- ເສັ້ນພື້ນຖານ (CIS, STIG ແລະ Microsoft) ນໍາພາການແຂງຕົວທີ່ສອດຄ່ອງ ແລະສາມາດວັດແທກໄດ້.
- ພື້ນທີ່ຫນ້ອຍ: ຕິດຕັ້ງພຽງແຕ່ສິ່ງທີ່ຈໍາເປັນ, ຈໍາກັດພອດແລະສິດທິພິເສດ.
- ການປັບປຸງແກ້ໄຂ, ການຕິດຕາມ, ແລະການເຂົ້າລະຫັດສະຫນັບສະຫນູນຄວາມປອດໄພໃນໄລຍະ.
- ອັດຕະໂນມັດກັບ GPOs ແລະເຄື່ອງມືເພື່ອຮັກສາທ່າທາງຄວາມປອດໄພຂອງທ່ານ.
ຖ້າເຈົ້າຈັດການເຊີບເວີ ຫຼືຄອມພິວເຕີຜູ້ໃຊ້, ເຈົ້າຄົງເຄີຍຖາມຕົວເອງວ່າ: ຂ້ອຍຈະເຮັດໃຫ້ Windows ປອດໄພພໍທີ່ຈະນອນໄດ້ແນວໃດ? ການແຂງຢູ່ໃນ Windows ມັນບໍ່ແມ່ນການຫຼອກລວງດຽວ, ແຕ່ເປັນຊຸດຂອງການຕັດສິນໃຈແລະການປັບຕົວເພື່ອຫຼຸດຜ່ອນຫນ້າການໂຈມຕີ, ຈໍາກັດການເຂົ້າເຖິງ, ແລະຮັກສາລະບົບພາຍໃຕ້ການຄວບຄຸມ.
ໃນສະພາບແວດລ້ອມຂອງບໍລິສັດ, ເຄື່ອງແມ່ຂ່າຍແມ່ນພື້ນຖານຂອງການດໍາເນີນງານ: ພວກເຂົາເກັບຮັກສາຂໍ້ມູນ, ໃຫ້ບໍລິການ, ແລະເຊື່ອມຕໍ່ອົງປະກອບທຸລະກິດທີ່ສໍາຄັນ; ນັ້ນແມ່ນເຫດຜົນທີ່ພວກເຂົາເປັນເປົ້າຫມາຍຕົ້ນຕໍສໍາລັບຜູ້ໂຈມຕີໃດໆ. ໂດຍການສ້າງຄວາມເຂັ້ມແຂງ Windows ດ້ວຍການປະຕິບັດທີ່ດີທີ່ສຸດແລະພື້ນຖານ, ທ່ານຫຼຸດຜ່ອນຄວາມລົ້ມເຫລວ, ທ່ານຈໍາກັດຄວາມສ່ຽງ ແລະທ່ານປ້ອງກັນບໍ່ໃຫ້ເຫດການຢູ່ໃນຈຸດຫນຶ່ງຈາກການ escalating ກັບສ່ວນທີ່ເຫຼືອຂອງພື້ນຖານໂຄງລ່າງ.
ການແຂງຕົວຢູ່ໃນ Windows ແມ່ນຫຍັງແລະເປັນຫຍັງມັນຈຶ່ງສໍາຄັນ?
Hardening ຫຼື reinforcement ປະກອບດ້ວຍ ຕັ້ງຄ່າ, ເອົາຫຼືຈໍາກັດອົງປະກອບ ຂອງລະບົບປະຕິບັດການ, ການບໍລິການ, ແລະຄໍາຮ້ອງສະຫມັກເພື່ອປິດຈຸດທີ່ມີທ່າແຮງ. Windows ແມ່ນມີຄວາມຫລາກຫລາຍແລະເຂົ້າກັນໄດ້, ແມ່ນແລ້ວ, ແຕ່ວ່າ "ມັນເຮັດວຽກເກືອບທຸກຢ່າງ" ຫມາຍຄວາມວ່າມັນມາພ້ອມກັບຫນ້າທີ່ເປີດທີ່ທ່ານບໍ່ຕ້ອງການສະເຫມີ.
