- Суурь үзүүлэлтүүд (CIS, STIG болон Microsoft) нь тууштай, хэмжигдэхүйц хатууралтыг удирдан чиглүүлдэг.
- Бага зай: зөвхөн чухал зүйлийг суулгаж, порт болон эрхийг хязгаарлана.
- Нөхөн засварлах, хянах, шифрлэх нь цаг хугацааны явцад аюулгүй байдлыг хангадаг.
- Аюулгүй байдлын байр сууриа хадгалахын тулд GPO болон хэрэгслээр автоматжуулна уу.
Хэрэв та сервер эсвэл хэрэглэгчийн компьютерийг удирдаж байгаа бол та өөрөөсөө энэ асуултыг асуусан байх: би Windows-ыг хэрхэн аюулгүй унтахын тулд хангалттай аюулгүй болгох вэ? Windows дээр хатуурах Энэ нь нэг удаагийн заль мэх биш, харин довтолгооны гадаргууг багасгах, хандалтыг хязгаарлах, системийг хяналтандаа байлгахад чиглэсэн шийдвэр, тохируулга юм.
Корпорацийн орчинд серверүүд нь үйл ажиллагааны үндэс суурь болдог: тэд өгөгдөл хадгалах, үйлчилгээ үзүүлэх, бизнесийн чухал бүрэлдэхүүн хэсгүүдийг холбодог; Тийм ч учраас тэд ямар ч халдагчийн гол бай болдог. Windows-ийг шилдэг туршлага, суурь үзүүлэлтээр бэхжүүлснээр, Та бүтэлгүйтлийг багасгаж, эрсдэлийг хязгаарладаг Мөн та нэг цэгт гарсан хэрэг явдал дэд бүтцийн бусад хэсэгт даамжирахаас сэргийлнэ.
Windows дээр хатуурах гэж юу вэ, яагаад энэ нь чухал вэ?
Хатууруулах буюу арматураас бүрдэнэ бүрэлдэхүүн хэсгүүдийг тохируулах, устгах эсвэл хязгаарлах боломжит нэвтрэх цэгүүдийг хаахын тулд үйлдлийн систем, үйлчилгээ, програмын . Windows нь олон талт бөгөөд нийцтэй, тийм ээ, гэхдээ "энэ нь бараг бүх зүйлд ажилладаг" гэсэн хандлага нь танд үргэлж хэрэг болдоггүй нээлттэй функцуудтай ирдэг гэсэн үг юм.
Шаардлагагүй функц, порт эсвэл протоколыг идэвхтэй байлгах тусам таны эмзэг байдал нэмэгдэнэ. Хатууруулах зорилго нь довтолгооны гадаргууг багасгахШинэчилсэн засварууд, идэвхтэй аудит, тодорхой бодлого бүхий давуу эрхүүдийг хязгаарлаж, зөвхөн чухал зүйлийг л үлдээгээрэй.
Энэ арга нь зөвхөн Windows-д хамаарахгүй; Энэ нь орчин үеийн ямар ч системд хамаатай: мянга мянган хувилбарыг зохицуулахад бэлэн суулгасан. Тийм учраас үүнийг зөвлөж байна Хэрэглэхгүй байгаа зүйлээ хаа.Учир нь хэрэв та үүнийг ашиглахгүй бол өөр хэн нэгэн танд ашиглахыг оролдож магадгүй юм.
Хичээлийг тодорхойлсон суурь үзүүлэлтүүд болон стандартууд
Windows дээр хатууруулахын тулд жишиг үзүүлэлтүүд байдаг CIS (Интернэт аюулгүй байдлын төв) болон DoD STIG удирдамж, үүнээс гадна Microsoft-ын аюулгүй байдлын суурь (Microsoft Security Baselines). Эдгээр лавлагаа нь Windows-ийн өөр өөр үүрэг, хувилбаруудын санал болгож буй тохиргоо, бодлогын утгууд болон хяналтуудыг хамардаг.
