Apakah pengerasan dalam Windows dan cara menggunakannya tanpa menjadi sysadmin

Jika anda menguruskan pelayan atau komputer pengguna, anda mungkin telah bertanya kepada diri sendiri soalan ini: bagaimanakah saya boleh menjadikan Windows cukup selamat untuk tidur dengan nyenyak? pengerasan dalam Windows Ia bukan helah sekali sahaja, tetapi satu set keputusan dan pelarasan untuk mengurangkan permukaan serangan, mengehadkan akses dan memastikan sistem terkawal.

Dalam persekitaran korporat, pelayan adalah asas operasi: mereka menyimpan data, menyediakan perkhidmatan dan menyambungkan komponen perniagaan yang kritikal; itulah sebabnya mereka menjadi sasaran utama bagi mana-mana penyerang. Dengan mengukuhkan Windows dengan amalan terbaik dan garis dasar, Anda meminimumkan kegagalan, anda mengehadkan risiko dan anda menghalang insiden pada satu ketika daripada meningkat ke seluruh infrastruktur.

Apakah pengerasan dalam Windows dan mengapa ia penting?

Pengerasan atau tetulang terdiri daripada mengkonfigurasi, mengalih keluar atau menyekat komponen sistem pengendalian, perkhidmatan dan aplikasi untuk menutup pintu masuk yang berpotensi. Windows adalah serba boleh dan serasi, ya, tetapi pendekatan "ia berfungsi untuk hampir semua perkara" bermakna ia datang dengan fungsi terbuka yang anda tidak perlukan selalu.

Lebih banyak fungsi, port atau protokol yang tidak perlu anda kekalkan aktif, semakin besar kerentanan anda. Matlamat pengerasan ialah mengurangkan permukaan seranganHadkan keistimewaan dan tinggalkan perkara yang penting sahaja, dengan tampalan terkini, pengauditan aktif dan dasar yang jelas.

Pendekatan ini bukan unik untuk Windows; ia terpakai kepada mana-mana sistem moden: ia dipasang sedia untuk mengendalikan seribu senario berbeza. Sebab itu dinasihatkan Tutup apa yang anda tidak gunakan.Kerana jika anda tidak menggunakannya, orang lain mungkin cuba menggunakannya untuk anda.

Garis asas dan piawaian yang mencatatkan kursus

Untuk pengerasan dalam Windows, terdapat tanda aras seperti CIS (Pusat Keselamatan Internet) dan garis panduan DoD STIG, sebagai tambahan kepada Garis Dasar Keselamatan Microsoft (Garis Dasar Keselamatan Microsoft). Rujukan ini meliputi konfigurasi yang disyorkan, nilai dasar dan kawalan untuk peranan dan versi Windows yang berbeza.

Menerapkan garis dasar sangat mempercepatkan projek: ia mengurangkan jurang antara konfigurasi lalai dan amalan terbaik, mengelakkan "jurang" tipikal penggunaan pantas. Walaupun begitu, setiap persekitaran adalah unik dan dinasihatkan menguji perubahan sebelum mengambilnya ke dalam pengeluaran.

Pengerasan Windows Langkah demi Langkah

Persediaan dan keselamatan fizikal

Pengerasan dalam Windows bermula sebelum sistem dipasang. Simpan a inventori pelayan lengkapAsingkan yang baharu daripada lalu lintas sehingga ia menjadi keras, lindungi BIOS/UEFI dengan kata laluan, lumpuhkan but daripada media luaran dan menghalang autologon pada konsol pemulihan.

Jika anda menggunakan perkakasan anda sendiri, letakkan peralatan di lokasi dengan kawalan capaian fizikalSuhu dan pemantauan yang betul adalah penting. Mengehadkan akses fizikal adalah sama pentingnya dengan akses logik, kerana membuka casis atau but daripada USB boleh menjejaskan segala-galanya.

Dasar akaun, bukti kelayakan dan kata laluan

Mulakan dengan menghapuskan kelemahan yang jelas: lumpuhkan akaun tetamu dan, jika boleh, melumpuhkan atau menamakan semula Pentadbir tempatanBuat akaun pentadbiran dengan nama yang tidak remeh (pertanyaan Cara membuat akaun tempatan dalam Windows 11 luar talian) dan menggunakan akaun yang tidak mempunyai keistimewaan untuk tugasan harian, meningkatkan keistimewaan melalui "Jalankan sebagai" hanya apabila perlu.

Kuatkan dasar kata laluan anda: pastikan kerumitan dan panjang yang sesuai. tamat tempoh berkalaSejarah untuk mengelakkan penggunaan semula dan sekat akaun selepas percubaan gagal. Jika anda mengurus banyak pasukan, pertimbangkan penyelesaian seperti LAPS untuk memutarkan bukti kelayakan tempatan; yang penting ialah elakkan kelayakan statik dan mudah diteka.

