विन्डोजमा के कडा हुँदैछ र सिस्याडमिन नभई यसलाई कसरी लागू गर्ने

यदि तपाईं सर्भर वा प्रयोगकर्ता कम्प्युटरहरू व्यवस्थापन गर्नुहुन्छ भने, तपाईंले सायद आफैलाई यो प्रश्न सोध्नुभएको होला: म कसरी विन्डोजलाई राम्रोसँग सुत्न पर्याप्त सुरक्षित बनाउने? विन्डोजमा कडा बनाउने यो एक पटकको चाल होइन, तर आक्रमणको सतह घटाउन, पहुँच सीमित गर्न र प्रणालीलाई नियन्त्रणमा राख्न निर्णय र समायोजनहरूको सेट हो।

कर्पोरेट वातावरणमा, सर्भरहरू सञ्चालनको जग हुन्: तिनीहरूले डेटा भण्डारण गर्छन्, सेवाहरू प्रदान गर्छन्, र महत्वपूर्ण व्यावसायिक घटकहरू जडान गर्छन्; त्यसैले तिनीहरू कुनै पनि आक्रमणकारीको लागि यति प्रमुख लक्ष्य हुन्। उत्कृष्ट अभ्यासहरू र आधारभूत रेखाहरूसँग विन्डोजलाई बलियो बनाएर, तपाईं असफलताहरूलाई कम गर्नुहुन्छ, तपाईं जोखिमहरूलाई सीमित गर्नुहुन्छ र तपाईंले कुनै एक बिन्दुमा भएको घटनालाई बाँकी पूर्वाधारमा फैलिनबाट रोक्नुहुन्छ।

विन्डोजमा कडा हुनु भनेको के हो र यो किन महत्वपूर्ण छ?

कडा पार्ने वा सुदृढीकरणमा समावेश छ घटकहरू कन्फिगर गर्नुहोस्, हटाउनुहोस् वा प्रतिबन्धित गर्नुहोस् सम्भावित प्रवेश बिन्दुहरू बन्द गर्न अपरेटिङ सिस्टम, सेवाहरू, र अनुप्रयोगहरूको। विन्डोज बहुमुखी र उपयुक्त छ, हो, तर "यसले लगभग सबै कुराको लागि काम गर्छ" दृष्टिकोणको अर्थ यो खुला कार्यक्षमताहरूसँग आउँछ जुन तपाईंलाई सधैं आवश्यक पर्दैन।

तपाईंले जति धेरै अनावश्यक प्रकार्यहरू, पोर्टहरू, वा प्रोटोकलहरू सक्रिय राख्नुहुन्छ, तपाईंको जोखिम त्यति नै बढी हुन्छ। कडा बनाउने लक्ष्य भनेको आक्रमणको सतह घटाउनुहोस्विशेषाधिकारहरू सीमित गर्नुहोस् र आवश्यक कुराहरू मात्र छोड्नुहोस्, अद्यावधिक प्याचहरू, सक्रिय लेखा परीक्षण, र स्पष्ट नीतिहरू सहित।

यो दृष्टिकोण विन्डोजको लागि मात्र होइन; यो कुनै पनि आधुनिक प्रणालीमा लागू हुन्छ: यो हजारौं फरक परिदृश्यहरू ह्यान्डल गर्न तयार छ। त्यसैले यो सल्लाह दिइन्छ। तपाईंले प्रयोग नगर्ने कुरा बन्द गर्नुहोस्।किनभने यदि तपाईंले यसलाई प्रयोग गर्नुभएन भने, अरू कसैले तपाईंको लागि प्रयोग गर्ने प्रयास गर्न सक्छ।

पाठ्यक्रमको चार्ट बनाउने आधारभूत रेखा र मापदण्डहरू

विन्डोजमा कडा पार्नको लागि, त्यहाँ बेन्चमार्कहरू छन् जस्तै इन्टरनेट सुरक्षा केन्द्र (CIS) र DoD STIG दिशानिर्देशहरू, साथै माइक्रोसफ्ट सुरक्षा आधारभूत कुराहरू (माइक्रोसफ्ट सुरक्षा आधारभूत कुराहरू)। यी सन्दर्भहरूले विन्डोजको विभिन्न भूमिका र संस्करणहरूको लागि सिफारिस गरिएका कन्फिगरेसनहरू, नीति मानहरू, र नियन्त्रणहरू समेट्छन्।

