რა არის გამკვრივება Windows-ში და როგორ გამოვიყენოთ ის სისტემური ადმინისტრატორის გარეშე

თუ სერვერებს ან მომხმარებლის კომპიუტერებს მართავთ, ალბათ დაგისვამთ საკუთარ თავს ეს კითხვა: როგორ გავხადო Windows საკმარისად უსაფრთხო, რომ მშვიდად იძინოს? გამკვრივება Windows-ში ეს არ არის ერთჯერადი ხრიკი, არამედ გადაწყვეტილებებისა და კორექტირების ერთობლიობაა, რომელიც მიზნად ისახავს შეტევის ზედაპირის შემცირებას, წვდომის შეზღუდვას და სისტემის კონტროლის ქვეშ შენარჩუნებას.

კორპორატიულ გარემოში სერვერები ოპერაციების საფუძველია: ისინი ინახავენ მონაცემებს, უზრუნველყოფენ მომსახურებას და აკავშირებენ კრიტიკულ ბიზნეს კომპონენტებს; სწორედ ამიტომ წარმოადგენენ ისინი ნებისმიერი თავდამსხმელის მთავარ სამიზნეს. Windows-ის საუკეთესო პრაქტიკითა და საბაზისო ხაზებით გაძლიერებით, თქვენ მინიმუმამდე დაყავით წარუმატებლობები, თქვენ ზღუდავთ რისკებს და თქვენ თავიდან აიცილებთ ინციდენტის ერთ მომენტში დანარჩენ ინფრასტრუქტურაზე გადატანას.

რა არის გამკვრივება Windows-ში და რატომ არის ის მნიშვნელოვანი?

გამკვრივება ან გამაგრება შედგება კომპონენტების კონფიგურაცია, წაშლა ან შეზღუდვა ოპერაციული სისტემის, სერვისებისა და აპლიკაციების გამოყენება პოტენციური შესვლის წერტილების დასახურად. Windows, დიახ, მრავალმხრივი და თავსებადია, მაგრამ „ის თითქმის ყველაფრისთვის მუშაობს“ მიდგომა ნიშნავს, რომ მას აქვს ღია ფუნქციონალობა, რომელიც ყოველთვის არ გჭირდებათ.

რაც უფრო მეტ არასაჭირო ფუნქციას, პორტს ან პროტოკოლს ინარჩუნებთ აქტიურს, მით უფრო იზრდება თქვენი დაუცველობა. გამკაცრების მიზანია შეტევის ზედაპირის შემცირებაშეზღუდეთ პრივილეგიები და დატოვეთ მხოლოდ ის, რაც აუცილებელია, განახლებული პატჩებით, აქტიური აუდიტითა და მკაფიო პოლიტიკით.

ეს მიდგომა მხოლოდ Windows-ისთვის არ არის დამახასიათებელი; ის ნებისმიერ თანამედროვე სისტემაზე ვრცელდება: ის მზადაა ათასობით სხვადასხვა სცენარის გასატარებლად. სწორედ ამიტომ არის მიზანშეწონილი. დახურეთ ის, რასაც არ იყენებთ.რადგან თუ შენ არ გამოიყენებ, შეიძლება სხვამ სცადოს შენს მაგივრად გამოყენება.

კურსის განმსაზღვრელი საბაზისო და სტანდარტები

Windows-ში გამკვრივებისთვის, არსებობს ისეთი საორიენტაციო მაჩვენებლები, როგორიცაა CIS (ინტერნეტ უსაფრთხოების ცენტრი) და თავდაცვის დეპარტამენტის STIG-ის სახელმძღვანელო მითითებები, გარდა ამისა, Microsoft-ის უსაფრთხოების საბაზისო ხაზები (Microsoft-ის უსაფრთხოების საბაზისო ინსტრუქციები). ეს ცნობები მოიცავს რეკომენდებულ კონფიგურაციებს, პოლიტიკის მნიშვნელობებს და Windows-ის სხვადასხვა როლებისა და ვერსიების მართვის საშუალებებს.

