වින්ඩෝස් වල දැඩි කිරීම යනු කුමක්ද සහ පද්ධති පරිපාලකයෙකු නොවී එය යොදන්නේ කෙසේද

ඔබ සේවාදායක හෝ පරිශීලක පරිගණක කළමනාකරණය කරන්නේ නම්, ඔබ බොහෝ විට මෙම ප්‍රශ්නය ඔබෙන්ම අසා ඇති: හොඳින් නිදා ගැනීමට තරම් Windows ආරක්ෂිත කරන්නේ කෙසේද? වින්ඩෝස් වල දැඩි කිරීම එය එක වර කළ හැකි උපක්‍රමයක් නොව, ප්‍රහාරක මතුපිට අඩු කිරීමට, ප්‍රවේශය සීමා කිරීමට සහ පද්ධතිය පාලනය යටතේ තබා ගැනීමට තීරණ සහ ගැලපීම් සමූහයකි.

ආයතනික පරිසරයක, මෙහෙයුම් වල අත්තිවාරම සේවාදායකයන් වේ: ඒවා දත්ත ගබඩා කරයි, සේවා සපයයි, සහ තීරණාත්මක ව්‍යාපාරික සංරචක සම්බන්ධ කරයි; ඒ නිසා ඒවා ඕනෑම ප්‍රහාරකයෙකුට එතරම් ප්‍රමුඛ ඉලක්කයක් වේ. හොඳම භාවිතයන් සහ මූලික කරුණු සමඟ වින්ඩෝස් ශක්තිමත් කිරීමෙන්, ඔබ අසාර්ථකත්වයන් අවම කරයි, ඔබ අවදානම් සීමා කරයි සහ එක් අවස්ථාවකදී සිදුවීමක් ඉතිරි යටිතල පහසුකම් දක්වා වර්ධනය වීම ඔබ වළක්වයි.

වින්ඩෝස් වල දැඩි කිරීම යනු කුමක්ද සහ එය ප්‍රධාන වන්නේ ඇයි?

දැඩි කිරීම හෝ ශක්තිමත් කිරීම සමන්විත වන්නේ සංරචක වින්‍යාස කිරීම, ඉවත් කිරීම හෝ සීමා කිරීම විභව පිවිසුම් ස්ථාන වැසීමට මෙහෙයුම් පද්ධතිය, සේවා සහ යෙදුම්. වින්ඩෝස් බහුකාර්ය සහ අනුකූල වේ, ඔව්, නමුත් "එය සෑම දෙයකටම පාහේ ක්‍රියා කරයි" යන ප්‍රවේශයෙන් අදහස් වන්නේ එය ඔබට සැමවිටම අවශ්‍ය නොවන විවෘත ක්‍රියාකාරීත්වයන් සමඟ එන බවයි.

ඔබ අනවශ්‍ය කාර්යයන්, වරායන් හෝ ප්‍රොටෝකෝල සක්‍රීයව තබා ගන්නා තරමට, ඔබේ අවදානම වැඩි වේ. දැඩි කිරීමේ ඉලක්කය වන්නේ ප්‍රහාරක මතුපිට අඩු කරන්නයාවත්කාලීන පැච්, ක්‍රියාකාරී විගණනය සහ පැහැදිලි ප්‍රතිපත්ති සමඟින් වරප්‍රසාද සීමා කර අත්‍යවශ්‍ය දේ පමණක් තබන්න.

මෙම ප්‍රවේශය වින්ඩෝස් සඳහා පමණක් ආවේණික නොවේ; එය ඕනෑම නවීන පද්ධතියකට අදාළ වේ: එය විවිධ අවස්ථා දහසක් හැසිරවීමට සූදානම්ව ස්ථාපනය කර ඇත. ඒ නිසා එය යෝග්‍ය වේ ඔබ භාවිතා නොකරන දේ වසා දමන්න.මොකද ඔබ එය භාවිතා නොකරන්නේ නම්, වෙනත් කෙනෙකු එය ඔබ වෙනුවෙන් භාවිතා කිරීමට උත්සාහ කළ හැකිය.

පාඨමාලාව ප්‍රස්ථාරගත කරන මූලික කරුණු සහ ප්‍රමිතීන්

වින්ඩෝස් වල දැඩි කිරීම සඳහා, වැනි මිණුම් සලකුණු තිබේ අන්තර්ජාල ආරක්ෂණ මධ්‍යස්ථානය (CIS) සහ DoD STIG මාර්ගෝපදේශ, ඊට අමතරව මයික්‍රොසොෆ්ට් ආරක්ෂක මූලික කරුණු (Microsoft Security Baselines). මෙම යොමු කිරීම් මඟින් Windows හි විවිධ භූමිකාවන් සහ අනුවාද සඳහා නිර්දේශිත වින්‍යාස කිරීම්, ප්‍රතිපත්ති අගයන් සහ පාලනයන් ආවරණය කෙරේ.

මූලික පදනමක් යෙදීම ව්‍යාපෘතිය බෙහෙවින් වේගවත් කරයි: එය පෙරනිමි වින්‍යාසය සහ හොඳම භාවිතයන් අතර පරතරයන් අඩු කරයි, වේගවත් යෙදවුම් වල සාමාන්‍ය "හිඩැස්" වළක්වයි. එසේ වුවද, සෑම පරිසරයක්ම අද්විතීය වන අතර එය නිර්දේශ කෙරේ වෙනස්කම් පරීක්ෂා කරන්න ඒවා නිෂ්පාදනයට ගැනීමට පෙර.

වින්ඩෝස් දැඩි කිරීම පියවරෙන් පියවර

සූදානම සහ භෞතික ආරක්ෂාව

පද්ධතිය ස්ථාපනය කිරීමට පෙර වින්ඩෝස් හි දැඩි කිරීම ආරම්භ වේ. තබා ගන්න a සම්පූර්ණ සේවාදායක ඉන්වෙන්ටරිනව ඒවා දැඩි වන තුරු ගමනාගමනයෙන් හුදකලා කරන්න, මුරපදයකින් BIOS/UEFI ආරක්ෂා කරන්න, අක්‍රීය කරන්න බාහිර මාධ්‍යයෙන් ආරම්භ කරන්න සහ ප්‍රතිසාධන කොන්සෝලවල ස්වයංක්‍රීයව පිවිසීම වළක්වයි.

ඔබ ඔබේම දෘඩාංග භාවිතා කරන්නේ නම්, උපකරණ පහත ස්ථානවල තබන්න භෞතික ප්‍රවේශ පාලනයනිසි උෂ්ණත්වය සහ අධීක්ෂණය අත්‍යවශ්‍ය වේ. භෞතික ප්‍රවේශය සීමා කිරීම තාර්කික ප්‍රවේශය තරම්ම වැදගත් වේ, මන්ද චැසියක් විවෘත කිරීම හෝ USB වෙතින් ආරම්භ කිරීම සියල්ල අවදානමට ලක් කළ හැකිය.

ගිණුම්, අක්තපත්‍ර සහ මුරපද ප්‍රතිපත්තිය

පැහැදිලි දුර්වලතා ඉවත් කිරීමෙන් ආරම්භ කරන්න: ආගන්තුක ගිණුම අක්‍රිය කර, හැකි නම්, ප්‍රාදේශීය පරිපාලක අක්‍රීය කරයි හෝ නැවත නම් කරයිසුළු නොවන නමක් සහිත පරිපාලන ගිණුමක් සාදන්න (විමසුම Windows 11 නොබැඳිව දේශීය ගිණුමක් සාදා ගන්නේ කෙසේද) සහ එදිනෙදා කාර්යයන් සඳහා වරප්‍රසාද නොලත් ගිණුම් භාවිතා කරයි, අවශ්‍ය විටෙක පමණක් "Run as" හරහා වරප්‍රසාද ඉහළ නංවයි.

ඔබගේ මුරපද ප්‍රතිපත්තිය ශක්තිමත් කරන්න: සුදුසු සංකීර්ණතාව සහ දිග සහතික කරන්න. ආවර්තිතා කල් ඉකුත්වීමනැවත භාවිතය වැළැක්වීම සඳහා ඉතිහාසය සහ අසාර්ථක උත්සාහයන්ගෙන් පසු ගිණුම් අගුළු දැමීම. ඔබ බොහෝ කණ්ඩායම් කළමනාකරණය කරන්නේ නම්, දේශීය අක්තපත්‍ර භ්‍රමණය කිරීම සඳහා LAPS වැනි විසඳුම් සලකා බලන්න; වැදගත් දෙය නම් ස්ථිතික අක්තපත්‍ර වළක්වා ගන්න සහ අනුමාන කිරීමට පහසුය.

 

කණ්ඩායම් සාමාජිකත්වයන් (පරිපාලකයින්, දුරස්ථ ඩෙස්ක්ටොප් පරිශීලකයින්, උපස්ථ ක්‍රියාකරුවන්, ආදිය) සමාලෝචනය කර අනවශ්‍ය ඒවා ඉවත් කරන්න. මූලධර්මය අඩු වරප්‍රසාද පාර්ශ්වීය චලනයන් සීමා කිරීම සඳහා එය ඔබේ හොඳම මිතුරා වේ.

ජාල, DNS සහ කාල සමමුහුර්තකරණය (NTP)

නිෂ්පාදන සේවාදායකයකට තිබිය යුත්තේ ස්ථිතික අයි.පී., ෆයර්වෝලයක් පිටුපස ආරක්ෂිත කොටස්වල පිහිටා තිබිය යුතුය (සහ දැනගන්න CMD වෙතින් සැක සහිත ජාල සම්බන්ධතා අවහිර කරන්නේ කෙසේද? (අවශ්‍ය විට), සහ අතිරික්තතාව සඳහා DNS සේවාදායක දෙකක් අර්ථ දක්වා ඇත. A සහ ​​PTR වාර්තා පවතින බව සත්‍යාපනය කරන්න; DNS ප්‍රචාරණය... මතක තබා ගන්න. එය ගත විය හැකිය ඒ වගේම සැලසුම් කිරීම සුදුසුයි.

NTP වින්‍යාස කරන්න: මිනිත්තු කිහිපයක අපගමනය Kerberos බිඳ දමමින් දුර්ලභ සත්‍යාපන අසාර්ථකත්වයන් ඇති කරයි. විශ්වාසදායක ටයිමරයක් නිර්වචනය කර එය සමමුහුර්ත කරන්න. මුළු බලඇණියම ඔබට අවශ්‍ය නැතිනම්, TCP/IP හරහා NetBIOS වැනි උරුම ප්‍රොටෝකෝල හෝ LMHosts සෙවීම අක්‍රීය කරන්න. ශබ්දය අඩු කරන්න සහ ප්‍රදර්ශනය.

භූමිකාවන්, විශේෂාංග සහ සේවා: අඩුවෙන් වැඩිය.

සේවාදායකයේ අරමුණ සඳහා ඔබට අවශ්‍ය භූමිකාවන් සහ විශේෂාංග පමණක් ස්ථාපනය කරන්න (IIS, .NET එහි අවශ්‍ය අනුවාදයේ ආදිය). සෑම අමතර පැකේජයක්ම අතිරේක මතුපිට අවදානම් සහ වින්‍යාසය සඳහා. පෙරනිමි හෝ භාවිතා නොකරන අමතර යෙදුම් අස්ථාපනය කරන්න (බලන්න Winaero Tweaker: ප්‍රයෝජනවත් සහ ආරක්ෂිත ගැලපීම්).

සමාලෝචන සේවා: අවශ්‍ය ඒවා, ස්වයංක්‍රීයව; අන් අය මත යැපෙන ඒවා, ස්වයංක්‍රීය (ප්‍රමාද ආරම්භය) හෝ හොඳින් අර්ථ දක්වා ඇති පරායත්තතා සමඟ; අගය එකතු නොකරන ඕනෑම දෙයක්, අබල කර ඇත. සහ යෙදුම් සේවා සඳහා, භාවිතා කරන්න නිශ්චිත සේවා ගිණුම් අවම අවසරයන් සහිතව, ඔබට එය වළක්වා ගත හැකි නම් දේශීය පද්ධතිය නොවේ.

ෆයර්වෝල් සහ නිරාවරණය අවම කිරීම

සාමාන්‍ය රීතිය: පෙරනිමියෙන් අවහිර කර අවශ්‍ය දේ පමණක් විවෘත කරන්න. එය වෙබ් සේවාදායකයක් නම්, නිරාවරණය කරන්න HTTP / HTTPS ඒ වගේම තමයි; පරිපාලනය (RDP, WinRM, SSH) VPN හරහා සිදු කළ යුතු අතර, හැකි නම්, IP ලිපිනය මගින් සීමා කළ යුතුය. Windows ෆයර්වෝල් පැතිකඩ (වසම්, පුද්ගලික, පොදු) සහ කැටිති නීති හරහා හොඳ පාලනයක් ලබා දෙයි.

කැපවූ පරිමිතිය සහිත ෆයර්වෝලයක් සැමවිටම වාසියකි, මන්ද එය සේවාදායකය අක්‍රීය කර එකතු කරයි උසස් විකල්ප (පරීක්ෂාව, IPS, ඛණ්ඩනය). ඕනෑම අවස්ථාවක, ප්‍රවේශය එකම වේ: අඩු විවෘත වරායන්, අඩු භාවිතා කළ හැකි ප්‍රහාරක මතුපිට.

දුරස්ථ ප්‍රවේශය සහ අනාරක්ෂිත ප්‍රොටෝකෝල

අත්‍යවශ්‍ය නම් පමණක් RDP, සමඟ NLA, ඉහළ සංකේතනයහැකි නම් MFA, සහ නිශ්චිත කණ්ඩායම් සහ ජාල වෙත ප්‍රවේශය සීමා කරන්න. ටෙල්නෙට් සහ FTP වලින් වළකින්න; ඔබට මාරු කිරීමක් අවශ්‍ය නම්, SFTP/SSH භාවිතා කරන්න, ඊටත් වඩා හොඳයි, VPN එකකින්PowerShell දුරස්ථකරණය සහ SSH පාලනය කළ යුතුය: ඒවාට ප්‍රවේශ විය හැක්කේ කාටද සහ කොහෙන්ද යන්න සීමා කරන්න. දුරස්ථ පාලකය සඳහා ආරක්ෂිත විකල්පයක් ලෙස, ඉගෙන ගන්න Windows මත Chrome දුරස්ථ ඩෙස්ක්ටොප් එක සක්‍රිය කර වින්‍යාස කරන්න.

ඔබට එය අවශ්‍ය නොවේ නම්, දුරස්ථ ලියාපදිංචි කිරීමේ සේවාව අක්‍රිය කරන්න. සමාලෝචනය කර අවහිර කරන්න. ශුන්‍ය සැසි පයිප්ප y ශුන්‍ය සැසි කොටස් සම්පත් වෙත නිර්නාමික ප්‍රවේශය වැළැක්වීමට. ඔබේ නඩුවේදී IPv6 භාවිතා නොකරන්නේ නම්, බලපෑම තක්සේරු කිරීමෙන් පසු එය අක්‍රිය කිරීම සලකා බලන්න.

පැච් කිරීම, යාවත්කාලීන කිරීම් සහ වෙනස් කිරීමේ පාලනය

Windows යාවත්කාලීනව තබා ගන්න ආරක්ෂක පැච් නිෂ්පාදනයට යාමට පෙර පාලිත පරිසරයක දිනපතා පරීක්ෂා කිරීම. පැච් චක්‍රය කළමනාකරණය කිරීම සඳහා WSUS හෝ SCCM සහචරයින් වේ. බොහෝ විට දුර්වල සබැඳිය වන තෙවන පාර්ශවීය මෘදුකාංග අමතක නොකරන්න: යාවත්කාලීන කිරීම් කාලසටහන්ගත කිරීම සහ අවදානම් ඉක්මනින් නිවැරදි කිරීම.

මෙම රියදුරන් වින්ඩෝස් දැඩි කිරීමේදී ධාවක ද කාර්යභාරයක් ඉටු කරයි: යල් පැන ගිය උපාංග ධාවක බිඳ වැටීම් සහ අවදානම් ඇති කළ හැකිය. නව විශේෂාංගවලට වඩා ස්ථාවරත්වය සහ ආරක්ෂාව ප්‍රමුඛත්වය දෙමින් නිතිපතා ධාවක යාවත්කාලීන ක්‍රියාවලියක් ස්ථාපිත කරන්න.

සිදුවීම් ලොග් කිරීම, විගණනය සහ අධීක්ෂණය

ආරක්ෂක විගණනය වින්‍යාස කර දින දෙකකට වරක් භ්‍රමණය නොවන පරිදි ලොග් ප්‍රමාණය වැඩි කරන්න. ඔබේ පද්ධතිය වර්ධනය වන විට එක් එක් සේවාදායකය තනි තනිව සමාලෝචනය කිරීම ප්‍රායෝගික නොවන බැවින්, ආයතනික නරඹන්නෙකු හෝ SIEM හි සිදුවීම් මධ්‍යගත කරන්න. අඛණ්ඩ අධීක්ෂණය කාර්ය සාධන මූලික රේඛා සහ අනතුරු ඇඟවීමේ සීමාවන් සමඟ, "අන්ධ ලෙස වෙඩි තැබීමෙන්" වළකින්න.

ගොනු අඛණ්ඩතා නිරීක්ෂණ (FIM) තාක්ෂණයන් සහ වින්‍යාස වෙනස් කිරීමේ ලුහුබැඳීම මූලික අපගමනයන් හඳුනා ගැනීමට උපකාරී වේ. වැනි මෙවලම් නෙට්වික්ස් වෙනස් කිරීමේ ට්‍රැකර් ඒවා වෙනස් වී ඇති දේ, කවුද සහ කවදාද යන්න හඳුනා ගැනීමට සහ පැහැදිලි කිරීමට පහසු කරයි, ප්‍රතිචාරය වේගවත් කරයි සහ අනුකූලතාවයට සහාය වේ (NIST, PCI DSS, CMMC, STIG, NERC CIP).

නිශ්චලව සහ සංක්‍රමණයේදී දත්ත සංකේතනය

සේවාදායකයින් සඳහා, බිට්ලොකර් සංවේදී දත්ත සහිත සියලුම ධාවක සඳහා එය දැනටමත් මූලික අවශ්‍යතාවයකි. ඔබට ගොනු මට්ටමේ කැටිතිකරණය අවශ්‍ය නම්, භාවිතා කරන්න... එෆ්එස්සේවාදායකයන් අතර, රහස්‍යභාවය සහ අඛණ්ඩතාව ආරක්ෂා කිරීම සඳහා ගමනාගමනය සංකේතනය කිරීමට IPsec ඉඩ දෙයි, එය ප්‍රධාන දෙයකි කොටස් කළ ජාල හෝ අඩු විශ්වාසදායක පියවර සමඟ. වින්ඩෝස් හි දැඩි කිරීම ගැන සාකච්ඡා කිරීමේදී මෙය ඉතා වැදගත් වේ.

ප්‍රවේශ කළමනාකරණය සහ තීරණාත්මක ප්‍රතිපත්ති

පරිශීලකයින්ට සහ සේවාවන්ට අවම වරප්‍රසාද මූලධර්මය යොදන්න. හැෂ් ගබඩා කිරීමෙන් වළකින්න LAN කළමනාකරු සහ උරුම පරායත්තතා හැර NTLMv1 අක්‍රීය කරන්න. අවසර ලත් Kerberos සංකේතාංකන වර්ග වින්‍යාස කර අත්‍යවශ්‍ය නොවන විට ගොනු සහ මුද්‍රණ යන්ත්‍ර බෙදාගැනීම අඩු කරන්න.

වටිනාකම ඉවත් කළ හැකි මාධ්‍ය (USB) සීමා කරන්න හෝ අවහිර කරන්න අනිෂ්ට මෘදුකාංග පිටවීම හෝ ඇතුළුවීම සීමා කිරීමට. එය පිවිසීමට පෙර නීතිමය දැන්වීමක් පෙන්වයි (“අනවසර භාවිතය තහනම්”), සහ අවශ්‍ය වේ Ctrl + Alt + Del සහ එය ස්වයංක්‍රීයව අක්‍රිය සැසි අවසන් කරයි. මේවා ප්‍රහාරකයාගේ ප්‍රතිරෝධය වැඩි කරන සරල පියවර වේ.

ආකර්ෂණය ලබා ගැනීම සඳහා මෙවලම් සහ ස්වයංක්‍රීයකරණය

මූලික රේඛා තොග වශයෙන් යෙදීමට, භාවිතා කරන්න GPO සහ Microsoft හි ආරක්ෂක මූලික රේඛා. CIS මාර්ගෝපදේශ, තක්සේරු මෙවලම් සමඟින්, ඔබගේ වත්මන් තත්ත්වය සහ ඉලක්කය අතර පරතරය මැනීමට උපකාරී වේ. පරිමාණයට අවශ්‍ය වන විට, වැනි විසඳුම් කැල්කොම් දැඩි කිරීමේ කට්ටලය (CHS) ඒවා පරිසරය ගැන ඉගෙන ගැනීමට, බලපෑම් පුරෝකථනය කිරීමට සහ ප්‍රතිපත්ති මධ්‍යගතව ක්‍රියාත්මක කිරීමට උපකාරී වන අතර කාලයත් සමඟ දැඩි කිරීම පවත්වා ගනී.

සේවාදායක පද්ධතිවල, අත්‍යවශ්‍ය දෑ "දැඩි කිරීම" සරල කරන නොමිලේ උපයෝගිතා තිබේ. සිෂාර්ඩනර් එය සේවා, ෆයර්වෝල් සහ පොදු මෘදුකාංග සඳහා සැකසුම් පිරිනමයි; හාර්ඩන්ටූල්ස් සූරාකෑමට ලක්විය හැකි කාර්යයන් අක්‍රීය කරයි (මැක්‍රෝස්, ඇක්ටිව්එක්ස්, වින්ඩෝස් ස්ක්‍රිප්ට් සත්කාරක, බ්‍රවුසරයකට පවර්ෂෙල්/ISE); සහ දෘඩ_වින්‍යාස කරන්නා එය ඔබට SRP සමඟ සෙල්ලම් කිරීමට, මාර්ගය හෝ හැෂ් අනුව සුදු ලැයිස්තු, දේශීය ගොනු මත SmartScreen, විශ්වාස නොකළ මූලාශ්‍ර අවහිර කිරීම සහ USB/DVD මත ස්වයංක්‍රීයව ක්‍රියාත්මක කිරීමට ඉඩ සලසයි.

ෆයර්වෝල් සහ ප්‍රවේශය: ක්‍රියාත්මක වන ප්‍රායෝගික නීති

සෑම විටම Windows ෆයර්වෝලය සක්‍රිය කරන්න, පෙරනිමියෙන් එන එන අවහිර කිරීම් සහිත පැතිකඩ තුනම වින්‍යාස කරන්න, සහ විවෘත කරන්න තීරණාත්මක වරායන් පමණි සේවාවට (අදාළ නම් IP විෂය පථය සමඟ). දුරස්ථ පරිපාලනය VPN හරහා සහ සීමිත ප්‍රවේශයකින් සිදු කිරීම වඩාත් සුදුසුය. උරුම නීති සමාලෝචනය කර තවදුරටත් අවශ්‍ය නොවන ඕනෑම දෙයක් අක්‍රිය කරන්න.

වින්ඩෝස් වල දැඩි කිරීම ස්ථිතික රූපයක් නොවන බව අමතක නොකරන්න: එය ගතික ක්‍රියාවලියකි. ඔබේ මූලික රේඛාව ලේඛනගත කරන්න. අපගමනයන් නිරීක්ෂණය කරයිඑක් එක් පැච් එකෙන් පසු වෙනස්කම් සමාලෝචනය කර උපකරණවල සැබෑ ක්‍රියාකාරිත්වයට මිනුම් අනුවර්තනය කරන්න. සුළු තාක්ෂණික විනයක්, ස්වයංක්‍රීයකරණයේ ස්පර්ශයක් සහ පැහැදිලි අවදානම් තක්සේරුවක් වින්ඩෝස් එහි බහුකාර්යතාව කැප නොකර බිඳ දැමීමට වඩා දුෂ්කර පද්ධතියක් බවට පත් කරයි.