विंडोजमध्ये हार्डनिंग म्हणजे काय आणि सिसॅडमिन न होता ते कसे लागू करावे

जर तुम्ही सर्व्हर किंवा वापरकर्ता संगणक व्यवस्थापित करत असाल, तर तुम्ही कदाचित स्वतःला हा प्रश्न विचारला असेल: विंडोजला शांत झोप येण्यासाठी पुरेसे सुरक्षित कसे बनवायचे? विंडोजमध्ये कडक होणे ही एक-वेळची युक्ती नाही, तर हल्ल्याची पृष्ठभाग कमी करण्यासाठी, प्रवेश मर्यादित करण्यासाठी आणि सिस्टम नियंत्रणात ठेवण्यासाठी निर्णय आणि समायोजनांचा संच आहे.

कॉर्पोरेट वातावरणात, सर्व्हर हे ऑपरेशन्सचा पाया असतात: ते डेटा साठवतात, सेवा प्रदान करतात आणि महत्त्वाचे व्यवसाय घटक जोडतात; म्हणूनच ते कोणत्याही आक्रमणकर्त्यासाठी एक प्रमुख लक्ष्य असतात. सर्वोत्तम पद्धती आणि बेसलाइनसह विंडोजला बळकटी देऊन, तुम्ही अपयश कमी करता, तुम्ही जोखीम मर्यादित करता आणि तुम्ही एखाद्या घटनेला एका क्षणी उर्वरित पायाभूत सुविधांमध्ये पसरण्यापासून रोखता.

विंडोजमध्ये हार्डनिंग म्हणजे काय आणि ते का महत्त्वाचे आहे?

कडक करणे किंवा मजबुतीकरण यात समाविष्ट आहे घटक कॉन्फिगर करा, काढा किंवा प्रतिबंधित करा संभाव्य प्रवेश बिंदू बंद करण्यासाठी ऑपरेटिंग सिस्टम, सेवा आणि अनुप्रयोगांचे. विंडोज बहुमुखी आणि सुसंगत आहे, हो, परंतु "ते जवळजवळ प्रत्येक गोष्टीसाठी कार्य करते" या दृष्टिकोनाचा अर्थ असा आहे की ते अशा खुल्या कार्यक्षमतांसह येते ज्याची तुम्हाला नेहमीच आवश्यकता नसते.

तुम्ही जितके जास्त अनावश्यक फंक्शन्स, पोर्ट्स किंवा प्रोटोकॉल सक्रिय ठेवता तितकी तुमची भेद्यता जास्त असते. कडक होण्याचे ध्येय आहे आक्रमण पृष्ठभाग कमी कराविशेषाधिकार मर्यादित करा आणि फक्त आवश्यक तेच सोडा, अद्ययावत पॅचेस, सक्रिय ऑडिटिंग आणि स्पष्ट धोरणांसह.

हा दृष्टिकोन फक्त विंडोजपुरताच मर्यादित नाही; तो कोणत्याही आधुनिक प्रणालीला लागू होतो: तो हजारो वेगवेगळ्या परिस्थिती हाताळण्यासाठी तयार आहे. म्हणूनच तो सल्ला दिला जातो. तुम्ही जे वापरत नाही ते बंद करा.कारण जर तुम्ही ते वापरले नाही तर दुसरे कोणीतरी ते तुमच्यासाठी वापरण्याचा प्रयत्न करू शकते.

अभ्यासक्रमाचे आरेखन करणारे मूलभूत रेषा आणि मानके

विंडोजमध्ये कडक होण्यासाठी, असे बेंचमार्क आहेत जसे की सीआयएस (इंटरनेट सुरक्षा केंद्र) आणि DoD STIG मार्गदर्शक तत्त्वे, व्यतिरिक्त मायक्रोसॉफ्ट सुरक्षा मूलभूत गोष्टी (मायक्रोसॉफ्ट सिक्युरिटी बेसलाइन्स). हे संदर्भ विंडोजच्या वेगवेगळ्या भूमिका आणि आवृत्त्यांसाठी शिफारस केलेले कॉन्फिगरेशन, धोरण मूल्ये आणि नियंत्रणे समाविष्ट करतात.