ຟັງຊັນ, ພອດ, ຫຼືໂປຣໂຕຄອນທີ່ບໍ່ຈໍາເປັນຫຼາຍທີ່ທ່ານສືບຕໍ່ເຄື່ອນໄຫວ, ຄວາມອ່ອນແອຂອງເຈົ້າຍິ່ງໃຫຍ່ຂຶ້ນ. ເປົ້າຫມາຍຂອງການແຂງແມ່ນ ຫຼຸດຜ່ອນດ້ານການໂຈມຕີຈໍາກັດສິດທິພິເສດແລະປະໄວ້ພຽງແຕ່ສິ່ງທີ່ຈໍາເປັນ, ມີ patches ທີ່ທັນສະໄຫມ, ການກວດສອບຢ່າງຫ້າວຫັນ, ແລະນະໂຍບາຍທີ່ຈະແຈ້ງ.
ວິທີການນີ້ບໍ່ສະເພາະກັບ Windows; ມັນໃຊ້ກັບລະບົບທີ່ທັນສະໄຫມໃດໆ: ມັນໄດ້ຖືກຕິດຕັ້ງພ້ອມທີ່ຈະຈັດການກັບສະຖານະການທີ່ແຕກຕ່າງກັນຫຼາຍພັນ. ນັ້ນແມ່ນເຫດຜົນທີ່ວ່າມັນສົມຄວນ ປິດສິ່ງທີ່ທ່ານບໍ່ໄດ້ໃຊ້.ເພາະວ່າຖ້າທ່ານບໍ່ໃຊ້ມັນ, ຄົນອື່ນອາດຈະພະຍາຍາມໃຊ້ມັນສໍາລັບທ່ານ.
ພື້ນຖານ ແລະມາດຕະຖານທີ່ສ້າງຕາຕະລາງຫຼັກສູດ
ສໍາລັບການແຂງຢູ່ໃນ Windows, ມີ benchmarks ເຊັ່ນ: CIS (ສູນຄວາມປອດໄພທາງອິນເຕີເນັດ) ແລະຄໍາແນະນໍາຂອງ DoD STIG, ນອກຈາກ ພື້ນຖານຄວາມປອດໄພຂອງ Microsoft (ພື້ນຖານຄວາມປອດໄພຂອງ Microsoft). ການອ້າງອີງເຫຼົ່ານີ້ກວມເອົາການຕັ້ງຄ່າທີ່ແນະນໍາ, ມູນຄ່ານະໂຍບາຍ, ແລະການຄວບຄຸມສໍາລັບບົດບາດແລະຮຸ່ນທີ່ແຕກຕ່າງກັນຂອງ Windows.
ການໃຊ້ພື້ນຖານໂຄງການເລັ່ງລັດຢ່າງຫຼວງຫຼາຍ: ມັນຫຼຸດຜ່ອນຊ່ອງຫວ່າງລະຫວ່າງການຕັ້ງຄ່າເລີ່ມຕົ້ນແລະການປະຕິບັດທີ່ດີທີ່ສຸດ, ຫຼີກເວັ້ນການ "ຊ່ອງຫວ່າງ" ປົກກະຕິຂອງການປະຕິບັດຢ່າງໄວວາ. ເຖິງແມ່ນວ່າ, ທຸກໆສະພາບແວດລ້ອມແມ່ນເປັນເອກະລັກແລະມັນແນະນໍາໃຫ້ ທົດສອບການປ່ຽນແປງ ກ່ອນທີ່ຈະເອົາພວກມັນເຂົ້າໄປໃນການຜະລິດ.
Windows Hardening ຂັ້ນຕອນທີ
ການກະກຽມແລະຄວາມປອດໄພທາງດ້ານຮ່າງກາຍ
ການແຂງຕົວໃນ Windows ເລີ່ມຕົ້ນກ່ອນທີ່ຈະຕິດຕັ້ງລະບົບ. ຮັກສາ ກ ສິນຄ້າຄົງຄັງຂອງເຄື່ອງແມ່ຂ່າຍທີ່ສົມບູນແຍກອັນໃໝ່ອອກຈາກການຈະລາຈອນຈົນກວ່າພວກມັນແຂງຕົວ, ປົກປ້ອງ BIOS/UEFI ດ້ວຍລະຫັດຜ່ານ, ປິດໃຊ້ງານ boot ຈາກສື່ພາຍນອກ ແລະປ້ອງກັນບໍ່ໃຫ້ autologon ໃນ consoles ການຟື້ນຕົວ.
