ونڊوز ۾ سخت ٿيڻ ڇا آهي ۽ ان کي سسٽم ايڊمن هجڻ کان سواءِ ڪيئن لاڳو ڪجي

جيڪڏهن توهان سرورز يا يوزر ڪمپيوٽرن کي منظم ڪندا آهيو، ته توهان شايد پاڻ کان هي سوال پڇيو هوندو: مان ونڊوز کي ڪيئن محفوظ بڻائي سگهان ٿو ته جيئن سٺي ننڊ اچي سگهي؟ ونڊوز ۾ سختي اها ڪا هڪ ڀيرو ٿيندڙ چال ناهي، پر حملي جي مٿاڇري کي گهٽائڻ، رسائي کي محدود ڪرڻ، ۽ سسٽم کي ڪنٽرول ۾ رکڻ لاءِ فيصلن ۽ ترتيبن جو هڪ سيٽ آهي.

ڪارپوريٽ ماحول ۾، سرور آپريشن جو بنياد آهن: اهي ڊيٽا ذخيرو ڪن ٿا، خدمتون مهيا ڪن ٿا، ۽ اهم ڪاروباري حصن کي ڳنڍين ٿا؛ اهو ئي سبب آهي ته اهي ڪنهن به حملي آور لاءِ هڪ اهم هدف آهن. بهترين طريقن ۽ بنيادي لائنن سان ونڊوز کي مضبوط ڪرڻ سان، توهان ناڪاميون گهٽ ڪريو ٿا، توهان خطرن کي محدود ڪريو ٿا ۽ توهان هڪ موقعي تي ڪنهن واقعي کي باقي انفراسٽرڪچر ڏانهن وڌڻ کان روڪيو ٿا.

ونڊوز ۾ سخت ٿيڻ ڇا آهي ۽ اهو ڇو اهم آهي؟

سخت ڪرڻ يا مضبوط ڪرڻ تي مشتمل آهي اجزاء کي ترتيب ڏيو، هٽايو يا محدود ڪريو آپريٽنگ سسٽم، خدمتن، ۽ ايپليڪيشنن جو امڪاني داخلا پوائنٽن کي بند ڪرڻ لاءِ. ونڊوز ورسٽائل ۽ مطابقت رکندڙ آهي، ها، پر اهو "اهو تقريبن هر شيءِ لاءِ ڪم ڪري ٿو" طريقو مطلب ته اهو کليل ڪارڪردگي سان گڏ اچي ٿو جنهن جي توهان کي هميشه ضرورت ناهي.

جيترا وڌيڪ غير ضروري ڪم، پورٽ، يا پروٽوڪول توهان فعال رکندا، اوترو ئي توهان جي ڪمزوري وڌيڪ هوندي. سخت ڪرڻ جو مقصد آهي حملي جي سطح کي گھٽايومراعات کي محدود ڪريو ۽ صرف اهو ڇڏي ڏيو جيڪو ضروري آهي، جديد پيچس، فعال آڊيٽنگ، ۽ واضح پاليسين سان.

هي طريقو ونڊوز لاءِ منفرد ناهي؛ اهو ڪنهن به جديد سسٽم تي لاڳو ٿئي ٿو: اهو هڪ هزار مختلف منظرنامي کي سنڀالڻ لاءِ تيار نصب ٿيل آهي. ان ڪري اهو صلاح ڏني وئي آهي. جيڪو توهان استعمال نه ڪري رهيا آهيو اهو بند ڪريو.ڇاڪاڻ ته جيڪڏهن توهان ان کي استعمال نه ڪندا، ته ڪو ٻيو توهان لاءِ ان کي استعمال ڪرڻ جي ڪوشش ڪري سگهي ٿو.

بنيادي لائينون ۽ معيار جيڪي ڪورس کي چارٽ ڪن ٿا

ونڊوز ۾ سخت ڪرڻ لاءِ، اهڙا معيار آهن جهڙوڪ سي آءِ ايس (انٽرنيٽ سيڪيورٽي جو مرڪز) ۽ DoD STIG هدايتون، ان کان علاوه مائڪروسافٽ سيڪيورٽي بيس لائينز (مائڪروسوفٽ سيڪيورٽي بيس لائينز). اهي حوالا ونڊوز جي مختلف ڪردارن ۽ ورزن لاءِ تجويز ڪيل ترتيبن، پاليسي قدرن، ۽ ڪنٽرولن کي ڍڪيندا آهن.

