Kas yra apsaugos nuo sukietėjimo funkcija sistemoje „Windows“ ir kaip ją pritaikyti nebūnant sistemos administratoriumi

Jei tvarkote serverius ar vartotojų kompiuterius, tikriausiai uždavėte sau šį klausimą: kaip padaryti „Windows“ pakankamai saugią, kad ji ramiai miegotų? grūdinimas sistemoje „Windows“ Tai ne vienkartinis triukas, o sprendimų ir koregavimų rinkinys, skirtas sumažinti atakos paviršių, apriboti prieigą ir išlaikyti sistemą kontroliuojamą.

Įmonių aplinkoje serveriai yra operacijų pagrindas: jie saugo duomenis, teikia paslaugas ir jungia svarbiausius verslo komponentus; todėl jie yra toks pagrindinis bet kurio užpuoliko taikinys. Stiprindami „Windows“ geriausios praktikos pavyzdžiais ir baziniais standartais, Jūs sumažinate nesėkmes, ribojate riziką ir jūs užkertate kelią incidento išplitimui į likusią infrastruktūros dalį.

Kas yra grūdinimas sistemoje „Windows“ ir kodėl jis toks svarbus?

Grūdinimas arba sutvirtinimas susideda iš konfigūruoti, pašalinti arba apriboti komponentus operacinės sistemos, paslaugų ir programų, kad būtų uždaryti galimi patekimo taškai. „Windows“ yra universali ir suderinama, taip, bet tas požiūris „ji veikia beveik su viskuo“ reiškia, kad ji turi atvirų funkcijų, kurių ne visada reikia.

Kuo daugiau nereikalingų funkcijų, prievadų ar protokolų palaikote aktyvius, tuo didesnis jūsų pažeidžiamumas. Apsaugos stiprinimo tikslas yra sumažinti atakos paviršiųApribokite privilegijas ir palikite tik tai, kas būtina, naudodami naujausius pataisymus, aktyvų auditą ir aiškias politikas.

Šis metodas būdingas ne tik „Windows“; jis taikomas bet kuriai šiuolaikinei sistemai: jis įdiegtas paruoštas tvarkyti tūkstantį skirtingų scenarijų. Štai kodėl tai patartina. Uždarykite tai, ko nenaudojate.Nes jei pats tuo nepasinaudosi, kažkas kitas gali pabandyti tuo pasinaudoti už tave.

Baziniai standartai ir standartai, kurie apibrėžia kursą

Griežtinimui sistemoje „Windows“ yra tokių etalonų kaip CIS (Interneto saugumo centras) ir Gynybos departamento STIG gaires, be to, „Microsoft“ saugos baziniai planai („Microsoft“ saugos baziniai standartai). Šiose nuorodose pateikiamos rekomenduojamos konfigūracijos, politikos reikšmės ir valdikliai, skirti skirtingiems vaidmenims ir „Windows“ versijoms.

Bazinės konfigūracijos taikymas labai pagreitina projektą: sumažina skirtumus tarp numatytosios konfigūracijos ir geriausios praktikos, išvengiant greitam diegimui būdingų „spragų“. Nepaisant to, kiekviena aplinka yra unikali ir patartina išbandyti pakeitimus prieš pradedant juos gaminti.

„Windows“ grūdinimas žingsnis po žingsnio

Pasiruošimas ir fizinis saugumas

„Windows“ sistemos grūdinimas prasideda prieš diegiant sistemą. pilnas serverio inventoriusIzoliuokite naujus nuo srauto, kol jie bus sukietėję, apsaugokite BIOS/UEFI slaptažodžiu, išjunkite paleisti iš išorinės laikmenos ir neleidžia automatiškai prisijungti atkūrimo konsolėse.

Jei naudojate savo įrangą, pastatykite ją tokiose vietose, kur fizinės prieigos kontrolėTinkama temperatūra ir stebėjimas yra būtini. Fizinės prieigos ribojimas yra toks pat svarbus kaip ir loginės prieigos ribojimas, nes atidarant korpusą arba paleidžiant iš USB, galima viską sugadinti.

Paskyrų, prisijungimo duomenų ir slaptažodžių politika

Pradėkite nuo akivaizdžių trūkumų pašalinimo: išjunkite svečio paskyrą ir, jei įmanoma, išjungia arba pervadina vietinį administratoriųSukurkite administratoriaus paskyrą su ne trivialiu pavadinimu (užklausa Kaip sukurti vietinę paskyrą sistemoje „Windows 11“ neprisijungus) ir kasdienėms užduotims naudoja neprivilegijuotas paskyras, didindamas teises per „Vykdyti kaip“ tik tada, kai to reikia.

Sustiprinkite savo slaptažodžių politiką: užtikrinkite tinkamą sudėtingumą ir ilgį. periodinis galiojimo laikasIstorija, siekiant išvengti pakartotinio naudojimo ir paskyros blokavimo po nepavykusių bandymų. Jei vadovaujate daugeliui komandų, apsvarstykite tokius sprendimus kaip LAPS, kad galėtumėte keisti vietinius prisijungimo duomenis; svarbiausia yra tai, kad venkite statinių prisijungimo duomenų ir lengva atspėti.

