- Ny tsipika fototra (CIS, STIG ary Microsoft) dia mitarika fanamafisana tsy miovaova sy azo refesina.
- Kely ny habaka: mametraka izay ilaina ihany, ferana ny seranan-tsambo sy ny tombontsoa.
- Ny patching, ny fanaraha-maso ary ny fanafenana dia mitazona fiarovana mandritra ny fotoana maharitra.
- Manao mandeha ho azy miaraka amin'ny GPO sy fitaovana hitazomana ny fihetsikao fiarovana.
Raha mitantana mpizara na solosaina mpampiasa ianao, dia mety efa nanontany tena ity fanontaniana ity ianao: ahoana no fomba ahazoako antoka ny Windows mba hatory tsara? hardening amin'ny Windows Tsy tetika tokana fotsiny izany, fa andiana fanapahan-kevitra sy fanitsiana mba hampihenana ny endrik'ireo fanafihana, hamerana ny fidirana, ary hitazonana ny rafitra eo ambany fifehezana.
Ao amin'ny tontolon'ny orinasa, ny lohamilina no fototry ny asa: mitahiry angon-drakitra izy ireo, manome serivisy ary mampifandray ireo singa manan-danja amin'ny fandraharahana; izany no mahatonga azy ireo ho lasibatry ny mpanafika rehetra. Amin'ny fanamafisana ny Windows miaraka amin'ny fanao tsara indrindra sy ny fototra, Manamaivana ny tsy fahombiazana ianao, mametra ny risika ary manakana tranga iray tsy hiitatra any amin'ny fotodrafitrasa sisa ianao.
Inona no atao hoe hardening amin'ny Windows ary nahoana izy io no fanalahidy?
Ny fanamafisana na fanamafisana dia misy manamboatra, manala na mametra ny singa ny rafitra miasa, ny serivisy ary ny fampiharana hanakatona ny toerana mety hidirana. Windows dia zavatra maro sy mifanentana, eny, fa ny fomba "miasa amin'ny saika ny zava-drehetra" dia midika fa misy fiasa misokatra izay tsy ilainao foana.
Arakaraky ny asa tsy ilaina, seranan-tsambo, na protocole tazoninao ho mavitrika kokoa, no lehibe kokoa ny vulnerable anao. Ny tanjon'ny fanamafisana dia mampihena ny fanafihana ambonin'nyFehezo ny tombontsoa ary avelao izay ilaina ihany, miaraka amin'ny patch vaovao, fanaraha-maso mavitrika ary politika mazava.
Ity fomba fiasa ity dia tsy miavaka amin'ny Windows; mihatra amin'ny rafitra maoderina rehetra izy io: napetraka vonona hiatrika toe-javatra an'arivony samihafa. Izany no antony mahamety izany Akatona izay tsy ampiasainao.Satria raha tsy mampiasa azy ianao dia mety hisy olon-kafa hanandrana hampiasa azy ho anao.
Fitsipika fototra sy fenitra izay mamaritra ny lalana
Ho an'ny fanamafisana amin'ny Windows dia misy benchmarks toy ny CIS (Center for Internet Security) ary ny torolàlana DoD STIG, ankoatra ny Microsoft Security Baselines (Microsoft Security Baselines). Ireo references ireo dia mirakitra ireo tefy naroso, ny soatoavin'ny politika ary ny fanaraha-maso ho an'ny andraikitra sy dikan-teny samihafa amin'ny Windows.
Ny fampiharana tsipika fototra dia manafaingana be ny tetikasa: mampihena ny elanelana misy eo amin'ny fanamafisam-peo mahazatra sy ny fomba fanao tsara indrindra, misoroka ny "gaps" mahazatra amin'ny fametrahana haingana. Na izany aza, ny tontolo iainana rehetra dia miavaka ary ilaina izany andramo ny fiovana alohan'ny hampidirana azy ireo amin'ny famokarana.
Windows Hardening tsikelikely
Fiomanana sy fiarovana ara-batana
Ny fanamafisana ao amin'ny Windows dia manomboka alohan'ny hametrahana ny rafitra. Tazony a feno ny lisitry ny mpizaraAtsaharo ny vaovao amin'ny fifamoivoizana mandra-pahazotoan'izy ireo, arovy ny BIOS/UEFI amin'ny tenimiafina, esory boot avy amin'ny media ivelany ary manakana ny autologon amin'ny consoles fanarenana.
