Maxaa ku adkeynaya Windows iyo sida loo codsado adigoon sysadmin ah

Haddii aad maamusho server-yada ama kombuyuutarrada isticmaala, waxay u badan tahay inaad naftaada waydiisay su'aashan: sidee baan Windows uga dhigayaa mid ammaan ah oo hurdo fiican leh? ku adkaanshaha daaqadaha Ma aha khiyaamo hal mar ah, laakiin waa go'aanno iyo hagaajinno si loo yareeyo dusha weerarka, xaddido gelitaanka, iyo in nidaamka lagu ilaaliyo.

Deegaanka shirkadda, adeegayaashu waa aasaaska hawlgallada: waxay kaydiyaan xogta, bixiyaan adeegyo, oo ay ku xidhaan qaybaha ganacsiga muhiimka ah; taasina waa sababta ay bartilmaameedka ugu weyn u yihiin weerar kasta. Adigoo ku xoojinaya Daaqadaha leh dhaqamada ugu wanaagsan iyo aasaaska, Waxaad yaraynaysaa guuldarrooyinka, waxaad xaddidaysaa khataraha oo aad ka hortagto dhacdo hal mar ka dhacda in ay u sii gudubto kaabayaasha intiisa kale.

Waa maxay ku adkaanta Windows iyo sababta ay fure u tahay?

Adkeynta ama xoojinta waxay ka kooban tahay habayn, ka saar ama xaddid qaybaha ee nidaamka qalliinka, adeegyada, iyo codsiyada si loo xiro meelaha laga geli karo. Daaqadaha waa wax badan oo la jaan qaadi kara, haa, laakiin in "waxay u shaqeysaa ku dhawaad ​​wax walba" habka macnaheedu waa inay la timaado hawlo furan oo aadan had iyo jeer u baahnayn.

Inta badan hawlaha aan loo baahnayn, dekedaha, ama borotokoolka aad sii wadayso firfircoonida, ayaa sii badanaysa nuglaanshahaaga. Hadafka qallafsanaantu waa yaree dusha weerarkaXaddid mudnaanta oo ka tag oo kaliya waxa muhiimka ah, oo wata dhejisyo casri ah, xisaabin firfircoon, iyo siyaasad cad.

Habkani maaha mid u gaar ah Daaqadaha; waxa ay khusaysaa nidaam kasta oo casri ah: waxa la rakibay oo diyaar u ah in uu qabto kun xaaladood oo kala duwan. Taasi waa sababta ay u habboon tahay Xir waxa aadan isticmaalaynSababtoo ah haddii aadan isticmaalin, qof kale ayaa laga yaabaa inuu isku dayo inuu kuu isticmaalo.

Saldhigyada iyo heerarka jaantuska koorsada

Adkeynta Windows, waxaa jira bartilmaameedyo ay ka mid yihiin CIS (Xarunta Amniga Internetka) iyo tilmaamaha DoD STIG, marka lagu daro Saldhigyada Amniga Microsoft (Microsoft Security Baselines). Tixraacyadani waxay daboolayaan qaabaynta lagu taliyay, qiyamka siyaasadda, iyo kontaroolada doorarka iyo noocyada kala duwan ee Windows.

Dalbashada gunta aasaasiga ah waxay si weyn u dedejisaa mashruuca: waxay yaraynaysaa farqiga u dhexeeya qaabaynta caadiga ah iyo hababka ugu wanaagsan, iyada oo laga fogaanayo "dalooladaha" caadiga ah ee hawlgalinta degdega ah. Sidaas oo ay tahay, deegaan kastaa waa gaar waana lagu talinayaa tijaabi isbedelada ka hor inta aan loo qaadin wax soo saarka.

Talaabada Adkeynta Daaqadaha

Diyaarinta iyo amniga jirka

Adkeynta Windows waxay bilaabataa ka hor inta aan nidaamka la rakibin. Hayso a agabka adeegaha oo dhamaystiranKa fogee kuwa cusub taraafikada ilaa ay ka adkaanayaan, ka ilaali BIOS/UEFI furaha sirta ah, dami boot ka warbaahinta dibadda waxayna ka hortagtaa autologon on consoles soo kabashada.