बेसलाइन लागू केल्याने प्रकल्पाला मोठ्या प्रमाणात गती मिळते: ते डीफॉल्ट कॉन्फिगरेशन आणि सर्वोत्तम पद्धतींमधील अंतर कमी करते, जलद तैनातींचे वैशिष्ट्यपूर्ण "अंतर" टाळते. तरीही, प्रत्येक वातावरण अद्वितीय आहे आणि ते योग्य आहे बदलांची चाचणी घ्या त्यांना उत्पादनात आणण्यापूर्वी.

विंडोज हार्डनिंग स्टेप बाय स्टेप

तयारी आणि भौतिक सुरक्षा

विंडोजमध्ये सिस्टम इन्स्टॉल होण्यापूर्वीच हार्डनिंग सुरू होते. एक ठेवा संपूर्ण सर्व्हर इन्व्हेंटरीनवीन कडक होईपर्यंत ट्रॅफिकपासून वेगळे करा, BIOS/UEFI ला पासवर्डने संरक्षित करा, अक्षम करा बाह्य माध्यमावरून बूट करा आणि रिकव्हरी कन्सोलवर ऑटोलॉगॉन प्रतिबंधित करते.

जर तुम्ही स्वतःचे हार्डवेअर वापरत असाल, तर उपकरणे अशा ठिकाणी ठेवा जिथे भौतिक प्रवेश नियंत्रणयोग्य तापमान आणि देखरेख आवश्यक आहे. भौतिक प्रवेश मर्यादित करणे हे तार्किक प्रवेशाइतकेच महत्त्वाचे आहे, कारण चेसिस उघडणे किंवा USB वरून बूट करणे सर्वकाही धोक्यात आणू शकते.

खाती, क्रेडेन्शियल्स आणि पासवर्ड धोरण

स्पष्ट कमकुवतपणा दूर करून सुरुवात करा: अतिथी खाते अक्षम करा आणि शक्य असल्यास, स्थानिक प्रशासक अक्षम करते किंवा त्याचे नाव बदलते.क्षुल्लक नसलेल्या नावाने प्रशासकीय खाते तयार करा (प्रश्न विंडोज ११ मध्ये ऑफलाइन स्थानिक खाते कसे तयार करावे) आणि दैनंदिन कामांसाठी अनप्रिव्हिलेज्ड अकाउंट्स वापरते, जेव्हा आवश्यक असेल तेव्हाच "असे चालवा" द्वारे विशेषाधिकार वाढवते.

तुमची पासवर्ड पॉलिसी मजबूत करा: योग्य जटिलता आणि लांबी सुनिश्चित करा. नियतकालिक समाप्तीअयशस्वी प्रयत्नांनंतर पुनर्वापर आणि खाते लॉकआउट टाळण्यासाठी इतिहास. जर तुम्ही अनेक संघ व्यवस्थापित करत असाल, तर स्थानिक क्रेडेन्शियल्स फिरवण्यासाठी LAPS सारख्या उपायांचा विचार करा; महत्त्वाची गोष्ट म्हणजे स्थिर क्रेडेन्शियल्स टाळा आणि अंदाज लावणे सोपे आहे.

 

गट सदस्यता (प्रशासक, रिमोट डेस्कटॉप वापरकर्ते, बॅकअप ऑपरेटर, इ.) पुनरावलोकन करा आणि अनावश्यक सदस्यता काढून टाका. तत्व कमी विशेषाधिकार बाजूकडील हालचाली मर्यादित करण्यासाठी ते तुमचा सर्वोत्तम सहयोगी आहे.

नेटवर्क, DNS आणि वेळ सिंक्रोनाइझेशन (NTP)

उत्पादन सर्व्हरमध्ये असणे आवश्यक आहे स्टॅटिक आयपी, फायरवॉलच्या मागे संरक्षित विभागांमध्ये स्थित असणे (आणि जाणून घेणे) सीएमडी कडून संशयास्पद नेटवर्क कनेक्शन कसे ब्लॉक करावे (आवश्यक असल्यास), आणि रिडंडन्सीसाठी दोन DNS सर्व्हर परिभाषित करा. A आणि PTR रेकॉर्ड अस्तित्वात आहेत याची पडताळणी करा; लक्षात ठेवा की DNS प्रसार... लागू शकते आणि नियोजन करणे उचित आहे.