Суурь үзүүлэлтийг ашиглах нь төслийг ихээхэн хурдасгадаг: энэ нь өгөгдмөл тохиргоо болон шилдэг туршлагын хоорондох зайг багасгаж, хурдан байршуулалтын ердийн "цоорхой"-оос зайлсхийдэг. Гэсэн хэдий ч орчин бүр өвөрмөц бөгөөд үүнийг хийхийг зөвлөж байна өөрчлөлтүүдийг турших тэдгээрийг үйлдвэрлэлд нэвтрүүлэхээс өмнө.
Windows хатууруулах алхам алхмаар
Бэлтгэл ба бие махбодийн аюулгүй байдал
Windows дээр хатууруулах нь системийг суулгахаас өмнө эхэлдэг. байлгах a бүрэн серверийн бараа материалШинээр нь хатуурах хүртэл замын хөдөлгөөнөөс тусгаарлаж, BIOS/UEFI-г нууц үгээр хамгаалж, идэвхгүй болго гадаад медиагаас ачаалах мөн сэргээх консол дээр автоматаар нэвтрэхээс сэргийлдэг.
Хэрэв та өөрийн техник хангамжийг ашигладаг бол тоног төхөөрөмжтэй газруудад байрлуул физик хандалтын хяналтТохиромжтой температур, хяналт нь чухал юм. Физик хандалтыг хязгаарлах нь логик хандалттай адил чухал, учир нь явах эд анги нээх эсвэл USB-ээс ачаалах нь бүх зүйлийг эвдэж болзошгүй юм.
Бүртгэл, итгэмжлэл, нууц үгийн бодлого
Илэрхий сул талуудыг арилгах замаар эхэл: зочны бүртгэлийг идэвхгүй болгож, боломжтой бол, локал администраторыг идэвхгүй болгох эсвэл нэрийг нь өөрчлөхӨчүүхэн бус нэрээр захиргааны бүртгэл үүсгэ (асуулга Windows 11 дээр офлайнаар хэрхэн дотоод данс үүсгэх вэ) мөн өдөр тутмын ажилдаа давуу эрхгүй бүртгэлүүдийг ашигладаг бөгөөд зөвхөн шаардлагатай үед "Ажиллуулах"-аар давуу эрхээ дээшлүүлдэг.
Нууц үгийн бодлогоо бэхжүүлэх: зохих нарийн төвөгтэй байдал, уртыг баталгаажуулна уу. үе үе дуусахАмжилтгүй оролдлогын дараа дахин ашиглах болон бүртгэлийг түгжихээс сэргийлэх түүх. Хэрэв та олон багийг удирдаж байгаа бол орон нутгийн итгэмжлэлүүдийг эргүүлэх LAPS гэх мэт шийдлүүдийг анхаарч үзээрэй; хамгийн чухал нь статик итгэмжлэлээс зайлсхийх мөн таахад хялбар.
Бүлгийн гишүүнчлэлийг (Администраторууд, Алсын ширээний хэрэглэгчид, Нөөцлөх операторууд гэх мэт) шалгаж, шаардлагагүй гишүүдийг устгана уу. -ийн зарчим бага давуу эрх Энэ нь хажуугийн хөдөлгөөнийг хязгаарлах хамгийн сайн холбоотон юм.
Сүлжээ, DNS болон цагийн синхрончлол (NTP)
Үйлдвэрлэлийн сервер заавал байх ёстой Статик IP, галт хананы ард хамгаалагдсан сегментүүдэд байрлана (мөн мэдэх CMD-ээс сэжигтэй сүлжээний холболтыг хэрхэн хаах вэ (шаардлагатай үед) мөн давхардсанаар тодорхойлсон хоёр DNS сервертэй байх. A болон PTR бүртгэл байгаа эсэхийг шалгах; DNS тархалтыг санаарай ... авч магадгүй Мөн төлөвлөхийг зөвлөж байна.
