विंडोज़ में हार्डनिंग क्या है और इसे सिस्टम एडमिनिस्ट्रेटर बने बिना कैसे लागू करें?

यदि आप सर्वर या उपयोगकर्ता कंप्यूटर का प्रबंधन करते हैं, तो आपने संभवतः स्वयं से यह प्रश्न पूछा होगा: मैं विंडोज़ को इतना सुरक्षित कैसे बनाऊं कि वह अच्छी तरह से स्लीप मोड में चल सके? विंडोज़ में कठोरता यह कोई एक बार की चाल नहीं है, बल्कि हमले की सतह को कम करने, पहुंच को सीमित करने और सिस्टम को नियंत्रण में रखने के लिए निर्णयों और समायोजनों का एक समूह है।

कॉर्पोरेट परिवेश में, सर्वर संचालन का आधार होते हैं: वे डेटा संग्रहीत करते हैं, सेवाएँ प्रदान करते हैं और महत्वपूर्ण व्यावसायिक घटकों को जोड़ते हैं; यही कारण है कि वे किसी भी हमलावर के लिए एक प्रमुख लक्ष्य होते हैं। सर्वोत्तम प्रथाओं और आधार रेखाओं के साथ विंडोज़ को मज़बूत करके, आप विफलताओं को न्यूनतम करते हैं, आप जोखिमों को सीमित करते हैं और आप किसी घटना को शेष बुनियादी ढांचे तक फैलने से रोकते हैं।

विंडोज़ में हार्डनिंग क्या है और यह महत्वपूर्ण क्यों है?

कठोरता या सुदृढ़ीकरण में शामिल हैं घटकों को कॉन्फ़िगर करें, हटाएँ या प्रतिबंधित करें ऑपरेटिंग सिस्टम, सेवाओं और अनुप्रयोगों के संभावित प्रवेश बिंदुओं को बंद करने के लिए। विंडोज़ बहुमुखी और संगत है, हाँ, लेकिन "यह लगभग हर चीज़ के लिए काम करता है" दृष्टिकोण का अर्थ है कि यह खुली कार्यक्षमताओं के साथ आता है जिनकी आपको हमेशा आवश्यकता नहीं होती है।

आप जितने ज़्यादा अनावश्यक फ़ंक्शन, पोर्ट या प्रोटोकॉल सक्रिय रखेंगे, आपकी भेद्यता उतनी ही ज़्यादा होगी। सख़्ती का लक्ष्य है हमले की सतह को कम करनाविशेषाधिकारों को सीमित करें और केवल आवश्यक चीजों को ही रहने दें, साथ ही अद्यतन पैच, सक्रिय ऑडिटिंग और स्पष्ट नीतियों का भी ध्यान रखें।

यह तरीका सिर्फ़ विंडोज़ तक ही सीमित नहीं है; यह किसी भी आधुनिक सिस्टम पर लागू होता है: यह हज़ारों अलग-अलग परिस्थितियों को संभालने के लिए तैयार रहता है। इसलिए यह सलाह दी जाती है जो आप उपयोग नहीं कर रहे हैं उसे बंद कर दें।क्योंकि यदि आप इसका उपयोग नहीं करेंगे तो कोई और आपके लिए इसका उपयोग करने का प्रयास कर सकता है।

आधार रेखाएं और मानक जो पाठ्यक्रम का निर्धारण करते हैं

विंडोज़ में कठोरता के लिए, इस तरह के बेंचमार्क हैं सीआईएस (इंटरनेट सुरक्षा केंद्र) और DoD STIG दिशानिर्देशों के अलावा, Microsoft सुरक्षा बेसलाइन (Microsoft सुरक्षा बेसलाइन्स)। ये संदर्भ Windows की विभिन्न भूमिकाओं और संस्करणों के लिए अनुशंसित कॉन्फ़िगरेशन, नीति मान और नियंत्रणों को कवर करते हैं।

बेसलाइन लागू करने से परियोजना में तेज़ी आती है: यह डिफ़ॉल्ट कॉन्फ़िगरेशन और सर्वोत्तम प्रथाओं के बीच के अंतराल को कम करता है, और तेज़ परिनियोजन में होने वाले "अंतरालों" से बचता है। फिर भी, हर परिवेश अद्वितीय होता है और यह सलाह दी जाती है कि परिवर्तनों का परीक्षण करें उन्हें उत्पादन में लाने से पहले.