आधाररेखा लागू गर्नाले परियोजनालाई धेरै गति दिन्छ: यसले पूर्वनिर्धारित कन्फिगरेसन र उत्तम अभ्यासहरू बीचको खाडललाई कम गर्छ, द्रुत तैनातीहरूको विशिष्ट "खाडलहरू" लाई बेवास्ता गर्दै। तैपनि, प्रत्येक वातावरण अद्वितीय छ र यो सल्लाह दिइन्छ परिवर्तनहरू परीक्षण गर्नुहोस् उत्पादनमा लैजानु अघि।

विन्डोज कडा बनाउने चरणबद्ध तरिका

तयारी र भौतिक सुरक्षा

प्रणाली स्थापना हुनुभन्दा पहिले विन्डोजमा कडाइ सुरु हुन्छ। राख्नुहोस् सर्भरको सम्पूर्ण सूचीनयाँहरूलाई कडा नभएसम्म ट्राफिकबाट अलग गर्नुहोस्, BIOS/UEFI लाई पासवर्डले सुरक्षित गर्नुहोस्, असक्षम गर्नुहोस् बाह्य मिडियाबाट बुट गर्नुहोस् र रिकभरी कन्सोलहरूमा अटोलोगन रोक्छ।

यदि तपाईं आफ्नै हार्डवेयर प्रयोग गर्नुहुन्छ भने, उपकरणहरूलाई निम्न स्थानहरूमा राख्नुहोस्: भौतिक पहुँच नियन्त्रणउचित तापक्रम र अनुगमन आवश्यक छ। भौतिक पहुँच सीमित गर्नु तार्किक पहुँच जत्तिकै महत्त्वपूर्ण छ, किनकि चेसिस खोल्दा वा USB बाट बुट गर्दा सबै कुरा जोखिममा पर्न सक्छ।

खाता, प्रमाणपत्र र पासवर्ड नीति

स्पष्ट कमजोरीहरू हटाएर सुरु गर्नुहोस्: अतिथि खाता असक्षम पार्नुहोस् र, जहाँ सम्भव छ, स्थानीय प्रशासकलाई असक्षम पार्छ वा पुन: नामाकरण गर्छसाधारण नाम नभएको प्रशासनिक खाता सिर्जना गर्नुहोस् (प्रश्न Windows 11 अफलाइनमा स्थानीय खाता कसरी बनाउने) र दैनिक कार्यहरूको लागि विशेषाधिकार नभएका खाताहरू प्रयोग गर्दछ, आवश्यक पर्दा मात्र "यस रूपमा चलाउनुहोस्" मार्फत विशेषाधिकारहरू बढाउँछ।

आफ्नो पासवर्ड नीतिलाई बलियो बनाउनुहोस्: उपयुक्त जटिलता र लम्बाइ सुनिश्चित गर्नुहोस्। आवधिक समाप्तिअसफल प्रयासहरू पछि पुन: प्रयोग र खाता लकआउट रोक्नको लागि इतिहास। यदि तपाईं धेरै टोलीहरू व्यवस्थापन गर्नुहुन्छ भने, स्थानीय प्रमाणहरू घुमाउन LAPS जस्ता समाधानहरू विचार गर्नुहोस्; महत्त्वपूर्ण कुरा यो हो कि स्थिर प्रमाणपत्रहरू बेवास्ता गर्नुहोस् र अनुमान गर्न सजिलो।

 

समूह सदस्यताहरू (प्रशासकहरू, रिमोट डेस्कटप प्रयोगकर्ताहरू, ब्याकअप अपरेटरहरू, आदि) समीक्षा गर्नुहोस् र अनावश्यकहरूलाई हटाउनुहोस्। सिद्धान्त कम विशेषाधिकार पार्श्व चालहरू सीमित गर्नको लागि यो तपाईंको सबैभन्दा राम्रो सहयोगी हो।

नेटवर्क, DNS र समय सिङ्क्रोनाइजेसन (NTP)

उत्पादन सर्भरमा हुनुपर्छ स्थिर आईपी, फायरवाल पछाडि सुरक्षित खण्डहरूमा अवस्थित हुनुहोस् (र जान्नुहोस् CMD बाट शंकास्पद नेटवर्क जडानहरू कसरी ब्लक गर्ने (आवश्यक पर्दा), र रिडन्डन्सीको लागि परिभाषित दुई DNS सर्भरहरू राख्नुहोस्। A र PTR रेकर्डहरू अवस्थित छन् भनी प्रमाणित गर्नुहोस्; सम्झनुहोस् कि DNS प्रसार... लाग्न सक्छ अनि योजना बनाउनु उचित हुन्छ।