ຖ້າທ່ານໃຊ້ຮາດແວຂອງທ່ານເອງ, ວາງອຸປະກອນຢູ່ໃນສະຖານທີ່ ການຄວບຄຸມການເຂົ້າເຖິງທາງດ້ານຮ່າງກາຍອຸນຫະພູມທີ່ເຫມາະສົມແລະການຕິດຕາມແມ່ນຈໍາເປັນ. ການຈໍາກັດການເຂົ້າເຖິງທາງດ້ານຮ່າງກາຍແມ່ນມີຄວາມສໍາຄັນເທົ່າກັບການເຂົ້າເຖິງຢ່າງມີເຫດຜົນ, ເພາະວ່າການເປີດ chassis ຫຼື booting ຈາກ USB ສາມາດປະນີປະນອມທຸກສິ່ງທຸກຢ່າງ.
ນະໂຍບາຍບັນຊີ, ຂໍ້ມູນປະຈໍາຕົວ, ແລະລະຫັດຜ່ານ
ເລີ່ມຕົ້ນໂດຍການກໍາຈັດຈຸດອ່ອນທີ່ຊັດເຈນ: ປິດການໃຊ້ງານບັນຊີແຂກແລະ, ບ່ອນທີ່ເປັນໄປໄດ້, ປິດໃຊ້ງານ ຫຼືປ່ຽນຊື່ຜູ້ເບິ່ງແຍງລະບົບທ້ອງຖິ່ນສ້າງບັນຊີບໍລິຫານດ້ວຍຊື່ທີ່ບໍ່ແມ່ນເລື່ອງເລັກໆນ້ອຍໆ (ສອບຖາມ ວິທີການສ້າງບັນຊີທ້ອງຖິ່ນໃນ Windows 11 ອອບໄລນ໌) ແລະນໍາໃຊ້ບັນຊີທີ່ບໍ່ມີສິດທິພິເສດສໍາລັບວຽກງານປະຈໍາວັນ, ຍົກສູງສິດທິພິເສດໂດຍຜ່ານ "ດໍາເນີນການເປັນ" ພຽງແຕ່ໃນເວລາທີ່ຈໍາເປັນ.
ປັບປຸງນະໂຍບາຍລະຫັດຜ່ານຂອງທ່ານ: ຮັບປະກັນຄວາມຊັບຊ້ອນ ແລະຄວາມຍາວທີ່ເຫມາະສົມ. ໝົດອາຍຸແຕ່ລະໄລຍະປະຫວັດເພື່ອປ້ອງກັນການໃຊ້ຄືນໃຫມ່ແລະການປິດບັນຊີຫຼັງຈາກຄວາມພະຍາຍາມທີ່ລົ້ມເຫລວ. ຖ້າທ່ານຈັດການຫຼາຍໆທີມ, ພິຈາລະນາວິທີແກ້ໄຂເຊັ່ນ LAPS ເພື່ອຫມຸນຂໍ້ມູນປະຈໍາທ້ອງຖິ່ນ; ສິ່ງທີ່ສໍາຄັນແມ່ນ ຫຼີກເວັ້ນຂໍ້ມູນປະຈໍາຕົວແບບຄົງທີ່ ແລະງ່າຍທີ່ຈະເດົາ.
ກວດສອບການເປັນສະມາຊິກກຸ່ມ (ຜູ້ເບິ່ງແຍງລະບົບ, ຜູ້ໃຊ້ເດັສທັອບທາງໄກ, ຜູ້ໃຫ້ບໍລິການສຳຮອງ, ແລະອື່ນໆ) ແລະລຶບສິ່ງທີ່ບໍ່ຈຳເປັນອອກ. ຫຼັກການຂອງ ສິດທິພິເສດຫນ້ອຍ ມັນເປັນພັນທະມິດທີ່ດີທີ່ສຸດຂອງທ່ານສໍາລັບການຈໍາກັດການເຄື່ອນໄຫວຂ້າງຄຽງ.
