Ի՞նչ է hardening-ը Windows-ում և ինչպե՞ս այն կիրառել առանց sysadmin լինելու։

Եթե ​​դուք կառավարում եք սերվերներ կամ օգտատերերի համակարգիչներ, ապա հավանաբար ինքներդ ձեզ հարցրել եք. ինչպե՞ս Windows-ը դարձնել բավականաչափ անվտանգ՝ հանգիստ քնի ռեժիմում աշխատելու համար։ կարծրացում Windows-ում Սա միանգամյա հնարք չէ, այլ որոշումների և ճշգրտումների ամբողջություն՝ հարձակման մակերեսը նվազեցնելու, մուտքը սահմանափակելու և համակարգը վերահսկողության տակ պահելու համար։

Կորպորատիվ միջավայրում սերվերները գործողությունների հիմքն են. դրանք պահպանում են տվյալներ, մատուցում ծառայություններ և միացնում են կարևորագույն բիզնես բաղադրիչները, այդ իսկ պատճառով դրանք ցանկացած հարձակվողի համար այդքան կարևոր թիրախ են։ Windows-ը լավագույն փորձով և բազային գծերով հզորացնելով՝ Դուք նվազագույնի եք հասցնում անհաջողությունները, դուք սահմանափակում եք ռիսկերը և դուք կանխում եք, որ միջադեպը որոշակի պահի տարածվի մնացած ենթակառուցվածքների վրա։

Ի՞նչ է Windows-ում կարծրացումը և ինչո՞ւ է այն կարևոր։

Կարծրացումը կամ ամրացումը բաղկացած է կարգավորել, հեռացնել կամ սահմանափակել բաղադրիչները օպերացիոն համակարգի, ծառայությունների և հավելվածների օգտագործումը՝ հնարավոր մուտքի կետերը փակելու համար: Այո, Windows-ը բազմակողմանի է և համատեղելի, բայց «այն աշխատում է գրեթե ամեն ինչի համար» մոտեցումը նշանակում է, որ այն ունի բաց գործառույթներ, որոնք ձեզ միշտ չէ, որ անհրաժեշտ են:

Որքան շատ ավելորդ ֆունկցիաներ, պորտեր կամ արձանագրություններ ակտիվ պահեք, այնքան մեծ կլինի ձեր խոցելիությունը։ Հզորացման նպատակն է նվազեցնել հարձակման մակերեսըՍահմանափակեք արտոնությունները և թողեք միայն անհրաժեշտը՝ թարմացված թարմացումներով, ակտիվ աուդիտով և հստակ քաղաքականությամբ։

Այս մոտեցումը բնորոշ չէ միայն Windows-ին. այն կիրառելի է ցանկացած ժամանակակից համակարգի համար. այն տեղադրված է պատրաստ՝ հազարավոր տարբեր սցենարներ կառավարելու համար։ Ահա թե ինչու է այն խորհուրդ տրվում։ Փակեք այն, ինչ չեք օգտագործում։Որովհետև եթե դու չօգտագործես այն, ինչ-որ մեկը կարող է փորձել օգտագործել այն քեզ համար։

Դասընթացը գծող հիմքեր և չափանիշներ

Windows-ում կարծրացման համար կան չափանիշներ, ինչպիսիք են Ինտերնետային անվտանգության կենտրոն (CIS) և ՊՆ STIG ուղեցույցները, բացի Microsoft-ի անվտանգության հիմունքներ (Microsoft Security Baselines): Այս հղումները ներառում են Windows-ի տարբեր դերերի և տարբերակների համար առաջարկվող կարգավորումները, քաղաքականության արժեքները և կառավարման տարրերը:

Բազային գծի կիրառումը զգալիորեն արագացնում է նախագիծը. այն նվազեցնում է լռելյայն կարգավորման և լավագույն փորձի միջև եղած բացերը՝ խուսափելով արագ տեղակայման համար բնորոշ «բացերից»։ Այնուամենայնիվ, յուրաքանչյուր միջավայր եզակի է, և խորհուրդ է տրվում փորձարկել փոփոխությունները նախքան դրանք արտադրության մեջ դնելը։

