Kas ir sacietēšana operētājsistēmā Windows un kā to pielietot, neesot sistēmas administratoram?

Ja pārvaldāt serverus vai lietotāju datorus, jūs droši vien esat sev uzdevis šo jautājumu: kā padarīt Windows pietiekami drošu, lai tas mierīgi gulētu? sacietēšana operētājsistēmā Windows Tas nav vienreizējs triks, bet gan lēmumu un pielāgojumu kopums, lai samazinātu uzbrukuma virsmu, ierobežotu piekļuvi un saglabātu sistēmas kontroli.

Korporatīvā vidē serveri ir darbības pamats: tie glabā datus, sniedz pakalpojumus un savieno kritiskus biznesa komponentus; tāpēc tie ir tik galvenais mērķis jebkuram uzbrucējam. Stiprinot Windows ar labāko praksi un bāzes līnijām, Jūs samazināt neveiksmes, jūs ierobežojat riskus un jūs novēršat incidenta izplatīšanos uz pārējo infrastruktūru.

Kas ir sacietēšana operētājsistēmā Windows un kāpēc tā ir svarīga?

Rūdīšana vai pastiprināšana sastāv no konfigurēt, noņemt vai ierobežot komponentus operētājsistēmas, pakalpojumu un lietojumprogrammu, lai slēgtu potenciālos piekļuves punktus. Jā, Windows ir daudzpusīga un saderīga, taču šī pieeja "tā darbojas gandrīz ar visu" nozīmē, ka tai ir atvērtas funkcijas, kas ne vienmēr ir nepieciešamas.

Jo vairāk nevajadzīgu funkciju, portu vai protokolu jūs paturat aktīvus, jo lielāka ir jūsu ievainojamība. Pastiprināšanas mērķis ir samazināt uzbrukuma virsmuIerobežojiet privilēģijas un atstājiet tikai to, kas ir nepieciešams, izmantojot atjauninātus ielāpus, aktīvu auditēšanu un skaidras politikas.

Šī pieeja nav raksturīga tikai Windows; tā attiecas uz jebkuru modernu sistēmu: tā ir instalēta gatava rīkoties tūkstoš dažādu scenāriju. Tāpēc tā ir ieteicama. Aizveriet to, ko neizmantojat.Jo, ja tu to neizmantosi, kāds cits varētu mēģināt to izmantot tavā vietā.

Bāzes līnijas un standarti, kas nosaka kursu

Windows sacietēšanai ir tādi kritēriji kā CIS (Interneta drošības centrs) un Aizsardzības ministrijas STIG vadlīnijām, papildus Microsoft drošības bāzes līnijas (Microsoft drošības bāzes līnijas). Šīs atsauces aptver ieteicamās konfigurācijas, politikas vērtības un vadīklas dažādām lomām un Windows versijām.

Bāzes līnijas piemērošana ievērojami paātrina projektu: tā samazina neatbilstības starp noklusējuma konfigurāciju un labāko praksi, izvairoties no "nepilnībām", kas raksturīgas ātrai izvietošanai. Tomēr katra vide ir unikāla, un ieteicams pārbaudiet izmaiņas pirms to nodošanas ražošanā.

Windows sacietēšana soli pa solim

Sagatavošanās un fiziskā drošība

Sistēmas Windows sacietēšana sākas pirms tās instalēšanas. Saglabājiet pilnīga serveru inventarizācijaIzolējiet jaunus failus no datplūsmas, līdz tie ir sacietējuši, aizsargājiet BIOS/UEFI ar paroli, atspējojiet startēšana no ārējiem datu nesējiem un novērš automātisko pieteikšanos atkopšanas konsolēs.

Ja izmantojat savu aparatūru, novietojiet to vietās, kur fiziskās piekļuves kontrolePareiza temperatūra un uzraudzība ir būtiska. Fiziskās piekļuves ierobežošana ir tikpat svarīga kā loģiskās piekļuves ierobežošana, jo korpusa atvēršana vai palaišana no USB var apdraudēt visu.

Kontu, akreditācijas datu un paroļu politika

Sāciet ar acīmredzamu trūkumu novēršanu: atspējojiet viesa kontu un, ja iespējams, atspējo vai pārdēvē lokālo administratoruIzveidojiet administratora kontu ar netriviālu nosaukumu (vaicājums Kā izveidot lokālu kontu operētājsistēmā Windows 11 bezsaistē) un ikdienas uzdevumiem izmanto neprivileģētus kontus, paaugstinot privilēģijas, izmantojot opciju “Palaist kā”, tikai nepieciešamības gadījumā.

Pastipriniet savu paroļu politiku: nodrošiniet atbilstošu sarežģītību un garumu. periodiska derīguma termiņa beigāmVēsture, lai novērstu atkārtotu izmantošanu un konta bloķēšanu pēc neveiksmīgiem mēģinājumiem. Ja vadāt daudzas komandas, apsveriet tādus risinājumus kā LAPS, lai mainītu lokālos akreditācijas datus; svarīgi ir tas, ka izvairieties no statiskām akreditācijas datiem un viegli uzminēt.