ເຄືອຂ່າຍ, DNS ແລະເວລາ synchronization (NTP)
ເຊີບເວີການຜະລິດຕ້ອງມີ IP ຄົງທີ່, ຕັ້ງຢູ່ໃນສ່ວນທີ່ຖືກປ້ອງກັນຢູ່ຫລັງໄຟວໍ (ແລະຮູ້ ວິທີການສະກັດການເຊື່ອມຕໍ່ເຄືອຂ່າຍທີ່ຫນ້າສົງໄສຈາກ CMD (ເມື່ອມີຄວາມຈໍາເປັນ), ແລະມີສອງເຄື່ອງແມ່ຂ່າຍ DNS ກໍານົດສໍາລັບການຊ້ໍາຊ້ອນ. ກວດສອບວ່າບັນທຶກ A ແລະ PTR ມີຢູ່; ຈື່ໄວ້ວ່າການຂະຫຍາຍພັນ DNS ... ມັນອາດຈະໃຊ້ເວລາ ແລະມັນສົມຄວນທີ່ຈະວາງແຜນ.
ຕັ້ງຄ່າ NTP: ການບ່ຽງເບນຂອງພຽງແຕ່ນາທີຈະທໍາລາຍ Kerberos ແລະເຮັດໃຫ້ເກີດຄວາມຜິດພາດໃນການກວດສອບທີ່ຫາຍາກ. ກໍານົດໂມງຈັບເວລາທີ່ເຊື່ອຖືໄດ້ແລະ synchronize ມັນ. ເຮືອທັງຫມົດ ຕ້ານມັນ. ຖ້າຫາກວ່າທ່ານບໍ່ຈໍາເປັນຕ້ອງ, ປິດການທໍາງານຂອງອະນຸສັນຍາແບບເກົ່າເຊັ່ນ NetBIOS ຜ່ານ TCP/IP ຫຼື LMHosts ຊອກຫາສໍາລັບການ ຫຼຸດຜ່ອນສິ່ງລົບກວນ ແລະງານວາງສະແດງ.
ພາລະບົດບາດ, ຄຸນສົມບັດ ແລະການບໍລິການ: ຫນ້ອຍແມ່ນຫຼາຍ
ຕິດຕັ້ງພຽງແຕ່ບົດບາດແລະຄຸນສົມບັດທີ່ທ່ານຕ້ອງການສໍາລັບຈຸດປະສົງຂອງເຄື່ອງແມ່ຂ່າຍ (IIS, .NET ໃນສະບັບທີ່ຕ້ອງການຂອງມັນ, ແລະອື່ນໆ). ແຕ່ລະຊຸດພິເສດແມ່ນ ດ້ານເພີ່ມເຕີມ ສໍາລັບຈຸດອ່ອນ ແລະການຕັ້ງຄ່າ. ຖອນການຕິດຕັ້ງຄ່າເລີ່ມຕົ້ນ ຫຼືແອັບພລິເຄຊັນເພີ່ມເຕີມທີ່ຈະບໍ່ຖືກໃຊ້ (ເບິ່ງ Winaero Tweaker: ການປັບຕົວທີ່ເປັນປະໂຫຍດແລະປອດໄພ).
ການທົບທວນຄືນການບໍລິການ: ທີ່ຈໍາເປັນ, ອັດຕະໂນມັດ; ຜູ້ທີ່ຂຶ້ນກັບຄົນອື່ນ, ໃນ ອັດຕະໂນມັດ (ການເລີ່ມຕົ້ນຊັກຊ້າ) ຫຼືມີການເພິ່ງພາອາໄສທີ່ຖືກກໍານົດໄວ້ດີ; ສິ່ງໃດກໍ່ຕາມທີ່ບໍ່ເພີ່ມມູນຄ່າ, ປິດການໃຊ້ງານ. ແລະສໍາລັບການບໍລິການຄໍາຮ້ອງສະຫມັກ, ການນໍາໃຊ້ ບັນຊີການບໍລິການສະເພາະ ດ້ວຍການອະນຸຍາດຫນ້ອຍທີ່ສຸດ, ບໍ່ແມ່ນລະບົບທ້ອງຖິ່ນຖ້າທ່ານສາມາດຫລີກລ້ຽງມັນໄດ້.