საბაზისო ხაზის გამოყენება მნიშვნელოვნად აჩქარებს პროექტს: ის ამცირებს ხარვეზებს ნაგულისხმევ კონფიგურაციასა და საუკეთესო პრაქტიკას შორის, რაც თავიდან აიცილებს სწრაფი განლაგებისთვის დამახასიათებელ „ხარვეზებს“. მიუხედავად ამისა, ყველა გარემო უნიკალურია და მიზანშეწონილია ცვლილებების ტესტირება მათ წარმოებაში გაშვებამდე.

ფანჯრების გამკვრივება ეტაპობრივად

მომზადება და ფიზიკური უსაფრთხოება

Windows-ში გამყარება სისტემის ინსტალაციამდე იწყება. შეინახეთ სერვერის სრული ინვენტარიახლების იზოლირება ტრაფიკიდან მათ გამყარებამდე, BIOS/UEFI პაროლით დაცვა, გამორთვა გარე მედიიდან ჩატვირთვა და ხელს უშლის ავტოლოგენს აღდგენის კონსოლებზე.

თუ საკუთარ აპარატურას იყენებთ, განათავსეთ აღჭურვილობა ისეთ ადგილებში, სადაც ფიზიკური წვდომის კონტროლისათანადო ტემპერატურა და მონიტორინგი აუცილებელია. ფიზიკური წვდომის შეზღუდვა ისეთივე მნიშვნელოვანია, როგორც ლოგიკური წვდომის, რადგან კორპუსის გახსნამ ან USB-დან ჩატვირთვამ შეიძლება ყველაფერი საფრთხე შეუქმნას.

ანგარიშების, ავტორიზაციის მონაცემებისა და პაროლის პოლიტიკა

დაიწყეთ აშკარა სისუსტეების აღმოფხვრით: გამორთეთ სტუმრის ანგარიში და, სადაც შესაძლებელია, ლოკალური ადმინისტრატორის გამორთვა ან სახელის შეცვლაშექმენით ადმინისტრაციული ანგარიში არატრივიალური სახელით (query როგორ შევქმნათ ლოკალური ანგარიში Windows 11-ში ოფლაინ რეჟიმში) და ყოველდღიური ამოცანებისთვის იყენებს არაპრივილეგირებულ ანგარიშებს, პრივილეგიების ამაღლებით „გაუშვით როგორც“ ღილაკზე მხოლოდ საჭიროების შემთხვევაში.

გააძლიერეთ თქვენი პაროლის პოლიტიკა: უზრუნველყავით შესაბამისი სირთულე და სიგრძე. პერიოდული ამოსუნთქვაისტორია, რათა თავიდან იქნას აცილებული ანგარიშის ხელახალი გამოყენება და დაბლოკვა წარუმატებელი მცდელობების შემდეგ. თუ ბევრ გუნდს მართავთ, განიხილეთ LAPS-ის მსგავსი გადაწყვეტილებები ადგილობრივი ავტორიზაციის მონაცემების როტაციისთვის; მნიშვნელოვანია მოერიდეთ სტატიკური ავტორიზაციის მონაცემებს და ადვილი გამოსაცნობია.

 

გადახედეთ ჯგუფის წევრობას (ადმინისტრატორები, დისტანციური დესკტოპის მომხმარებლები, სარეზერვო ასლის ოპერატორები და ა.შ.) და წაშალეთ ყველა არასაჭირო. პრინციპი ნაკლები პრივილეგია ეს თქვენი საუკეთესო მოკავშირეა გვერდითი მოძრაობების შეზღუდვისთვის.

ქსელი, DNS და დროის სინქრონიზაცია (NTP)

საწარმოო სერვერს უნდა ჰქონდეს სტატიკური IP, განლაგებული იყოს firewall-ის მიღმა დაცულ სეგმენტებში (და იცოდეს როგორ დავბლოკოთ საეჭვო ქსელური კავშირები CMD-დან (საჭიროების შემთხვევაში) და გქონდეთ ორი DNS სერვერი განსაზღვრული რეზერვაციისთვის. გადაამოწმეთ, რომ A და PTR ჩანაწერები არსებობს; გახსოვდეთ, რომ DNS-ის გავრცელება... შეიძლება დასჭირდეს და მიზანშეწონილია დაგეგმვა.