Haddii aad isticmaasho qalabkaaga, dhig qalabka meelaha meelaha leh xakamaynta gelitaanka jirkaHeerkulka saxda ah iyo la socodka waa lama huraan. Xaddidaadda gelitaanka jireed waxay la mid tahay muhiimada gelitaanka macquulka ah, sababtoo ah furitaanka chassis ama ka soo kabashada USB waxay wax u dhimi kartaa wax walba.

Xisaabaadka, aqoonsiga, iyo siyaasadda sirta ah

Ku bilow ciribtirka daciifnimada cad: dami akoontiga martida iyo, halka ay suurtagal tahay, waxay curyaamisaa ama magacawday Maamulaha deegaankaSamee akoon maamul oo leh magac aan yareyn (question Sida loo sameeyo akoon maxalli ah gudaha Windows 11 offlineoo u isticmaala xisaabaadka aan mudnaanta lahayn ee hawl maalmeedka, kor u qaadista mudnaanta iyada oo loo marayo "Run as" kaliya marka loo baahdo.

Xooji siyaasaddaada sirta ah: hubi kakanaanta iyo dhererka habboon. dhicis xilliyeedTaariikhda si looga hortago dib-u-isticmaalka iyo xidhitaanka akoontada kadib isku dayo guul-daraystay. Haddii aad maamusho kooxo badan, tixgeli xalalka sida LAPS si aad u beddesho aqoonsiga maxalliga ah; muhiimadu waa iska ilaali aqoonsiga taagan oo ay fududahay in la qiyaaso.

 

Dib u eeg xubinimada kooxda (Maamulayaasha, Isticmaalayaasha Desktop-ka Fog, Hawl-wadeenada kaabta, iwm.) oo ka saar wixii aan loo baahnayn. Mabda'a ah mudnaanta yar Waa xulafadaada ugu fiican si loo xaddido dhaqdhaqaaqa dambe.

Isku-xidhka, DNS iyo isku-xidhka wakhtiga (NTP)

Server-ku-soo-saarku waa inuu lahaadaa Joogtada IP, ku yaal qaybo lagu ilaaliyo dab-damiska gadaashiisa (oo ogow Sida loo xannibo isku xirka shabakadaha shakiga leh ee CMD (marka loo baahdo), oo ay leeyihiin laba server DNS ah oo lagu qeexay dib u soo celinta. Xaqiiji in diiwaannada A iyo PTR ay jiraan; Xusuusnow faafinta DNS... waxay qaadan kartaa Waxaana habboon in la qorsheeyo.

Habee NTP: weecasho daqiiqado ah kaliya waxay jebisaa Kerberos oo waxay keentaa fashilaadyo naadir ah oo xaqiijinta. Qeexi saacada la aaminay oo isku dar. dhammaan maraakiibta ka soo horjeeda. Haddii aadan u baahnayn, dami borotokoolka dhaxalka ah sida NetBIOS ee ka sarreeya TCP/IP ama LMHosts raadinta Iska yaree buuqa iyo bandhig.

Doorarka, sifooyinka iyo adeegyada: ka yar ayaa ka badan

Ku rakib kaliya doorarka iyo astaamaha aad ugu baahan tahay ujeedada serverka (IIS, .NET nooca loo baahan yahay, iwm.). Xidhmo kasta oo dheeraad ah waa dusha dheeraad ah nuglaanta iyo qaabaynta. Uninstall default ama codsiyada dheeraadka ah ee aan la isticmaali doonin (eeg Winaero Tweaker: hagaajin faa'iido leh oo badbaado leh).

Adeegyada dib u eegis: kuwa lagama maarmaanka ah, si toos ah; kuwa ku tiirsan kuwa kale, in Automatic (bilawga daahitaan) ama ku-tiirsanaan si fiican loo qeexay; wax kasta oo aan soo kordhinayn qiimaha, naafada. Iyo adeegyada codsiga, isticmaal xisaabaadka adeegga gaarka ah Ogolaanshaha ugu yar, maaha Nidaamka Maxalliga ah haddii aad ka fogaan karto.

