e like me ke komo pono ʻana, no ka mea hiki i ka wehe ʻana i kahi chassis a i ʻole booting mai USB hiki ke hoʻololi i nā mea āpau.

Nā moʻokāki, nā hōʻoia, a me nā kulekele ʻōlelo huna

E hoʻomaka me ka hoʻopau ʻana i nā nāwaliwali maopopo: hoʻopau i ka moʻokāki malihini a, inā hiki, hoʻopau a hoʻololi paha i ka Luna Hoʻokele kūlokoE hana i kahi moʻokāki hoʻokele me ka inoa ʻole (query Pehea e hana ai i kahi moʻokāki kūloko ma Windows 11 offline) a hoʻohana i nā moʻokāki pono ʻole no nā hana o kēlā me kēia lā, e hoʻokiʻekiʻe ana i nā pono ma o "Run as" wale nō inā pono.

E hoʻoikaika i kāu kulekele ʻōlelo huna: e hōʻoia i ka paʻakikī a me ka lōʻihi kūpono. hoʻopau manawaʻO ka mōʻaukala e pale ai i ka hoʻohana hou ʻana a me ka laka moʻokāki ma hope o nā hoʻāʻo ʻole. Inā hoʻokele ʻoe i nā hui he nui, e noʻonoʻo i nā hoʻonā e like me LAPS e hoʻololi i nā hōʻoia kūloko; ʻo ka mea nui pale i nā hōʻoia paʻa a maʻalahi ke koho.

 

E noʻonoʻo i nā lālā o ka hui (Nā Luna Hoʻokele, Nā mea hoʻohana mamao, nā mea hoʻohana Backup, etc.) a wehe i nā mea pono ʻole. ʻO ke kumukānāwai o pono liʻiliʻi ʻO ia kou hoa pili maikaʻi no ka hoʻopaʻa ʻana i nā neʻe ʻaoʻao.

Pūnaewele, DNS a me ka hoʻonohonoho manawa (NTP)

Pono e loaʻa i kahi kikowaena hana IP ʻōwili, aia ma nā ʻāpana i pale ʻia ma hope o kahi pā ahi (a ʻike Pehea e ālai ai i nā pilina pūnaewele kānalua mai CMD (inā pono), a loaʻa i ʻelua mau kikowaena DNS i wehewehe ʻia no ka redundancy. E hōʻoia aia nā moʻolelo A a me PTR; E hoʻomanaʻo i kēlā hoʻolaha DNS ... hiki ke lawe A pono e hoʻolālā.

E hoʻonohonoho i ka NTP: he haʻihaʻi o nā minuke wale nō e wāwahi iā Kerberos a hoʻoulu i nā hemahema o ka hōʻoia. E wehewehe i kahi manawa hilinaʻi a hoʻonohonoho pū. ka moku holookoa kue ia ia. Inā ʻaʻole pono ʻoe, e hoʻopau i nā protocol hoʻoilina e like me NetBIOS ma luna o TCP/IP a i ʻole LMHosts hulina no e hoemi i ka walaau a me ka hoikeike.

Nā kuleana, nā hiʻohiʻona a me nā lawelawe: ʻoi aku ka liʻiliʻi

E hoʻouka wale i nā kuleana a me nā hiʻohiʻona āu e pono ai no ke kumu o ke kikowaena (IIS, .NET i kāna mana koi, etc.). ʻO kēlā me kēia pūʻolo keu ili hou no nā nāwaliwali a me ka hoʻonohonoho. Wehe i nā polokalamu paʻamau a i ʻole nā ​​​​noi hou e hoʻohana ʻole ʻia (e ʻike Winaero Tweaker: Hoʻololi pono a palekana).

Nānā i nā lawelawe: nā mea e pono ai, aunoa; ka poe i hilinai ia hai, in Lele a i ʻole me nā hilinaʻi i wehewehe maikaʻi ʻia; ʻaʻohe mea hoʻohui waiwai, pio. A no nā lawelawe noi, hoʻohana nā moʻokāki lawelawe kūikawā me nā ʻae liʻiliʻi, ʻaʻole ʻo Local System inā hiki iā ʻoe ke pale aku.

ʻO ka pā ahi a me ka hōʻemi ʻana i ka ʻike

ʻO ke kānāwai maʻamau: poloka ma ka paʻamau a wehe wale i ka mea e pono ai. Inā he kikowaena pūnaewele, hōʻike HTTP / HTTPS A ʻo ia nō; ʻO ka hoʻokele (RDP, WinRM, SSH) pono e hana ma luna o VPN a, inā hiki, kaupalena ʻia e ka helu IP. Hāʻawi ka pā ahi Windows i ka mana maikaʻi ma o nā profiles (Domain, Private, Public) a me nā lula granular.