Պատուհանների ամրացում քայլ առ քայլ

Պատրաստում և ֆիզիկական անվտանգություն

Windows-ում կարծրացումը սկսվում է համակարգի տեղադրումից առաջ։ Պահպանեք ամբողջական սերվերի գույքագրումՄեկուսացրեք նորերը երթևեկությունից մինչև դրանց կոշտացումը, պաշտպանեք BIOS/UEFI-ն գաղտնաբառով, անջատեք բեռնում արտաքին կրիչից և կանխում է ավտոմատ մուտքը վերականգնման կոնսոլներում։

Եթե ​​օգտագործում եք ձեր սեփական սարքավորումները, տեղադրեք սարքավորումները այնպիսի տեղերում, որտեղ ֆիզիկական մուտքի վերահսկողությունԱնհրաժեշտ է պահպանել ճիշտ ջերմաստիճանը և վերահսկել այն։ Ֆիզիկական մուտքի սահմանափակումը նույնքան կարևոր է, որքան տրամաբանական մուտքը, քանի որ շասսիի բացումը կամ USB-ից բեռնավորումը կարող է ամեն ինչ վտանգել։

Հաշիվների, մուտքի տվյալների և գաղտնաբառերի քաղաքականություն

Սկսեք ակնհայտ թերությունները վերացնելուց՝ անջատեք հյուրի հաշիվը և, որտեղ հնարավոր է, անջատում կամ վերանվանում է տեղական ադմինիստրատորինՍտեղծեք վարչական հաշիվ ոչ տրիվիալ անունով (հարցում) Ինչպես ստեղծել տեղական հաշիվ Windows 11-ում՝ անցանց ռեժիմով) և օգտագործում է արտոնություններ չունեցող հաշիվներ առօրյա առաջադրանքների համար՝ բարձրացնելով արտոնությունները «Գործարկել որպես» հրամանի միջոցով միայն անհրաժեշտության դեպքում։

Հզորացրեք ձեր գաղտնաբառերի քաղաքականությունը. ապահովեք համապատասխան բարդություն և երկարություն։ պարբերական արտաշնչումՊատմություն՝ անհաջող փորձերից հետո վերօգտագործումը և հաշվի կողպումը կանխելու համար: Եթե կառավարում եք բազմաթիվ թիմեր, դիտարկեք LAPS-ի նման լուծումներ՝ տեղական հավատարմագրերի ռոտացիայի համար. կարևորը խուսափեք ստատիկ մուտքագրումներից և հեշտ է գուշակել։

Վերանայեք խմբի անդամակցությունները (ադմինիստրատորներ, հեռակա աշխատասեղանի օգտատերեր, պահուստային պատճենահանման օպերատորներ և այլն) և հեռացրեք բոլոր ավելորդները։ Սկզբունքը՝ ավելի քիչ արտոնություն Այն ձեր լավագույն դաշնակիցն է կողային շարժումները սահմանափակելու համար։

Ցանց, DNS և ժամանակի համաժամեցում (NTP)

Արտադրական սերվերը պետք է ունենա Ստատիկ IP, տեղակայված լինեն firewall-ի հետևում պաշտպանված հատվածներում (և իմանան Ինչպես արգելափակել կասկածելի ցանցային կապերը CMD-ից (անհրաժեշտության դեպքում) և ունենալ երկու DNS սերվերներ, որոնք սահմանված են ավելորդության համար: Ստուգեք, որ A և PTR գրառումները գոյություն ունեն. հիշեք, որ DNS տարածումը... դա կարող է տևել Եվ խորհուրդ է տրվում պլանավորել։

Կարգավորեք NTP-ն. ընդամենը մի քանի րոպեի շեղումը խափանում է Kerberos-ը և առաջացնում է հազվագյուտ նույնականացման ձախողումներ: Սահմանեք վստահելի ժամանակաչափ և համաժամեցրեք այն: ամբողջ նավատորմը դրա դեմ։ Եթե անհրաժեշտ չէ, անջատեք ժառանգական արձանագրությունները, ինչպիսիք են NetBIOS-ը TCP/IP-ի միջոցով կամ LMHosts-ի որոնումը նվազեցնել աղմուկը և ցուցահանդես։