بيس لائين لاڳو ڪرڻ سان منصوبي کي تمام گهڻو تيز ٿئي ٿو: اهو ڊفالٽ ترتيب ۽ بهترين طريقن جي وچ ۾ فرق گهٽائي ٿو، تيز رفتار تعیناتي جي عام "خالين" کان بچي ٿو. تنهن هوندي به، هر ماحول منفرد آهي ۽ اهو صلاح ڏني وئي آهي ته تبديلين جي جانچ ڪريو انهن کي پيداوار ۾ آڻڻ کان اڳ.

ونڊوز سخت ڪرڻ قدم بہ قدم

تياري ۽ جسماني سيڪيورٽي

ونڊوز ۾ سختي سسٽم انسٽال ٿيڻ کان اڳ شروع ٿئي ٿي. رکو هڪ سرور جي مڪمل فهرستنون کي ٽرئفڪ کان الڳ ڪريو جيستائين اهي سخت نه ٿين، BIOS/UEFI کي پاسورڊ سان محفوظ ڪريو، غير فعال ڪريو ٻاهرين ميڊيا مان بوٽ ڪريو ۽ وصولي ڪنسولز تي آٽولوگون کي روڪي ٿو.

جيڪڏهن توهان پنهنجو هارڊويئر استعمال ڪندا آهيو، ته سامان کي انهن هنڌن تي رکو جتي جسماني رسائي ڪنٽرولمناسب گرمي پد ۽ نگراني ضروري آهي. جسماني رسائي کي محدود ڪرڻ منطقي رسائي وانگر اهم آهي، ڇاڪاڻ ته چيسس کولڻ يا USB مان بوٽ ڪرڻ هر شيءِ کي نقصان پهچائي سگهي ٿو.

اڪائونٽس، سندون، ۽ پاسورڊ پاليسي

واضح ڪمزورين کي ختم ڪرڻ سان شروع ڪريو: مهمان اڪائونٽ کي غير فعال ڪريو ۽، جتي ممڪن هجي، مقامي ايڊمنسٽريٽر کي غير فعال يا نالو تبديل ڪري ٿوهڪ غير معمولي نالي سان هڪ انتظامي اڪائونٽ ٺاهيو (سوال ونڊوز 11 ۾ آف لائن مقامي اڪائونٽ ڪيئن ٺاهجي) ۽ روزمره جي ڪمن لاءِ غير مراعات يافته اڪائونٽس استعمال ڪري ٿو، صرف ضرورت جي وقت "رن ايز" ذريعي مراعات کي بلند ڪري ٿو.

پنهنجي پاسورڊ پاليسي کي مضبوط ڪريو: مناسب پيچيدگي ۽ ڊيگهه کي يقيني بڻايو. وقتي ختم ٿيڻناڪام ڪوششن کان پوءِ ٻيهر استعمال ۽ اڪائونٽ لاڪ آئوٽ کي روڪڻ لاءِ تاريخ. جيڪڏهن توهان ڪيتريون ئي ٽيمون منظم ڪريو ٿا، ته مقامي سندون کي گھمائڻ لاءِ LAPS جهڙن حلن تي غور ڪريو؛ اهم ڳالهه اها آهي ته جامد سندون کان پاسو ڪريو ۽ اندازو لڳائڻ آسان آهي.

 

گروپ ميمبرشپ جو جائزو وٺو (ايڊمنسٽريٽر، ريموٽ ڊيسڪ ٽاپ استعمال ڪندڙ، بيڪ اپ آپريٽر، وغيره) ۽ ڪنهن به غير ضروري کي هٽايو. جو اصول گهٽ امتياز اهو پس منظر جي حرڪت کي محدود ڪرڻ لاءِ توهان جو بهترين اتحادي آهي.

نيٽ ورڪ، ڊي اين ايس ۽ وقت جي هم وقت سازي (اين ٽي پي)

هڪ پيداوار سرور هجڻ گهرجي جامد پي، فائر وال جي پويان محفوظ حصن ۾ واقع هجي (۽ ڄاڻو سي ايم ڊي کان مشڪوڪ نيٽ ورڪ ڪنيڪشن کي ڪيئن بلاڪ ڪجي (جڏهن ضروري هجي)، ۽ ٻہ DNS سرورز کي ريڊنڊنسي لاءِ بيان ڪيو وڃي. تصديق ڪريو ته A ۽ PTR رڪارڊ موجود آهن؛ ياد رکو ته DNS پروپيگيشن... وٺي سگھي ٿو ۽ اهو منصوبو ڪرڻ جي صلاح ڏني وئي آهي.

