په وینډوز کې څه شی سختیږي او څنګه یې د سیسټم اډمین کیدو پرته پلي کړئ

که تاسو سرورونه یا کارونکي کمپیوټرونه اداره کوئ، تاسو شاید دا پوښتنه له ځانه کړې وي: څنګه کولی شم وینډوز دومره خوندي کړم چې ښه خوب وکړي؟ په وینډوز کې سختول دا یو ځلیدونکی چل نه دی، بلکې د پریکړو او سمونونو یوه ټولګه ده چې د برید سطحه کموي، لاسرسی محدودوي، او سیسټم تر کنټرول لاندې ساتي.

په یوه کارپوریټ چاپیریال کې، سرورونه د عملیاتو بنسټ دی: دوی معلومات ذخیره کوي، خدمات چمتو کوي، او مهم سوداګریز اجزا سره نښلوي؛ له همدې امله دوی د هر برید کونکي لپاره خورا مهم هدف دی. د غوره کړنو او اساساتو سره د وینډوز پیاوړي کولو سره، تاسو ناکامۍ کموئ، تاسو خطرونه محدودوئ او تاسو په یوه نقطه کې د یوې پیښې مخه ونیسئ چې د زیربنا نورو برخو ته یې پراختیا ورکړي.

په وینډوز کې سختیدل څه شی دی او ولې مهم دی؟

سختول یا تقویه کول عبارت دي له د اجزاو تنظیمول، لرې کول یا محدودول د عملیاتي سیسټم، خدماتو او غوښتنلیکونو څخه چې د احتمالي ننوتلو نقطې بندوي. هو، وینډوز څو اړخیزه او مطابقت لري، مګر دا چې "دا تقریبا د هرڅه لپاره کار کوي" طریقه پدې معنی ده چې دا د خلاص فعالیت سره راځي چې تاسو تل ورته اړتیا نلرئ.

هر څومره چې غیر ضروري دندې، پورټونه، یا پروتوکولونه فعال وساتئ، هغومره ستاسو زیان منونکی زیاتیږي. د سختولو هدف دا دی چې د برید سطحه کمه کړئامتیازات محدود کړئ او یوازې هغه څه پریږدئ چې اړین دي، د تازه پیچونو، فعال تفتیش، او روښانه پالیسیو سره.

دا طریقه یوازې وینډوز پورې محدوده نه ده؛ دا په هر عصري سیسټم کې پلي کیږي: دا د زرګونو مختلفو سناریوګانو اداره کولو لپاره چمتو نصب شوی. له همدې امله دا مشوره ورکول کیږي. هغه څه بند کړئ چې تاسو یې نه کاروئ.ځکه چې که تاسو یې ونه کاروئ، نو ممکن بل څوک ستاسو لپاره د کارولو هڅه وکړي.

هغه اساسات او معیارونه چې کورس چارټ کوي

په وینډوز کې د سختولو لپاره، معیارونه شتون لري لکه د انټرنیټ امنیت مرکز (CIS) او د دفاع وزارت د STIG لارښوونې، سربیره پردې د مایکروسافټ امنیتي اساسات (د مایکروسافټ امنیتي اساسات). دا حوالې د وینډوز د مختلفو رولونو او نسخو لپاره وړاندیز شوي تشکیلات، د پالیسۍ ارزښتونه، او کنټرولونه پوښي.

د اساس لیکې پلي کول پروژه خورا ګړندۍ کوي: دا د ډیفالټ ترتیب او غوره عملونو ترمنځ تشې کموي، د چټکو ځای پرځای کولو "تشنو" څخه مخنیوی کوي. حتی، هر چاپیریال ځانګړی دی او دا مشوره ورکول کیږي چې بدلونونه معاینه کړئ مخکې لدې چې دوی تولید ته واچول شي.

د وینډوز سختول ګام په ګام

چمتووالی او فزیکي امنیت

د وینډوز سختول د سیسټم له نصبولو دمخه پیل کیږي. وساتئ د سرور بشپړ لیستنوي له ټرافیک څخه جلا کړئ تر هغه چې سخت شي، د پټنوم سره BIOS/UEFI خوندي کړئ، غیر فعال کړئ د بهرني رسنیو څخه بوټ کړئ او د بیا رغونې کنسولونو کې د آټولوګن مخه نیسي.