विंडोज़ को चरण दर चरण सख्त करना

तैयारी और शारीरिक सुरक्षा

विंडोज़ में हार्डनिंग सिस्टम इंस्टॉल होने से पहले ही शुरू हो जाती है। पूर्ण सर्वर सूचीनए को तब तक ट्रैफ़िक से अलग रखें जब तक कि वे कठोर न हो जाएं, पासवर्ड से BIOS/UEFI की सुरक्षा करें, अक्षम करें बाहरी मीडिया से बूट करें और रिकवरी कंसोल पर ऑटोलॉगऑन को रोकता है।

यदि आप अपना स्वयं का हार्डवेयर उपयोग करते हैं, तो उपकरण को ऐसे स्थानों पर रखें भौतिक पहुँच नियंत्रणउचित तापमान और निगरानी ज़रूरी है। भौतिक पहुँच को सीमित करना भी तार्किक पहुँच जितना ही ज़रूरी है, क्योंकि चेसिस खोलना या यूएसबी से बूट करना सब कुछ जोखिम भरा हो सकता है।

खाते, क्रेडेंशियल और पासवर्ड नीति

स्पष्ट कमज़ोरियों को दूर करके शुरुआत करें: अतिथि खाते को अक्षम करें और, जहाँ संभव हो, स्थानीय व्यवस्थापक को अक्षम या उसका नाम बदल देता हैएक गैर-तुच्छ नाम के साथ एक प्रशासनिक खाता बनाएँ (क्वेरी विंडोज 11 में ऑफलाइन लोकल अकाउंट कैसे बनाएं) और दैनिक कार्यों के लिए गैर-विशेषाधिकार प्राप्त खातों का उपयोग करता है, तथा केवल आवश्यक होने पर ही "रन एज़" के माध्यम से विशेषाधिकारों को बढ़ाता है।

अपनी पासवर्ड नीति को सुदृढ़ बनाएं: उचित जटिलता और लंबाई सुनिश्चित करें। आवधिक समाप्तिअसफल प्रयासों के बाद दोबारा इस्तेमाल और अकाउंट लॉक होने से बचाने के लिए इतिहास। अगर आप कई टीमों का प्रबंधन करते हैं, तो स्थानीय क्रेडेंशियल्स को घुमाने के लिए LAPS जैसे समाधानों पर विचार करें; महत्वपूर्ण बात यह है कि स्थिर क्रेडेंशियल्स से बचें और अनुमान लगाना आसान है.

 

समूह सदस्यताओं (व्यवस्थापक, दूरस्थ डेस्कटॉप उपयोगकर्ता, बैकअप ऑपरेटर, आदि) की समीक्षा करें और अनावश्यक सदस्यताओं को हटा दें। कम विशेषाधिकार पार्श्विक गति को सीमित करने के लिए यह आपका सबसे अच्छा सहयोगी है।

नेटवर्क, DNS और समय सिंक्रनाइज़ेशन (NTP)

एक उत्पादन सर्वर में होना चाहिए स्टेटिक आईपी, फ़ायरवॉल के पीछे सुरक्षित खंडों में स्थित होना चाहिए (और जानना चाहिए) CMD से संदिग्ध नेटवर्क कनेक्शन कैसे ब्लॉक करें (जब आवश्यक हो), और अतिरेक के लिए दो DNS सर्वर निर्धारित करें। सत्यापित करें कि A और PTR रिकॉर्ड मौजूद हैं; याद रखें कि DNS प्रसार... इसे लग सकता है और योजना बनाना उचित है।