Hoʻohui mau ʻia kahi pā ahi perimeter i hoʻolaʻa ʻia, no ka mea, hoʻopau ia i ke kikowaena a hoʻohui nā koho holomua (nānā, IPS, māhele). ʻO kēlā me kēia hihia, ua like ke ala: liʻiliʻi nā awa hāmama, liʻiliʻi ka hoʻohana ʻana i ka hoʻouka kaua.

Loaʻa mamao a me ka palekana palekana

RDP wale no ina pono loa, me NLA, hoʻopunipuni kiʻekiʻeMFA inā hiki, a kaupalena ʻia ke komo ʻana i nā hui a me nā pūnaewele kikoʻī. Hōʻalo i ka telnet a me FTP; inā makemake ʻoe e hoʻololi, e hoʻohana iā SFTP/SSH, a ʻoi aku ka maikaʻi, mai kahi VPNPono e hoʻomalu ʻia ka PowerShell Remoting a me SSH: palena i ka mea hiki ke komo iā lākou a mai hea mai. Ma ke ʻano he koho palekana no ka mana mamao, e aʻo pehea e E ho'ā a hoʻonohonoho i ka Chrome Remote Desktop ma Windows.

Inā ʻaʻole pono ʻoe, e hoʻopau i ka lawelawe Kakau inoa mamao. Nānā a poloka NullSessionPipes y NullSessionShares e pale i ke komo inoa ʻole i nā kumuwaiwai. A inā ʻaʻole hoʻohana ʻia ʻo IPv6 i kāu hihia, e noʻonoʻo e hoʻopau iā ia ma hope o ka loiloi ʻana i ka hopena.

Hoʻopili, hoʻohou, a hoʻololi i ka mana

E mālama mau i ka Windows me nā pale palekana ʻO ka hoʻāʻo ʻana i kēlā me kēia lā i kahi kaiapuni i mālama ʻia ma mua o ka neʻe ʻana i ka hana. ʻO WSUS a i ʻole SCCM nā hoa pili no ka hoʻokele ʻana i ka pōʻai patch. Mai poina i nā polokalamu ʻaoʻao ʻekolu, ʻo ia ka loulou nāwaliwali: hoʻonohonoho i nā mea hou a hoʻoponopono koke i nā nāwaliwali.

ka O Keaukaha He kuleana hoʻi nā mea hoʻokele i ka hoʻoikaika ʻana i ka Windows: hiki i nā mea hoʻokele kaʻa kahiko ke hana i nā ulia a me nā nāwaliwali. E hoʻokumu i kahi kaʻina hana hoʻopou maʻamau, e hoʻokumu i ka paʻa a me ka palekana ma mua o nā hiʻohiʻona hou.

Ka hoʻopaʻa ʻana i nā hanana, ka nānā ʻana, a me ka nānā ʻana

E hoʻonohonoho i ka loiloi palekana a hoʻonui i ka nui o ka lāʻau i ʻole lākou e hoʻololi i kēlā me kēia lā ʻelua. E hoʻonohonoho i nā hanana i loko o kahi mea nānā ʻoihana a i ʻole SIEM, no ka mea, ʻaʻole kūpono ka loiloi ʻana i kēlā me kēia kikowaena i ka ulu ʻana o kāu ʻōnaehana. ka nānā mau ʻana Me nā papa kuhikuhi hana a me nā paepae makaʻala, e pale i ka "ki makapō".

Kōkua nā ʻenehana File Integrity Monitoring (FIM) a me ka hoʻololi ʻana i ka hoʻololi ʻana i ka hoʻololi ʻana i ka ʻike ʻana i nā haʻalele kumu. Nā mea hana e like me Ka Huli Hoʻololi Netwrix Maʻalahi lākou e ʻike a wehewehe i nā mea i hoʻololi ʻia, ʻo wai a i ka wā hea, e wikiwiki ana i ka pane a kōkua me ka hoʻokō (NIST, PCI DSS, CMMC, STIG, NERC CIP).

