- Garis dasar (CIS, STIG dan Microsoft) memandu pengerasan yang konsisten dan terukur.
- Ruang lebih sedikit: instal hanya yang penting, batasi port dan hak istimewa.
- Penambalan, pemantauan, dan enkripsi menjaga keamanan dari waktu ke waktu.
- Otomatisasi dengan GPO dan alat untuk menjaga postur keamanan Anda.
Jika Anda mengelola server atau komputer pengguna, Anda mungkin bertanya pada diri sendiri pertanyaan ini: bagaimana cara membuat Windows cukup aman untuk tidur nyenyak? pengerasan di Windows Ini bukan trik satu kali, tetapi serangkaian keputusan dan penyesuaian untuk mengurangi permukaan serangan, membatasi akses, dan menjaga sistem tetap terkendali.
Dalam lingkungan perusahaan, server adalah fondasi operasional: server menyimpan data, menyediakan layanan, dan menghubungkan komponen bisnis penting; itulah mengapa server menjadi target utama bagi penyerang mana pun. Dengan memperkuat Windows dengan praktik terbaik dan baseline, Anda meminimalkan kegagalan, Anda membatasi risiko dan Anda mencegah insiden pada satu titik meningkat ke infrastruktur lainnya.
Apa itu pengerasan di Windows dan mengapa itu penting?
Pengerasan atau penguatan terdiri dari mengonfigurasi, menghapus, atau membatasi komponen sistem operasi, layanan, dan aplikasi untuk menutup titik masuk potensial. Windows memang serbaguna dan kompatibel, tetapi pendekatan "berfungsi untuk hampir semua hal" berarti ia hadir dengan fungsionalitas terbuka yang tidak selalu Anda butuhkan.
Semakin banyak fungsi, port, atau protokol yang tidak perlu yang Anda aktifkan, semakin besar kerentanan Anda. Tujuan pengerasan adalah reducir la superficie de ataqueBatasi hak istimewa dan sisakan hanya apa yang penting, dengan patch terkini, audit aktif, dan kebijakan yang jelas.
Pendekatan ini tidak hanya berlaku untuk Windows; pendekatan ini juga berlaku untuk sistem modern apa pun: sistem ini sudah terpasang dan siap menangani ribuan skenario berbeda. Itulah mengapa disarankan Tutup apa yang tidak Anda gunakan.Karena jika Anda tidak menggunakannya, orang lain mungkin mencoba menggunakannya untuk Anda.
Garis dasar dan standar yang menentukan arah
Untuk pengerasan di Windows, ada tolok ukur seperti CIS (Pusat Keamanan Internet) dan pedoman STIG DoD, sebagai tambahan Dasar Keamanan Microsoft (Microsoft Security Baselines). Referensi ini mencakup konfigurasi yang direkomendasikan, nilai kebijakan, dan kontrol untuk berbagai peran dan versi Windows.
Menerapkan baseline akan mempercepat proyek secara signifikan: mengurangi kesenjangan antara konfigurasi default dan praktik terbaik, sehingga menghindari "kesenjangan" yang umum terjadi pada penerapan cepat. Meskipun demikian, setiap lingkungan bersifat unik dan disarankan untuk menguji perubahannya sebelum mulai diproduksi.
Pengerasan Jendela Langkah demi Langkah
Persiapan dan keamanan fisik
Pengerasan di Windows dimulai sebelum sistem diinstal. inventaris server lengkapIsolasi yang baru dari lalu lintas hingga mereka diperkuat, lindungi BIOS/UEFI dengan kata sandi, nonaktifkan boot dari media eksternal dan mencegah logon otomatis pada konsol pemulihan.
Jika Anda menggunakan perangkat keras Anda sendiri, letakkan peralatan di lokasi yang kontrol akses fisikSuhu dan pemantauan yang tepat sangat penting. Membatasi akses fisik sama pentingnya dengan akses logis, karena membuka sasis atau melakukan booting dari USB dapat membahayakan segalanya.
Kebijakan akun, kredensial, dan kata sandi
Mulailah dengan menghilangkan kelemahan yang jelas: nonaktifkan akun tamu dan, jika memungkinkan, menonaktifkan atau mengganti nama Administrator lokalBuat akun administratif dengan nama yang tidak sepele (kueri Cara membuat akun lokal di Windows 11 secara offline) dan menggunakan akun tanpa hak istimewa untuk tugas sehari-hari, meningkatkan hak istimewa melalui "Jalankan sebagai" hanya bila diperlukan.
Perkuat kebijakan kata sandi Anda: pastikan kompleksitas dan panjang yang sesuai. kedaluwarsa berkalaRiwayat untuk mencegah penggunaan kembali dan penguncian akun setelah upaya gagal. Jika Anda mengelola banyak tim, pertimbangkan solusi seperti LAPS untuk merotasi kredensial lokal; yang penting adalah hindari kredensial statis dan mudah ditebak.