اين ٽي پي ترتيب ڏيو: صرف منٽن جو انحراف ڪربروس کي ٽوڙي ٿو ۽ نادر تصديق جي ناڪامين جو سبب بڻجي ٿو. هڪ قابل اعتماد ٽائمر بيان ڪريو ۽ ان کي هم وقت سازي ڪريو. سڄو ٻيڙو ان جي خلاف. جيڪڏهن توهان کي ضرورت نه آهي، ته پوءِ TCP/IP تي NetBIOS جهڙن ليگيسي پروٽوڪول کي غير فعال ڪريو يا LMHosts لوڪ اپ لاءِ شور گهٽائڻ ۽ نمائش.

ڪردار، خاصيتون ۽ خدمتون: گهٽ وڌيڪ آهي

سرور جي مقصد لاءِ صرف اهي ڪردار ۽ خاصيتون انسٽال ڪريو جيڪي توهان کي گهرجن (IIS، .NET ان جي گهربل ورزن ۾، وغيره). هر اضافي پيڪيج آهي اضافي مٿاڇري ڪمزورين ۽ ترتيب لاءِ. ڊفالٽ يا اضافي ايپليڪيشنن کي انسٽال ڪريو جيڪي استعمال نه ٿينديون (ڏسو وينارو ٽوئيڪر: مفيد ۽ محفوظ ترتيبون).

جائزو وٺندڙ خدمتون: ضروري، خودڪار طريقي سان؛ جيڪي ٻين تي ڀاڙين ٿيون، ۾ خودڪار (شروع ٿيڻ ۾ دير) يا چڱي طرح بيان ڪيل انحصار سان؛ ڪا به شيءِ جيڪا قدر شامل نه ڪري، غير فعال. ۽ ايپليڪيشن سروسز لاءِ، استعمال ڪريو مخصوص سروس اڪائونٽس گهٽ ۾ گهٽ اجازتن سان، جيڪڏهن توهان ان کان بچي سگهو ٿا ته مقامي نظام سان نه.

فائر وال ۽ نمائش گھٽائڻ

عام اصول: ڊفالٽ طور تي بلاڪ ڪريو ۽ صرف اهو کوليو جيڪو ضروري هجي. جيڪڏهن اهو هڪ ويب سرور آهي، ظاهر ڪريو HTTP / HTTPS ۽ بس؛ انتظاميه (RDP، WinRM، SSH) VPN تي ڪئي وڃي ۽، جيڪڏهن ممڪن هجي ته، IP پتي جي ذريعي محدود ڪئي وڃي. ونڊوز فائر وال پروفائلز (ڊومين، پرائيويٽ، پبلڪ) ۽ گرينولر قاعدن ذريعي سٺو ڪنٽرول پيش ڪري ٿو.

هڪ وقف ٿيل پيري ميٽر فائر وال هميشه هڪ پلس هوندو آهي، ڇاڪاڻ ته اهو سرور کي آف لوڊ ڪري ٿو ۽ شامل ڪري ٿو تفصيلي آپشن (معائنو، IPS، سيگمينٽيشن). ڪنهن به صورت ۾، طريقو ساڳيو آهي: گهٽ کليل بندرگاهن، گهٽ استعمال لائق حملي جي مٿاڇري.

ريموٽ رسائي ۽ غير محفوظ پروٽوڪول

آر ڊي پي صرف جيڪڏهن بلڪل ضروري هجي، سان اين ايل اي، هاءِ انڪرپشنجيڪڏهن ممڪن هجي ته MFA، ۽ مخصوص گروپن ۽ نيٽ ورڪن تائين محدود رسائي. ٽيل نيٽ ۽ ايف ٽي پي کان پاسو ڪريو؛ جيڪڏهن توهان کي منتقلي جي ضرورت آهي، ته SFTP/SSH استعمال ڪريو، ۽ اڃا به بهتر، هڪ VPN کانپاور شيل ريموٽنگ ۽ ايس ايس ايڇ کي ڪنٽرول ڪرڻ گهرجي: محدود ڪريو ته ڪير انهن تائين رسائي ڪري سگهي ٿو ۽ ڪٿان. ريموٽ ڪنٽرول لاءِ هڪ محفوظ متبادل جي طور تي، سکو ته ڪيئن ڪجي ونڊوز تي ڪروم ريموٽ ڊيسڪ ٽاپ کي چالو ۽ ترتيب ڏيو.