NTP कन्फिगर गर्नुहोस्: केही मिनेटको विचलनले Kerberos लाई तोड्छ र दुर्लभ प्रमाणीकरण विफलताहरू निम्त्याउँछ। विश्वसनीय टाइमर परिभाषित गर्नुहोस् र यसलाई सिङ्क्रोनाइज गर्नुहोस्। सम्पूर्ण जहाज यसको विरुद्धमा। यदि तपाईंलाई आवश्यक छैन भने, TCP/IP वा LMHosts लुकअपमा NetBIOS जस्ता लेगेसी प्रोटोकलहरू असक्षम गर्नुहोस्। आवाज कम गर्नुहोस् र प्रदर्शनी।

भूमिका, सुविधाहरू र सेवाहरू: कम नै बढी

सर्भरको उद्देश्यका लागि तपाईंलाई आवश्यक पर्ने भूमिका र सुविधाहरू मात्र स्थापना गर्नुहोस् (IIS, .NET यसको आवश्यक संस्करणमा, आदि)। प्रत्येक अतिरिक्त प्याकेज अतिरिक्त सतह कमजोरीहरू र कन्फिगरेसनको लागि। प्रयोग नहुने पूर्वनिर्धारित वा अतिरिक्त अनुप्रयोगहरू अनइन्स्टल गर्नुहोस् (हेर्नुहोस् विनेरो ट्वीकर: उपयोगी र सुरक्षित समायोजनहरू).

समीक्षा सेवाहरू: आवश्यक सेवाहरू, स्वचालित रूपमा; अरूमा निर्भर सेवाहरू, मा स्वचालित (ढिलाइ भएको सुरुवात) वा राम्रोसँग परिभाषित निर्भरताहरू भएको; मूल्य थप नगर्ने कुनै पनि कुरा, असक्षम पारिएको। र अनुप्रयोग सेवाहरूको लागि, प्रयोग गर्नुहोस् विशिष्ट सेवा खाताहरू यदि तपाईं यसलाई बेवास्ता गर्न सक्नुहुन्छ भने स्थानीय प्रणाली होइन, न्यूनतम अनुमतिहरू सहित।

फायरवाल र एक्सपोजर न्यूनीकरण

सामान्य नियम: पूर्वनिर्धारित रूपमा ब्लक गर्नुहोस् र आवश्यक पर्ने कुरा मात्र खोल्नुहोस्। यदि यो वेब सर्भर हो भने, खुलासा गर्नुहोस् HTTP / HTTPS अनि यति नै हो; प्रशासन (RDP, WinRM, SSH) VPN मार्फत गर्नुपर्छ र सम्भव भएमा, IP ठेगानाद्वारा प्रतिबन्धित गर्नुपर्छ। विन्डोज फायरवालले प्रोफाइलहरू (डोमेन, निजी, सार्वजनिक) र दानादार नियमहरू मार्फत राम्रो नियन्त्रण प्रदान गर्दछ।

समर्पित परिधि फायरवाल सधैं एक प्लस हो, किनकि यसले सर्भरलाई अफलोड गर्छ र थप्छ उन्नत विकल्पहरू (निरीक्षण, आईपीएस, विभाजन)। जे भए पनि, दृष्टिकोण उस्तै छ: कम खुला पोर्टहरू, कम प्रयोगयोग्य आक्रमण सतह।

टाढाको पहुँच र असुरक्षित प्रोटोकलहरू

एकदमै आवश्यक परेमा मात्र RDP, NLA, उच्च गुप्तिकरणसम्भव भएमा MFA, र विशिष्ट समूहहरू र नेटवर्कहरूमा प्रतिबन्धित पहुँच। टेलनेट र FTP बाट बच्नुहोस्; यदि तपाईंलाई स्थानान्तरण चाहिन्छ भने, SFTP/SSH प्रयोग गर्नुहोस्, र अझ राम्रो, VPN बाटPowerShell रिमोटिङ र SSH नियन्त्रण गर्नुपर्छ: कसले र कहाँबाट पहुँच गर्न सक्छ भनेर सीमित गर्नुहोस्। रिमोट कन्ट्रोलको सुरक्षित विकल्पको रूपमा, कसरी गर्ने भनेर सिक्नुहोस् Windows मा Chrome रिमोट डेस्कटप सक्रिय र कन्फिगर गर्नुहोस्.

