- Xalên bingehîn (CIS, STIG û Microsoft) rêberiya hişkbûnek domdar û pîvandî dikin.
- Cihê kêmtir: tenê tiştên girîng saz bikin, port û îmtiyazan sînordar bikin.
- Patchkirin, çavdêrîkirin û şîfrekirin ewlehiyê bi demê re didomîne.
- Bi GPO û amûran otomatîk bikin da ku rewşa ewlehiya xwe biparêzin.
Eger hûn server an komputerên bikarhêneran birêve dibin, dibe ku we ev pirs ji xwe kiribe: ez çawa dikarim Windows-ê têra xwe ewle bikim ku bi aramî razê? hişkbûn di Windows-ê de Ev ne hîleyek yekcarî ye, lê komek biryar û sererastkirinan e ji bo kêmkirina rûbera êrîşê, sînordarkirina gihîştinê, û ragirtina pergalê di bin kontrolê de.
Di hawîrdorek pargîdaniyê de, server bingeha operasyonan in: ew daneyan hildigirin, xizmetan peyda dikin, û pêkhateyên karsaziyê yên girîng bi hev ve girêdidin; ji ber vê yekê ew ji bo her êrîşkarek hedefek sereke ne. Bi xurtkirina Windows-ê bi pratîkên çêtirîn û rêzikên bingehîn, Hûn têkçûnan kêm dikin, hûn xetereyan sînordar dikin û hûn rê li ber wê digirin ku bûyerek di demekê de li ser mayî ya binesaziyê belav bibe.
Hişkkirina di Windows-ê de çi ye û çima girîng e?
Hişkkirin an jî xurtkirin ji van pêk tê pêkhateyan mîheng bike, jê bibe an sînordar bike ji bo girtina xalên têketinê yên potansiyel ên pergala xebitandinê, karûbar û sepanan. Windows piralî û hevaheng e, belê, lê nêzîkatiya "ew ji bo hema hema her tiştî dixebite" tê vê wateyê ku ew bi fonksiyonên vekirî tê ku hûn ne her gav hewce ne.
Her ku hûn fonksiyon, port, an protokolên nehewce çalak bihêlin, lawaziya we jî mezintir dibe. Armanca hişkkirinê ev e rûyê êrîşê kêm bikeÎmtiyazan sînordar bikin û tenê tiştên bingehîn bihêlin, bi paçên nûjen, vekolîna çalak, û polîtîkayên zelal.
Ev rêbaz ne tenê ji bo Windows-ê ye; ew ji bo her pergala nûjen derbas dibe: ew amade ye ku bi hezar senaryoyên cûda re mijûl bibe. Ji ber vê yekê tê pêşniyar kirin. Tiştê ku hûn bikar naynin bigirin.Ji ber ku eger tu wê bi kar neînî, dibe ku kesek din hewl bide ku wê ji bo te bikar bîne.
Pîvanên bingehîn û rêzikên ku qursê destnîşan dikin
Ji bo hişkkirina li Windows-ê, pîvanên wekî van hene Navenda Ewlekariya Înternetê (CIS) û rêbernameyên DoD STIG, ji bilî Bingehên Ewlekariya Microsoftê (Microsoft Security Bingehîn). Ev çavkanî mîhengên pêşniyarkirî, nirxên polîtîkayê, û kontrolên ji bo rol û guhertoyên cûda yên Windows-ê vedihewînin.
Sepandina bingehek projeyê pir leztir dike: ew valahiyên di navbera mîhengkirina xwerû û pratîkên çêtirîn de kêm dike, û ji "valahîyên" tîpîk ên bicihkirinên bilez dûr dikeve. Dîsa jî, her jîngeh bêhempa ye û tê pêşniyar kirin ku guhertinan test bikin berî ku wan bixin nav hilberînê.
Gav bi gav hişkkirina Windows-ê
Amadekarî û ewlehiya fizîkî
Hişkkirina di Windows-ê de berî sazkirina pergalê dest pê dike. A bihêlin envantera serverê temam bikeYên nû ji trafîkê veqetînin heta ku hişk bibin, BIOS/UEFI bi şîfreyekê biparêzin, neçalak bikin ji medyaya derveyî boot bike û li ser konsolên başbûnê pêşî li têketina otomotîk digire.