Firewall ແລະການຫຼຸດຜ່ອນການຮັບແສງ
ກົດລະບຽບທົ່ວໄປ: ບລັອກໂດຍຄ່າເລີ່ມຕົ້ນແລະເປີດພຽງແຕ່ສິ່ງທີ່ຈໍາເປັນ. ຖ້າມັນເປັນເຄື່ອງແມ່ຂ່າຍເວັບໄຊຕ໌, ເປີດເຜີຍ HTTP / HTTPS ແລະນັ້ນແມ່ນມັນ; ການບໍລິຫານ (RDP, WinRM, SSH) ຄວນເຮັດຜ່ານ VPN ແລະ, ຖ້າເປັນໄປໄດ້, ຖືກຈໍາກັດໂດຍທີ່ຢູ່ IP. Windows firewall ສະຫນອງການຄວບຄຸມທີ່ດີໂດຍຜ່ານໂປຣໄຟລ໌ (ໂດເມນ, ເອກະຊົນ, ສາທາລະນະ) ແລະກົດລະບຽບ granular.
Firewall perimeter ທີ່ອຸທິດຕົນແມ່ນສະເຫມີບວກ, ເພາະວ່າມັນ offloads server ແລະເພີ່ມ ຕົວເລືອກຂັ້ນສູງ (ການກວດກາ, IPS, ການແບ່ງສ່ວນ). ໃນກໍລະນີໃດກໍ່ຕາມ, ວິທີການແມ່ນຄືກັນ: ທ່າເຮືອເປີດຫນ້ອຍລົງ, ດ້ານການໂຈມຕີທີ່ໃຊ້ໄດ້ຫນ້ອຍ.
ການເຂົ້າເຖິງໄລຍະໄກ ແລະໂປຣໂຕຄໍທີ່ບໍ່ປອດໄພ
RDP ພຽງແຕ່ຖ້າມີຄວາມຈໍາເປັນຢ່າງແທ້ຈິງ, ກັບ NLA, ການເຂົ້າລະຫັດສູງMFA ຖ້າເປັນໄປໄດ້, ແລະຈໍາກັດການເຂົ້າເຖິງກຸ່ມແລະເຄືອຂ່າຍສະເພາະ. ຫຼີກເວັ້ນການ telnet ແລະ FTP; ຖ້າທ່ານຕ້ອງການໂອນຍ້າຍ, ໃຊ້ SFTP/SSH, ແລະດີກວ່າ, ຈາກ VPNPowerShell Remoting ແລະ SSH ຕ້ອງໄດ້ຮັບການຄວບຄຸມ: ຈໍາກັດວ່າໃຜສາມາດເຂົ້າເຖິງພວກມັນໄດ້ແລະຈາກບ່ອນໃດ. ເປັນທາງເລືອກທີ່ປອດໄພສໍາລັບການຄວບຄຸມໄລຍະໄກ, ຮຽນຮູ້ວິທີການ ເປີດໃຊ້ ແລະຕັ້ງຄ່າ Chrome Remote Desktop ໃນ Windows.
ຖ້າທ່ານບໍ່ຕ້ອງການມັນ, ປິດການບໍລິການການລົງທະບຽນທາງໄກ. ທົບທວນແລະຕັນ NullSessionPipes y NullSessionShares ເພື່ອປ້ອງກັນການເຂົ້າເຖິງຊັບພະຍາກອນທີ່ບໍ່ເປີດເຜີຍຊື່. ແລະຖ້າ IPv6 ບໍ່ໄດ້ຖືກນໍາໃຊ້ໃນກໍລະນີຂອງທ່ານ, ພິຈາລະນາປິດການໃຊ້ງານມັນຫຼັງຈາກປະເມີນຜົນກະທົບ.