NTP कॉन्फ़िगर करें: बस कुछ मिनटों का विचलन Kerberos को तोड़ देता है और दुर्लभ प्रमाणीकरण विफलताओं का कारण बनता है। एक विश्वसनीय टाइमर निर्धारित करें और उसे सिंक्रनाइज़ करें। पूरा बेड़ा इसके विरुद्ध। यदि आपको आवश्यकता न हो, तो TCP/IP पर NetBIOS या LMHosts लुकअप जैसे लीगेसी प्रोटोकॉल अक्षम करें। शोर कम करो और प्रदर्शनी।

भूमिकाएँ, विशेषताएँ और सेवाएँ: कम ही अधिक है

सर्वर के उद्देश्य के लिए केवल आवश्यक भूमिकाएँ और सुविधाएँ ही स्थापित करें (IIS, .NET का आवश्यक संस्करण, आदि)। प्रत्येक अतिरिक्त पैकेज अतिरिक्त सतह कमजोरियों और कॉन्फ़िगरेशन के लिए। उन डिफ़ॉल्ट या अतिरिक्त एप्लिकेशन को अनइंस्टॉल करें जिनका उपयोग नहीं किया जाएगा (देखें विनेरो ट्वीकर: उपयोगी और सुरक्षित समायोजन).

सेवाओं की समीक्षा करें: आवश्यक सेवाओं की, स्वचालित रूप से; जो दूसरों पर निर्भर हैं, स्वचालित (विलंबित प्रारंभ) या सुपरिभाषित निर्भरताओं के साथ; जो भी चीज़ मूल्य नहीं जोड़ती, उसे अक्षम कर दिया जाता है। और एप्लिकेशन सेवाओं के लिए, विशिष्ट सेवा खाते न्यूनतम अनुमतियों के साथ, स्थानीय सिस्टम नहीं, यदि आप इससे बच सकते हैं।

फ़ायरवॉल और जोखिम न्यूनीकरण

सामान्य नियम: डिफ़ॉल्ट रूप से ब्लॉक करें और केवल वही खोलें जो ज़रूरी हो। अगर यह वेब सर्वर है, तो उसे एक्सपोज़ करें। HTTP / HTTPS और बस इतना ही; प्रशासन (RDP, WinRM, SSH) VPN के ज़रिए किया जाना चाहिए और हो सके तो IP पते द्वारा प्रतिबंधित होना चाहिए। विंडोज फ़ायरवॉल प्रोफ़ाइल (डोमेन, प्राइवेट, पब्लिक) और विस्तृत नियमों के ज़रिए अच्छा नियंत्रण प्रदान करता है।

एक समर्पित परिधि फ़ायरवॉल हमेशा एक प्लस होता है, क्योंकि यह सर्वर को ऑफलोड करता है और जोड़ता है उन्नत विकल्प (निरीक्षण, आईपीएस, विभाजन)। किसी भी मामले में, दृष्टिकोण एक ही है: कम खुले पोर्ट, कम उपयोग योग्य आक्रमण सतह।

दूरस्थ पहुँच और असुरक्षित प्रोटोकॉल

RDP केवल तभी जब अत्यंत आवश्यक हो, एनएलए, उच्च एन्क्रिप्शनयदि संभव हो तो MFA का उपयोग करें, और विशिष्ट समूहों व नेटवर्क तक सीमित पहुँच का उपयोग करें। टेलनेट और FTP से बचें; यदि आपको स्थानांतरण की आवश्यकता है, तो SFTP/SSH का उपयोग करें, और इससे भी बेहतर, एक वीपीएन सेPowerShell रिमोटिंग और SSH को नियंत्रित करना ज़रूरी है: सीमित करें कि कौन उन्हें और कहाँ से एक्सेस कर सकता है। रिमोट कंट्रोल के सुरक्षित विकल्प के रूप में, जानें कि कैसे Windows पर Chrome रिमोट डेस्कटॉप सक्रिय और कॉन्फ़िगर करें.