NTP-ის კონფიგურაცია: მხოლოდ რამდენიმე წუთით გადახრა არღვევს Kerberos-ს და იწვევს იშვიათ ავტორიზაციის ჩავარდნებს. განსაზღვრეთ სანდო ტაიმერი და სინქრონიზირდით. მთელი ფლოტი წინააღმდეგ. თუ არ გჭირდებათ, გამორთეთ მემკვიდრეობითი პროტოკოლები, როგორიცაა NetBIOS TCP/IP-ზე ან LMHosts-ის ძიება ხმაურის შემცირება და გამოფენა.

როლები, ფუნქციები და სერვისები: ნაკლები მეტია

დააინსტალირეთ მხოლოდ ის როლები და ფუნქციები, რომლებიც გჭირდებათ სერვერის მიზნებისთვის (IIS, .NET მის საჭირო ვერსიაში და ა.შ.). თითოეული დამატებითი პაკეტი დამატებითი ზედაპირი დაუცველობისა და კონფიგურაციისთვის. წაშალეთ ნაგულისხმევი ან დამატებითი აპლიკაციები, რომლებიც არ იქნება გამოყენებული (იხ. Winaero Tweaker: სასარგებლო და უსაფრთხო რეგულირება).

სერვისების მიმოხილვა: აუცილებელი, ავტომატურად; ის, რაც სხვებზეა დამოკიდებული, ავტომატური (დაგვიანებული დაწყება) ან კარგად განსაზღვრული დამოკიდებულებებით; ყველაფერი, რაც არ ამატებს ღირებულებას, გამორთულია. ხოლო აპლიკაციის სერვისებისთვის გამოიყენეთ კონკრეტული მომსახურების ანგარიშები მინიმალური ნებართვებით, არა ლოკალური სისტემა, თუ ამის თავიდან აცილება შეგიძლიათ.

Firewall-ი და ექსპოზიციის მინიმიზაცია

ზოგადი წესი: ნაგულისხმევად დაბლოკეთ და მხოლოდ აუცილებელი გახსენით. თუ ეს ვებ სერვერია, გამოაშკარავეთ HTTP / HTTPS და სულ ესაა; ადმინისტრირება (RDP, WinRM, SSH) უნდა განხორციელდეს VPN-ის მეშვეობით და, თუ შესაძლებელია, შეიზღუდოს IP მისამართით. Windows-ის firewall კარგ კონტროლს გთავაზობთ პროფილების (დომენი, კერძო, საჯარო) და დეტალური წესების მეშვეობით.

პერიმეტრის სპეციალური firewall ყოველთვის პლიუსია, რადგან ის განტვირთავს სერვერს და ამატებს მოწინავე პარამეტრები (ინსპექტირება, IPS, სეგმენტაცია). ნებისმიერ შემთხვევაში, მიდგომა იგივეა: ნაკლები ღია პორტი, ნაკლები გამოსაყენებელი შეტევის ზედაპირი.

დისტანციური წვდომა და დაუცველი პროტოკოლები

RDP მხოლოდ აბსოლუტურად აუცილებელი შემთხვევაში, NLA, მაღალი დაშიფვრათუ შესაძლებელია, MFA და შეზღუდული წვდომა კონკრეტულ ჯგუფებსა და ქსელებზე. მოერიდეთ telnet-სა და FTP-ს; თუ გადაცემა გჭირდებათ, გამოიყენეთ SFTP/SSH და კიდევ უკეთესი, VPN-დანPowerShell-ის დისტანციური მართვა და SSH უნდა იყოს კონტროლირებადი: შეზღუდეთ ვის შეუძლია მათზე წვდომა და საიდან. დისტანციური მართვის უსაფრთხო ალტერნატივად, შეიტყვეთ, თუ როგორ Chrome-ის დისტანციური სამუშაო მაგიდის გააქტიურება და კონფიგურაცია Windows-ზე.