 

Peržiūrėkite grupių narystę (administratoriai, nuotolinio darbalaukio naudotojai, atsarginių kopijų operatoriai ir kt.) ir pašalinkite visus nereikalingus. Principas mažesnė privilegija Tai geriausias jūsų sąjungininkas ribojant šoninius judesius.

Tinklo, DNS ir laiko sinchronizavimas (NTP)

Gamybos serveryje turi būti Statinis IP, būti segmentuose, apsaugotuose už ugniasienės (ir žinoti Kaip blokuoti įtartinus tinklo ryšius iš CMD (kai reikia) ir apibrėžkite du DNS serverius, kad būtų galima pertekliškai atkurti duomenis. Patikrinkite, ar egzistuoja A ir PTR įrašai; nepamirškite, kad DNS sklidimas... tai gali užtrukti Ir patartina planuoti.

NTP konfigūravimas: vos kelių minučių nuokrypis sutrikdo „Kerberos“ protokolą ir sukelia retus autentifikavimo gedimus. Apibrėžkite patikimą laikmatį ir jį sinchronizuokite. visas laivynas prieš jį. Jei nereikia, išjunkite senesnius protokolus, pvz., „NetBIOS“ per TCP/IP arba „LMHosts“ paiešką. Sumažinti triukšmą ir paroda.

Vaidmenys, funkcijos ir paslaugos: mažiau yra daugiau

Įdiekite tik tuos vaidmenis ir funkcijas, kurių jums reikia serverio tikslams (IIS, .NET reikiamoje versijoje ir kt.). Kiekvienas papildomas paketas yra papildomas paviršius dėl pažeidžiamumų ir konfigūracijos. Pašalinkite numatytąsias arba papildomas programas, kurios nebus naudojamos (žr. „Winaero Tweaker“: naudingi ir saugūs nustatymai).

Peržiūrėkite paslaugas: būtinas – automatiškai; tas, kurios priklauso nuo kitų – Automatinis (atidėtas paleidimas) arba su aiškiai apibrėžtomis priklausomybėmis; viskas, kas neprideda vertės, išjungiama. O programų paslaugoms naudokite konkrečios paslaugų paskyros su minimaliais leidimais, o ne vietine sistema, jei galite to išvengti.

Ugniasienė ir poveikio mažinimas

Bendroji taisyklė: blokuoti pagal numatytuosius nustatymus ir atidaryti tik tai, kas būtina. Jei tai žiniatinklio serveris, atskleisti HTTP / HTTPS Ir viskas; administravimas (RDP, „WinRM“, SSH) turėtų būti atliekamas per VPN ir, jei įmanoma, apribojamas pagal IP adresą. „Windows“ užkarda siūlo gerą kontrolę per profilius (domenas, privatus, viešas) ir detalias taisykles.

Speciali perimetro užkarda visada yra privalumas, nes ji sumažina serverio apkrovą ir prideda išplėstinės parinktys (apžiūra, IPS, segmentavimas). Bet kuriuo atveju metodas tas pats: mažiau atvirų prievadų, mažiau naudojamos atakos paviršiaus.

Nuotolinė prieiga ir nesaugūs protokolai

KPP tik tada, kai tai absoliučiai būtina, su NLA, aukštas šifravimasJei įmanoma, naudokite daugiafaktorinį autentifikavimą (MFA) ir apribokite prieigą tik tam tikroms grupėms ir tinklams. Venkite telnet ir FTP; jei reikia perkelti duomenis, naudokite SFTP/SSH, o dar geriau – iš VPN„PowerShell“ nuotolinis valdymas ir SSH turi būti kontroliuojami: apribokite, kas ir iš kur gali prie jų prisijungti. Kaip saugią nuotolinio valdymo alternatyvą, sužinokite, kaip tai padaryti. „Chrome“ nuotolinio darbalaukio aktyvinimas ir konfigūravimas sistemoje „Windows“.

Jei jums to nereikia, išjunkite nuotolinės registracijos paslaugą. Peržiūrėkite ir užblokuokite. NullSessionPipes y NullSessionShares kad būtų išvengta anoniminės prieigos prie išteklių. O jei jūsų atveju nenaudojamas IPv6, įvertinę poveikį, apsvarstykite galimybę jį išjungti.

Pataisų diegimas, atnaujinimai ir pakeitimų valdymas

Nuolat atnaujinkite „Windows“ naudodami saugumo pleistrai Kasdienis testavimas kontroliuojamoje aplinkoje prieš pereinant prie gamybos etapo. WSUS arba SCCM yra sąjungininkai, padedantys valdyti pataisų ciklą. Nepamirškite trečiųjų šalių programinės įrangos, kuri dažnai yra silpnoji grandis: planuokite atnaujinimus ir greitai pašalinkite pažeidžiamumus.