NTP कॉन्फिगर करा: फक्त काही मिनिटांच्या विचलनामुळे Kerberos खंडित होते आणि दुर्मिळ प्रमाणीकरण अपयशांना कारणीभूत ठरते. एक विश्वसनीय टाइमर परिभाषित करा आणि तो सिंक्रोनाइझ करा. संपूर्ण ताफा त्याविरुद्ध. जर तुम्हाला गरज नसेल, तर TCP/IP किंवा LMHosts लुकअपवर NetBIOS सारखे लेगसी प्रोटोकॉल अक्षम करा. आवाज कमी करा आणि प्रदर्शन.

भूमिका, वैशिष्ट्ये आणि सेवा: कमी म्हणजे जास्त

सर्व्हरच्या उद्देशासाठी आवश्यक असलेल्या भूमिका आणि वैशिष्ट्येच स्थापित करा (IIS, .NET त्याच्या आवश्यक आवृत्तीमध्ये, इ.). प्रत्येक अतिरिक्त पॅकेज अतिरिक्त पृष्ठभाग भेद्यता आणि कॉन्फिगरेशनसाठी. वापरले जाणार नाहीत असे डीफॉल्ट किंवा अतिरिक्त अनुप्रयोग अनइंस्टॉल करा (पहा विनेरो ट्वीकर: उपयुक्त आणि सुरक्षित समायोजने).

पुनरावलोकन सेवा: आवश्यक असलेल्या, आपोआप; ज्या इतरांवर अवलंबून असतात, मध्ये स्वयंचलित (विलंब प्रारंभ) किंवा सु-परिभाषित अवलंबित्वे असलेले; मूल्य जोडत नसलेली कोणतीही गोष्ट, अक्षम केली आहे. आणि अनुप्रयोग सेवांसाठी, वापरा विशिष्ट सेवा खाती जर तुम्ही ते टाळू शकत असाल तर स्थानिक प्रणाली नाही, कमीत कमी परवानग्यांसह.

फायरवॉल आणि एक्सपोजर कमी करणे

सामान्य नियम: डिफॉल्टनुसार ब्लॉक करा आणि फक्त आवश्यक तेच उघडा. जर ते वेब सर्व्हर असेल तर उघड करा HTTP / HTTPS आणि बस्स; प्रशासन (RDP, WinRM, SSH) VPN द्वारे केले पाहिजे आणि शक्य असल्यास, IP पत्त्याद्वारे मर्यादित केले पाहिजे. विंडोज फायरवॉल प्रोफाइल (डोमेन, खाजगी, सार्वजनिक) आणि बारकाव्य नियमांद्वारे चांगले नियंत्रण प्रदान करते.

समर्पित परिमिती फायरवॉल नेहमीच एक प्लस असतो, कारण ते सर्व्हर ऑफलोड करते आणि जोडते प्रगत पर्याय (तपासणी, आयपीएस, विभाजन). कोणत्याही परिस्थितीत, दृष्टिकोन सारखाच आहे: कमी उघडे पोर्ट, कमी वापरण्यायोग्य हल्ला पृष्ठभाग.

दूरस्थ प्रवेश आणि असुरक्षित प्रोटोकॉल

अगदी आवश्यक असल्यासच RDP, सह एनएलए, उच्च एन्क्रिप्शनशक्य असल्यास MFA, आणि विशिष्ट गट आणि नेटवर्क्सना मर्यादित प्रवेश. टेलनेट आणि FTP टाळा; जर तुम्हाला ट्रान्सफरची आवश्यकता असेल तर SFTP/SSH वापरा, आणि त्याहूनही चांगले, VPN वरूनपॉवरशेल रिमोटिंग आणि SSH नियंत्रित केले पाहिजेत: त्यांना कोण आणि कुठून अॅक्सेस करू शकते ते मर्यादित करा. रिमोट कंट्रोलसाठी एक सुरक्षित पर्याय म्हणून, कसे करायचे ते शिका विंडोजवर क्रोम रिमोट डेस्कटॉप सक्रिय आणि कॉन्फिगर करा.