ການແກ້ໄຂ, ການປັບປຸງ, ແລະການຄວບຄຸມການປ່ຽນແປງ
ຮັກສາ Windows ໃຫ້ທັນສະໄຫມດ້ວຍ ການຮັກສາຄວາມປອດໄພ ການທົດສອບປະຈໍາວັນໃນສະພາບແວດລ້ອມທີ່ຄວບຄຸມກ່ອນທີ່ຈະຍ້າຍໄປການຜະລິດ. WSUS ຫຼື SCCM ແມ່ນພັນທະມິດສໍາລັບການຄຸ້ມຄອງວົງຈອນ patch. ຢ່າລືມຊອບແວພາກສ່ວນທີສາມ, ເຊິ່ງມັກຈະເປັນການເຊື່ອມຕໍ່ທີ່ອ່ອນແອ: ກໍານົດເວລາການປັບປຸງແລະແກ້ໄຂຈຸດອ່ອນຢ່າງໄວວາ.
ໄດ້ ຄົນຂັບລົດ ໄດເວີຍັງມີບົດບາດໃນການເຮັດໃຫ້ Windows ແຂງ: ໄດເວີອຸປະກອນທີ່ລ້າສະໄຫມສາມາດເຮັດໃຫ້ເກີດອຸປະຕິເຫດແລະຊ່ອງໂຫວ່. ສ້າງຂະບວນການອັບເດດໄດເວີປົກກະຕິ, ບຸລິມະສິດຄວາມໝັ້ນຄົງ ແລະຄວາມປອດໄພຫຼາຍກວ່າຄຸນສົມບັດໃໝ່.
ບັນທຶກເຫດການ, ການກວດສອບ, ແລະການຕິດຕາມ
ຕັ້ງຄ່າການກວດສອບຄວາມປອດໄພ ແລະເພີ່ມຂະໜາດບັນທຶກເພື່ອບໍ່ໃຫ້ມັນຫມຸນທຸກໆສອງມື້. ຈັດຕັ້ງສູນກາງເຫດການຢູ່ໃນຜູ້ຊົມຂອງບໍລິສັດຫຼື SIEM, ເພາະວ່າການທົບທວນຄືນແຕ່ລະເຄື່ອງແມ່ຂ່າຍສ່ວນບຸກຄົນກາຍເປັນສິ່ງທີ່ບໍ່ມີປະໂຫຍດເມື່ອລະບົບຂອງທ່ານເຕີບໃຫຍ່. ຕິດຕາມຢ່າງຕໍ່ເນື່ອງ ດ້ວຍພື້ນຖານການປະຕິບັດແລະລະດັບເຕືອນ, ຫຼີກເວັ້ນການ "ຍິງ blindly".
ເທັກໂນໂລຍີການຕິດຕາມກວດກາຄວາມສົມບູນຂອງໄຟລ໌ (FIM) ແລະການຕິດຕາມການປ່ຽນແປງການຕັ້ງຄ່າຊ່ວຍກວດຫາການບ່ຽງເບນພື້ນຖານ. ເຄື່ອງມືເຊັ່ນ: Netwrix Change Tracker ພວກເຂົາເຮັດໃຫ້ມັນງ່າຍຕໍ່ການກວດສອບແລະອະທິບາຍສິ່ງທີ່ມີການປ່ຽນແປງ, ໃຜແລະເວລາໃດ, ເລັ່ງການຕອບສະຫນອງແລະຊ່ວຍໃນການປະຕິບັດຕາມ (NIST, PCI DSS, CMMC, STIG, NERC CIP).
ການເຂົ້າລະຫັດຂໍ້ມູນໃນເວລາພັກຜ່ອນ ແລະໃນການຂົນສົ່ງ
ສໍາລັບເຄື່ອງແມ່ຂ່າຍ, Bitlocker ມັນເປັນຄວາມຕ້ອງການພື້ນຖານຢູ່ແລ້ວໃນການຂັບລົດທັງຫມົດທີ່ມີຂໍ້ມູນລະອຽດອ່ອນ. ຖ້າທ່ານຕ້ອງການ granular ລະດັບໄຟລ໌, ໃຊ້ ... EFSລະຫວ່າງເຄື່ອງແມ່ຂ່າຍ, IPsec ອະນຸຍາດໃຫ້ການຈະລາຈອນຖືກເຂົ້າລະຫັດເພື່ອຮັກສາຄວາມລັບແລະຄວາມຊື່ສັດ, ບາງສິ່ງບາງຢ່າງທີ່ສໍາຄັນໃນ ເຄືອຂ່າຍແບ່ງສ່ວນ ຫຼືມີຂັ້ນຕອນທີ່ເຊື່ອຖືໄດ້ຫນ້ອຍ. ນີ້ແມ່ນສິ່ງສໍາຄັນໃນເວລາທີ່ປຶກສາຫາລືກ່ຽວກັບການແຂງຢູ່ໃນ Windows.