Դերեր, առանձնահատկություններ և ծառայություններ. որքան քիչ, այնքան լավ

Տեղադրեք միայն այն դերերն ու գործառույթները, որոնք ձեզ անհրաժեշտ են սերվերի նպատակի համար (IIS, .NET՝ իր պահանջվող տարբերակով և այլն): Յուրաքանչյուր լրացուցիչ փաթեթ լրացուցիչ մակերես խոցելիությունների և կարգավորման համար: Հեռացրեք լռելյայն կամ լրացուցիչ ծրագրերը, որոնք չեն օգտագործվի (տե՛ս Winaero Tweaker. Օգտակար և անվտանգ կարգավորումներ).

Վերանայեք ծառայությունները. անհրաժեշտները՝ ավտոմատ կերպով, իսկ նրանք, որոնք կախված են ուրիշներից՝ Ավտոմատ (հետաձգված մեկնարկ) կամ լավ սահմանված կախվածություններով. ամեն ինչ, ինչը արժեք չի ավելացնում, անջատված է։ Իսկ կիրառական ծառայությունների համար օգտագործեք հատուկ ծառայությունների հաշիվներ նվազագույն թույլտվություններով, ոչ թե տեղական համակարգ, եթե կարողանաք խուսափել դրանից։

Firewall-ը և ազդեցության նվազեցումը

Ընդհանուր կանոնը՝ լռելյայնորեն արգելափակել և բացել միայն անհրաժեշտը։ Եթե դա վեբ սերվեր է, ապա բացահայտել HTTP / HTTPS Եվ վերջ. կառավարումը (RDP, WinRM, SSH) պետք է իրականացվի VPN-ի միջոցով և, եթե հնարավոր է, սահմանափակվի IP հասցեով: Windows-ի firewall-ը լավ կառավարում է ապահովում պրոֆիլների (Domain, Private, Public) և մանրամասն կանոնների միջոցով:

Նվիրված պարագծային firewall-ը միշտ առավելություն է, քանի որ այն բեռնաթափում է սերվերը և ավելացնում առաջադեմ ընտրանքներ (ստուգում, IPS, սեգմենտացիա): Ամեն դեպքում, մոտեցումը նույնն է՝ ավելի քիչ բաց միացքներ, ավելի քիչ օգտագործելի հարձակման մակերես:

Հեռակա մուտք և անապահով արձանագրություններ

RDP միայն անհրաժեշտության դեպքում, NLA, բարձր կոդավորումՀնարավորության դեպքում MFA և որոշակի խմբերի ու ցանցերի սահմանափակ մուտք։ Խուսափեք Telnet-ից և FTP-ից. եթե փոխանցման կարիք ունեք, օգտագործեք SFTP/SSH, և նույնիսկ ավելի լավ, VPN-իցPowerShell հեռակառավարումը և SSH-ը պետք է կառավարվեն. սահմանափակեք, թե ով կարող է մուտք գործել դրանց և որտեղից: Որպես հեռակառավարման անվտանգ այլընտրանք, սովորեք, թե ինչպես Ակտիվացրեք և կարգավորեք Chrome Remote Desktop-ը Windows-ում.

Եթե ​​դրա կարիքը չունեք, անջատեք Հեռակա գրանցման ծառայությունը։ Վերանայեք և արգելափակեք NullSessionPipes y NullSessionShares ռեսուրսներին անանուն մուտքը կանխելու համար: Եվ եթե ձեր դեպքում IPv6-ը չի օգտագործվում, ազդեցությունը գնահատելուց հետո դիտարկեք այն անջատելը:

Թարմացումներ, թարմացումներ և փոփոխությունների կառավարում

Պահպանեք Windows-ի արդիականությունը՝ օգտագործելով անվտանգության կարկատաններ Արտադրության անցնելուց առաջ վերահսկվող միջավայրում ամենօրյա փորձարկում: WSUS-ը կամ SCCM-ը դաշնակիցներ են թարմացումների ցիկլը կառավարելու համար: Մի մոռացեք երրորդ կողմի ծրագրաշարի մասին, որը հաճախ թույլ օղակն է. ժամանակացույց կազմեք թարմացումների համար և արագ շտկեք խոցելիությունները:

The վարորդները Դրայվերները նույնպես դեր են խաղում Windows-ի կայունացման գործում. հնացած սարքի դրայվերները կարող են խափանումներ և խոցելիություններ առաջացնել: Սահմանեք դրայվերների կանոնավոր թարմացման գործընթաց՝ առաջնահերթություն տալով կայունությանը և անվտանգությանը նոր գործառույթներից վեր:

Իրադարձությունների գրանցում, աուդիտ և մոնիթորինգ

Կարգավորեք անվտանգության աուդիտը և մեծացրեք գրանցամատյանի չափը, որպեսզի դրանք չփոխվեն յուրաքանչյուր երկու օրը մեկ: Կենտրոնացրեք իրադարձությունները կորպորատիվ դիտարկիչում կամ SIEM-ում, քանի որ յուրաքանչյուր սերվերի առանձին վերանայումը դառնում է անիրագործելի՝ ձեր համակարգի աճին զուգընթաց: շարունակական մոնիտորինգ Արդյունավետության բազային ցուցանիշների և տագնապի շեմերի դեպքում խուսափեք «կուրորեն կրակելուց»։

Ֆայլերի ամբողջականության մոնիթորինգի (FIM) տեխնոլոգիաները և կոնֆիգուրացիայի փոփոխությունների հետևումը օգնում են հայտնաբերել բազային շեղումները: Գործիքներ, ինչպիսիք են՝ Netwrix փոփոխությունների հետևորդ Դրանք հեշտացնում են փոփոխության հայտնաբերումը և բացատրությունը, թե ինչ է փոխվել, ով և երբ, արագացնելով արձագանքը և օգնելով համապատասխանության ապահովմանը (NIST, PCI DSS, CMMC, STIG, NERC CIP):

Տվյալների կոդավորումը հանգստի և տեղափոխման ժամանակ

Սերվերների համար, BitLocker- ը Այն արդեն իսկ հիմնական պահանջ է զգայուն տվյալներ պարունակող բոլոր սկավառակների համար: Եթե ձեզ անհրաժեշտ է ֆայլի մակարդակի մանրամասնություն, օգտագործեք... EFSՍերվերների միջև IPsec-ը թույլ է տալիս երթևեկությունը կոդավորել՝ գաղտնիությունն ու ամբողջականությունը պահպանելու համար, ինչը կարևոր է... հատվածավորված ցանցեր կամ պակաս հուսալի քայլերով։ Սա կարևոր է Windows-ում կոշտացման հարցը քննարկելիս։

Մուտքի կառավարում և կարևորագույն քաղաքականություններ

Կիրառեք նվազագույն արտոնությունների սկզբունքը օգտատերերի և ծառայությունների նկատմամբ։ Խուսափեք հեշեր պահելուց։ LAN մենեջեր և անջատեք NTLMv1-ը, բացառությամբ ժառանգական կախվածությունների: Կարգավորեք թույլատրված Kerberos կոդավորման տեսակները և նվազեցրեք ֆայլերի և տպիչների համատեղ օգտագործումը, որտեղ դա անհրաժեշտ չէ:

Վալորա Սահմանափակել կամ արգելափակել շարժական կրիչները (USB) սահմանափակելու համար վնասակար ծրագրերի արտահոսքը կամ մուտքը։ Մուտք գործելուց առաջ ցուցադրվում է իրավական ծանուցում («Չարտոնված օգտագործումը արգելված է») և պահանջում է Ctrl + Alt + Del և այն ավտոմատ կերպով դադարեցնում է ոչ ակտիվ սեսիաները։ Սրանք պարզ միջոցներ են, որոնք մեծացնում են հարձակվողի դիմադրությունը։