NTP-г тохируулах: хэдхэн минутын хазайлт нь Kerberos-ийг эвдэж, ховор нэвтрэлт танилтын алдааг үүсгэдэг. Итгэмжлэгдсэн цаг хэмжигчийг тодорхойлж, синхрончил. бүхэл бүтэн флот үүний эсрэг. Хэрэв танд шаардлагагүй бол TCP/IP дээр NetBIOS эсвэл LMHosts хайлт зэрэг хуучин протоколуудыг идэвхгүй болго. дуу чимээг багасгах болон үзэсгэлэн.
Үүрэг, онцлог, үйлчилгээ: бага нь илүү
Зөвхөн серверийн зорилгод шаардлагатай үүрэг, функцуудыг суулгаарай (IIS, шаардлагатай хувилбарт нь .NET гэх мэт). Нэмэлт багц бүр байна нэмэлт гадаргуу эмзэг байдал болон тохиргооны хувьд. Ашиглагдахгүй өгөгдмөл эсвэл нэмэлт програмуудыг устгах (харна уу Winaero Tweaker: Ашигтай, аюулгүй тохируулга).
Үйлчилгээг шалгах: шаардлагатай, автоматаар; бусдаас хамааралтай тэдгээр, in Автомат (эхлэх цаг хойшлогдож) эсвэл сайн тодорхойлсон хамаарал бүхий; үнэ цэнэ нэмдэггүй бүх зүйлийг идэвхгүй болгосон. Мөн хэрэглээний үйлчилгээнд ашиглах тусгай үйлчилгээний дансууд Хэрэв та үүнээс зайлсхийж чадвал Local System биш харин хамгийн бага зөвшөөрөлтэй.
Галт хана болон өртөлтийг багасгах
Ерөнхий дүрэм: анхдагчаар блоклож, зөвхөн шаардлагатай зүйлийг нээнэ үү. Хэрэв энэ нь вэб сервер бол ил гарга HTTP / HTTPS програмууд Тэгээд л болоо; удирдлага (RDP, WinRM, SSH) нь VPN-ээр хийгдэх ёстой бөгөөд боломжтой бол IP хаягаар хязгаарлагдах ёстой. Windows Firewall нь профайл (Домэйн, Хувийн, Нийтийн) болон нарийн дүрмүүдээр дамжуулан сайн хяналтыг санал болгодог.
Тусгай зориулалтын периметрийн галт хана нь үргэлж давуу тал болдог, учир нь энэ нь серверийг ачааллаж, нэмдэг дэвшилтэт сонголтууд (шалгалт, IPS, сегментчилэл). Ямар ч тохиолдолд арга барил нь адилхан: цөөн тооны нээлттэй портууд, ашиглах боломжтой халдлагын гадаргуу бага.
Алсын хандалт ба аюулгүй протоколууд
RDP зөвхөн зайлшгүй шаардлагатай тохиолдолд, хамт NLA, өндөр шифрлэлтБоломжтой бол MFA, тодорхой бүлэг, сүлжээнд нэвтрэх эрхийг хязгаарласан. Telnet болон FTP-ээс зайлсхийх; Хэрэв танд шилжүүлэх шаардлагатай бол SFTP/SSH ашиглана уу. VPN-ээсPowerShell Remoting болон SSH хяналттай байх ёстой: хэн, хаанаас хандахыг хязгаарлах. Алсын удирдлагын найдвартай хувилбар болгон хэрхэн хийхийг сур Windows дээр Chrome Remote Desktop-г идэвхжүүлж, тохируулна уу.
Хэрэв танд хэрэггүй бол Алсын бүртгэлийн үйлчилгээг идэвхгүй болго. Шалгаж, блоклох NullSessionPipes y NullSessionShares нөөцөд нэргүй нэвтрэхээс урьдчилан сэргийлэх. Хэрэв таны тохиолдолд IPv6 ашиглагдаагүй бол нөлөөллийг үнэлсний дараа үүнийг идэвхгүй болгох талаар бодож үзээрэй.