که تاسو خپل هارډویر کاروئ، تجهیزات په هغه ځایونو کې ځای په ځای کړئ چې د فزیکي لاسرسي کنټرولمناسب تودوخه او څارنه اړینه ده. د فزیکي لاسرسي محدودول د منطقي لاسرسي په څیر مهم دي، ځکه چې د چیسس خلاصول یا د USB څخه بوټ کول کولی شي هرڅه له خطر سره مخ کړي.

د حسابونو، اسنادو، او پټنوم پالیسي

د ښکاره کمزورتیاوو له منځه وړلو سره پیل وکړئ: د میلمنو حساب غیر فعال کړئ او، چیرې چې امکان ولري، د سیمه ییز مدیر نوم بدلوي یا غیر فعالويد غیر معمولي نوم سره اداري حساب جوړ کړئ (پوښتنه په وینډوز 11 کې آفلاین محلي حساب څنګه جوړ کړئ) او د ورځنيو کارونو لپاره غیر امتیازي حسابونه کاروي، یوازې د اړتیا په وخت کې د "په توګه چلول" له لارې امتیازات لوړوي.

د خپل پټنوم پالیسي پیاوړې کړئ: مناسب پیچلتیا او اوږدوالی ډاډمن کړئ. دوره ایز وخت پای ته رسیدلد ناکامو هڅو وروسته د بیا کارولو او حساب بندیدو مخنیوي لپاره تاریخ. که تاسو ډیری ټیمونه اداره کوئ، د محلي اسنادو د بدلولو لپاره د LAPS په څیر حلونه په پام کې ونیسئ؛ مهمه خبره دا ده چې د جامد اسنادو څخه ډډه وکړئ او اټکل کول یې اسانه دي.

 

د ګروپ غړیتوبونه (اډمینان، د ریموټ ډیسټاپ کاروونکي، بیک اپ آپریټرونه، او نور) بیاکتنه وکړئ او هر ډول غیر ضروري غړي لرې کړئ. د لږ امتیاز دا ستاسو د اړخي حرکتونو محدودولو لپاره غوره ملګری دی.

شبکه، DNS او د وخت همغږي (NTP)

د تولید سرور باید ولري جامد IP، د فایر وال تر شا خوندي برخو کې موقعیت ولري (او پوه شئ د CMD څخه د شکمنو شبکو اړیکې څنګه بندې کړو (کله چې اړتیا وي)، او د اضافي کارونې لپاره دوه DNS سرورونه تعریف شوي وي. تایید کړئ چې د A او PTR ریکارډونه شتون لري؛ په یاد ولرئ چې د DNS تبلیغ ... دا ممکن وخت ونیسي او دا مشوره ورکول کیږي چې پلان جوړ کړئ.

د NTP تنظیم کول: د څو دقیقو انحراف کربروس ماتوي او د تصدیق نادره ناکامۍ لامل کیږي. یو باوري ټایمر تعریف کړئ او همغږي یې کړئ. ټوله بیړۍ د دې پر خلاف. که تاسو اړتیا نلرئ، د TCP/IP یا LMHosts لټون په اړه د NetBIOS په څیر میراثي پروتوکولونه غیر فعال کړئ شور کم کړئ او نندارتون.

رولونه، ځانګړتیاوې او خدمات: لږ ډیر دی

یوازې هغه رولونه او ځانګړتیاوې نصب کړئ چې تاسو یې د سرور هدف لپاره اړتیا لرئ (IIS، .NET په خپل اړین نسخه کې، او نور). هر اضافي بسته ده اضافي سطحه د زیان منونکو او ترتیب لپاره. ډیفالټ یا اضافي غوښتنلیکونه غیر نصب کړئ چې نه کارول کیږي (وګورئ وینارو ټویکر: ګټور او خوندي سمونونه).

د بیاکتنې خدمات: اړین خدمات، په اتوماتيک ډول؛ هغه چې په نورو پورې تړلي وي، په اتومات (ځنډ پیل) یا د ښه تعریف شوي انحصار سره؛ هر هغه څه چې ارزښت نه اضافه کوي، غیر فعال دي. او د غوښتنلیک خدماتو لپاره، وکاروئ ځانګړي خدمت حسابونه که تاسو یې مخنیوی کولی شئ، نو د لږ تر لږه اجازې سره، نه د محلي سیسټم سره.