ການຄຸ້ມຄອງການເຂົ້າເຖິງແລະນະໂຍບາຍທີ່ສໍາຄັນ
ນຳໃຊ້ຫຼັກການສິດທິພິເສດໜ້ອຍທີ່ສຸດຕໍ່ກັບຜູ້ໃຊ້ ແລະການບໍລິການ. ຫຼີກເວັ້ນການເກັບຮັກສາ hashes ຂອງ ຜູ້ຈັດການ LAN ແລະປິດການໃຊ້ງານ NTLMv1 ຍົກເວັ້ນການຂຶ້ນກັບແບບເກົ່າ. ກຳນົດຄ່າປະເພດການເຂົ້າລະຫັດ Kerberos ທີ່ໄດ້ຮັບອະນຸຍາດ ແລະຫຼຸດຜ່ອນການແບ່ງປັນໄຟລ໌ ແລະເຄື່ອງພິມບ່ອນທີ່ມັນບໍ່ຈຳເປັນ.
ວາລາລາ ຈຳກັດ ຫຼືບລັອກສື່ທີ່ຖອດອອກໄດ້ (USB) ເພື່ອຈໍາກັດການສະກັດເອົາ malware ຫຼືການເຂົ້າມາ. ມັນສະແດງແຈ້ງການທາງດ້ານກົດຫມາຍກ່ອນທີ່ຈະເຂົ້າສູ່ລະບົບ ("ການນໍາໃຊ້ທີ່ບໍ່ໄດ້ຮັບອະນຸຍາດຫ້າມ"), ແລະຮຽກຮ້ອງໃຫ້ມີ Ctrl + Alt + Del ແລະມັນຢຸດເຊດຊັນທີ່ບໍ່ເຄື່ອນໄຫວໂດຍອັດຕະໂນມັດ. ເຫຼົ່ານີ້ແມ່ນມາດຕະການທີ່ງ່າຍດາຍທີ່ເພີ່ມຄວາມຕ້ານທານຂອງຜູ້ໂຈມຕີ.
ເຄື່ອງມືແລະອັດຕະໂນມັດທີ່ຈະໄດ້ຮັບ traction
ເພື່ອນຳໃຊ້ເສັ້ນພື້ນຖານເປັນຊຸດ, ໃຫ້ໃຊ້ GPO ແລະພື້ນຖານຄວາມປອດໄພຂອງ Microsoft. ຄູ່ມື CIS, ພ້ອມກັບເຄື່ອງມືການປະເມີນ, ຊ່ວຍວັດແທກຊ່ອງຫວ່າງລະຫວ່າງສະຖານະປັດຈຸບັນຂອງທ່ານແລະເປົ້າຫມາຍ. ບ່ອນທີ່ຂະຫນາດຕ້ອງການມັນ, ວິທີແກ້ໄຂເຊັ່ນ: CalCom Hardening Suite (CHS) ພວກເຂົາເຈົ້າຊ່ວຍຮຽນຮູ້ກ່ຽວກັບສິ່ງແວດລ້ອມ, ຄາດຄະເນຜົນກະທົບ, ແລະການນໍາໃຊ້ນະໂຍບາຍເປັນສູນກາງ, ການຮັກສາຄວາມແຂງກະດ້າງໃນໄລຍະ.
ໃນລະບົບລູກຄ້າ, ມີສິ່ງອໍານວຍຄວາມສະດວກທີ່ບໍ່ເສຍຄ່າທີ່ງ່າຍດາຍ "ການແຂງ" ທີ່ຈໍາເປັນ. Syshardener ມັນສະຫນອງການຕັ້ງຄ່າການບໍລິການ, firewall ແລະຊອບແວທົ່ວໄປ; ເຄື່ອງແຂງ ປິດການທໍາງານທີ່ອາດຈະຖືກຂູດຮີດ (macros, ActiveX, Windows Script Host, PowerShell/ISE ຕໍ່ຕົວທ່ອງເວັບ); ແລະ Hard_Configurator ມັນອະນຸຍາດໃຫ້ທ່ານສາມາດຫຼິ້ນກັບ SRP, whitelists ໂດຍເສັ້ນທາງຫຼື hash, SmartScreen ໃນໄຟລ໌ທ້ອງຖິ່ນ, ການຂັດຂວາງແຫຼ່ງທີ່ບໍ່ຫນ້າເຊື່ອຖືແລະການປະຕິບັດອັດຕະໂນມັດໃນ USB / DVD.