 

Pārskatiet grupu dalībniecību (administratori, attālās darbvirsmas lietotāji, dublēšanas operatori utt.) un noņemiet visas nevajadzīgās. Princips mazākas privilēģijas Tas ir jūsu labākais sabiedrotais sānu kustību ierobežošanai.

Tīkla, DNS un laika sinhronizācija (NTP)

Ražošanas serverim ir jābūt Statiskā IP, jāatrodas segmentos, kas ir aizsargāti aiz ugunsmūra (un jāzina Kā bloķēt aizdomīgus tīkla savienojumus no CMD (ja nepieciešams) un redundanci definējiet divus DNS serverus. Pārliecinieties, vai pastāv A un PTR ieraksti; atcerieties, ka DNS izplatīšana... tas var aizņemt Un ieteicams plānot.

Konfigurējiet NTP: tikai dažu minūšu novirze pārtrauc Kerberos protokolu un izraisa retas autentifikācijas kļūmes. Definējiet uzticamu taimeri un sinhronizējiet to. visa flote pret to. Ja tas nav nepieciešams, atspējojiet mantotos protokolus, piemēram, NetBIOS pār TCP/IP vai LMHosts meklēšanu. samazināt troksni un izstāde.

Lomas, funkcijas un pakalpojumi: mazāk ir vairāk

Instalējiet tikai tās lomas un funkcijas, kas nepieciešamas servera vajadzībām (IIS, .NET nepieciešamajā versijā utt.). Katra papildu pakotne ir papildu virsma ievainojamību un konfigurācijas pārbaudei. Atinstalējiet noklusējuma vai papildu lietojumprogrammas, kas netiks izmantotas (skatiet Winaero Tweaker: noderīgi un droši pielāgojumi).

Pārskatiet pakalpojumus: nepieciešamos, automātiski; tos, kas ir atkarīgi no citiem, Automātisks (aizkavēts starts) vai ar precīzi definētām atkarībām; viss, kas nepievieno vērtību, ir atspējots. Un lietojumprogrammu pakalpojumiem izmantojiet konkrēti pakalpojumu konti ar minimālām atļaujām, nevis lokālo sistēmu, ja iespējams, no tā izvairīties.

Ugunsmūris un iedarbības samazināšana

Vispārīgais noteikums: bloķēt pēc noklusējuma un atvērt tikai to, kas nepieciešams. Ja tas ir tīmekļa serveris, atklāt HTTP / HTTPS Un tas arī viss; administrēšana (RDP, WinRM, SSH) jāveic, izmantojot VPN, un, ja iespējams, jāierobežo ar IP adresi. Windows ugunsmūris piedāvā labu kontroli, izmantojot profilus (domēns, privātais, publiskais) un detalizētus noteikumus.

Atsevišķs perimetra ugunsmūris vienmēr ir priekšrocība, jo tas atslogo serveri un pievieno uzlabotas iespējas (pārbaude, IPS, segmentācija). Jebkurā gadījumā pieeja ir tāda pati: mazāk atvērto portu, mazāk izmantojamas uzbrukuma virsmas.

Attālā piekļuve un nedroši protokoli

LAP tikai tad, ja tas ir absolūti nepieciešams, ar NLA, augsta šifrēšanaJa iespējams, izmantojiet MFA un ierobežojiet piekļuvi noteiktām grupām un tīkliem. Izvairieties no telnet un FTP; ja nepieciešama datu pārsūtīšana, izmantojiet SFTP/SSH un vēl labāk. no VPNPowerShell attālinātā piekļuve un SSH ir jākontrolē: ierobežojiet, kas var tiem piekļūt un no kurienes. Kā drošu alternatīvu attālinātajai vadībai uzziniet, kā to izdarīt. Chrome attālā darbvirsmas aktivizēšana un konfigurēšana operētājsistēmā Windows.

Ja tas nav nepieciešams, atspējojiet attālās reģistrācijas pakalpojumu. Pārskatiet un bloķējiet. NullSessionPipes y NullSessionShares lai novērstu anonīmu piekļuvi resursiem. Un, ja jūsu gadījumā netiek izmantots IPv6, apsveriet iespēju to atspējot pēc ietekmes novērtēšanas.

Ielāpošana, atjauninājumi un izmaiņu kontrole

Atjauniniet Windows, izmantojot drošības ielāpi Ikdienas testēšana kontrolētā vidē pirms pāriešanas uz ražošanas vidi. WSUS vai SCCM ir sabiedrotie ielāpu cikla pārvaldībā. Neaizmirstiet par trešo pušu programmatūru, kas bieži vien ir vājais posms: ieplānojiet atjauninājumus un ātri novērsiet ievainojamības.

L vadītājiem Draiveriem ir arī nozīme Windows nostiprināšanā: novecojuši ierīču draiveri var izraisīt avārijas un ievainojamības. Izveidojiet regulāru draiveru atjaunināšanas procesu, prioritāri piešķirot stabilitātei un drošībai, nevis jaunām funkcijām.