Hoʻopili ʻikepili i ka wā hoʻomaha a i ka hele ʻana

No nā kikowaena, BitLocker He mea koʻikoʻi ia ma nā kaʻa āpau me nā ʻikepili koʻikoʻi. Inā makemake ʻoe i ka granularity pae waihona, e hoʻohana ... EFSMa waena o nā kikowaena, ʻae ʻo IPsec i ka hoʻopili ʻia ʻana o nā kaʻa e mālama i ka hūnā a me ka kūpaʻa, kahi mea nui i loko. nā pūnaewele māhele a i ʻole me nā ʻanuʻu hilinaʻi liʻiliʻi. He mea koʻikoʻi kēia ke kamaʻilio mākou e pili ana i ka paʻakikī ma Windows.

Hoʻoponopono komo a me nā kulekele koʻikoʻi

E hoʻohana i ke kumu o ka pono liʻiliʻi i nā mea hoʻohana a me nā lawelawe. Hōʻalo i ka mālama ʻana i nā hashes o Lunahooponopono LAN a hoʻopau i ka NTLMv1 koe wale no nā hilinaʻi hoʻoilina. E hoʻonohonoho i nā ʻano hoʻopunipuni Kerberos i ʻae ʻia a e hōʻemi i ka kaʻana like ʻana i ka faila a me ka paʻi ma kahi ʻaʻole pono.

Waiwai Hoʻopaʻa a ʻākea paha i ka media wehe ʻia (USB) e kaupalena i ka exfiltration a i ʻole ke komo ʻana. Hōʻike ia i kahi leka hoʻomaopopo ma mua o ke komo ʻana ("Hoʻohana ʻole ʻia ka hoʻohana ʻole"), a koi Ctrl + Alt Del a hoopau koke ia i na kau hana ole. He mau hana maʻalahi kēia e hoʻonui ai i ke kū'ē o ka mea hoʻouka.

Nā mea hana a me ka automation e loaʻa ai ka traction

No ka hoʻohana ʻana i nā papa kuhikuhi i ka nui, e hoʻohana GPO a me Microsoft's Security Baselines. ʻO nā alakaʻi CIS, me nā mea hana loiloi, kōkua i ke ana ʻana i ka ʻokoʻa ma waena o kou mokuʻāina o kēia manawa a me ka pahuhopu. Ma kahi e pono ai ka unahi, e like me CalCom Hardening Suite (CHS) Kōkua lākou i ke aʻo ʻana e pili ana i ke kaiapuni, wānana i nā hopena, a hoʻopili i nā kulekele i waena, e mālama i ka paʻakikī i ka manawa.

Ma nā ʻōnaehana mea kūʻai aku, aia nā mea pono manuahi e hoʻomaʻamaʻa i ka "paʻakikī" i nā mea pono. Syshardener Hāʻawi ia i nā hoʻonohonoho ma nā lawelawe, firewall a me nā polokalamu maʻamau; Nā mea hana paʻakikī hoʻopau i nā hana hiki ke hoʻohana ʻia (macros, ActiveX, Windows Script Host, PowerShell/ISE no ka polokalamu kele pūnaewele); a Paʻa_Configurator Hiki iā ʻoe ke pāʻani me SRP, nā papa inoa keʻokeʻo ma ke ala a i ʻole hash, SmartScreen ma nā faila kūloko, ke kāohi ʻana i nā kumu hilinaʻi ʻole a me ka hoʻokō maʻalahi ma USB/DVD.

ʻO ka pā ahi a me ke komo ʻana: nā lula kūpono e hana

E ho'ā mau i ka pā ahi Windows, e hoʻonohonoho i nā ʻaoʻao ʻekolu me ka hoʻopaʻa ʻana e komo mai ana ma ka paʻamau, a wehe. nā awa koʻikoʻi wale nō i ka lawelawe (me ka laulā IP inā pili). Hana maikaʻi ʻia ka hoʻokele mamao ma o VPN a me ke komo ʻana. E nānā i nā lula hoʻoilina a hoʻopau i nā mea i pono ʻole.

Mai poina ʻo ka paʻakikī ʻana ma Windows ʻaʻole ia he kiʻi paʻa: he hana hoʻoikaika. E palapala i kāu papa kuhikuhi. ke nānā nei i nā haʻihaʻiE nānā i nā loli ma hope o kēlā me kēia pākuʻi a hoʻololi i nā ana i ka hana maoli o nā mea hana. ʻO kahi aʻo ʻenehana liʻiliʻi, kahi paʻi o ka automation, a me kahi loiloi koʻikoʻi e hoʻolilo iā Windows i ʻōnaehana ʻoi aku ka paʻakikī e uhaʻi me ka ʻole o ka hoʻolilo ʻana i kāna versatility.