თუ ეს არ გჭირდებათ, გამორთეთ დისტანციური რეგისტრაციის სერვისი. გადახედეთ და დაბლოკეთ NullSessionPipes y NullSessionShares რესურსებზე ანონიმური წვდომის თავიდან ასაცილებლად. და თუ თქვენს შემთხვევაში IPv6 არ გამოიყენება, ზემოქმედების შეფასების შემდეგ განიხილეთ მისი გამორთვა.

პატჩები, განახლებები და ცვლილებების კონტროლი

შეინარჩუნეთ Windows-ის განახლებული ვერსია უსაფრთხოების პატჩები ყოველდღიური ტესტირება კონტროლირებად გარემოში წარმოებაზე გადასვლამდე. WSUS ან SCCM მოკავშირეები არიან პატჩების ციკლის მართვისთვის. არ დაგავიწყდეთ მესამე მხარის პროგრამული უზრუნველყოფა, რომელიც ხშირად სუსტი რგოლია: დაგეგმეთ განახლებები და სწრაფად მოაგვარეთ დაუცველობები.

L მძღოლები დრაივერები ასევე მნიშვნელოვან როლს ასრულებენ Windows-ის გამყარებაში: მოძველებულმა მოწყობილობის დრაივერებმა შეიძლება გამოიწვიოს სისტემის ავარიები და დაუცველობა. დააწესეთ დრაივერების რეგულარული განახლების პროცესი, ახალ ფუნქციებზე წინ სტაბილურობასა და უსაფრთხოებას მიანიჭეთ უპირატესობა.

მოვლენების ჟურნალირება, აუდიტი და მონიტორინგი

უსაფრთხოების აუდიტის კონფიგურაცია და ჟურნალის ზომის გაზრდა, რათა ისინი ყოველ ორ დღეში ერთხელ არ იცვლებოდეს. მოვლენების ცენტრალიზება კორპორატიულ მაყურებელში ან SIEM-ში მოახდინეთ, რადგან თითოეული სერვერის ინდივიდუალურად განხილვა თქვენი სისტემის ზრდასთან ერთად არაპრაქტიკული ხდება. უწყვეტი მონიტორინგი შესრულების საბაზისო მაჩვენებლებისა და განგაშის ზღურბლების გათვალისწინებით, მოერიდეთ „ბრმად გაშვებას“.

ფაილის მთლიანობის მონიტორინგის (FIM) ტექნოლოგიები და კონფიგურაციის ცვლილებების თვალყურის დევნება ხელს უწყობს საბაზისო გადახრების აღმოჩენას. ისეთი ინსტრუმენტები, როგორიცაა: Netwrix-ის ცვლილებების ტრეკერი ისინი აადვილებენ ცვლილებების აღმოჩენას და ახსნას, ვინ და როდის, აჩქარებენ რეაგირებას და ეხმარებიან შესაბამისობაში მოყვანაში (NIST, PCI DSS, CMMC, STIG, NERC CIP).

მონაცემთა დაშიფვრა როგორც უმოქმედო, ასევე გადაადგილებისას

სერვერებისთვის, BitLocker ეს უკვე ძირითადი მოთხოვნაა ყველა დისკზე, რომელიც შეიცავს მგრძნობიარე მონაცემებს. თუ ფაილის დონის დეტალიზაცია გჭირდებათ, გამოიყენეთ... EFSსერვერებს შორის IPsec საშუალებას იძლევა ტრაფიკი დაშიფრული იყოს კონფიდენციალურობისა და მთლიანობის შესანარჩუნებლად, რაც მნიშვნელოვანია. სეგმენტირებული ქსელები ან ნაკლებად საიმედო ნაბიჯებით. ეს გადამწყვეტია Windows-ში გამყარების განხილვისას.

წვდომის მართვა და კრიტიკული პოლიტიკა

მომხმარებლებისა და სერვისებისთვის გამოიყენეთ მინიმალური პრივილეგიის პრინციპი. მოერიდეთ ჰეშების შენახვას LAN მენეჯერი და გამორთეთ NTLMv1, გარდა მემკვიდრეობით მიღებული დამოკიდებულებებისა. დააკონფიგურირეთ დაშვებული Kerberos დაშიფვრის ტიპები და შეამცირეთ ფაილებისა და პრინტერების გაზიარება იქ, სადაც ეს აუცილებელი არ არის.