Los vairuotojai Tvarkyklės taip pat atlieka svarbų vaidmenį apsaugant „Windows“: pasenusios įrenginių tvarkyklės gali sukelti gedimus ir pažeidžiamumus. Nustatykite reguliarų tvarkyklių atnaujinimo procesą, teikdami pirmenybę stabilumui ir saugumui, o ne naujoms funkcijoms.

Įvykių registravimas, auditavimas ir stebėjimas

Konfigūruokite saugumo auditą ir padidinkite žurnalo dydį, kad jie nebūtų keičiami kas dvi dienas. Centralizuokite įvykius įmonės peržiūros programoje arba SIEM, nes augant sistemai, kiekvieno serverio peržiūra atskirai tampa nepraktiška. nuolatinis stebėjimas Naudodami našumo bazinius rodiklius ir įspėjimo slenksčius, venkite „aklo paleidimo“.

Failų vientisumo stebėjimo (FIM) technologijos ir konfigūracijos pakeitimų sekimas padeda aptikti pradinius nukrypimus. Tokios priemonės kaip „Netwrix“ pokyčių sekiklis Jie padeda lengviau aptikti ir paaiškinti, kas pasikeitė, kas ir kada tai padarė, pagreitina reagavimą ir padeda laikytis reikalavimų (NIST, PCI DSS, CMMC, STIG, NERC CIP).

Duomenų šifravimas ramybės būsenoje ir perdavimo metu

Serveriams "BitLocker" Tai jau yra pagrindinis reikalavimas visuose diskuose su jautriais duomenimis. Jei jums reikia failų lygio detalumo, naudokite... EFSTarp serverių IPsec leidžia užšifruoti srautą, kad būtų išsaugotas konfidencialumas ir vientisumas – tai labai svarbu segmentuoti tinklai arba naudojant mažiau patikimus veiksmus. Tai labai svarbu aptariant apsaugos stiprinimą sistemoje „Windows“.

Prieigos valdymas ir svarbios politikos

Taikykite mažiausių privilegijų principą vartotojams ir paslaugoms. Venkite saugoti maišos vertes LAN vadybininkas ir išjunkite NTLMv1, išskyrus senesnes priklausomybes. Konfigūruokite leidžiamus „Kerberos“ šifravimo tipus ir sumažinkite failų bei spausdintuvų bendrinimą ten, kur tai nebūtina.

Vertė Apriboti arba blokuoti išimamą laikmeną (USB) siekiant apriboti kenkėjiškų programų patekimą į sistemą. Prieš prisijungiant rodomas teisinis pranešimas („Draudžiama naudoti neteisėtai“) ir reikalaujama "Ctrl" + "Alt" + Del ir jis automatiškai nutraukia neaktyvius seansus. Tai paprastos priemonės, padidinančios užpuoliko atsparumą.

Įrankiai ir automatizavimas, siekiant įgyti pagreitį

Norėdami taikyti bazines linijas masiškai, naudokite GPO ir „Microsoft“ saugos bazinius rodiklius. CIS vadovai kartu su vertinimo įrankiais padeda įvertinti atotrūkį tarp dabartinės būsenos ir tikslo. Kai to reikalauja mastas, galimi tokie sprendimai kaip „CalCom“ grūdinimo paketas (CHS) Jie padeda mokytis apie aplinką, numatyti poveikį ir centralizuotai taikyti politiką, laikui bėgant išlaikant griežtinimą.

Klientų sistemose yra nemokamų įrankių, kurie supaprastina esminių dalykų „grūdinimą“. Syshardener Jame pateikiami paslaugų, užkardos ir įprastos programinės įrangos nustatymai; Hardentools išjungia potencialiai pažeidžiamas funkcijas (makrokomandas, „ActiveX“, „Windows Script Host“, „PowerShell“ / ISE kiekvienai naršyklei); ir Kietasis_konfigūratorius Tai leidžia žaisti su SRP, baltaisiais sąrašais pagal kelią arba maišos kodą, „SmartScreen“ vietiniuose failuose, blokuoti nepatikimus šaltinius ir automatiškai vykdyti USB/DVD diskuose.

Ugniasienė ir prieiga: praktinės taisyklės, kurios veikia

Visada įjunkite „Windows“ užkardą, pagal numatytuosius nustatymus sukonfigūruokite visus tris profilius su gaunamų laiškų blokavimu ir atidarykite tik kritiniai prievadai prie paslaugos (jei taikoma, nurodant IP adreso taikymo sritį). Nuotolinį administravimą geriausia atlikti per VPN ir apribojus prieigą. Peržiūrėkite senas taisykles ir išjunkite viską, ko nebereikia.

Nepamirškite, kad apsaugos nuo pažeidimų šalinimas sistemoje „Windows“ nėra statinis vaizdas: tai dinamiškas procesas. Dokumentuokite savo pradinius duomenis. stebi nukrypimusPeržiūrėkite pakeitimus po kiekvieno pataisymo ir pritaikykite priemones prie faktinio įrangos funkcionalumo. Truputis techninės drausmės, automatizavimo ir aiškus rizikos vertinimas paverčia „Windows“ sistema daug sunkiau įveikiama neprarandant jos universalumo.