Hvað er herðing í Windows og hvernig á að beita því án þess að vera kerfisstjóri

Ef þú stjórnar netþjónum eða notendatölvum hefur þú líklega spurt sjálfan þig þessarar spurningar: hvernig geri ég Windows nógu öruggt til að það geti sofið vært? herðing í Windows Þetta er ekki einskiptis bragð, heldur safn ákvarðana og aðlagana til að minnka árásarflötinn, takmarka aðgang og halda kerfinu undir stjórn.

Í fyrirtækjaumhverfi eru netþjónar undirstaða rekstrarins: þeir geyma gögn, veita þjónustu og tengja saman mikilvæga rekstrarþætti; þess vegna eru þeir svo mikilvægt skotmark fyrir alla árásarmenn. Með því að styrkja Windows með bestu starfsvenjum og grunnlínum, Þú lágmarkar mistök, þú takmarkar áhættu og þú kemur í veg fyrir að atvik á einum tímapunkti stigmagnist út í restina af innviðunum.

Hvað er herðing í Windows og hvers vegna er það lykilatriði?

Herðing eða styrking samanstendur af stilla, fjarlægja eða takmarka íhluti stýrikerfisins, þjónustunnar og forritanna til að loka fyrir hugsanlega aðgangsleiðir. Windows er fjölhæft og samhæft, já, en þessi „það virkar fyrir næstum allt“ nálgun þýðir að það kemur með opnum virkni sem þú þarft ekki alltaf á að halda.

Því fleiri óþarfa aðgerðir, tengi eða samskiptareglur sem þú heldur virkum, því meiri er varnarleysið þitt. Markmið herðingar er minnka árásarflötinnTakmarkaðu réttindi og skildu aðeins eftir það sem er nauðsynlegt, með uppfærðum uppfærslum, virkri endurskoðun og skýrum stefnum.

Þessi aðferð er ekki einstök fyrir Windows; hún á við um öll nútíma kerfi: það er uppsett og tilbúið til að takast á við þúsund mismunandi aðstæður. Þess vegna er ráðlegt að... Lokaðu því sem þú notar ekki.Því ef þú notar það ekki, gæti einhver annar reynt að nota það fyrir þig.

Grunnlínur og staðlar sem marka stefnuna

Fyrir herðingu í Windows eru til viðmið eins og CIS (Miðstöð netöryggis) og leiðbeiningar varnarmálaráðuneytisins um STIG, auk þess sem Öryggisgrunnlínur Microsoft (Microsoft Security Baselines). Þessar tilvísanir fjalla um ráðlagðar stillingar, stefnugildi og stýringar fyrir mismunandi hlutverk og útgáfur af Windows.

Að nota grunnlínu flýtir verulega fyrir verkefninu: það minnkar bilið á milli sjálfgefnu stillinganna og bestu starfsvenja og forðast „bilin“ sem eru dæmigerð fyrir hraðar innleiðingar. Engu að síður er hvert umhverfi einstakt og það er ráðlegt að... prófa breytingarnar áður en þær eru teknar í framleiðslu.

Gluggaherðing skref fyrir skref

Undirbúningur og líkamlegt öryggi

Herðing í Windows hefst áður en kerfið er sett upp. Haltu heill birgðaskrá netþjónaEinangra nýja frá umferð þar til þeir eru harðir, vernda BIOS/UEFI með lykilorði, slökkva á ræsa af utanaðkomandi miðli og kemur í veg fyrir sjálfvirka innskráningu á endurheimtarstjórnborðum.

Ef þú notar þinn eigin vélbúnað skaltu setja hann á staði með aðgangsstýringRétt hitastig og eftirlit eru nauðsynleg. Að takmarka líkamlegan aðgang er jafn mikilvægt og rökréttan aðgang, því að opna kassa eða ræsa af USB getur haft áhrif á allt.

Reikningar, innskráningarupplýsingar og lykilorðsstefna

Byrjaðu á að útrýma augljósum veikleikum: gerðu gestareikninginn óvirkan og, þar sem það er mögulegt, slökkva á eða endurnefna staðbundna stjórnandannBúðu til stjórnunarreikning með ómerkilegu nafni (fyrirspurn Hvernig á að búa til staðbundinn reikning í Windows 11 án nettengingar) og notar óréttindalausa reikninga fyrir dagleg verkefni, og hækkar réttindi með „Keyra sem“ aðeins þegar nauðsyn krefur.

Styrktu lykilorðastefnu þína: tryggðu viðeigandi flækjustig og lengd. reglubundin gildistímiSaga til að koma í veg fyrir endurnotkun og læsingu reikninga eftir misheppnaðar tilraunir. Ef þú stjórnar mörgum teymum skaltu íhuga lausnir eins og LAPS til að skipta um staðbundnar innskráningarupplýsingar; það mikilvæga er forðastu kyrrstæðar innskráningarupplýsingar og auðvelt að giska á.