ვალორა მოსახსნელი მედიის (USB) შეზღუდვა ან დაბლოკვა მავნე პროგრამების ექსფილტრაციის ან შეღწევის შესაზღუდად. შესვლამდე ის აჩვენებს იურიდიულ შეტყობინებას („უნებართვო გამოყენება აკრძალულია“) და მოითხოვს Ctrl + Alt + Del და ის ავტომატურად წყვეტს არააქტიურ სესიებს. ეს არის მარტივი ზომები, რომლებიც ზრდის თავდამსხმელის წინააღმდეგობას.

ინსტრუმენტები და ავტომატიზაცია პოპულარობის მოსაპოვებლად

საბაზისო ხაზების მასობრივად გამოსაყენებლად გამოიყენეთ GPO და Microsoft-ის უსაფრთხოების საბაზისო გეგმები. CIS სახელმძღვანელოები, შეფასების ინსტრუმენტებთან ერთად, დაგეხმარებათ გაზომოთ თქვენს ამჟამინდელ მდგომარეობასა და მიზანს შორის არსებული სხვაობა. სადაც მასშტაბირება მოითხოვს, გამოიყენება ისეთი გადაწყვეტილებები, როგორიცაა CalCom Hardening Suite (CHS) ისინი ხელს უწყობენ გარემოს შესახებ ინფორმაციის მიღებას, ზემოქმედების პროგნოზირებას და პოლიტიკის ცენტრალიზებულად გამოყენებას, დროთა განმავლობაში გამყარების შენარჩუნებას.

კლიენტურ სისტემებზე არსებობს უფასო უტილიტები, რომლებიც ამარტივებს არსებითი ფუნქციების „გამკაცრებას“. Syshardener ის გთავაზობთ სერვისების, firewall-ის და საერთო პროგრამული უზრუნველყოფის პარამეტრებს; ჰარდენტულსი პოტენციურად ექსპლუატაციაში მყოფი ფუნქციების (მაკროსები, ActiveX, Windows Script Host, PowerShell/ISE თითოეული ბრაუზერისთვის) გამორთვა; და მყარი_კონფიგურატორი ის საშუალებას გაძლევთ ითამაშოთ SRP-ით, თეთრი სიებით ბილიკის ან ჰეშის მიხედვით, SmartScreen-ით ლოკალურ ფაილებზე, არასანდო წყაროების დაბლოკვით და USB/DVD-ზე ავტომატური შესრულებით.

Firewall და წვდომა: პრაქტიკული წესები, რომლებიც მუშაობს

ყოველთვის გაააქტიურეთ Windows-ის firewall, დააკონფიგურირეთ სამივე პროფილი შემომავალი შემომავალი ბლოკირებით ნაგულისხმევად და გახსენით მხოლოდ კრიტიკული პორტები სერვისისთვის (ასეთის არსებობის შემთხვევაში, IP მისამართებით). დისტანციური ადმინისტრირება საუკეთესოა VPN-ის საშუალებით და შეზღუდული წვდომით. გადახედეთ მოძველებულ წესებს და გამორთეთ ყველაფერი, რაც აღარ არის საჭირო.

არ დაგავიწყდეთ, რომ Windows-ში გამკვრივება სტატიკური გამოსახულება არ არის: ეს დინამიური პროცესია. დოკუმენტირებულია თქვენი საბაზისო დონე. აკონტროლებს გადახრებსთითოეული პატჩის შემდეგ გადახედეთ ცვლილებებს და მოარგეთ ზომები აღჭურვილობის რეალურ ფუნქციას. მცირე ტექნიკური დისციპლინა, ავტომატიზაციის მცირედი შეხება და რისკების მკაფიო შეფასება Windows-ს გაცილებით რთულად გასატეხ სისტემად აქცევს მისი მრავალფეროვნების შელახვის გარეშე.