د فایر وال او افشا کیدو کمول

عمومي قاعده: په ډیفالټ ډول بلاک کړئ او یوازې هغه څه خلاص کړئ چې اړین وي. که دا ویب سرور وي، افشا کړئ HTTP / HTTPS او بس؛ اداره (RDP، WinRM، SSH) باید د VPN له لارې ترسره شي او که امکان ولري، د IP پتې لخوا محدود شي. د وینډوز فایر وال د پروفایلونو (ډومین، خصوصي، عامه) او ګرانولر قواعدو له لارې ښه کنټرول وړاندې کوي.

یو وقف شوی محیطي فایر وال تل یو پلس وي، ځکه چې دا سرور آفلوډ کوي او اضافه کوي پرمختللي انتخابونه (تفتیش، IPS، قطع کول). په هر حالت کې، طریقه ورته ده: لږ خلاص بندرونه، لږ د کارولو وړ برید سطح.

لرې لاسرسی او ناامنه پروتوکولونه

RDP یوازې که په بشپړه توګه اړین وي، سره NLA، لوړ کوډ کولکه امکان ولري، MFA، او ځانګړو ډلو او شبکو ته محدود لاسرسی. د ټیلنیټ او FTP څخه ډډه وکړئ؛ که تاسو لیږد ته اړتیا لرئ، SFTP/SSH وکاروئ، او حتی غوره، د VPN څخهد پاورشیل ریموټینګ او SSH باید کنټرول شي: محدود کړئ چې څوک او له کوم ځای څخه ورته لاسرسی کولی شي. د ریموټ کنټرول لپاره د خوندي بدیل په توګه، زده کړئ چې څنګه په وینډوز کې د کروم ریموټ ډیسټاپ فعال او تنظیم کړئ.

که تاسو ورته اړتیا نلرئ، د ریموټ راجسټریشن خدمت غیر فعال کړئ. بیاکتنه او بلاک کړئ د نولسیشن پایپونه y د نولسیشن ونډې ترڅو سرچینو ته د نامعلوم لاسرسي مخه ونیول شي. او که ستاسو په قضیه کې IPv6 نه کارول کیږي، نو د اغیزې ارزولو وروسته یې غیر فعال کړئ.

اصلاح کول، تازه کول، او د کنټرول بدلون

وینډوز تازه وساتئ امنیت ټوټې د تولید پیل کولو دمخه په کنټرول شوي چاپیریال کې ورځنۍ ازموینه. WSUS یا SCCM د پیچ ​​دورې اداره کولو لپاره متحدین دي. د دریمې ډلې سافټویر مه هیروئ، کوم چې ډیری وختونه ضعیف لینک وي: تازه معلومات مهالویش کړئ او زیان منونکي په چټکۍ سره حل کړئ.

د موټر چلوونکي ډرایوران هم د وینډوز په سختولو کې رول لوبوي: زاړه وسیلې ډرایوران کولی شي د ټکرونو او زیان منونکو لامل شي. د ډرایوران د تازه کولو منظم پروسه رامینځته کړئ، د نویو ځانګړتیاو په پرتله ثبات او امنیت ته لومړیتوب ورکړئ.

د پیښو ثبت کول، تفتیش، او څارنه

د امنیت تفتیش تنظیم کړئ او د لاګ اندازه زیاته کړئ ترڅو دوی په هرو دوو ورځو کې بدل نشي. پیښې په کارپوریټ لیدونکي یا SIEM کې مرکزي کړئ، ځکه چې د هر سرور په انفرادي ډول بیاکتنه کول غیر عملي کیږي ځکه چې ستاسو سیسټم وده کوي. دوامداره څارنه د فعالیت اساساتو او د خبرتیا حدونو سره، "په ړانده توګه ډزې" څخه ډډه وکړئ.

د فایل بشپړتیا څارنې (FIM) ټیکنالوژي او د ترتیب بدلون تعقیب د اساساتو انحرافاتو کشفولو کې مرسته کوي. وسایل لکه د نیټ ریکس بدلون تعقیبونکی دوی دا اسانه کوي چې معلومه کړي او تشریح کړي چې څه بدلون راغلی، څوک او کله، د غبرګون ګړندی کول او د اطاعت سره مرسته کول (NIST، PCI DSS، CMMC، STIG، NERC CIP).