Tinjau keanggotaan grup (Administrator, Pengguna Desktop Jarak Jauh, Operator Cadangan, dll.) dan hapus yang tidak diperlukan. Prinsip hak istimewa yang lebih rendah Ini adalah sekutu terbaik Anda untuk membatasi gerakan lateral.
Jaringan, DNS, dan sinkronisasi waktu (NTP)
Server produksi harus memiliki IP estática, ditempatkan di segmen yang dilindungi di balik firewall (dan mengetahui Cara memblokir koneksi jaringan yang mencurigakan dari CMD (bila perlu), dan tentukan dua server DNS untuk redundansi. Pastikan rekaman A dan PTR tersedia; ingat bahwa propagasi DNS... mungkin perlu Dan disarankan untuk merencanakannya.
Konfigurasikan NTP: penyimpangan beberapa menit saja akan merusak Kerberos dan menyebabkan kegagalan autentikasi yang jarang terjadi. Tentukan timer tepercaya dan sinkronkan. seluruh armada menentangnya. Jika tidak perlu, nonaktifkan protokol lama seperti NetBIOS melalui TCP/IP atau pencarian LMHosts untuk mengurangi kebisingan dan pameran.
Peran, fitur, dan layanan: lebih sedikit lebih baik
Instal hanya peran dan fitur yang Anda butuhkan untuk tujuan server (IIS, .NET dalam versi yang diperlukan, dll.). Setiap paket tambahan permukaan tambahan untuk kerentanan dan konfigurasi. Copot pemasangan aplikasi bawaan atau tambahan yang tidak akan digunakan (lihat Winaero Tweaker: Penyesuaian yang Berguna dan Aman).
Layanan ulasan: yang diperlukan, secara otomatis; yang bergantung pada orang lain, dalam Otomatis (mulai tertunda) atau dengan dependensi yang terdefinisi dengan baik; apa pun yang tidak menambah nilai, dinonaktifkan. Dan untuk layanan aplikasi, gunakan akun layanan tertentu dengan izin minimal, bukan Sistem Lokal jika Anda dapat menghindarinya.
Firewall dan minimisasi paparan
Aturan umumnya: blokir secara default dan hanya buka yang diperlukan. Jika itu server web, buka HTTP/HTTPS Selesai; administrasi (RDP, WinRM, SSH) harus dilakukan melalui VPN dan, jika memungkinkan, dibatasi oleh alamat IP. Windows Firewall menawarkan kontrol yang baik melalui profil (Domain, Privat, Publik) dan aturan yang terperinci.
Firewall perimeter khusus selalu menjadi nilai tambah, karena ia memindahkan beban server dan menambahkan opciones avanzadas (inspeksi, IPS, segmentasi). Bagaimanapun, pendekatannya sama: lebih sedikit port terbuka, lebih sedikit permukaan serangan yang dapat digunakan.
Akses jarak jauh dan protokol yang tidak aman
RDP hanya jika benar-benar diperlukan, dengan NLA, enkripsi tinggiMFA jika memungkinkan, dan batasi akses ke grup dan jaringan tertentu. Hindari telnet dan FTP; jika Anda perlu transfer, gunakan SFTP/SSH, dan lebih baik lagi, dari VPNPowerShell Remoting dan SSH harus dikontrol: batasi siapa yang dapat mengaksesnya dan dari mana. Sebagai alternatif yang aman untuk kendali jarak jauh, pelajari cara Mengaktifkan dan mengonfigurasi Chrome Desktop Jarak Jauh di Windows.
Jika tidak diperlukan, nonaktifkan layanan Registrasi Jarak Jauh. Tinjau dan blokir Pipa Sesi Null y Saham Sesi Null untuk mencegah akses anonim ke sumber daya. Dan jika IPv6 tidak digunakan dalam kasus Anda, pertimbangkan untuk menonaktifkannya setelah menilai dampaknya.
Penambalan, pembaruan, dan kontrol perubahan
Jaga Windows tetap terkini dengan tambalan keamanan Lakukan pengujian harian di lingkungan yang terkendali sebelum beralih ke produksi. WSUS atau SCCM merupakan mitra untuk mengelola siklus patch. Jangan lupakan perangkat lunak pihak ketiga, yang seringkali menjadi titik lemah: jadwalkan pembaruan dan perbaiki kerentanan dengan cepat.
Itu pengemudi Driver juga berperan dalam memperkuat Windows: driver perangkat yang ketinggalan zaman dapat menyebabkan crash dan kerentanan. Tetapkan proses pembaruan driver secara berkala, dengan mengutamakan stabilitas dan keamanan daripada fitur-fitur baru.
