- Misingi (CIS, STIG na Microsoft) huongoza ugumu thabiti na unaoweza kupimika.
- Nafasi ndogo: sakinisha yale muhimu pekee, punguza milango na mapendeleo.
- Kuweka alama, ufuatiliaji na usimbaji fiche hudumisha usalama kwa wakati.
- Geuza ukitumia GPO na zana ili kudumisha mkao wako wa usalama.
Ikiwa unasimamia seva au kompyuta za watumiaji, labda umejiuliza swali hili: ninawezaje kufanya Windows iwe salama vya kutosha ili kulala vizuri? ugumu katika Windows Si hila ya mara moja, lakini seti ya maamuzi na marekebisho ili kupunguza uso wa mashambulizi, kupunguza ufikiaji, na kuweka mfumo chini ya udhibiti.
Katika mazingira ya ushirika, seva ni msingi wa uendeshaji: huhifadhi data, kutoa huduma, na kuunganisha vipengele muhimu vya biashara; ndio maana wanalengwa sana na mshambuliaji yeyote. Kwa kuimarisha Windows kwa njia bora na misingi, Unapunguza kushindwa, unapunguza hatari na unazuia tukio kwa wakati mmoja kuongezeka kwa miundombinu mingine.
Ni nini ugumu katika Windows na kwa nini ni muhimu?
Ugumu au uimarishaji unajumuisha sanidi, ondoa au zuia vipengele ya mfumo wa uendeshaji, huduma, na maombi ya kufunga maeneo ya uwezekano wa kuingia. Windows ni nyingi na inaendana, ndio, lakini mbinu hiyo "inafanya kazi kwa karibu kila kitu" inamaanisha inakuja na utendakazi wazi ambao hauhitaji kila wakati.
Kadiri utendakazi, milango, au itifaki zisizohitajika zaidi unavyoendelea kutumika, ndivyo uwezekano wako wa kuathiriwa unavyoongezeka. Lengo la ugumu ni kupunguza uso wa mashambuliziPunguza upendeleo na uache yale yaliyo muhimu pekee, yenye viraka vilivyosasishwa, ukaguzi unaoendelea na sera zilizo wazi.
Mbinu hii si ya kipekee kwa Windows; inatumika kwa mfumo wowote wa kisasa: umewekwa tayari kushughulikia matukio elfu tofauti. Ndiyo maana inashauriwa Funga kile ambacho hutumii.Kwa sababu ikiwa huitumii, mtu mwingine anaweza kujaribu kuitumia kwa ajili yako.
Misingi na viwango vinavyoonyesha kozi
Kwa ugumu katika Windows, kuna alama kama vile CIS (Kituo cha Usalama wa Mtandao) na miongozo ya DoD STIG, pamoja na Misingi ya Usalama ya Microsoft (Misingi ya Usalama ya Microsoft). Marejeleo haya yanashughulikia usanidi unaopendekezwa, thamani za sera na vidhibiti vya majukumu na matoleo tofauti ya Windows.
Utumiaji wa msingi huharakisha mradi kwa kiasi kikubwa: hupunguza mapengo kati ya usanidi chaguo-msingi na mbinu bora, kuepuka "mapengo" ya kawaida ya utumaji wa haraka. Hata hivyo, kila mazingira ni ya kipekee na ni vyema jaribu mabadiliko kabla ya kuwapeleka katika uzalishaji.
Ugumu wa Windows Hatua kwa Hatua
Maandalizi na usalama wa kimwili
Ugumu katika Windows huanza kabla ya mfumo kusakinishwa. Weka a hesabu kamili ya sevaTenga mpya kutoka kwa trafiki hadi iwe ngumu, linda BIOS / UEFI na nenosiri, afya boot kutoka kwa vyombo vya habari vya nje na huzuia autologon kwenye consoles za kurejesha.
Ikiwa unatumia maunzi yako mwenyewe, weka vifaa katika maeneo na udhibiti wa ufikiaji wa kimwiliJoto sahihi na ufuatiliaji ni muhimu. Kuzuia ufikiaji wa kimwili ni muhimu kama ufikiaji wa kimantiki, kwa sababu kufungua chasi au kuwasha kutoka USB kunaweza kuhatarisha kila kitu.
Akaunti, vitambulisho na sera ya nenosiri
Anza kwa kuondoa udhaifu dhahiri: zima akaunti ya mgeni na, inapowezekana, inalemaza au kubadilisha jina la Msimamizi wa ndaniFungua akaunti ya msimamizi na jina lisilo la kawaida (hoja Jinsi ya kuunda akaunti ya ndani katika Windows 11 nje ya mtandao) na hutumia akaunti zisizo na haki kwa kazi za kila siku, kuinua marupurupu kupitia "Run as" inapohitajika tu.
Imarisha sera yako ya nenosiri: hakikisha ugumu na urefu unaofaa. kumalizika kwa mudaHistoria ya kuzuia matumizi tena na kufungwa kwa akaunti baada ya majaribio yasiyofaulu. Ikiwa unasimamia timu nyingi, zingatia masuluhisho kama vile LAPS ili kuzungusha kitambulisho cha ndani; jambo la muhimu ni epuka sifa tuli na rahisi kukisia.