Heke hûn alavên xwe bi kar tînin, alavan li cihên bi kontrola gihîştina fîzîkîGermahî û çavdêriya guncaw pir girîng in. Sînordarkirina gihîştina fîzîkî bi qasî gihîştina mantiqî girîng e, ji ber ku vekirina şasîyekê an jî bootkirina ji USB-yê dikare her tiştî bixe xeterê.
Siyaseta hesaban, bawernameyan û şîfreyê
Bi rakirina kêmasiyên eşkere dest pê bikin: hesabê mêvan neçalak bikin û, heke gengaz be, Rêvebirê herêmî neçalak dike an jî navê wî diguherîneHesabê rêveberiyê bi navekî ne-trîvîyal biafirîne (pirs Meriv çawa di Windows 11-ê de bêyî ku li ser înternetê be, hesabek herêmî çêdike) û ji bo karên rojane hesabên bê îmtiyaz bikar tîne, û tenê dema ku pêwîst be bi "Run as" îmtiyazan bilind dike.
Siyaseta şîfreya xwe xurttir bikin: tevlihevî û dirêjahiya guncaw misoger bikin. qedandina periyodîkDîrok ji bo pêşîgirtina li ji nû ve bikaranîn û girtina hesabê piştî hewldanên têkçûyî. Ger hûn gelek tîman birêve dibin, çareseriyên mîna LAPS ji bo zivirandina nasnameyên herêmî bifikirin; tiştê girîng ev e ji bawernameyên statîk dûr bisekinin û hêsan tê texmînkirin.
Endamtiyên komê binirxînin (Rêvebir, Bikarhênerên Sermaseya Dûr, Operatorên Piştgiriyê, hwd.) û yên nehewce jê bibin. Prensîba îmtiyaz kêm Ew hevalbendê we yê herî baş e ji bo sînordarkirina tevgerên alî.
Tora, DNS û senkronîzasyona demê (NTP)
Divê serverek hilberînê hebe IP ya statîkî, di beşên ku li pişt dîwarekî agirî têne parastin de cih bigirin (û bizanin Meriv çawa girêdanên torê yên gumanbar ji CMD asteng dike (dema pêwîst be), û du serverên DNS ji bo dubarekirinê destnîşan bikin. Piştrast bikin ku tomarên A û PTR hene; ji bîr mekin ku belavbûna DNS... dibe ku bigire Û plansazkirina wê jî baş e.
Mîhengkirina NTP: guhertinek tenê çend deqeyan Kerberos têk dibe û dibe sedema têkçûnên nasnameyê yên kêm. Demjimêrek pêbawer destnîşan bike û wê senkronîze bike. tevahiya filo li dijî wê. Heke hûn ne hewce ne, protokolên kevn ên wekî NetBIOS li ser TCP/IP an lêgerîna LMHosts ji bo neçalak bikin. deng kêm bike û pêşangehê.
Rol, taybetmendî û xizmet: kêmtir bêtir e
Tenê rol û taybetmendiyên ku hûn ji bo armanca serverê hewce ne saz bikin (IIS, .NET di guhertoya wê ya pêwîst de, hwd.). Her pakêtek zêde ye rûbera zêde ji bo lawazî û mîhengkirinê. Serlêdanên xwerû an yên zêde yên ku nayên bikar anîn rakin (binêre Winaero Tweaker: Sererastkirinên Bikêrhatî û Ewle).
Xizmetên nirxandinê: yên pêwîst, bixweber; yên ku bi yên din ve girêdayî ne, di Otomatîk (destpêka dereng) an jî bi girêdayîbûnên baş-diyarkirî; her tiştê ku nirxê zêde nake, neçalak e. Û ji bo karûbarên serîlêdanê, bikar bînin hesabên xizmeta taybetî bi destûrên herî kêm, ne Sîstema Herêmî heke hûn dikarin jê dûr bisekinin.
Firewall û kêmkirina rûbirûbûnê
Qanûna giştî: bi xweber asteng bike û tenê tiştên pêwîst veke. Ger ew serverek webê be, eşkere bike HTTP / HTTPS Û bes e; rêveberî (RDP, WinRM, SSH) divê bi rêya VPN-ê were kirin û, heke gengaz be, bi navnîşana IP-ê ve were sînordarkirin. Dîwarê agir ê Windows-ê bi rêya profîlan (Domain, Private, Public) û qaîdeyên hûrgulî kontrolek baş pêşkêş dike.