جيڪڏهن توهان کي ان جي ضرورت ناهي، ته ريموٽ رجسٽريشن سروس کي غير فعال ڪريو. جائزو وٺو ۽ بلاڪ ڪريو. نال سيشن پائپس y نال سيشن شيئرز وسيلن تائين گمنام رسائي کي روڪڻ لاءِ. ۽ جيڪڏهن IPv6 توهان جي صورت ۾ استعمال نه ڪيو ويو آهي، ته اثر جو جائزو وٺڻ کان پوءِ ان کي غير فعال ڪرڻ تي غور ڪريو.

پيچنگ، تازه ڪاريون، ۽ ڪنٽرول تبديل ڪريو

ونڊوز کي اپڊيٽ رکو سيڪيورٽي پيچرو پيداوار ڏانهن منتقل ٿيڻ کان اڳ ڪنٽرول ٿيل ماحول ۾ روزاني جاچ. WSUS يا SCCM پيچ چڪر کي منظم ڪرڻ لاءِ اتحادي آهن. ٽئين پارٽي سافٽ ويئر کي نه وساريو، جيڪو اڪثر ڪمزور ڪڙي آهي: اپڊيٽ شيڊول ڪريو ۽ ڪمزورين کي جلدي درست ڪريو.

جي ڊرائيور ڊرائيور پڻ ونڊوز کي مضبوط ڪرڻ ۾ ڪردار ادا ڪن ٿا: پراڻا ڊوائيس ڊرائيور حادثن ۽ ڪمزورين جو سبب بڻجي سگهن ٿا. باقاعده ڊرائيور اپڊيٽ جي عمل کي قائم ڪريو، نئين خاصيتن تي استحڪام ۽ سيڪيورٽي کي ترجيح ڏيو.

واقعن جي لاگنگ، آڊيٽنگ، ۽ نگراني

سيڪيورٽي آڊيٽنگ کي ترتيب ڏيو ۽ لاگ سائيز وڌايو ته جيئن اهي هر ٻن ڏينهن ۾ نه گھمن. ڪارپوريٽ ويور يا SIEM ۾ واقعن کي مرڪزي بڻايو، ڇاڪاڻ ته هر سرور جو انفرادي طور تي جائزو وٺڻ غير عملي ٿي ويندو آهي جيئن توهان جو سسٽم وڌندو آهي. مسلسل نگراني ڪارڪردگي جي بنيادي حدن ۽ خبرداري جي حدن سان، "انڌي فائرنگ" کان پاسو ڪريو.

فائل انٽيگريٽي مانيٽرنگ (FIM) ٽيڪنالاجيون ۽ ڪنفيگريشن تبديلي ٽريڪنگ بنيادي انحراف کي ڳولڻ ۾ مدد ڪن ٿيون. اوزار جهڙوڪ نيٽ ورڪس تبديلي ٽريڪر اهي اهو ڳولڻ ۽ وضاحت ڪرڻ آسان بڻائين ٿا ته ڇا تبديل ٿيو آهي، ڪير ۽ ڪڏهن، جواب کي تيز ڪرڻ ۽ تعميل ۾ مدد ڪرڻ (NIST، PCI DSS، CMMC، STIG، NERC CIP).

آرام ۽ منتقلي دوران ڊيٽا انڪرپشن

سرورز لاءِ، BitLocker اهو اڳ ۾ ئي حساس ڊيٽا سان سڀني ڊرائيوز تي هڪ بنيادي ضرورت آهي. جيڪڏهن توهان کي فائل-سطح جي گرينوليريٽي جي ضرورت آهي، استعمال ڪريو... اي ايف ايسسرورز جي وچ ۾، IPsec رازداري ۽ سالميت کي محفوظ رکڻ لاءِ ٽرئفڪ کي انڪرپٽ ڪرڻ جي اجازت ڏئي ٿو، جيڪو ڪجهه اهم آهي سيگمينٽڊ نيٽ ورڪ يا گهٽ قابل اعتماد قدمن سان. ونڊوز ۾ سختي تي بحث ڪرڻ وقت هي اهم آهي.

رسائي جو انتظام ۽ نازڪ پاليسيون

استعمال ڪندڙن ۽ خدمتن تي گهٽ ۾ گهٽ استحقاق جو اصول لاڳو ڪريو. هيشز کي ذخيرو ڪرڻ کان پاسو ڪريو لين مئنيجر ۽ NTLMv1 کي غير فعال ڪريو سواءِ پراڻي انحصار جي. اجازت ڏنل Kerberos انڪرپشن قسمن کي ترتيب ڏيو ۽ جتي ضروري نه هجي اتي فائل ۽ پرنٽر شيئرنگ کي گهٽايو.