यदि तपाईंलाई यसको आवश्यकता छैन भने, रिमोट दर्ता सेवा असक्षम गर्नुहोस्। समीक्षा गर्नुहोस् र ब्लक गर्नुहोस् नलसेशनपाइप्स y शून्य सत्र शेयरहरू स्रोतहरूमा अज्ञात पहुँच रोक्न। र यदि तपाईंको मामलामा IPv6 प्रयोग गरिएको छैन भने, प्रभावको मूल्याङ्कन गरेपछि यसलाई असक्षम पार्ने विचार गर्नुहोस्।

प्याचिङ, अपडेट, र परिवर्तन नियन्त्रण

विन्डोजलाई अद्यावधिक राख्नुहोस् सुरक्षा प्याचहरू उत्पादनमा सर्नु अघि नियन्त्रित वातावरणमा दैनिक परीक्षण। WSUS वा SCCM प्याच चक्र व्यवस्थापनका लागि सहयोगी हुन्। तेस्रो-पक्ष सफ्टवेयरलाई नबिर्सनुहोस्, जुन प्रायः कमजोर लिङ्क हो: अद्यावधिकहरू तालिकाबद्ध गर्नुहोस् र कमजोरीहरूलाई छिटो सम्बोधन गर्नुहोस्।

को चालक विन्डोजलाई कडा बनाउन ड्राइभरहरूले पनि भूमिका खेल्छन्: पुरानो उपकरण ड्राइभरहरूले क्र्यास र कमजोरीहरू निम्त्याउन सक्छन्। नयाँ सुविधाहरू भन्दा स्थिरता र सुरक्षालाई प्राथमिकता दिँदै नियमित ड्राइभर अपडेट प्रक्रिया स्थापना गर्नुहोस्।

घटना लगिङ, लेखा परीक्षण, र अनुगमन

सुरक्षा लेखा परीक्षण कन्फिगर गर्नुहोस् र लग आकार बढाउनुहोस् ताकि तिनीहरू प्रत्येक दुई दिनमा नरोकियोस्। कर्पोरेट भ्यूअर वा SIEM मा घटनाहरूलाई केन्द्रीकृत गर्नुहोस्, किनकि तपाईंको प्रणाली बढ्दै जाँदा प्रत्येक सर्भरको व्यक्तिगत रूपमा समीक्षा गर्नु अव्यावहारिक हुन्छ। निरन्तर निगरानी कार्यसम्पादन आधारभूत रेखा र सतर्कता थ्रेसहोल्डको साथ, "अन्धाधुन्ध गोलीबारी" बाट बच्नुहोस्।

फाइल इन्टिग्रिटी मोनिटरिङ (FIM) प्रविधिहरू र कन्फिगरेसन परिवर्तन ट्र्याकिङले आधारभूत विचलनहरू पत्ता लगाउन मद्दत गर्दछ। उपकरणहरू जस्तै नेटव्रिक्स परिवर्तन ट्रयाकर तिनीहरूले के परिवर्तन भएको छ, को र कहिले भएको छ भनेर पत्ता लगाउन र व्याख्या गर्न सजिलो बनाउँछन्, प्रतिक्रियालाई गति दिन्छन् र अनुपालनमा मद्दत गर्छन् (NIST, PCI DSS, CMMC, STIG, NERC CIP)।

आराम र ट्रान्जिटमा डेटा इन्क्रिप्शन

सर्भरहरूको लागि, BitLocker संवेदनशील डेटा भएका सबै ड्राइभहरूमा यो पहिले नै आधारभूत आवश्यकता हो। यदि तपाईंलाई फाइल-स्तर ग्र्यानुलारिटी चाहिन्छ भने, प्रयोग गर्नुहोस्... EFSसर्भरहरू बीच, IPsec ले गोपनीयता र अखण्डता जोगाउन ट्राफिकलाई इन्क्रिप्ट गर्न अनुमति दिन्छ, जुन केही महत्वपूर्ण कुरा हो खण्डित नेटवर्कहरू वा कम भरपर्दो चरणहरू सहित। विन्डोजमा कडा बनाउने बारेमा छलफल गर्दा यो महत्त्वपूर्ण छ।

पहुँच व्यवस्थापन र महत्वपूर्ण नीतिहरू

प्रयोगकर्ता र सेवाहरूमा न्यूनतम विशेषाधिकारको सिद्धान्त लागू गर्नुहोस्। ह्यासहरू भण्डारण नगर्नुहोस् ल्यान प्रबन्धक र लिगेसी निर्भरताहरू बाहेक NTLMv1 लाई असक्षम पार्नुहोस्। अनुमति दिइएको Kerberos इन्क्रिप्शन प्रकारहरू कन्फिगर गर्नुहोस् र आवश्यक नभएको ठाउँमा फाइल र प्रिन्टर साझेदारी घटाउनुहोस्।