Firewall iyo yaraynta gaadhista

Xeerka guud: xannibi si caadi ah oo fur kaliya waxa lagama maarmaanka ah. Haddii ay tahay server-ka shabakadda, soo bandhig HTTP / HTTPS Waana taas; maamulka (RDP, WinRM, SSH) waa in lagu sameeyaa si ka badan VPN iyo, haddii ay suurtagal tahay, xaddiday ciwaanka IP. Firewall-ka Windows wuxuu bixiyaa kontorool wanaagsan iyada oo loo marayo profiles (Domain, Private, Public) iyo xeerarka granular.

Wareegga dab-damiska ee u go'ay had iyo jeer waa dheeri, sababtoo ah waxay dejisaa server-ka oo ku dareysaa fursadaha horumarsan (baaritaan, IPS, qaybinta). Si kastaba ha ahaatee, habka loo wajahayo waa isku mid: dekedo furan oo yar, oogada weerar ee aan la isticmaali karin.

Helitaanka fog iyo hab-maamuuska ammaan-darrada

RDP kaliya haddii ay lagama maarmaan tahay, oo leh NLA, sir sareMFA haddii ay suurtagal tahay, oo xaddiday gelitaanka kooxo gaar ah iyo shabakado. Iska ilaali telnet iyo FTP; Haddii aad u baahan tahay wareejin, isticmaal SFTP/SSH, iyo xitaa ka sii fiican, ka VPNFogeynta PowerShell iyo SSH waa in la xakameeyaa: xaddid cidda geli karta iyo halka laga keenayo. Badalka aaminka ah ee kantaroolka fog, baro sida loo sameeyo Daar oo habee chrome Remote Desktop ee Windows.

Haddii aadan u baahnayn, dami adeegga Diiwaangelinta Fog. Dib u eeg oo xannibo NullSessionPipes y NullSessionShares si looga hortago in si qarsoodi ah loo galo ilaha. Oo haddii IPv6 aan loo isticmaalin kiiskaaga, tixgeli inaad joojiso ka dib markaad qiimeyso saameynta.

Duubista, cusboonaysiinta, oo beddelka xakamaynta

Daaqadaha la soco balastarrada amniga Tijaabada maalinlaha ah ee jawiga la xakameeyey ka hor inta aanad u dhaqaaqin wax soo saarka. WSUS ama SCCM waa xulafo maaraynta wareegga balastar-ka. Ha iloobin software-ka saddexaad, kaas oo inta badan ah isku xirka daciifka ah: jadwalka cusbooneysiinta iyo wax ka qabashada dayacanka si dhakhso ah.

ka darawallada Darawaliintu waxay kaloo door ka ciyaaraan adkaynta daaqadaha: dareewalada aaladaha duugoobay waxay sababi karaan shilal iyo baylahda. Samee habraaca cusboonaysiinta darawalka oo joogto ah, ka hormarinta xasiloonida iyo amniga sifada cusub.

Diiwaangelinta dhacdada, xisaabinta, iyo la socodka

Habee xisaabinta amniga oo kordhi cabbirka log-ga si ayan u wareegin labadii maalmoodba mar. Ka dhig dhacdooyinka dhex dhexaadiyaha shirkadda ama SIEM, sababtoo ah dib u eegista server kasta si gaar ah waxay noqotaa mid aan waxtar lahayn marka nidaamkaagu sii kordho. la socodka joogtada ah Iyada oo la adeegsanayo xariiqyada asaasiga ah ee waxqabadka iyo heerarka feejignaanta, iska ilaali "si indho la'aan rasaasta".

Tignoolajiyada Kormeerka Daacadnimada Faylka (FIM) iyo qaabeynta beddelka raadraaca ayaa gacan ka geysta in la ogaado weecsanaanta aasaasiga ah. Qalabka sida Tracker Change Netwrix Waxay fududeeyaan in la ogaado oo ay sharxaan waxa isbeddelay, cidda iyo goorta, dedejiya jawaabta iyo caawinta u hoggaansanaanta (NIST, PCI DSS, CMMC, STIG, NERC CIP).