जर तुम्हाला त्याची आवश्यकता नसेल, तर रिमोट रजिस्ट्रेशन सेवा अक्षम करा. पुनरावलोकन करा आणि ब्लॉक करा. नलसेशनपाईप्स y नलसेशनशेअर्स संसाधनांमध्ये अनामिक प्रवेश रोखण्यासाठी. आणि जर तुमच्या बाबतीत IPv6 वापरला नसेल, तर परिणामाचे मूल्यांकन केल्यानंतर ते अक्षम करण्याचा विचार करा.

पॅचिंग, अपडेट्स आणि बदल नियंत्रण

विंडोज अद्ययावत ठेवा सुरक्षा पॅचेस उत्पादन सुरू करण्यापूर्वी नियंत्रित वातावरणात दररोज चाचणी. पॅच सायकल व्यवस्थापित करण्यासाठी WSUS किंवा SCCM हे सहयोगी आहेत. तृतीय-पक्ष सॉफ्टवेअर विसरू नका, जे बहुतेकदा कमकुवत दुवा असते: अपडेट्स शेड्यूल करा आणि भेद्यता लवकर दुरुस्त करा.

अगोदर निर्देश केलेल्या बाबीसंबंधी बोलताना ड्राइवर विंडोज मजबूत करण्यात ड्रायव्हर्सचीही भूमिका असते: जुने डिव्हाइस ड्रायव्हर्स क्रॅश आणि भेद्यता निर्माण करू शकतात. नियमित ड्रायव्हर अपडेट प्रक्रिया स्थापित करा, नवीन वैशिष्ट्यांपेक्षा स्थिरता आणि सुरक्षिततेला प्राधान्य द्या.

इव्हेंट लॉगिंग, ऑडिटिंग आणि मॉनिटरिंग

सुरक्षा ऑडिटिंग कॉन्फिगर करा आणि लॉगचा आकार वाढवा जेणेकरून ते दर दोन दिवसांनी बदलू नयेत. कॉर्पोरेट व्ह्यूअर किंवा SIEM मध्ये इव्हेंट्सचे केंद्रीकरण करा, कारण तुमची सिस्टम वाढत असताना प्रत्येक सर्व्हरचे वैयक्तिकरित्या पुनरावलोकन करणे अव्यवहार्य होते. सतत देखरेख कामगिरीच्या बेसलाइन आणि अलर्ट थ्रेशोल्डसह, "अंधाधुंद गोळीबार" टाळा.

फाइल इंटिग्रिटी मॉनिटरिंग (FIM) तंत्रज्ञान आणि कॉन्फिगरेशन बदल ट्रॅकिंग बेसलाइन विचलन शोधण्यास मदत करतात. साधने जसे की नेटव्रिक्स चेंज ट्रॅकर ते काय बदलले आहे, कोण आणि केव्हा ते शोधणे आणि स्पष्ट करणे सोपे करतात, प्रतिसाद जलद करतात आणि अनुपालनास मदत करतात (NIST, PCI DSS, CMMC, STIG, NERC CIP).

विश्रांतीच्या वेळी आणि प्रवासाच्या वेळी डेटा एन्क्रिप्शन

सर्व्हरसाठी, BitLocker संवेदनशील डेटा असलेल्या सर्व ड्राइव्हवर ही आधीपासूनच एक मूलभूत आवश्यकता आहे. जर तुम्हाला फाइल-स्तरीय ग्रॅन्युलॅरिटी हवी असेल, तर वापरा... इएफएससर्व्हर्स दरम्यान, IPsec गोपनीयता आणि अखंडता जपण्यासाठी ट्रॅफिक एन्क्रिप्ट करण्याची परवानगी देते, जे यातील एक महत्त्वाचे घटक आहे विभागलेले नेटवर्क किंवा कमी विश्वासार्ह पायऱ्यांसह. विंडोजमध्ये कडकपणाबद्दल चर्चा करताना हे महत्त्वाचे आहे.

प्रवेश व्यवस्थापन आणि गंभीर धोरणे

वापरकर्ते आणि सेवांना किमान विशेषाधिकाराचे तत्व लागू करा. हॅश साठवणे टाळा LAN व्यवस्थापक आणि लेगसी अवलंबित्वे वगळता NTLMv1 अक्षम करा. परवानगी असलेले Kerberos एन्क्रिप्शन प्रकार कॉन्फिगर करा आणि आवश्यक नसल्यास फाइल आणि प्रिंटर शेअरिंग कमी करा.