Pencatatan, audit, dan pemantauan peristiwa
Konfigurasikan audit keamanan dan tingkatkan ukuran log agar tidak berotasi setiap dua hari. Pusatkan peristiwa dalam penampil perusahaan atau SIEM, karena meninjau setiap server secara individual menjadi tidak praktis seiring pertumbuhan sistem Anda. monitoreo continuo Dengan dasar kinerja dan ambang batas peringatan, hindari "menembak secara membabi buta".
Teknologi Pemantauan Integritas Berkas (FIM) dan pelacakan perubahan konfigurasi membantu mendeteksi deviasi dasar. Alat seperti Pelacak Perubahan Netwrix Mereka memudahkan untuk mendeteksi dan menjelaskan apa yang berubah, siapa dan kapan, mempercepat respons dan membantu kepatuhan (NIST, PCI DSS, CMMC, STIG, NERC CIP).
Enkripsi data saat tidak digunakan dan saat dikirim
Untuk server, BitLocker Ini sudah menjadi persyaratan dasar di semua drive yang berisi data sensitif. Jika Anda membutuhkan granularitas tingkat file, gunakan... EFSDi antara server, IPsec memungkinkan lalu lintas dienkripsi untuk menjaga kerahasiaan dan integritas, sesuatu yang penting dalam jaringan tersegmentasi atau dengan langkah-langkah yang kurang andal. Hal ini penting ketika membahas pengerasan di Windows.
Manajemen akses dan kebijakan penting
Terapkan prinsip hak istimewa paling rendah kepada pengguna dan layanan. Hindari menyimpan hash Manajer LAN dan nonaktifkan NTLMv1 kecuali untuk dependensi lama. Konfigurasikan jenis enkripsi Kerberos yang diizinkan dan kurangi berbagi berkas dan printer jika tidak diperlukan.
Valora Batasi atau blokir media yang dapat dilepas (USB) untuk membatasi eksfiltrasi atau masuknya malware. Ini menampilkan pemberitahuan hukum sebelum login (“Penggunaan tidak sah dilarang”), dan mengharuskan Ctrl+Alt+Del dan secara otomatis mengakhiri sesi yang tidak aktif. Ini adalah langkah sederhana yang meningkatkan ketahanan penyerang.
Alat dan otomatisasi untuk mendapatkan daya tarik
Untuk menerapkan garis dasar secara massal, gunakan GPO dan Garis Dasar Keamanan Microsoft. Panduan CIS, beserta alat penilaiannya, membantu mengukur kesenjangan antara kondisi Anda saat ini dan target. Jika skalanya membutuhkannya, solusi seperti Rangkaian Pengerasan CalCom (CHS) Mereka membantu mempelajari lingkungan, memprediksi dampak, dan menerapkan kebijakan secara terpusat, serta menjaga pengerasan dari waktu ke waktu.
Pada sistem klien, ada utilitas gratis yang menyederhanakan "pengerasan" hal-hal penting. Syshardener Menawarkan pengaturan pada layanan, firewall, dan perangkat lunak umum; Alat Keras menonaktifkan fungsi yang berpotensi dieksploitasi (makro, ActiveX, Windows Script Host, PowerShell/ISE per browser); dan Konfigurator_keras Memungkinkan Anda bermain dengan SRP, daftar putih berdasarkan jalur atau hash, SmartScreen pada berkas lokal, pemblokiran sumber yang tidak tepercaya, dan eksekusi otomatis pada USB/DVD.
Firewall dan akses: aturan praktis yang berhasil
Selalu aktifkan firewall Windows, konfigurasikan ketiga profil dengan pemblokiran masuk secara default, dan buka hanya pelabuhan kritis ke layanan (dengan cakupan IP jika berlaku). Administrasi jarak jauh sebaiknya dilakukan melalui VPN dan dengan akses terbatas. Tinjau aturan lama dan nonaktifkan apa pun yang tidak lagi diperlukan.
Jangan lupa bahwa pengerasan di Windows bukanlah gambar statis: melainkan proses yang dinamis. Dokumentasikan baseline Anda. memantau penyimpanganTinjau perubahan setelah setiap patch dan sesuaikan langkah-langkah tersebut dengan fungsi aktual perangkat. Sedikit disiplin teknis, sentuhan otomatisasi, dan penilaian risiko yang jelas menjadikan Windows sistem yang jauh lebih sulit ditembus tanpa mengorbankan fleksibilitasnya.
Editor yang berspesialisasi dalam isu-isu teknologi dan internet dengan pengalaman lebih dari sepuluh tahun di berbagai media digital. Saya telah bekerja sebagai editor dan pembuat konten untuk perusahaan e-commerce, komunikasi, pemasaran online, dan periklanan. Saya juga menulis di situs web ekonomi, keuangan dan sektor lainnya. Pekerjaanku juga merupakan passionku. Sekarang, melalui artikel saya di Tecnobits, Saya mencoba mengeksplorasi semua berita dan peluang baru yang ditawarkan dunia teknologi kepada kita setiap hari untuk meningkatkan kehidupan kita.