Засвар хийх, шинэчлэх, хяналтыг өөрчлөх
Windows-г шинэчилж байгаарай аюулгүй байдлын засварууд Үйлдвэрлэлд шилжихээс өмнө хяналттай орчинд өдөр бүр туршилт хийх. WSUS эсвэл SCCM нь нөхөөсийн мөчлөгийг удирдах холбоотон юм. Гуравдагч талын програм хангамжийг бүү мартаарай, энэ нь ихэвчлэн сул холбоос байдаг: шинэчлэлтүүдийг төлөвлөх, эмзэг байдлыг хурдан арилгах.
олон тоо жолооч нар Драйверууд Windows-ийг хатууруулахад чухал үүрэг гүйцэтгэдэг: хуучирсан төхөөрөмжийн драйверууд нь эвдрэл, эмзэг байдлыг үүсгэдэг. Тогтвортой байдал, аюулгүй байдлыг шинэ боломжуудаас илүүд үзэж, драйверийг тогтмол шинэчлэх процессыг бий болго.
Үйл явдлын бүртгэл, аудит, хяналт
Аюулгүй байдлын аудитыг тохируулж, логийн хэмжээг хоёр өдөр тутамд эргүүлэхгүй байхаар нэмэгдүүлээрэй. Үйл явдлуудыг корпорацийн үзэгч эсвэл SIEM-д төвлөрүүл, учир нь таны систем томрох тусам сервер бүрийг тусад нь шалгах нь боломжгүй болно. тасралтгүй хяналт Гүйцэтгэлийн суурь үзүүлэлтүүд болон сэрэмжлүүлэгийн босготой бол "сохроор галлах"-аас зайлсхий.
Файлын бүрэн бүтэн байдлын хяналт (FIM) технологи болон тохиргооны өөрчлөлтийг хянах нь үндсэн хазайлтыг илрүүлэхэд тусалдаг. зэрэг хэрэгслүүд Netwrix Change Tracker Тэд юу, хэн, хэзээ өөрчлөгдсөнийг илрүүлэх, тайлбарлахад хялбар болгож, хариу үйлдлийг хурдасгаж, дагаж мөрдөхөд тусалдаг (NIST, PCI DSS, CMMC, STIG, NERC CIP).
Амралт болон дамжих үед өгөгдлийг шифрлэх
Серверүүдийн хувьд, BitLocker Энэ нь эмзэг өгөгдөл бүхий бүх хөтчүүдэд тавигдах үндсэн шаардлага юм. Хэрэв танд файлын түвшний нарийвчлал хэрэгтэй бол... EFSСерверүүдийн хооронд IPsec нь нууцлал, бүрэн бүтэн байдлыг хадгалахын тулд траффикийг шифрлэх боломжийг олгодог. сегментчилсэн сүлжээнүүд эсвэл найдвартай алхамууд багатай. Энэ нь Windows дээр хатууруулах талаар ярихад маш чухал юм.
Хандалтын удирдлага, чухал бодлого
Хэрэглэгч, үйлчилгээнд хамгийн бага давуу эрх олгох зарчмыг хэрэгжүүлэх. -ын хэшийг хадгалахаас зайлсхий LAN менежер болон хуучин хамаарлаас бусад тохиолдолд NTLMv1-г идэвхгүй болгох. Зөвшөөрөгдсөн Kerberos шифрлэлтийн төрлийг тохируулж, шаардлагатай биш тохиолдолд файл болон принтерийн хуваалцахыг багасгана.
Валора Зөөврийн зөөвөрлөгчийг (USB) хязгаарлах эсвэл блоклох хортой програмын нэвтрэлт, нэвтрэлтийг хязгаарлах. Энэ нь нэвтрэхийн өмнө хууль ёсны мэдэгдлийг харуулдаг ("Зөвшөөрөлгүй ашиглахыг хориглосон"), мөн шаарддаг Ctrl + Alt + Del мөн энэ нь идэвхгүй сешнүүдийг автоматаар зогсооно. Эдгээр нь халдагчийн эсэргүүцлийг нэмэгдүүлэх энгийн арга хэмжээ юм.