Notikumu reģistrēšana, auditēšana un uzraudzība

Konfigurējiet drošības auditu un palieliniet žurnāla lielumu, lai tas nemainītos ik pēc divām dienām. Centralizējiet notikumus korporatīvajā skatītājā vai SIEM, jo katra servera atsevišķa pārskatīšana kļūst nepraktiska, sistēmai augot. nepārtraukta uzraudzība Izmantojot veiktspējas bāzes līnijas un brīdinājuma sliekšņus, izvairieties no "aklas palaišanas".

Failu integritātes uzraudzības (FIM) tehnoloģijas un konfigurācijas izmaiņu izsekošana palīdz noteikt sākotnējās novirzes. Tādi rīki kā Netwrix izmaiņu izsekotājs Tie atvieglo izmaiņu noteikšanu un izskaidrošanu, norādot, kas tās ir mainījis un kad, paātrinot reaģēšanu un palīdzot nodrošināt atbilstību (NIST, PCI DSS, CMMC, STIG, NERC CIP).

Datu šifrēšana miera stāvoklī un pārsūtīšanas laikā

Serveriem, BitLocker Tā jau ir pamatprasība visiem diskdziņiem ar sensitīviem datiem. Ja nepieciešama failu līmeņa granularitāte, izmantojiet... EFSStarp serveriem IPsec ļauj šifrēt datplūsmu, lai saglabātu konfidencialitāti un integritāti, kas ir svarīgi segmentēti tīkli vai ar mazāk uzticamiem soļiem. Tas ir ļoti svarīgi, apspriežot aizsardzības nostiprināšanu operētājsistēmā Windows.

Piekļuves pārvaldība un kritiskās politikas

Piemērojiet lietotājiem un pakalpojumiem mazāko privilēģiju principu. Izvairieties no hešu glabāšanas. LAN pārvaldnieks un atspējojiet NTLMv1, izņemot mantotās atkarības. Konfigurējiet atļautos Kerberos šifrēšanas veidus un samaziniet failu un printeru koplietošanu tur, kur tas nav nepieciešams.

Vērtība Noņemamo datu nesēju (USB) ierobežošana vai bloķēšana lai ierobežotu ļaunprogrammatūras izplatīšanos vai iekļūšanu. Pirms pieteikšanās tas parāda juridisku paziņojumu (“Neatļauta lietošana aizliegta”) un pieprasa Ctrl + Alt + Del un tas automātiski pārtrauc neaktīvās sesijas. Tie ir vienkārši pasākumi, kas palielina uzbrucēja pretestību.

Rīki un automatizācija, lai gūtu panākumus

Lai bāzes līnijas lietotu vairumā, izmantojiet GPO un Microsoft drošības bāzes līnijas. CIS vadlīnijas kopā ar novērtēšanas rīkiem palīdz novērtēt atšķirību starp jūsu pašreizējo stāvokli un mērķi. Ja to prasa mēroga iespējas, var izmantot tādus risinājumus kā CalCom sacietēšanas komplekts (CHS) Tie palīdz apgūt vides informāciju, prognozēt ietekmi un centralizēti piemērot politiku, laika gaitā saglabājot stingrāku pieeju.

Klientu sistēmās ir pieejamas bezmaksas utilītas, kas vienkāršo būtisko elementu "sacietēšanu". Syshardener Tas piedāvā pakalpojumu, ugunsmūra un izplatītas programmatūras iestatījumus; Hardentools atspējo potenciāli izmantojamas funkcijas (makro, ActiveX, Windows Script Host, PowerShell/ISE katrai pārlūkprogrammai); un Cietais_konfigurators Tas ļauj jums darboties ar SRP, baltajiem sarakstiem pēc ceļa vai jaucējkoda, SmartScreen lokālajos failos, neuzticamu avotu bloķēšanu un automātisku izpildi USB/DVD diskā.

Ugunsmūris un piekļuve: praktiski noteikumi, kas darbojas

Vienmēr aktivizējiet Windows ugunsmūri, pēc noklusējuma konfigurējiet visus trīs profilus ar ienākošo bloķēšanu un atveriet tikai kritiskās ostas pakalpojumam (ar IP adreses darbības jomu, ja piemērojams). Attālināto administrēšanu vislabāk veikt, izmantojot VPN un ar ierobežotu piekļuvi. Pārskatiet mantotos noteikumus un atspējojiet visu, kas vairs nav nepieciešams.

Neaizmirstiet, ka sacietēšana operētājsistēmā Windows nav statisks attēls: tas ir dinamisks process. Dokumentējiet savu sākotnējo stāvokli. uzrauga novirzesPēc katra ielāpa pārskatiet izmaiņas un pielāgojiet pasākumus iekārtas faktiskajai funkcijai. Nedaudz tehniskas disciplīnas, automatizācijas pieskāriens un skaidrs riska novērtējums padara Windows par daudz grūtāk uzlaužamu sistēmu, neupurējot tās daudzpusību.