Raha mampiasa ny fitaovanao manokana ianao dia apetraho amin'ny toerana misy ny fitaovana fanaraha-maso ny fidirana ara-batanaTena ilaina ny mari-pana sy ny fanaraha-maso araka ny tokony ho izy. Ny famerana ny fidirana ara-batana dia manan-danja toy ny fidirana lojika, satria ny fanokafana chassis na boot amin'ny USB dia mety hanimba ny zava-drehetra.
Kaonty, fahazoan-dàlana ary politikan'ny tenimiafina
Atombohy amin'ny fanafoanana ireo fahalemena miharihary: esory ny kaonty vahiny ary, raha azo atao, manafoana na manova anarana ny Administrator eo an-toeranaMamorona kaonty administratif miaraka amin'ny anarana tsy misy dikany (query Ahoana ny fomba hamoronana kaonty eo an-toerana Windows 11 ivelan'ny aterineto) ary mampiasa kaonty tsy misy tombontsoa ho an'ny asa andavanandro, manandratra tombontsoa amin'ny alàlan'ny "Run as" raha ilaina ihany.
Hamafiso ny politikan'ny tenimiafinao: miantoka ny fahasarotana sy ny halavany mifanaraka amin'izany. lany datyTantara mba hisorohana ny fampiasana indray sy ny fanakatonana kaonty taorian'ny andrana tsy nahomby. Raha mitantana ekipa maro ianao dia diniho ny vahaolana toy ny LAPS hanodinana ny fahazoan-dàlana eo an-toerana; ny zava-dehibe dia ialao ny fahazoan-dàlana static ary mora vinavinaina.
Avereno jerena ny maha-mpikambana ao amin'ny vondrona (Administrator, Mpampiasa Desktop lavitra, Mpampiasa Backup, sns.) ary esory izay tsy ilaina. Ny fitsipiky ny tombontsoa kely kokoa Io no mpiara-miasa aminao tsara indrindra amin'ny famerana ny hetsika lateral.
Network, DNS ary ny fandrindrana ny fotoana (NTP)
Tsy maintsy manana mpizara famokarana Static IP, ho hita ao amin'ny faritra voaaro ao ambadiky ny firewall (ary fantaro Ahoana no hanakanana ny fifandraisana tambajotra mampiahiahy amin'ny CMD (raha ilaina), ary manana mpizara DNS roa voafaritra ho an'ny redundansi. Hamarino fa misy ny rakitra A sy PTR; tadidio fa DNS propagation... mety haka izany Ary tsara ny manao drafitra.
Ampifanaraho ny NTP: ny fiviliana minitra vitsy monja dia manapaka ny Kerberos ary miteraka tsy fahombiazan'ny fanamarinana tsy fahita firy. Farito ny fameram-potoana azo itokisana ary ampifanaraho. ny sambo rehetra manohitra azy. Raha tsy mila izany ianao dia esory ny protocols lova toy ny NetBIOS amin'ny TCP/IP na LMHosts fitadiavana mampihena ny tabataba ary fampirantiana.
Anjara asa, endri-javatra ary serivisy: kely kokoa
Ampidiro ihany ny andraikitra sy ny endri-javatra ilainao ho an'ny tanjon'ny mpizara (IIS, .NET amin'ny dikan-teny ilaina, sns.). Ny fonosana fanampiny tsirairay dia ambonin`ny fanampiny ho an'ny vulnerability sy ny configuration. Esory ny fampiharana default na fanampiny izay tsy ho ampiasaina (jereo Winaero Tweaker: Fanitsiana mahasoa sy azo antoka).
Famerenana ny serivisy: ireo ilaina, mandeha ho azy; ireo izay miankina amin'ny hafa, in Manomboka (manomboka ny fanombohana) na miaraka amin'ny fiankinan-doha voafaritra tsara; izay tsy manisy sanda, kilemaina. Ary ho an'ny serivisy fampiharana, ampiasao kaonty serivisy manokana miaraka amin'ny fahazoan-dàlana kely indrindra, fa tsy Rafitra eo an-toerana raha azonao atao ny misoroka izany.