Dîwarekî agir ê perîmetrîk ê taybet her tim avantajek e, ji ber ku ew barê serverê kêm dike û lê zêde dike. vebijarkên pêşkeftî (teftîş, IPS, beşkirin). Di her rewşê de, rêbaz eynî ye: portên vekirî yên kêmtir, rûbera êrîşê ya bikêrhatî ya kêmtir.
Gihîştina dûr û protokolên neewle
RDP tenê heke bi tevahî pêwîst be, bi NLA, şîfrekirina bilindMFA heke gengaz be, û gihîştina kom û torên taybetî bi sînor bike. Ji telnet û FTP dûr bisekine; heke hûn hewceyê veguhastinê bin, SFTP/SSH bikar bîne, û hê çêtir, ji VPNPêdivî ye ku PowerShell Remoting û SSH werin kontrol kirin: sînordar bikin ka kî dikare bigihîje wan û ji ku derê. Wekî alternatîfek ewle ji bo kontrola dûr, fêr bibin ka meriv çawa Chrome Remote Desktop li ser Windows-ê çalak bike û mîheng bike.
Heke pêwîstiya te pê tune be, xizmeta Qeydkirina Ji Dûr ve neçalak bike. Binirxîne û asteng bike NullSessionPipes y Parvekirinên Danişîna Bêqîmet ji bo rêgirtina li gihîştina anonîm a çavkaniyan. Û heke IPv6 di rewşa we de neyê bikar anîn, piştî nirxandina bandorê, neçalakkirina wê bifikirin.
Patching, nûvekirin, û kontrola guhertinê
Windows-ê bi rojane re nûjen bihêle pîneyên ewlehiyê Berî ku derbasî hilberînê bibin, rojane di hawîrdorek kontrolkirî de ceribandin. WSUS an SCCM ji bo birêvebirina çerxa patchê hevalbend in. Nermalava partiya sêyemîn ji bîr nekin, ku pir caran lînka qels e: nûvekirinan bername bikin û qelsiyan zû rast bikin.
ew ajokarên Ajokar di xurtkirina Windows-ê de jî rolek dilîzin: ajokarên cîhazên kevnar dikarin bibin sedema têkçûn û qelsiyan. Pêvajoyek nûvekirina ajokar a birêkûpêk saz bikin, û li şûna taybetmendiyên nû, girîngiyê bidin îstîqrar û ewlehiyê.
Tomarkirina bûyeran, denetim û çavdêrîkirin
Venêrîna ewlehiyê mîheng bike û mezinahiya tomarê zêde bike da ku ew her du rojan carekê neguherin. Bûyeran di temaşekerek pargîdaniyê an SIEM de navendî bike, ji ber ku bi mezinbûna pergala we ve nirxandina her serverek bi ferdî ne pratîk dibe. çavdêriya berdewam Digel xalên bingehîn ên performansê û eşikên hişyariyê, ji "agirvekirina kor" dûr bisekinin.
Teknolojiyên Çavdêriya Yekparebûna Pelan (FIM) û şopandina guhertina mîhengê dibin alîkar ku deviasyonên bingehîn werin tespîtkirin. Amûrên wekî Şopandina Guhertina Netwrix Ew tesbîtkirin û ravekirina tiştên ku guherîne, kî û kengî hêsantir dikin, bersivdanê leztir dikin û di warê pabendbûnê de dibin alîkar (NIST, PCI DSS, CMMC, STIG, NERC CIP).
Şîfrekirina daneyan di dema bêçalaktiyê û veguhastinê de
Ji bo serveran, BitLocker Ew jixwe pêdiviyek bingehîn e li ser hemî ajokarên bi daneyên hesas. Ger hûn hewceyê hûrgulîbûna asta pelan bin, bikar bînin... EFSDi navbera serveran de, IPsec dihêle ku trafîk were şîfrekirin da ku nepenî û yekparebûna wan were parastin, tiştek girîng di torên parçekirî an jî bi gavên kêmtir pêbawer. Ev pir girîng e dema ku li ser hişkkirina di Windows-ê de tê nîqaşkirin.