د معلوماتو کوډ کول په آرام او لیږد کې

د سرورونو لپاره، بټلیګر دا دمخه په ټولو ډرایوونو کې چې حساس معلومات لري یوه اساسي اړتیا ده. که تاسو د فایل کچې ګرینولریت ته اړتیا لرئ، وکاروئ ... EFSد سرورونو ترمنځ، IPsec ټرافیک ته اجازه ورکوي چې کوډ شي ترڅو محرمیت او بشپړتیا وساتي، یو څه چې په کې کلیدي دي وېشل شوي شبکې یا د لږ باور وړ ګامونو سره. دا په وینډوز کې د سختولو په اړه بحث کولو کې خورا مهم دی.

د لاسرسي مدیریت او مهمې پالیسۍ

د کاروونکو او خدماتو لپاره د لږ تر لږه امتیاز اصل پلي کړئ. د هشونو ذخیره کولو څخه ډډه وکړئ د LAN مدیر او د میراثي انحصارونو پرته NTLMv1 غیر فعال کړئ. د کربروس کوډ کولو اجازه ورکړل شوي ډولونه تنظیم کړئ او د فایل او پرنټر شریکول کم کړئ چیرې چې دا اړین نه وي.

والورا د لرې کولو وړ رسنۍ (USB) محدود یا بند کړئ د مالویر اخراج یا ننوتلو محدودولو لپاره. دا د ننوتلو دمخه قانوني خبرتیا ښیې ("غیر مجاز کارول منع دي")، او اړتیا لري Ctrl + Alt + Del او دا په اتوماتيک ډول غیر فعالې ناستې پای ته رسوي. دا ساده اقدامات دي چې د بریدګر مقاومت زیاتوي.

د کشش ترلاسه کولو لپاره وسایل او اتومات کول

د اساساتو د پلي کولو لپاره په لویه کچه، وکاروئ GPO او د مایکروسافټ د امنیت اساسات. د CIS لارښوونې، د ارزونې وسیلو سره یوځای، ستاسو د اوسني حالت او هدف ترمنځ د واټن اندازه کولو کې مرسته کوي. چیرې چې پیمانه ورته اړتیا لري، حلونه لکه د کال کام هارډیننګ سویټ (CHS) دوی د چاپیریال په اړه زده کړه، د اغیزو وړاندوینه، او په مرکزي توګه پالیسۍ پلي کولو کې مرسته کوي، د وخت په تیریدو سره سختوالی ساتي.

په مراجعینو سیسټمونو کې، وړیا اسانتیاوې شتون لري چې اړین توکي "سختول" ساده کوي. سیشارډینر دا په خدماتو، فایر وال او عام سافټویر کې ترتیبات وړاندې کوي؛ هارډن وسیلې د احتمالي استحصال وړ دندې غیر فعالوي (میکرو، ایکټیو ایکس، وینډوز سکریپټ کوربه، د براوزر لپاره پاورشیل/ISE)؛ او هارډ_کنفیګریټر دا تاسو ته اجازه درکوي چې د SRP سره لوبې وکړئ، د لارې یا هش له مخې سپین لیستونه، په محلي فایلونو کې سمارټ سکرین، د بې باوره سرچینو بندول او په USB/DVD کې اتوماتیک اجرا کول.

فایر وال او لاسرسی: عملي قواعد چې کار کوي

تل د وینډوز فایر وال فعال کړئ، ټول درې پروفایلونه د ډیفالټ له مخې د راتلونکو بلاک کولو سره تنظیم کړئ، او خلاص کړئ یوازې مهم بندرونه خدمت ته (که چیرې د تطبیق وړ وي د IP سکوپ سره). لرې اداره کول د VPN له لارې او د محدود لاسرسي سره غوره ترسره کیږي. د میراث قواعد بیاکتنه وکړئ او هر هغه څه غیر فعال کړئ چې نور ورته اړتیا نلري.

دا مه هېروئ چې په وینډوز کې سختیدل یو جامد انځور نه دی: دا یو متحرک پروسه ده. خپل اساس ثبت کړئ. انحرافات څاريد هر پیچ وروسته بدلونونه بیاکتنه وکړئ او اقدامات د تجهیزاتو اصلي فعالیت سره سم تطبیق کړئ. یو څه تخنیکي ډسپلین، د اتومات کولو لمس، او د خطر روښانه ارزونه وینډوز د هغې د استعداد قرباني کولو پرته ماتول خورا ستونزمن کوي.