ويليو هٽائڻ واري ميڊيا (USB) کي محدود يا بلاڪ ڪريو مالويئر جي اخراج يا داخلا کي محدود ڪرڻ لاءِ. اهو لاگ ان ٿيڻ کان اڳ هڪ قانوني نوٽيس ڏيکاري ٿو ("غير مجاز استعمال منع ٿيل")، ۽ گهربل آهي Ctrl + Alt + Del ۽ اهو خودڪار طريقي سان غير فعال سيشن کي ختم ڪري ٿو. اهي سادا طريقا آهن جيڪي حملي آور جي مزاحمت کي وڌائين ٿا.

ڪشش حاصل ڪرڻ لاءِ اوزار ۽ آٽوميشن

وڏي تعداد ۾ بيس لائين لاڳو ڪرڻ لاءِ، استعمال ڪريو GPO ۽ مائڪروسافٽ جون سيڪيورٽي بيس لائينون. سي آءِ ايس گائيڊ، تشخيصي اوزارن سان گڏ، توهان جي موجوده حالت ۽ ٽارگيٽ جي وچ ۾ فرق کي ماپڻ ۾ مدد ڪن ٿا. جتي پيماني جي ضرورت آهي، حل جهڙوڪ ڪيلڪام هارڊننگ سوٽ (سي ايڇ ايس) اهي ماحول بابت سکڻ، اثرن جي اڳڪٿي ڪرڻ، ۽ پاليسين کي مرڪزي طور تي لاڳو ڪرڻ ۾ مدد ڪن ٿا، وقت سان گڏ سختي برقرار رکندا آهن.

ڪلائنٽ سسٽم تي، مفت افاديتون آهن جيڪي ضروري شين کي "سخت" ڪرڻ کي آسان بڻائين ٿيون. سِشَرڊنر اهو خدمتن، فائر وال ۽ عام سافٽ ويئر تي سيٽنگون پيش ڪري ٿو؛ هارڊينٽولز ممڪن طور تي استحصالي افعال کي غير فعال ڪري ٿو (ميڪرو، ايڪٽو ايڪس، ونڊوز اسڪرپٽ هوسٽ، پاور شيل/آئي ايس اي في برائوزر)؛ ۽ هارڊ_ڪنفيگريٽر اهو توهان کي SRP سان کيڏڻ، رستي يا هيش ذريعي وائيٽ لسٽ ڪرڻ، مقامي فائلن تي اسمارٽ اسڪرين، غير قابل اعتماد ذريعن کي بلاڪ ڪرڻ ۽ USB/DVD تي خودڪار عمل ڪرڻ جي اجازت ڏئي ٿو.

فائر وال ۽ رسائي: عملي قاعدا جيڪي ڪم ڪن ٿا

ونڊوز فائر وال کي هميشه چالو ڪريو، ٽنهي پروفائلز کي ڊفالٽ طور تي ايندڙ ايندڙ بلاڪنگ سان ترتيب ڏيو، ۽ کوليو صرف نازڪ بندرگاهن سروس ڏانهن (جيڪڏهن لاڳو ٿئي ته IP اسڪوپ سان). ريموٽ ايڊمنسٽريشن بهترين طور تي VPN ذريعي ۽ محدود رسائي سان ڪيو ويندو آهي. پراڻي قاعدن جو جائزو وٺو ۽ ڪنهن به شيءِ کي غير فعال ڪريو جيڪا هاڻي گهربل ناهي.

اهو نه وساريو ته ونڊوز ۾ سخت ٿيڻ هڪ جامد تصوير ناهي: اهو هڪ متحرڪ عمل آهي. پنهنجي بيس لائين کي دستاويز ڪريو. انحرافن جي نگراني ڪري ٿوهر پيچ کان پوءِ تبديلين جو جائزو وٺو ۽ ماپن کي سامان جي اصل ڪم سان مطابقت ڏيو. ٿورو ٽيڪنيڪل نظم و ضبط، آٽوميشن جو ٿورو لمس، ۽ هڪ واضح خطري جو جائزو ونڊوز کي ان جي ورسٽائلٽي کي قربان ڪرڻ کان سواءِ ٽوڙڻ لاءِ تمام گهڻو ڏکيو سسٽم بڻائي ٿو.