भलोरा हटाउन सकिने मिडिया (USB) लाई प्रतिबन्धित वा रोक्नुहोस् मालवेयर एक्सफिल्टरेशन वा प्रविष्टि सीमित गर्न। यसले लगइन गर्नु अघि कानुनी सूचना प्रदर्शन गर्दछ ("अनधिकृत प्रयोग निषेधित"), र आवश्यक छ Ctrl + Alt + Del र यसले स्वचालित रूपमा निष्क्रिय सत्रहरू समाप्त गर्दछ। यी सरल उपायहरू हुन् जसले आक्रमणकारीको प्रतिरोध बढाउँछ।

कर्षण प्राप्त गर्न उपकरणहरू र स्वचालन

थोकमा आधारलाइनहरू लागू गर्न, प्रयोग गर्नुहोस् GPO र माइक्रोसफ्टको सुरक्षा आधारभूत कुराहरू। CIS गाइडहरू, मूल्याङ्कन उपकरणहरूसँगै, तपाईंको हालको अवस्था र लक्ष्य बीचको खाडल मापन गर्न मद्दत गर्छन्। जहाँ स्केललाई यसको आवश्यकता पर्दछ, समाधानहरू जस्तै क्यालकम हार्डनिङ सुइट (CHS) तिनीहरूले वातावरणको बारेमा जान्न, प्रभावहरूको भविष्यवाणी गर्न, र नीतिहरूलाई केन्द्रीय रूपमा लागू गर्न मद्दत गर्छन्, समयसँगै कडाइ कायम राख्छन्।

क्लाइन्ट प्रणालीहरूमा, त्यहाँ नि:शुल्क उपयोगिताहरू छन् जसले आवश्यक कुराहरूलाई "कठोर" बनाउन सरल बनाउँछ। सिशार्डनर यसले सेवाहरू, फायरवाल र सामान्य सफ्टवेयरमा सेटिङहरू प्रदान गर्दछ; हार्डनटूलहरू सम्भावित रूपमा शोषणयोग्य प्रकार्यहरू (म्याक्रो, एक्टिभएक्स, विन्डोज स्क्रिप्ट होस्ट, ब्राउजर प्रति पावरशेल/आईएसई) असक्षम पार्छ; र हार्ड_कन्फिगरेटर यसले तपाईंलाई SRP सँग खेल्न, पथ वा ह्यासद्वारा ह्वाइटलिस्ट गर्न, स्थानीय फाइलहरूमा स्मार्टस्क्रिन, अविश्वसनीय स्रोतहरू ब्लक गर्न र USB/DVD मा स्वचालित कार्यान्वयन गर्न अनुमति दिन्छ।

फायरवाल र पहुँच: काम गर्ने व्यावहारिक नियमहरू

विन्डोज फायरवाललाई सधैं सक्रिय गर्नुहोस्, पूर्वनिर्धारित रूपमा आगमन आगमन ब्लकिङको साथ तीनवटै प्रोफाइलहरू कन्फिगर गर्नुहोस्, र खोल्नुहोस् केवल महत्वपूर्ण पोर्टहरू सेवामा (लागू भएमा IP स्कोप सहित)। रिमोट प्रशासन VPN मार्फत र प्रतिबन्धित पहुँच सहित उत्तम हुन्छ। लिगेसी नियमहरूको समीक्षा गर्नुहोस् र अब आवश्यक नभएको कुनै पनि कुरा असक्षम पार्नुहोस्।

विन्डोजमा कडा हुनु स्थिर छवि होइन भन्ने कुरा नबिर्सनुहोस्: यो एक गतिशील प्रक्रिया हो। आफ्नो आधारभूत कागजात बनाउनुहोस्। विचलनहरूको निगरानी गर्दछप्रत्येक प्याच पछि भएका परिवर्तनहरूको समीक्षा गर्नुहोस् र उपकरणको वास्तविक कार्यमा उपायहरू अनुकूलन गर्नुहोस्। थोरै प्राविधिक अनुशासन, स्वचालनको स्पर्श, र स्पष्ट जोखिम मूल्याङ्कनले विन्डोजलाई यसको बहुमुखी प्रतिभालाई त्याग नगरी तोड्न धेरै गाह्रो प्रणाली बनाउँछ।