अगर आपको इसकी ज़रूरत नहीं है, तो रिमोट रजिस्ट्रेशन सेवा को बंद कर दें। समीक्षा करें और ब्लॉक करें नलसेशनपाइप्स y नलसेशनशेयर्स संसाधनों तक गुमनाम पहुँच को रोकने के लिए। और अगर आपके मामले में IPv6 का इस्तेमाल नहीं किया जा रहा है, तो इसके प्रभाव का आकलन करने के बाद इसे अक्षम करने पर विचार करें।

पैचिंग, अपडेट और परिवर्तन नियंत्रण

विंडोज़ को अपडेट रखें सुरक्षा पैच उत्पादन शुरू करने से पहले नियंत्रित वातावरण में रोज़ाना परीक्षण करें। पैच चक्र के प्रबंधन के लिए WSUS या SCCM सहयोगी हैं। तृतीय-पक्ष सॉफ़्टवेयर को न भूलें, जो अक्सर कमज़ोर कड़ी होता है: अपडेट शेड्यूल करें और कमज़ोरियों को तुरंत ठीक करें।

L ड्राइवरों विंडोज़ को मज़बूत बनाने में ड्राइवर भी अहम भूमिका निभाते हैं: पुराने डिवाइस ड्राइवर क्रैश और कमज़ोरियों का कारण बन सकते हैं। नई सुविधाओं की बजाय स्थिरता और सुरक्षा को प्राथमिकता देते हुए, नियमित ड्राइवर अपडेट प्रक्रिया अपनाएँ।

इवेंट लॉगिंग, ऑडिटिंग और निगरानी

सुरक्षा ऑडिटिंग कॉन्फ़िगर करें और लॉग का आकार बढ़ाएँ ताकि वे हर दो दिन में न घूमें। कॉर्पोरेट व्यूअर या SIEM में ईवेंट्स को केंद्रीकृत करें, क्योंकि जैसे-जैसे आपका सिस्टम बढ़ता है, प्रत्येक सर्वर की अलग-अलग समीक्षा करना अव्यावहारिक हो जाता है। निरंतर निगरानी प्रदर्शन आधार रेखाओं और अलर्ट थ्रेसहोल्ड के साथ, "अंधाधुंध फायरिंग" से बचें।

फ़ाइल इंटीग्रिटी मॉनिटरिंग (FIM) तकनीकें और कॉन्फ़िगरेशन परिवर्तन ट्रैकिंग, आधारभूत विचलनों का पता लगाने में मदद करती हैं। नेटवर्क्स चेंज ट्रैकर वे यह पता लगाना और समझाना आसान बनाते हैं कि क्या बदला है, किसने और कब बदला है, प्रतिक्रिया में तेजी लाते हैं और अनुपालन में मदद करते हैं (एनआईएसटी, पीसीआई डीएसएस, सीएमएमसी, एसटीआईजी, एनईआरसी सीआईपी)।

विश्राम और पारगमन में डेटा एन्क्रिप्शन

सर्वरों के लिए, BitLocker संवेदनशील डेटा वाली सभी ड्राइव्स पर यह पहले से ही एक बुनियादी ज़रूरत है। अगर आपको फ़ाइल-स्तरीय ग्रैन्युलैरिटी चाहिए, तो इस्तेमाल करें... EFSसर्वरों के बीच, IPsec गोपनीयता और अखंडता को बनाए रखने के लिए ट्रैफ़िक को एन्क्रिप्ट करने की अनुमति देता है, जो कि महत्वपूर्ण है खंडित नेटवर्क या कम विश्वसनीय चरणों के साथ। विंडोज़ में हार्डनिंग पर चर्चा करते समय यह महत्वपूर्ण है।

पहुँच प्रबंधन और महत्वपूर्ण नीतियाँ

उपयोगकर्ताओं और सेवाओं पर न्यूनतम विशेषाधिकार का सिद्धांत लागू करें। हैश संग्रहीत करने से बचें LAN प्रबंधक और लीगेसी निर्भरताओं को छोड़कर NTLMv1 को अक्षम करें। अनुमत Kerberos एन्क्रिप्शन प्रकारों को कॉन्फ़िगर करें और जहाँ आवश्यक न हो, वहाँ फ़ाइल और प्रिंटर साझाकरण कम करें।