 

Farið yfir hópaðild (stjórnendur, notendur fjarstýrðra skjáborða, afritunarstjórar o.s.frv.) og fjarlægið allar óþarfar. Meginreglan um minni forréttindi Það er besti bandamaður þinn til að takmarka hliðarhreyfingar.

Net, DNS og tímasamstilling (NTP)

Framleiðsluþjónn verður að hafa Static IP, vera staðsett í hlutum sem eru varðir á bak við eldvegg (og vita Hvernig á að loka fyrir grunsamlegar nettengingar frá CMD (þegar nauðsyn krefur) og hafa tvo DNS-þjóna skilgreinda fyrir afritun. Staðfestu að A- og PTR-færslur séu til staðar; mundu að DNS-útbreiðsla... það gæti tekið Og það er ráðlegt að skipuleggja.

Stilla NTP: frávik upp á aðeins nokkrar mínútur brýtur Kerberos og veldur sjaldgæfum auðkenningarvillum. Skilgreina traustan tímamæli og samstilla hann. allur flotinn á móti því. Ef þú þarft ekki á því að halda skaltu slökkva á eldri samskiptareglum eins og NetBIOS yfir TCP/IP eða LMHosts leit að draga úr hávaða og sýningu.

Hlutverk, eiginleikar og þjónusta: minna er meira

Settu aðeins upp þau hlutverk og eiginleika sem þú þarft fyrir tilgang netþjónsins (IIS, .NET í nauðsynlegri útgáfu o.s.frv.). Hver aukapakki er viðbótaryfirborð vegna veikleika og stillinga. Fjarlægðu sjálfgefin forrit eða viðbótarforrit sem ekki verða notuð (sjá Winaero Tweaker: Gagnlegar og öruggar stillingar).

Endurskoða þjónustu: þær nauðsynlegu, sjálfkrafa; þær sem eru háðar öðrum, í Sjálfvirk (seinkað byrjun) eða með vel skilgreindum ósjálfstæði; allt sem ekki bætir við gildi er óvirkt. Og fyrir forritaþjónustu, notaðu tilteknir þjónustureikningar með lágmarksheimildum, ekki Local System ef þú getur forðast það.

Eldveggur og lágmörkun útsetningar

Almenna reglan: lokaðu sjálfgefið og opnaðu aðeins það sem er nauðsynlegt. Ef þetta er vefþjónn, afhjúpaðu HTTP / HTTPS Og það er það; stjórnun (RDP, WinRM, SSH) ætti að fara fram í gegnum VPN og, ef mögulegt er, takmörkuð með IP-tölu. Windows eldveggurinn býður upp á góða stjórn í gegnum prófíla (lén, einkamál, opinbert) og nákvæmar reglur.

Sérstakur jaðareldveggur er alltaf kostur, því hann afléttir álagi á netþjóninn og bætir við háþróaður valkostur (skoðun, IPS, skipting). Í öllum tilvikum er aðferðin sú sama: færri opnar tengi, minna nothæft árásarflötur.

Fjarlægur aðgangur og óöruggar samskiptareglur

RDP aðeins ef það er algerlega nauðsynlegt, með NLA, mikil dulkóðunMFA ef mögulegt er, og takmarkaður aðgangur að tilteknum hópum og netum. Forðist telnet og FTP; ef þú þarft flutning, notaðu SFTP/SSH, og enn betra, frá VPNPowerShell Remoting og SSH verður að vera stjórnað: takmarkaðu hverjir geta nálgast þau og hvaðan. Sem öruggur valkostur við fjarstýringu, lærðu hvernig á að gera það. Virkja og stilla Chrome Remote Desktop í Windows.

Ef þú þarft ekki á því að halda skaltu slökkva á fjarskráningarþjónustunni. Farðu yfir og lokaðu. NullSessionPipes y Núlllotuhlutdeildir til að koma í veg fyrir nafnlausan aðgang að auðlindum. Og ef IPv6 er ekki notað í þínu tilfelli skaltu íhuga að slökkva á því eftir að hafa metið áhrifin.

Uppfærslur, viðgerðir og breytingastjórnun

Haltu Windows uppfærðu með öryggisplástrar Daglegar prófanir í stýrðu umhverfi áður en farið er í framleiðslu. WSUS eða SCCM eru bandamenn í að stjórna uppfærsluferlinu. Ekki gleyma hugbúnaði frá þriðja aðila, sem er oft veiki hlekkurinn: skipuleggið uppfærslur og lagið veikleika fljótt.