Firewall sy ny fampihenana ny famirapiratana
Ny fitsipika ankapobeny: sakana amin'ny alàlan'ny default ary sokafy izay ilaina ihany. Raha mpizara tranonkala izy io dia asehoy HTTP / HTTPS Ary izany no izy; Ny fitantanana (RDP, WinRM, SSH) dia tokony hatao amin'ny VPN ary, raha azo atao, ferana amin'ny adiresy IP. Ny firewall Windows dia manome fanaraha-maso tsara amin'ny alàlan'ny mombamomba (Domain, Private, Public) ary fitsipika maromaro.
Ny firewall natokana ho an'ny perimeter dia tombony foana, satria manala ny mpizara izany ary manampy safidy mialoha (inspection, IPS, segmentation). Na izany na tsy izany, mitovy ny fomba fiasa: vitsy kokoa ny seranana misokatra, tsy dia azo ampiasaina intsony ny fanafihana.
Fidirana lavitra sy protocols tsy azo antoka
RDP ihany raha tena ilaina, miaraka amin'ny NLA, encryption avo lentaMFA raha azo atao, ary ferana ny fidirana amin'ireo vondrona sy tambajotra manokana. Fadio ny telnet sy FTP; raha mila famindrana ianao, ampiasao SFTP/SSH, ary tsara kokoa aza, avy amin'ny VPNTsy maintsy fehezina ny PowerShell Remoting sy SSH: mametra izay afaka miditra amin'izy ireo ary avy aiza. Ho safidy azo antoka ho an'ny fanaraha-maso lavitra, mianatra ny fomba Ampidiro sy amboary ny Chrome Remote Desktop amin'ny Windows.
Raha tsy mila izany ianao dia esory ny serivisy Remote Registration. Avereno jerena ary sakanana NullSessionPipes y NullSessionShares mba hisorohana ny fidirana tsy mitonona anarana amin'ny loharanon-karena. Ary raha tsy ampiasaina amin'ny tranga misy anao ny IPv6, dia diniho ny hanafoana azy io aorian'ny fanombanana ny fiantraikany.
Patching, fanavaozana ary fanaraha-maso fanovana
Ataovy hatrany hatrany ny Windows patch patch Fitsapana isan'andro amin'ny tontolo voafehy alohan'ny hifindrana amin'ny famokarana. WSUS na SCCM dia mpiara-dia amin'ny fitantanana ny tsingerin'ny patch. Aza adino ny logiciel an'ny antoko fahatelo, izay matetika no rohy malemy: fandaharam-potoana ny fanavaozana ary hamaha haingana ny vulnerability.
ny mpamily Mandray anjara amin'ny fanamafisana ny Windows ihany koa ny mpamily: mety hiteraka fianjerana sy vulnerability ny mpamily fitaovana efa lany andro. Manangana dingana fanavaozam-baovao mahazatra amin'ny mpamily, atao laharam-pahamehana ny fitoniana sy ny fiarovana noho ireo endri-javatra vaovao.
Fanaraha-maso hetsika, fanaraha-maso ary fanaraha-maso
Ampifanaraho ny fanaraha-maso fiarovana ary ampitomboy ny haben'ny diary mba tsy hihodinany isaky ny roa andro. Ataovy afovoany ny hetsika amin'ny mpijery orinasa na SIEM, satria lasa tsy azo ampiharina ny famerenana ny mpizara tsirairay rehefa mitombo ny rafitrao. fanaraha-maso mitohy Miaraka amin'ny tsipika fototra sy ny tokonam-baravarana fanairana, ialao ny "fitifirana an-jambany".
Ny teknolojia Fanaraha-maso ny Fahamarinan'ny fisie (FIM) sy ny fanaraha-maso ny fiovan'ny fandrindrana dia manampy amin'ny fahitana ny fivilian-dalana. Fitaovana toy ny Netwrix Change Tracker Manamora ny fahitana sy hanazavana ny fiovana, iza ary oviana izy ireo, manafaingana ny valiny ary manampy amin'ny fanarahan-dalàna (NIST, PCI DSS, CMMC, STIG, NERC CIP).
Fanafenana angon-drakitra amin'ny fialan-tsasatra sy amin'ny fitaterana
Ho an'ny mpizara, BitLocker Efa fepetra fototra amin'ny kapila rehetra misy angona saro-pady izany. Raha mila granularity haavon'ny rakitra ianao dia ampiasao... EFSEo anelanelan'ny mpizara, ny IPsec dia mamela ny fifamoivoizana ho miafina mba hitahiry ny tsiambaratelo sy ny fahamendrehana, zavatra manan-danja tambajotra mizarazara na amin'ny dingana tsy dia azo antoka loatra. Zava-dehibe izany rehefa miresaka momba ny hardening amin'ny Windows.