मूल्य काढता येण्याजोगा मीडिया (USB) प्रतिबंधित करा किंवा ब्लॉक करा मालवेअर एक्सफिल्टरेशन किंवा एंट्री मर्यादित करण्यासाठी. लॉगिन करण्यापूर्वी ते कायदेशीर सूचना प्रदर्शित करते ("अनधिकृत वापर प्रतिबंधित"), आणि आवश्यक आहे Ctrl + Alt + Del आणि ते आपोआप निष्क्रिय सत्रे बंद करते. हे सोपे उपाय आहेत जे हल्लेखोराचा प्रतिकार वाढवतात.

आकर्षण मिळविण्यासाठी साधने आणि ऑटोमेशन

मोठ्या प्रमाणात बेसलाइन लागू करण्यासाठी, वापरा GPO आणि मायक्रोसॉफ्टच्या सुरक्षा आधाररेषा. सीआयएस मार्गदर्शक, मूल्यांकन साधनांसह, तुमची सध्याची स्थिती आणि लक्ष्य यांच्यातील अंतर मोजण्यास मदत करतात. जिथे स्केलला त्याची आवश्यकता असते, तिथे उपाय जसे की कॅलकॉम हार्डनिंग सूट (CHS) ते पर्यावरणाबद्दल जाणून घेण्यास, परिणामांचा अंदाज घेण्यास आणि धोरणे केंद्रस्थानी लागू करण्यास मदत करतात, कालांतराने कठोरता राखतात.

क्लायंट सिस्टीमवर, अशा मोफत उपयुक्तता आहेत ज्या आवश्यक गोष्टी "कठोर" करण्यास सोप्या करतात. सिशार्डनर हे सेवा, फायरवॉल आणि सामान्य सॉफ्टवेअरवरील सेटिंग्ज देते; हार्डनटूल्स संभाव्यतः वापरण्यायोग्य फंक्शन्स (मॅक्रो, अ‍ॅक्टिव्हएक्स, विंडोज स्क्रिप्ट होस्ट, ब्राउझरसाठी पॉवरशेल/आयएसई) अक्षम करते; आणि हार्ड_कॉन्फिगरेटर हे तुम्हाला SRP सह खेळण्याची, मार्ग किंवा हॅशद्वारे व्हाइटलिस्ट करण्याची, स्थानिक फाइल्सवर स्मार्टस्क्रीन, अविश्वसनीय स्त्रोतांना ब्लॉक करण्याची आणि USB/DVD वर स्वयंचलित अंमलबजावणी करण्याची परवानगी देते.

फायरवॉल आणि प्रवेश: व्यावहारिक नियम जे कार्य करतात

विंडोज फायरवॉल नेहमी सक्रिय करा, तिन्ही प्रोफाइल इनकमिंग ब्लॉकिंगसह डीफॉल्टनुसार कॉन्फिगर करा आणि उघडा फक्त महत्त्वाचे पोर्ट सेवेला (लागू असल्यास आयपी स्कोपसह). रिमोट प्रशासन VPN द्वारे आणि मर्यादित प्रवेशासह सर्वोत्तम केले जाते. जुन्या नियमांचे पुनरावलोकन करा आणि आता आवश्यक नसलेली कोणतीही गोष्ट अक्षम करा.

विंडोजमध्ये कडक होणे ही स्थिर प्रतिमा नाही हे विसरू नका: ती एक गतिमान प्रक्रिया आहे. तुमचा बेसलाइन दस्तऐवजीकरण करा. विचलनांचे निरीक्षण करतेप्रत्येक पॅचनंतर होणाऱ्या बदलांचा आढावा घ्या आणि उपकरणांच्या प्रत्यक्ष कार्याशी जुळवून घ्या. थोडी तांत्रिक शिस्त, ऑटोमेशनचा स्पर्श आणि स्पष्ट जोखीम मूल्यांकन यामुळे विंडोजला तिच्या बहुमुखी प्रतिभेचा त्याग न करता तोडणे खूप कठीण होते.