Los ökumenn Reklar gegna einnig hlutverki í að herða Windows: úreltir reklar geta valdið hrunum og veikleikum. Komið á fót reglulegu uppfærsluferli á rekla og forgangsraðið stöðugleika og öryggi fram yfir nýja eiginleika.

Skráning atburða, endurskoðun og eftirlit

Stilltu öryggisendurskoðun og aukið stærð skráningar svo þær skiptist ekki á tveggja daga fresti. Miðstýrðu atburðum í fyrirtækjaskoðara eða SIEM, því að skoða hvern netþjón fyrir sig verður óframkvæmanlegt eftir því sem kerfið þitt stækkar. stöðugt eftirlit Með afkastagrunnlínum og viðvörunarmörkum skal forðast að „skjóta í blindu“.

Tækni til að fylgjast með heilleika skráa (FIM) og eftirlit með breytingum á stillingum hjálpa til við að greina frávik í grunnlínu. Verkfæri eins og Breytingarmæling í Netwrix Þau auðvelda að greina og útskýra hvað hefur breyst, hver og hvenær, flýta fyrir viðbrögðum og hjálpa til við að fylgja reglum (NIST, PCI DSS, CMMC, STIG, NERC CIP).

Gagnadulkóðun í hvíld og flutningi

Fyrir netþjóna, BitLocker Þetta er nú þegar grunnkrafa á öllum diskum með viðkvæmum gögnum. Ef þú þarft nákvæmni á skráarstigi, notaðu... EFSÁ milli netþjóna gerir IPsec kleift að dulkóða umferð til að varðveita trúnað og heiðarleika, sem er lykilatriði í sundurliðuð net eða með minna áreiðanlegum skrefum. Þetta er mikilvægt þegar rætt er um herðingu í Windows.

Aðgangsstjórnun og mikilvægar stefnur

Beita meginreglunni um minnstu réttindi á notendur og þjónustu. Forðastu að geyma hass af LAN-stjóri og slökkva á NTLMv1 nema fyrir eldri ósjálfstæði. Stilla leyfilegar Kerberos dulkóðunartegundir og draga úr skráar- og prentardeilingu þar sem það er ekki nauðsynlegt.

Gildi Takmarka eða loka fyrir færanlegan miðla (USB) til að takmarka útrás eða aðgang spilliforrita. Það birtir lagalega tilkynningu fyrir innskráningu („Óheimil notkun bönnuð“) og krefst þess. Ctrl + Alt + Del og það lýkur sjálfkrafa óvirkum lotum. Þetta eru einfaldar aðgerðir sem auka viðnám árásarmannsins.

Verkfæri og sjálfvirkni til að ná árangri

Til að nota grunnlínur í einu lagi, notaðu GPO og öryggisgrunnlínur Microsoft. Leiðbeiningar um upplýsingaöryggi (CIS), ásamt matsverkfærum, hjálpa til við að mæla bilið á milli núverandi stöðu og markmiðsins. Þar sem stærð krefst þess, lausnir eins og CalCom herðingarsvíta (CHS) Þau hjálpa til við að læra um umhverfið, spá fyrir um áhrif og beita stefnumótun miðlægt, og viðhalda þannig herðingu með tímanum.

Á viðskiptavinakerfum eru ókeypis tól sem einfalda „herðingu“ á nauðsynjunum. Syshardener Það býður upp á stillingar fyrir þjónustu, eldvegg og algengan hugbúnað; Hardentools slekkur á hugsanlega misnotanlegum aðgerðum (makróum, ActiveX, Windows Script Host, PowerShell/ISE í hverjum vafra); og Harður_stillingarforrit Það gerir þér kleift að leika þér með SRP, hvítlista eftir slóð eða kjötkássu, SmartScreen á staðbundnum skrám, loka fyrir ótraustar heimildir og sjálfvirka keyrslu á USB/DVD.

Eldveggur og aðgangur: hagnýtar reglur sem virka

Virkjaðu alltaf Windows eldvegginn, stilltu öll þrjú sniðin með sjálfgefinni blokkun á innkomandi upplýsingum og opnaðu aðeins mikilvægar tengingar við þjónustuna (með IP-tölu ef við á). Fjarstýring er best framkvæmd í gegnum VPN og með takmörkuðum aðgangi. Farið yfir eldri reglur og slökkvið á öllu sem ekki er lengur þörf á.

Ekki gleyma að herðing í Windows er ekki kyrrstæð mynd: það er kraftmikið ferli. Skráðu grunnlínuna þína. fylgist með frávikumFarið yfir breytingarnar eftir hverja uppfærslu og aðlagið ráðstafanirnar að raunverulegri virkni búnaðarins. Smá tæknileg agi, smá sjálfvirkni og skýrt áhættumat gera Windows að mun erfiðara kerfi að brjóta án þess að fórna fjölhæfni þess.