Таталцлыг олж авахын тулд багаж хэрэгсэл, автоматжуулалт
Үндсэн үзүүлэлтүүдийг бөөнөөр нь хэрэглэхийн тулд ашиглана уу GPO болон Microsoft-ын аюулгүй байдлын суурь. ТУХН-ийн удирдамжууд нь үнэлгээний хэрэгслүүдийн хамт таны одоогийн байдал болон зорилтот хоорондын зөрүүг хэмжихэд тусалдаг. Хэмжээ шаардлагатай тохиолдолд шийдэл гэх мэт CalCom Hardening Suite (CHS) Тэд хүрээлэн буй орчны талаар суралцах, нөлөөллийг урьдчилан таамаглах, бодлогоо төвлөрсөн байдлаар хэрэгжүүлэхэд тусалдаг ба цаг хугацааны явцад хатуурдаг.
Үйлчлүүлэгчийн системүүд дээр зайлшгүй шаардлагатай зүйлсийг "хатууруулах" ажлыг хялбаршуулдаг үнэгүй хэрэгслүүд байдаг. Syshardener Энэ нь үйлчилгээ, галт хана болон нийтлэг програм хангамжийн тохиргоог санал болгодог; Хатуу багаж ашиглах боломжтой функцуудыг идэвхгүй болгох (макро, ActiveX, Windows Script Host, PowerShell/ISE хөтөч бүрт); болон Хатуу_тохируулагч Энэ нь танд SRP, зам эсвэл хэшээр цагаан жагсаалт, дотоод файлууд дээрх SmartScreen, найдвартай эх сурвалжийг хаах, USB/DVD дээр автоматаар гүйцэтгэх боломжийг олгоно.
Галт хана ба хандалт: ажилладаг практик дүрмүүд
Windows галт ханыг үргэлж идэвхжүүлж, бүх гурван профайлыг анхдагчаар орж ирж буй блоклох тохиргоог хийж, нээнэ үү. зөвхөн чухал портууд үйлчилгээнд (боломжтой бол IP хамрах хүрээтэй). Алсын удирдлага нь VPN-ээр, хязгаарлагдмал хандалтаар хамгийн сайн хийгддэг. Хуучин дүрэм журмыг хянаж, шаардлагагүй болсон бүх зүйлийг идэвхгүй болго.
Windows дээр хатуурах нь хөдөлгөөнгүй дүрс биш гэдгийг бүү мартаарай: энэ бол динамик процесс юм. Үндсэн үзүүлэлтээ баримтжуулна уу. хазайлтыг хянадагЗасвар бүрийн дараа гарсан өөрчлөлтийг хянаж, арга хэмжээг төхөөрөмжийн бодит үйл ажиллагаанд тохируулна уу. Бага зэрэг техникийн сахилга бат, автоматжуулалтын мэдрэмж, эрсдэлийн тодорхой үнэлгээ нь Windows-ийг олон талт байдлыг алдагдуулахгүйгээр эвдэхэд илүү хэцүү систем болгодог.
Редактор нь технологи, интернетийн асуудлаар мэргэшсэн бөгөөд янз бүрийн дижитал медиа дээр арав гаруй жилийн туршлагатай. Би цахим худалдаа, харилцаа холбоо, онлайн маркетинг, сурталчилгааны компаниудад редактор, контент бүтээгчээр ажиллаж байсан. Би бас эдийн засаг, санхүү болон бусад салбарын вэб сайтууд дээр бичсэн. Миний ажил бас миний хүсэл тэмүүлэл. Одоо миний нийтлэлүүдээр дамжуулан Tecnobits, Би өдөр бүр бидний амьдралыг сайжруулахын тулд технологийн ертөнц бидэнд санал болгож буй бүх мэдээ, шинэ боломжуудыг судлахыг хичээдэг.