Sirin xogta marka la nasanayo iyo marka la sii marayo

Loogu talagalay server-yada, BitLocker Durba waa shuruud aasaasi ah oo ku saabsan dhammaan darawallada xogta xasaasiga ah wata. Haddii aad u baahan tahay heerka granularity-faylka, isticmaal... EFSInta u dhaxaysa server-yada, IPsec waxay ogolaataa taraafikada in la sireeyo si loo ilaaliyo sirta iyo daacadnimada, wax fure u ah shabakadaha kala qaybsan ama tallaabooyin aan la isku hallayn karin. Tani waa muhiim marka laga hadlayo adkeynta Windows.

Helitaanka maamulka iyo siyaasadaha muhiimka ah

Ku dabaq mabda'a mudnaanta ugu yar isticmaalayaasha iyo adeegyada. Iska ilaali kaydinta xashiishka Maareeyaha LAN oo dami NTLMv1 marka laga reebo ku tiirsanaanta dhaxalka. Habee noocyada sirta Kerberos ee la oggol yahay oo yaree wadaagga faylka iyo daabacaha meelaha aan daruuriga ahayn.

Qiimaha Xakamee ama xannibi warbaahinta la saari karo (USB) si loo xaddido faafinta malware-ka ama gelitaanka. Waxay soo bandhigaysaa ogeysiis sharci ah ka hor inta aan la soo gelin (" Isticmaalka aan la ogolayn waa mamnuuc"), oo u baahan Ctrl + Alt + Del waxayna si toos ah u joojisaa fadhiyada aan shaqayn. Kuwani waa tallaabooyin fudud oo kordhinaya caabbinta qofka wax weeraray.

Aalado iyo automation si loo helo jiidashada

Si aad u dalbato khadadka aasaasiga ah ee jumlada, isticmaal GPO iyo Saldhigyada Amniga ee Microsoft. Hagaha CIS, oo ay weheliyaan agabka qiimaynta, waxay kaa caawinayaan cabbirka farqiga u dhexeeya xaaladdaada hadda iyo bartilmaameedka. Meesha miisaanku u baahan yahay, xalalka sida CalCom Hardening Suite (CHS) Waxay ka caawiyaan inay wax ka bartaan deegaanka, saadaaliyaan saamaynta, oo ay u dabaqaan siyaasadaha udub dhexaad u ah, ilaalinta adkaynta waqtiga.

Nidaamyada macaamiisha, waxaa jira adeegyo bilaash ah oo fududeeya "adkeynta" waxyaabaha daruuriga ah. Syshardener Waxay bixisaa habayn ku saabsan adeegyada, firewall iyo software caadiga ah; Hardentools wuxuu curyaamiyaa hawlaha laga faa'iidaysan karo (macros, ActiveX, Windows Script Host, PowerShell/ISE browser kasta); iyo Hard_Configurator Waxay kuu ogolaanaysaa inaad la ciyaarto SRP, liisaska cadcad ee waddo ama xashiish, SmartScreen ee faylasha maxalliga ah, xannibista ilaha aan la aamini karin iyo fulinta tooska ah ee USB/DVD.

Firewall iyo galaangal: xeerar wax ku ool ah oo shaqeeya

Had iyo jeer shaqaysii dab-damiska Windows, ku habbee dhammaan saddexda profile oo leh xannibaadda soo gelaysa si caadi ah, oo fur kaliya dekedaha muhiimka ah Adeegga (oo leh baaxadda IP haddii ay khuseyso). Maamulka fog waxaa sida ugu fiican loogu sameeyaa VPN iyo iyadoo la xaddiday gelitaanka. Dib u eeg sharciyada dhaxalka oo gab wax kasta oo aan hadda loo baahnayn.

Ha iloobin in ku adkaanta Windows aysan ahayn muuqaal taagan: waa geedi socod firfircoon. Diiwaangeli asalkaaga. wuxuu la socdaa weecsanaantaDib u eeg isbeddellada ka dib balastar kasta oo ku habboon cabbirka shaqada dhabta ah ee qalabka. In yar oo anshaxeed ah, taabasho otomaatig ah, iyo qiimaynta halista cad ayaa ka dhigaysa Windows nidaam aad u adag in la jebiyo iyada oo aan la hurin wax-qabadkeeda.