 

Semak keahlian kumpulan (Pentadbir, Pengguna Desktop Jauh, Operator Sandaran, dll.) dan alih keluar mana-mana yang tidak diperlukan. Prinsip bagi keistimewaan yang lebih rendah Ia adalah sekutu terbaik anda untuk mengehadkan pergerakan sisi.

Rangkaian, DNS dan penyegerakan masa (NTP)

Pelayan pengeluaran mesti ada IP Statik, terletak dalam segmen yang dilindungi di belakang tembok api (dan ketahui Bagaimana untuk menyekat sambungan rangkaian yang mencurigakan daripada CMD (apabila perlu), dan mempunyai dua pelayan DNS yang ditentukan untuk redundansi. Sahkan bahawa rekod A dan PTR wujud; ingat penyebaran DNS itu... ia mungkin mengambil masa Dan adalah dinasihatkan untuk merancang.

Konfigurasikan NTP: sisihan hanya beberapa minit memecahkan Kerberos dan menyebabkan kegagalan pengesahan yang jarang berlaku. Tentukan pemasa yang dipercayai dan segerakkannya. seluruh armada menentangnya. Jika anda tidak perlu, lumpuhkan protokol lama seperti NetBIOS melalui TCP/IP atau carian LMHosts untuk Kurangkan bunyi bising dan pameran.

Peranan, ciri dan perkhidmatan: kurang adalah lebih

Pasang hanya peranan dan ciri yang anda perlukan untuk tujuan pelayan (IIS, .NET dalam versi yang diperlukan, dsb.). Setiap pakej tambahan adalah permukaan tambahan untuk kelemahan dan konfigurasi. Nyahpasang aplikasi lalai atau tambahan yang tidak akan digunakan (lihat Winaero Tweaker: Pelarasan Berguna dan Selamat).

Semak perkhidmatan: yang perlu, secara automatik; mereka yang bergantung kepada orang lain, dalam Automatik (permulaan tertunda) atau dengan kebergantungan yang jelas; apa-apa yang tidak menambah nilai, dilumpuhkan. Dan untuk perkhidmatan aplikasi, gunakan akaun perkhidmatan tertentu dengan kebenaran minimum, bukan Sistem Tempatan jika anda boleh mengelakkannya.

Firewall dan pengecilan pendedahan

Peraturan am: sekat secara lalai dan buka yang perlu sahaja. Jika ia adalah pelayan web, dedahkan HTTP / HTTPS Dan itu sahaja; pentadbiran (RDP, WinRM, SSH) harus dilakukan melalui VPN dan, jika boleh, dihadkan oleh alamat IP. Firewall Windows menawarkan kawalan yang baik melalui profil (Domain, Swasta, Awam) dan peraturan berbutir.

Firewall perimeter khusus sentiasa menjadi kelebihan, kerana ia memunggah pelayan dan menambah pilihan lanjutan (pemeriksaan, IPS, segmentasi). Walau apa pun, pendekatannya adalah sama: lebih sedikit port terbuka, permukaan serangan kurang boleh digunakan.

Akses jauh dan protokol tidak selamat

RDP hanya jika benar-benar perlu, dengan NLA, penyulitan tinggiMFA jika boleh, dan akses terhad kepada kumpulan dan rangkaian tertentu. Elakkan telnet dan FTP; jika anda memerlukan pemindahan, gunakan SFTP/SSH, dan lebih baik lagi, daripada VPNPowerShell Remoting dan SSH mesti dikawal: hadkan siapa yang boleh mengaksesnya dan dari mana. Sebagai alternatif selamat untuk alat kawalan jauh, pelajari cara untuk Aktifkan dan konfigurasikan Desktop Jauh Chrome pada Windows.

Jika anda tidak memerlukannya, lumpuhkan perkhidmatan Pendaftaran Jauh. Semak dan sekat NullSessionPipes y NullSessionShares untuk menghalang akses tanpa nama kepada sumber. Dan jika IPv6 tidak digunakan dalam kes anda, pertimbangkan untuk melumpuhkannya selepas menilai kesannya.

Menampal, mengemas kini dan menukar kawalan

Pastikan Windows dikemas kini dengan tampalan keselamatan Ujian harian dalam persekitaran terkawal sebelum beralih ke pengeluaran. WSUS atau SCCM adalah sekutu untuk menguruskan kitaran tampalan. Jangan lupa perisian pihak ketiga, yang selalunya merupakan pautan yang lemah: jadualkan kemas kini dan atasi kelemahan dengan cepat.