Գործիքներ և ավտոմատացում՝ գրավչություն ձեռք բերելու համար

Հիմնական գծերը մեծ մասամբ կիրառելու համար օգտագործեք GPO և Microsoft-ի անվտանգության բազային գծերը: CIS ուղեցույցները, գնահատման գործիքների հետ միասին, օգնում են չափել ձեր ներկայիս վիճակի և նպատակի միջև եղած բացը: Այն դեպքերում, երբ մասշտաբը պահանջում է, լուծումներ, ինչպիսիք են CalCom Hardening Suite (CHS) Դրանք օգնում են ուսումնասիրել շրջակա միջավայրը, կանխատեսել ազդեցությունները և կենտրոնացված կերպով կիրառել քաղաքականությունները՝ ժամանակի ընթացքում պահպանելով դրանց կարծրացումը։

Հաճախորդային համակարգերում կան անվճար օգտակար ծրագրեր, որոնք պարզեցնում են անհրաժեշտի «ամրացումը»։ Սիշարդեներ Այն առաջարկում է կարգավորումներ ծառայությունների, firewall-ի և ընդհանուր ծրագրաշարի վրա։ Hardentools անջատում է պոտենցիալ շահագործելի գործառույթները (մակրոներ, ActiveX, Windows Script Host, PowerShell/ISE յուրաքանչյուր զննարկչի համար); և Hard_Configurator Այն թույլ է տալիս խաղալ SRP-ով, սպիտակ ցուցակներով՝ ըստ ուղու կամ հեշի, SmartScreen-ով տեղական ֆայլերի վրա, անվստահելի աղբյուրների արգելափակմամբ և USB/DVD-ի վրա ավտոմատ կատարմամբ։

Firewall և մուտք. գործնական կանոններ, որոնք գործում են

Միշտ ակտիվացրեք Windows-ի firewall-ը, կարգավորեք բոլոր երեք պրոֆիլները՝ լռելյայնորեն մուտքային մուտքերի արգելափակմամբ, և բացեք միայն կարևորագույն նավահանգիստները ծառայությանը (IP տիրույթով, եթե կիրառելի է): Հեռակա կառավարումը լավագույնս իրականացվում է VPN-ի միջոցով և սահմանափակ մուտքով: Վերանայեք հնացած կանոնները և անջատեք այն ամենը, ինչ այլևս անհրաժեշտ չէ:

Մի մոռացեք, որ Windows-ում կարծրացումը ստատիկ պատկեր չէ. այն դինամիկ գործընթաց է: Փաստաթղթավորեք ձեր բազային գիծը: վերահսկում է շեղումներըՎերանայեք փոփոխությունները յուրաքանչյուր թարմացումից հետո և հարմարեցրեք միջոցառումները սարքավորումների իրական գործառույթին: Մի փոքր տեխնիկական կարգապահությունը, ավտոմատացման մի փոքր հպումը և ռիսկերի հստակ գնահատումը Windows-ը դարձնում են շատ ավելի դժվար կոտրվող համակարգ՝ առանց զոհաբերելու դրա բազմակողմանիությունը:

Առնչվող հոդված.

Ինչպես տիրապետել առաջադրանքների կառավարիչին և ռեսուրսների մոնիթորինգին

Դանիել Տեռասա

Խմբագիր, որը մասնագիտացած է տեխնոլոգիաների և ինտերնետի խնդիրների մեջ՝ տարբեր թվային լրատվամիջոցների ավելի քան տասը տարվա փորձով: Ես աշխատել եմ որպես խմբագիր և բովանդակության ստեղծող էլեկտրոնային առևտրի, հաղորդակցության, առցանց մարքեթինգի և գովազդային ընկերություններում: Ես գրել եմ նաև տնտեսագիտության, ֆինանսների և այլ ոլորտների կայքերում: Աշխատանքս նաև իմ կիրքն է։ Այժմ, իմ հոդվածների միջոցով Tecnobits, ես փորձում եմ ուսումնասիրել բոլոր նորությունները և նոր հնարավորությունները, որոնք մեզ ամեն օր առաջարկում է տեխնոլոգիաների աշխարհը՝ բարելավելու մեր կյանքը: