- Osnovne smernice (CIS, STIG in Microsoft) vodijo dosledno in merljivo utrjevanje.
- Manj prostora: namestite le tisto, kar je nujno, omejite vrata in privilegije.
- Popravki, spremljanje in šifriranje ohranjajo varnost skozi čas.
- Avtomatizirajte z GPO-ji in orodji za vzdrževanje varnostnega stanja.
Če upravljate strežnike ali uporabniške računalnike, ste si verjetno že zastavili to vprašanje: kako naredim Windows dovolj varen, da boste lahko mirno spali? utrjevanje v sistemu Windows Ne gre za enkraten trik, temveč za niz odločitev in prilagoditev za zmanjšanje površine napada, omejitev dostopa in ohranjanje nadzora nad sistemom.
V poslovnem okolju so strežniki temelj delovanja: shranjujejo podatke, zagotavljajo storitve in povezujejo ključne poslovne komponente; zato so tako glavna tarča za vsakega napadalca. Z okrepitvijo sistema Windows z najboljšimi praksami in osnovnimi vrednostmi, Zmanjšujete napake, omejujete tveganja in preprečite, da bi se incident na neki točki razširil na preostalo infrastrukturo.
Kaj je utrjevanje v sistemu Windows in zakaj je ključnega pomena?
Utrjevanje ali ojačitev je sestavljena iz konfigurirajte, odstranite ali omejite komponente operacijskega sistema, storitev in aplikacij za zapiranje morebitnih vstopnih točk. Windows je vsestranski in združljiv, toda pristop »deluje za skoraj vse« pomeni, da ima odprte funkcionalnosti, ki jih ne potrebujete vedno.
Več nepotrebnih funkcij, vrat ali protokolov, ki jih ohranite aktivnih, večja je vaša ranljivost. Cilj utrjevanja je zmanjšati površino napadaOmejite privilegije in pustite le tisto, kar je bistveno, z najnovejšimi popravki, aktivnim nadzorom in jasnimi pravilniki.
Ta pristop ni značilen samo za Windows; velja za kateri koli sodoben sistem: nameščen je pripravljen za delo s tisoč različnimi scenariji. Zato je priporočljivo Zaprite tisto, česar ne uporabljate.Ker če ga ne uporabiš, ga lahko nekdo drug poskuša uporabiti namesto tebe.
Izhodišča in standardi, ki začrtajo potek
Za utrjevanje v sistemu Windows obstajajo merila, kot so CIS (Center za internetno varnost) in smernice DoD STIG, poleg tega pa še Microsoftove varnostne osnove (Microsoftove varnostne osnove). Te reference zajemajo priporočene konfiguracije, vrednosti pravilnikov in kontrolnike za različne vloge in različice sistema Windows.
Uporaba osnovnega načrta močno pospeši projekt: zmanjša vrzeli med privzeto konfiguracijo in najboljšimi praksami ter se izogne "vrzelim", značilnim za hitro uvajanje. Kljub temu je vsako okolje edinstveno in priporočljivo je, da preizkusite spremembe preden jih dajo v proizvodnjo.
Utrjevanje sistema Windows korak za korakom
Priprava in fizično varovanje
Zaščita pred škodo v sistemu Windows se začne pred namestitvijo sistema. popoln popis strežnikovIzolirajte nove od prometa, dokler niso utrjeni, zaščitite BIOS/UEFI z geslom, onemogoči zagon z zunanjega medija in preprečuje samodejno prijavo v konzolah za obnovitev.
Če uporabljate lastno strojno opremo, jo postavite na mesta z fizični nadzor dostopaUstrezna temperatura in spremljanje sta bistvenega pomena. Omejitev fizičnega dostopa je prav tako pomembna kot logični dostop, saj lahko odpiranje ohišja ali zagon z USB-ja ogrozi vse.
Pravilnik o računih, poverilnicah in geslih
Začnite z odpravo očitnih slabosti: onemogočite gostujoči račun in, kjer je to izvedljivo, onemogoči ali preimenuje lokalnega skrbnikaUstvarite skrbniški račun z netrivialnim imenom (poizvedba Kako ustvariti lokalni račun v sistemu Windows 11 brez povezave) in za vsakodnevna opravila uporablja neprivilegirane račune, pri čemer privilegije prek možnosti »Zaženi kot« poveča le, kadar je to potrebno.
Okrepite svojo politiko gesel: zagotovite ustrezno kompleksnost in dolžino. periodični iztekZgodovina za preprečevanje ponovne uporabe in zaklepanja računa po neuspelih poskusih. Če upravljate veliko ekip, razmislite o rešitvah, kot je LAPS, za rotacijo lokalnih poverilnic; pomembno je, da izogibajte se statičnim poverilnicam in enostavno uganiti.
Preglejte članstvo v skupinah (skrbniki, uporabniki oddaljenega namizja, rezervni operaterji itd.) in odstranite nepotrebna. Načelo manjše privilegije Je vaš najboljši zaveznik za omejevanje stranskih gibov.
Omrežje, DNS in sinhronizacija časa (NTP)
Produkcijski strežnik mora imeti Statični IP, se nahajajo v segmentih, zaščitenih za požarnim zidom (in vedo Kako blokirati sumljive omrežne povezave iz CMD (če je potrebno) in imeti definirana dva strežnika DNS za redundanco. Preverite, ali zapisa A in PTR obstajata; ne pozabite, da razširjanje DNS ... lahko traja In priporočljivo je načrtovati.
Konfigurirajte NTP: odstopanje le nekaj minut prekine Kerberos in povzroči redke napake pri preverjanju pristnosti. Določite zaupanja vreden časovnik in ga sinhronizirajte. celotna flota proti temu. Če tega ne potrebujete, onemogočite starejše protokole, kot sta NetBIOS prek TCP/IP ali iskanje LMHosts za Zmanjšajte hrup in razstava.
Vloge, funkcije in storitve: manj je več
Namestite samo vloge in funkcije, ki jih potrebujete za namene strežnika (IIS, .NET v zahtevani različici itd.). Vsak dodatni paket je dodatna površina za ranljivosti in konfiguracijo. Odstranite privzete ali dodatne aplikacije, ki jih ne boste uporabljali (glejte Winaero Tweaker: Koristne in varne prilagoditve).
Pregled storitev: tiste, ki so potrebne, samodejno; tiste, ki so odvisne od drugih, v Samodejni (zakasnjen zagon) ali z dobro definiranimi odvisnostmi; vse, kar ne dodaja vrednosti, je onemogočeno. Za aplikacijske storitve pa uporabite določeni računi storitev z minimalnimi dovoljenji, ne pa z lokalnim sistemom, če se temu lahko izognete.
Zmanjševanje požarnega zidu in izpostavljenosti
Splošno pravilo: privzeto blokiraj in odpri le tisto, kar je nujno potrebno. Če gre za spletni strežnik, izpostavi HTTP / HTTPS In to je to; administracija (RDP, WinRM, SSH) naj se izvaja prek VPN-ja in, če je mogoče, omejena z naslovom IP. Požarni zid sistema Windows ponuja dober nadzor prek profilov (domena, zasebno, javno) in podrobnih pravil.
Namenski požarni zid na perimetru je vedno prednost, saj razbremeni strežnik in doda napredne možnosti (inšpekcijski pregled, IPS, segmentacija). V vsakem primeru je pristop enak: manj odprtih vrat, manj uporabne površine za napad.
Oddaljeni dostop in nezaščiteni protokoli
RDP le, če je to nujno potrebno, z NLA, visoka stopnja šifriranjaČe je mogoče, uporabite večfaktorsko autentifikacijo (MFA) in omejite dostop na določene skupine in omrežja. Izogibajte se telnet in FTP; če potrebujete prenos, uporabite SFTP/SSH ali še bolje, iz VPN-jaOddaljeno upravljanje PowerShella in SSH je treba nadzorovati: omejite, kdo lahko dostopa do njiju in od kod. Naučite se, kako kot varno alternativo za oddaljeno upravljanje Aktiviranje in konfiguriranje oddaljenega namizja Chrome v sistemu Windows.
Če je ne potrebujete, onemogočite storitev oddaljene registracije. Preglejte in blokirajte NullSessionPipes y NullSessionShares da preprečite anonimni dostop do virov. Če se IPv6 v vašem primeru ne uporablja, razmislite o njegovi onemogočitvi po oceni vpliva.
Popravki, posodobitve in nadzor sprememb
Poskrbite za posodobitev sistema Windows varnostni popravki Dnevno testiranje v nadzorovanem okolju pred prehodom v produkcijo. WSUS ali SCCM sta zaveznika za upravljanje cikla popravkov. Ne pozabite na programsko opremo drugih ponudnikov, ki je pogosto šibka točka: načrtujte posodobitve in hitro odpravljajte ranljivosti.
P vozniki Gonilniki igrajo vlogo tudi pri krepitvi sistema Windows: zastareli gonilniki naprav lahko povzročijo zrušitve in ranljivosti. Vzpostavite reden postopek posodabljanja gonilnikov, pri čemer dajte prednost stabilnosti in varnosti pred novimi funkcijami.
Beleženje, revidiranje in spremljanje dogodkov
Konfigurirajte varnostno revidiranje in povečajte velikost dnevnikov, da se ne bodo menjavali vsaka dva dni. Centralizirajte dogodke v pregledovalniku za podjetja ali SIEM, saj pregledovanje vsakega strežnika posebej postane nepraktično, ko vaš sistem raste. stalno spremljanje Z izhodišči uspešnosti in pragovi opozoril se izogibajte "slepemu sprožitvi".
Tehnologije za spremljanje integritete datotek (FIM) in sledenje spremembam konfiguracije pomagajo odkriti odstopanja od osnovne vrednosti. Orodja, kot so Sledilnik sprememb Netwrix Omogočajo lažje zaznavanje in razlago sprememb, kdo jih je spremenil in kdaj, s čimer pospešijo odziv in pomagajo pri skladnosti s predpisi (NIST, PCI DSS, CMMC, STIG, NERC CIP).
Šifriranje podatkov v mirovanju in med prenosom
Za strežnike, BitLocker To je že osnovna zahteva na vseh diskih z občutljivimi podatki. Če potrebujete granularnost na ravni datotek, uporabite ... EFSIPsec omogoča šifriranje prometa med strežniki, da se ohrani zaupnost in integriteta, kar je ključnega pomena. segmentirana omrežja ali z manj zanesljivimi koraki. To je ključnega pomena pri razpravi o utrjevanju sistema Windows.
Upravljanje dostopa in kritične politike
Za uporabnike in storitve uporabite načelo najmanjših privilegijev. Izogibajte se shranjevanju zgoščevalnih vrednosti (hash) Upravitelj LAN in onemogočite NTLMv1, razen za starejše odvisnosti. Konfigurirajte dovoljene vrste šifriranja Kerberos in zmanjšajte skupno rabo datotek in tiskalnikov, kjer to ni nujno.
Vrednost Omejite ali blokirajte izmenljive medije (USB) za omejitev izbruha ali vstopa zlonamerne programske opreme. Pred prijavo prikaže pravno obvestilo (»Nepooblaščena uporaba prepovedana«) in zahteva Ctrl + Alt + Del in samodejno prekine neaktivne seje. To so preprosti ukrepi, ki povečajo odpornost napadalca.
Orodja in avtomatizacija za pridobitev zagona
Za uporabo osnovnih vrednosti v večjem obsegu uporabite GPO in Microsoftove varnostne osnove. Vodniki CIS skupaj z orodji za ocenjevanje pomagajo izmeriti vrzel med vašim trenutnim stanjem in ciljem. Kjer to zahteva obseg, so na voljo rešitve, kot so CalCom Hardening Suite (CHS) Pomagajo pri spoznavanju okolja, napovedovanju vplivov in centralizirani uporabi politik, s čimer se sčasoma krepijo.
Na odjemalskih sistemih obstajajo brezplačni pripomočki, ki poenostavljajo "utrjevanje" bistvenih stvari. Syshardener Ponuja nastavitve za storitve, požarni zid in običajno programsko opremo; Hardentools onemogoči potencialno zlorabljive funkcije (makre, ActiveX, gostitelj skriptov sistema Windows, PowerShell/ISE za vsak brskalnik); in Hard_Configurator Omogoča vam igranje s SRP, bele liste po poti ali zgoščeni vrednosti, SmartScreen na lokalnih datotekah, blokiranje nezaupanja vrednih virov in samodejno izvajanje na USB/DVD-ju.
Požarni zid in dostop: praktična pravila, ki delujejo
Vedno aktivirajte požarni zid sistema Windows, konfigurirajte vse tri profile tako, da bodo privzeto blokirali dohodne sporočila, in odprite samo kritična vrata do storitve (z obsegom IP-ja, če je primerno). Oddaljeno upravljanje je najbolje izvajati prek VPN-ja in z omejenim dostopom. Preglejte starejša pravila in onemogočite vse, kar ni več potrebno.
Ne pozabite, da utrjevanje v sistemu Windows ni statična slika: gre za dinamičen proces. Dokumentirajte svoje izhodišče. spremlja odstopanjaPo vsaki posodobitvi preglejte spremembe in prilagodite ukrepe dejanski funkciji opreme. Z malo tehnične discipline, kančkom avtomatizacije in jasno oceno tveganja je Windows veliko težje vlomljiv sistem, ne da bi pri tem žrtvovali njegovo vsestranskost.
Urednik, specializiran za tehnološka in internetna vprašanja, z več kot desetletnimi izkušnjami v različnih digitalnih medijih. Delal sem kot urednik in ustvarjalec vsebin za podjetja za e-trgovino, komunikacije, spletni marketing in oglaševanje. Pisal sem tudi na spletnih straneh s področja ekonomije, financ in drugih sektorjev. Moje delo je tudi moja strast. Zdaj pa skozi moje članke v Tecnobits, poskušam raziskati vse novosti in nove priložnosti, ki nam jih svet tehnologije ponuja vsak dan za izboljšanje našega življenja.