वलोरा हटाने योग्य मीडिया (USB) को प्रतिबंधित या ब्लॉक करें मैलवेयर के प्रवेश या निष्कासन को सीमित करने के लिए। यह लॉगिन से पहले एक कानूनी सूचना प्रदर्शित करता है ("अनधिकृत उपयोग निषिद्ध"), और Ctrl + Alt + डेल और यह निष्क्रिय सत्रों को स्वचालित रूप से समाप्त कर देता है। ये सरल उपाय हैं जो हमलावर के प्रतिरोध को बढ़ाते हैं।

गति प्राप्त करने के लिए उपकरण और स्वचालन

थोक में बेसलाइन लागू करने के लिए, उपयोग करें जीपीओ और माइक्रोसॉफ्ट की सुरक्षा बेसलाइन। CIS गाइड, मूल्यांकन उपकरणों के साथ, आपकी वर्तमान स्थिति और लक्ष्य के बीच के अंतर को मापने में मदद करते हैं। जहाँ पैमाने की आवश्यकता हो, वहाँ इस तरह के समाधान उपलब्ध हैं: कैलकॉम हार्डनिंग सूट (CHS) वे पर्यावरण के बारे में जानने, प्रभावों का पूर्वानुमान लगाने, तथा नीतियों को केन्द्रीय रूप से लागू करने में मदद करते हैं, तथा समय के साथ उन्हें और अधिक कठोर बनाते हैं।

क्लाइंट सिस्टम पर, ऐसी निःशुल्क सुविधाएं उपलब्ध हैं जो आवश्यक चीजों को "सख्त" बनाने में मदद करती हैं। सिशार्डनर यह सेवाओं, फ़ायरवॉल और सामान्य सॉफ़्टवेयर पर सेटिंग्स प्रदान करता है; हार्डनटूल्स संभावित रूप से शोषण योग्य कार्यों को अक्षम करता है (मैक्रोज़, एक्टिवएक्स, विंडोज़ स्क्रिप्ट होस्ट, प्रति ब्राउज़र पावरशेल/आईएसई); और हार्ड_कॉन्फ़िगरेटर यह आपको एसआरपी, पथ या हैश द्वारा श्वेतसूची, स्थानीय फाइलों पर स्मार्टस्क्रीन, अविश्वसनीय स्रोतों को अवरुद्ध करने और यूएसबी/डीवीडी पर स्वचालित निष्पादन की सुविधा देता है।

फ़ायरवॉल और पहुँच: व्यावहारिक नियम जो काम करते हैं

हमेशा विंडोज फ़ायरवॉल को सक्रिय करें, डिफ़ॉल्ट रूप से आने वाली इनकमिंग ब्लॉकिंग के साथ सभी तीन प्रोफाइल को कॉन्फ़िगर करें, और खोलें केवल महत्वपूर्ण बंदरगाहों सेवा के लिए (यदि लागू हो, तो IP स्कोप के साथ)। दूरस्थ प्रशासन VPN के माध्यम से और प्रतिबंधित पहुँच के साथ सबसे अच्छा किया जाता है। पुराने नियमों की समीक्षा करें और उन सभी को अक्षम करें जिनकी अब आवश्यकता नहीं है।

यह न भूलें कि विंडोज़ में हार्डनिंग कोई स्थिर छवि नहीं है: यह एक गतिशील प्रक्रिया है। अपनी आधार रेखा का दस्तावेज़ीकरण करें। विचलनों पर नज़र रखता हैप्रत्येक पैच के बाद परिवर्तनों की समीक्षा करें और उपकरणों के वास्तविक कार्य के अनुसार उपायों को अनुकूलित करें। थोड़ा तकनीकी अनुशासन, स्वचालन का एक स्पर्श, और एक स्पष्ट जोखिम मूल्यांकन, विंडोज़ को उसकी बहुमुखी प्रतिभा से समझौता किए बिना एक बहुत ही कठिन सिस्टम बना देता है।