The pemandu Pemacu juga memainkan peranan dalam mengeraskan Windows: pemacu peranti yang lapuk boleh menyebabkan ranap dan kelemahan. Wujudkan proses kemas kini pemacu biasa, mengutamakan kestabilan dan keselamatan berbanding ciri baharu.

Pengelogan acara, pengauditan dan pemantauan

Konfigurasikan pengauditan keselamatan dan tingkatkan saiz log supaya ia tidak berputar setiap dua hari. Memusatkan acara dalam penonton korporat atau SIEM, kerana menyemak setiap pelayan secara individu menjadi tidak praktikal apabila sistem anda berkembang. pemantauan berterusan Dengan garis dasar prestasi dan ambang amaran, elakkan "menembak secara membuta tuli".

Teknologi Pemantauan Integriti Fail (FIM) dan penjejakan perubahan konfigurasi membantu mengesan sisihan garis dasar. Alatan seperti Penjejak Perubahan Netwrix Mereka memudahkan untuk mengesan dan menerangkan perkara yang telah berubah, siapa dan bila, mempercepatkan respons dan membantu dengan pematuhan (NIST, PCI DSS, CMMC, STIG, NERC CIP).

Penyulitan data semasa rehat dan dalam transit

Untuk pelayan, BitLocker Ia sudah menjadi keperluan asas pada semua pemacu dengan data sensitif. Jika anda memerlukan butiran peringkat fail, gunakan... EFSDi antara pelayan, IPsec membenarkan trafik disulitkan untuk memelihara kerahsiaan dan integriti, sesuatu yang penting dalam rangkaian bersegmen atau dengan langkah yang kurang boleh dipercayai. Ini penting apabila membincangkan pengerasan dalam Windows.

Pengurusan akses dan dasar kritikal

Gunakan prinsip keistimewaan paling rendah kepada pengguna dan perkhidmatan. Elakkan menyimpan cincang daripada Pengurus LAN dan lumpuhkan NTLMv1 kecuali untuk kebergantungan warisan. Konfigurasikan jenis penyulitan Kerberos yang dibenarkan dan kurangkan perkongsian fail dan pencetak jika ia tidak penting.

Nilai Hadkan atau sekat media boleh tanggal (USB) untuk mengehadkan penyingkiran atau kemasukan perisian hasad. Ia memaparkan notis undang-undang sebelum log masuk ("Penggunaan tanpa kebenaran dilarang"), dan memerlukan Ctrl + Alt + Del dan ia secara automatik menamatkan sesi tidak aktif. Ini adalah langkah mudah yang meningkatkan rintangan penyerang.

Alat dan automasi untuk mendapatkan daya tarikan

Untuk menggunakan garis dasar secara pukal, gunakan GPO dan Garis Dasar Keselamatan Microsoft. Panduan CIS, bersama-sama dengan alat penilaian, membantu mengukur jurang antara keadaan semasa anda dan sasaran. Di mana skala memerlukannya, penyelesaian seperti Suite Pengerasan CalCom (CHS) Mereka membantu untuk belajar tentang alam sekitar, meramalkan impak dan menggunakan dasar secara berpusat, mengekalkan pengerasan dari semasa ke semasa.

Pada sistem pelanggan, terdapat utiliti percuma yang memudahkan "mengeraskan" perkara yang penting. Syshardener Ia menawarkan tetapan pada perkhidmatan, tembok api dan perisian biasa; Alat pengeras melumpuhkan fungsi yang mungkin boleh dieksploitasi (makro, ActiveX, Hos Skrip Windows, PowerShell/ISE setiap pelayar); dan Hard_Configurator Ia membolehkan anda bermain dengan SRP, senarai putih mengikut laluan atau cincang, SmartScreen pada fail tempatan, menyekat sumber yang tidak dipercayai dan pelaksanaan automatik pada USB/DVD.

Firewall dan akses: peraturan praktikal yang berfungsi

Sentiasa aktifkan tembok api Windows, konfigurasikan ketiga-tiga profil dengan sekatan masuk masuk secara lalai, dan buka hanya pelabuhan kritikal kepada perkhidmatan (dengan skop IP jika berkenaan). Pentadbiran jauh lebih baik dilakukan melalui VPN dan dengan akses terhad. Semak peraturan lama dan lumpuhkan apa-apa yang tidak diperlukan lagi.

Jangan lupa bahawa pengerasan dalam Windows bukanlah imej statik: ia adalah proses yang dinamik. Dokumen garis dasar anda. memantau penyelewenganSemak perubahan selepas setiap tampalan dan sesuaikan langkah dengan fungsi sebenar peralatan. Sedikit disiplin teknikal, sentuhan automasi, dan penilaian risiko yang jelas menjadikan Windows sistem yang lebih sukar untuk dipecahkan tanpa mengorbankan kepelbagaiannya.