Firewall ແລະການເຂົ້າເຖິງ: ກົດລະບຽບການປະຕິບັດທີ່ເຮັດວຽກ
ເປີດໃຊ້ Windows firewall ສະເໝີ, ກຳນົດຄ່າທັງສາມໂປຣໄຟລ໌ດ້ວຍການປິດກັ້ນຂາເຂົ້າຕາມຄ່າເລີ່ມຕົ້ນ, ແລະເປີດ ພຽງແຕ່ພອດທີ່ສໍາຄັນ ກັບການບໍລິການ (ມີຂອບເຂດ IP ຖ້າມີ). ການບໍລິຫານທາງໄກແມ່ນເຮັດໄດ້ດີທີ່ສຸດຜ່ານ VPN ແລະມີການເຂົ້າເຖິງທີ່ຈໍາກັດ. ກວດເບິ່ງກົດລະບຽບເກົ່າແລະປິດການໃຊ້ງານໃດໆທີ່ບໍ່ຈໍາເປັນ.
ຢ່າລືມວ່າການແຂງຢູ່ໃນ Windows ບໍ່ແມ່ນຮູບພາບຄົງທີ່: ມັນເປັນຂະບວນການເຄື່ອນໄຫວ. ເອກະສານພື້ນຖານຂອງທ່ານ. ຕິດຕາມກວດກາ deviationsທົບທວນຄືນການປ່ຽນແປງຫຼັງຈາກແຕ່ລະ patch ແລະປັບມາດຕະການເພື່ອປະຕິບັດຫນ້າຕົວຈິງຂອງອຸປະກອນ. ລະບຽບວິໄນທາງດ້ານເຕັກນິກເລັກນ້ອຍ, ການສໍາພັດຂອງອັດຕະໂນມັດ, ແລະການປະເມີນຄວາມສ່ຽງທີ່ຊັດເຈນເຮັດໃຫ້ Windows ເປັນລະບົບທີ່ຍາກກວ່າທີ່ຈະທໍາລາຍໂດຍບໍ່ມີການເສຍສະລະ versatility ຂອງມັນ.
ບັນນາທິການຊ່ຽວຊານໃນບັນຫາເຕັກໂນໂລຢີແລະອິນເຕີເນັດທີ່ມີປະສົບການຫຼາຍກວ່າສິບປີໃນສື່ດິຈິຕອນທີ່ແຕກຕ່າງກັນ. ຂ້າພະເຈົ້າໄດ້ເຮັດວຽກເປັນບັນນາທິການແລະຜູ້ສ້າງເນື້ອຫາສໍາລັບ e-commerce, ການສື່ສານ, ການຕະຫຼາດອອນໄລນ໌ແລະບໍລິສັດໂຄສະນາ. ຂ້າພະເຈົ້າຍັງໄດ້ຂຽນກ່ຽວກັບເສດຖະກິດ, ການເງິນແລະເວັບໄຊທ໌ຂອງຂະແຫນງການອື່ນໆ. ການເຮັດວຽກຂອງຂ້ອຍຍັງເປັນ passion ຂອງຂ້ອຍ. ໃນປັດຈຸບັນ, ໂດຍຜ່ານບົດຄວາມຂອງຂ້າພະເຈົ້າໃນ Tecnobits, ຂ້າພະເຈົ້າພະຍາຍາມຄົ້ນຫາຂ່າວທັງຫມົດແລະໂອກາດໃຫມ່ທີ່ໂລກຂອງເຕັກໂນໂລຢີສະເຫນີໃຫ້ພວກເຮົາທຸກໆມື້ເພື່ອປັບປຸງຊີວິດຂອງພວກເຮົາ.