Rêveberiya gihîştinê û polîtîkayên krîtîk
Prensîba îmtiyaza herî kêm ji bo bikarhêner û karûbaran bicîh bîne. Ji hilanîna haşên Rêveberê LAN û NTLMv1 neçalak bike ji bilî girêdayîbûnên kevn. Cureyên şîfrekirina Kerberos ên destûrdayî mîheng bike û parvekirina pel û çapkeran kêm bike li cihê ku ne hewce ye.
Giranî Medyaya rakirin (USB) sînordar bike an asteng bike ji bo sînordarkirina derxistin an ketina malware. Berî têketinê agahdariyek yasayî nîşan dide ("Bikaranîna bêdestûr qedexe ye"), û pêdivî ye Ctrl + Alt + Del û ew danişînên neçalak bixweber diqedîne. Ev tedbîrên hêsan in ku berxwedana êrîşkar zêde dikin.
Amûr û otomasyon ji bo bidestxistina bandorê
Ji bo sepandina bingehên girseyî, bikar bînin GPO û Bingehên Ewlehiyê yên Microsoftê. Rêbernameyên CIS, digel amûrên nirxandinê, alîkariya pîvandina valahiya di navbera rewşa we ya heyî û armancê de dikin. Li cihê ku pîvan hewce dike, çareseriyên wekî CalCom Hardening Suite (CHS) Ew dibin alîkar ku li ser jîngehê fêr bibin, bandoran pêşbînî bikin, û polîtîkayan bi awayekî navendî bicîh bînin, û bi demê re hişk bibin.
Li ser sîstemên xerîdar, amûrên belaş hene ku "hişkkirina" tiştên bingehîn hêsan dikin. Syshardener Ew mîhengan li ser karûbaran, dîwarê agir û nermalava hevpar pêşkêş dike; Amûrên Hardent fonksiyonên ku dibe ku bikarhatî bin neçalak dike (makro, ActiveX, Windows Script Host, PowerShell/ISE ji bo her gerokê); û Mîhengkarê_Hişk Ew dihêle hûn bi SRP, navnîşên spî bi rê an jî hash, SmartScreen li ser pelên herêmî, astengkirina çavkaniyên ne pêbawer û darvekirina otomatîk li ser USB/DVD-yê bilîzin.
Dîwarê agir û gihîştin: qaîdeyên pratîkî yên ku dixebitin
Her tim dîwarê agir ê Windows-ê çalak bike, her sê profîlan bi xwerû bi astengkirina hatina hatinê ve saz bike, û veke tenê portên krîtîk bo xizmetê (bi çarçoveya IP-yê heke hebe). Rêveberiya ji dûr ve çêtirîn bi rêya VPN-ê û bi gihîştina sînorkirî tê kirin. Rêgezên kevn binirxînin û her tiştê ku êdî ne hewce ye neçalak bikin.
Ji bîr meke ku hişkkirin di Windows-ê de wêneyek statîk nîne: ew pêvajoyek dînamîk e. Xala bingehîn a xwe belge bike. guherînan dişopînePiştî her paçê guhertinan binirxînin û tedbîran li gorî fonksiyona rastîn a alavan biguncînin. Hinekî dîsîplîna teknîkî, piçek otomasyon û nirxandinek rîskê ya zelal Windows-ê dike sîstemek pir dijwartir ku bêyî ku pirrengiya wê were qurbanî kirin, were şikandin.
Edîtorê pisporê teknolojî û pirsgirêkên înternetê bi zêdetirî deh salan ezmûna xwe di medyaya dîjîtal a cihêreng de heye. Min ji bo pargîdaniyên e-bazirganî, ragihandinê, kirrûbirra serhêl û reklamê wekî edîtor û afirînerê naverokê xebitî. Min li ser malperên aborî, darayî û sektorên din jî nivîsandiye. Karê min jî hewesa min e. Naha, bi gotarên min di nav de Tecnobits, Ez hewl didim ku hemî nûçe û derfetên nû yên ku cîhana teknolojiyê her roj pêşkêşî me dike ji bo baştirkirina jiyana me bikolim.