Fitantanana fidirana sy politika mitsikera
Ampiharo ny fitsipiky ny tombontsoa faran'izay kely indrindra amin'ireo mpampiasa sy serivisy. Fadio ny mitahiry hases of LAN Manager ary esory ny NTLMv1 afa-tsy ireo fiankinan-doha lova. Ampifanaraho ny karazana fanafenana Kerberos navela ary ahena ny fizarana rakitra sy mpanonta izay tsy ilaina.
sarobidy Fepetra na sakanana ny haino aman-jery azo esorina (USB) hamerana ny fivoahana na ny fidirana amin'ny malware. Izy io dia mampiseho fampandrenesana ara-dalàna alohan'ny fidirana ("Fampiasana tsy nahazoana alalana"), ary mitaky Ctrl + Alt + Del ary mamarana ho azy ireo fivoriana tsy mavitrika. Fepetra tsotra mampitombo ny fanoherana ny mpanafika ireo.
Fitaovana sy automatique mba hahazoana traction
Mba hampiharana ny baseline amin'ny ampahany dia ampiasao GPO ary ny Microsoft Security Baselines. Ny torolàlana CIS, miaraka amin'ny fitaovana fanombanana, dia manampy amin'ny fandrefesana ny elanelana misy eo amin'ny fanjakana misy anao ankehitriny sy ny tanjona. Raha mila izany ny haavony, ny vahaolana toy ny CalCom Hardening Suite (CHS) Manampy amin'ny fianarana momba ny tontolo iainana izy ireo, maminavina ny fiantraikany ary mampihatra ny politika eo afovoany, mitazona ny hamafin'ny fotoana.
Ao amin'ny rafitra mpanjifa, misy fitaovana maimaim-poana izay manamora ny "manamafy" ny tena ilaina. Syshardener Manolotra fanovana momba ny serivisy, firewall ary rindrambaiko mahazatra; Hardentools manafoana ny asa azo trandrahana (macro, ActiveX, Windows Script Host, PowerShell/ISE isaky ny navigateur); SY Hard_Configurator Mamela anao hilalao amin'ny SRP, lisitra fotsy amin'ny lalana na hash, SmartScreen amin'ny rakitra eo an-toerana, fanakanana loharano tsy azo itokisana ary famonoana mandeha ho azy amin'ny USB/DVD.
Firewall sy fidirana: fitsipika azo ampiharina miasa
Alefaso foana ny firewall Windows, amboary ny mombamomba telo rehetra miaraka amin'ny fanakanana miditra miditra amin'ny alàlan'ny default, ary sokafy seranana mitsikera ihany amin'ny serivisy (miaraka amin'ny sehatra IP raha azo atao). Ny fitantanana lavitra dia tsara atao amin'ny alàlan'ny VPN ary amin'ny fidirana voafetra. Avereno jerena ny fitsipika lova ary esory izay rehetra tsy ilaina intsony.
Aza adino fa ny fanamafisana amin'ny Windows dia tsy sary static: dingana mavitrika izany. Raketo an-taratasy ny fototrao. manara-maso ny deviationsAvereno jerena ny fiovana aorian'ny patch tsirairay ary ampifanaraho amin'ny fiasan'ny fitaovana ny fepetra. Ny fitsipi-pifehezana ara-teknika kely, ny fikitihana ny automatique, ary ny fanombanana ny risika mazava dia mahatonga ny Windows ho rafitra sarotra kokoa hotapahina nefa tsy manao sorona ny fahaizany.
Tonian-dahatsoratra manokana momba ny teknolojia sy olana amin'ny Internet manana traikefa mihoatra ny folo taona amin'ny haino aman-jery nomerika samihafa. Niasa ho mpamoaka lahatsoratra sy mpamorona votoaty ho an'ny e-varotra, fifandraisana, varotra an-tserasera ary orinasa dokambarotra aho. Nanoratra tao amin'ny tranokalan'ny toekarena, fitantanam-bola ary sehatra hafa ihany koa aho. Ny asako ihany koa no tiako. Ankehitriny, amin'ny alàlan'ny lahatsoratro ao Tecnobits, Miezaka mikaroka ireo vaovao sy fahafahana vaovao rehetra atolotry ny tontolon'ny teknolojia ho antsika isan'andro aho hanatsarana ny fiainantsika.