Kagua uanachama wa kikundi (Wasimamizi, Watumiaji wa Eneo-kazi la Mbali, Viendeshaji Hifadhi Nakala, n.k.) na uondoe zozote zisizo za lazima. Kanuni ya upendeleo mdogo Ni mshirika wako bora kwa kuzuia harakati za upande.
Mtandao, DNS na maingiliano ya saa (NTP)
Seva ya uzalishaji lazima iwe nayo IP kali, iwe iko katika sehemu zilizolindwa nyuma ya ngome (na ujue Jinsi ya kuzuia miunganisho ya mtandao inayoshukiwa kutoka kwa CMD (inapohitajika), na uwe na seva mbili za DNS zilizofafanuliwa kwa upungufu. Thibitisha kuwa rekodi za A na PTR zipo; kumbuka kuwa uenezaji wa DNS ... inaweza kuchukua Na ni vyema kupanga.
Sanidi NTP: mkengeuko wa dakika chache huvunja Kerberos na kusababisha hitilafu nadra za uthibitishaji. Bainisha kipima muda kinachoaminika na ukisawazishe. meli nzima dhidi yake. Ikiwa hauitaji, zima itifaki za urithi kama NetBIOS juu ya TCP/IP au utaftaji wa LMHosts kwa kupunguza kelele na maonyesho.
Majukumu, vipengele na huduma: chini ni zaidi
Sakinisha tu majukumu na vipengele unavyohitaji kwa madhumuni ya seva (IIS, .NET katika toleo lake linalohitajika, nk). Kila kifurushi cha ziada ni uso wa ziada kwa udhaifu na usanidi. Sanidua chaguomsingi au programu za ziada ambazo hazitatumika (ona Winaero Tweaker: Marekebisho Muhimu na Salama).
Kagua huduma: zile zinazohitajika, moja kwa moja; wale wanaotegemea wengine, ndani Moja kwa moja (kuanza kuchelewa) au kwa utegemezi ulioainishwa vizuri; kitu chochote ambacho hakiongezi thamani, kimezimwa. Na kwa huduma za maombi, tumia akaunti maalum za huduma na ruhusa ndogo, sio Mfumo wa Mitaa ikiwa unaweza kuuepuka.
Upunguzaji wa ngome na mfiduo
Sheria ya jumla: zuia kwa chaguo-msingi na fungua tu kile kinachohitajika. Ikiwa ni seva ya wavuti, onyesha HTTP / HTTPS Na ndivyo hivyo; utawala (RDP, WinRM, SSH) unapaswa kufanywa kupitia VPN na, ikiwezekana, kuzuiwa na anwani ya IP. Firewall ya Windows inatoa udhibiti mzuri kupitia wasifu (Kikoa, Kibinafsi, Umma) na sheria za punjepunje.
Firewall maalum ya mzunguko daima ni faida, kwa sababu hupakia seva na kuongeza chaguzi za hali ya juu (ukaguzi, IPS, sehemu). Kwa hali yoyote, mbinu ni sawa: bandari chache wazi, uso wa mashambulizi usioweza kutumika.
Ufikiaji wa mbali na itifaki zisizo salama
RDP tu ikiwa ni lazima kabisa, na NLA, usimbaji fiche wa hali ya juuMFA ikiwezekana, na kuzuia ufikiaji wa vikundi na mitandao maalum. Epuka telnet na FTP; ikiwa unahitaji uhamisho, tumia SFTP/SSH, na bora zaidi, kutoka kwa VPNUondoaji wa PowerShell na SSH lazima udhibitiwe: punguza ni nani anayeweza kuzifikia na kutoka wapi. Kama njia mbadala salama ya udhibiti wa mbali, jifunze jinsi ya Washa na usanidi Eneo-kazi la Mbali la Chrome kwenye Windows.
Ikiwa huihitaji, zima huduma ya Usajili wa Mbali. Kagua na uzuie NullSessionPipes y NullSessionShares ili kuzuia ufikiaji usiojulikana wa rasilimali. Na ikiwa IPv6 haitumiki katika kesi yako, zingatia kuizima baada ya kutathmini athari.
Kuweka alama, masasisho na udhibiti wa mabadiliko
Sasisha Windows na viraka vya usalama Jaribio la kila siku katika mazingira yaliyodhibitiwa kabla ya kuhamia kwenye uzalishaji. WSUS au SCCM ni washirika wa kusimamia mzunguko wa kiraka. Usisahau programu ya watu wengine, ambayo mara nyingi ni kiungo dhaifu: sasisho za ratiba na udhaifu wa anwani haraka.
Los madereva Madereva pia huwa na jukumu la kuimarisha Windows: viendeshi vya kifaa vilivyopitwa na wakati vinaweza kusababisha ajali na udhaifu. Anzisha mchakato wa kusasisha kiendeshi mara kwa mara, ukiweka kipaumbele uthabiti na usalama dhidi ya vipengele vipya.
Uwekaji kumbukumbu wa matukio, ukaguzi na ufuatiliaji
Sanidi ukaguzi wa usalama na uongeze ukubwa wa kumbukumbu ili zisizunguke kila baada ya siku mbili. Weka matukio katikati katika mtazamaji wa shirika au SIEM, kwa sababu kukagua kila seva kibinafsi hakuwezekani kadri mfumo wako unavyokua. ufuatiliaji unaoendelea Kwa misingi ya utendakazi na vizingiti vya tahadhari, epuka "kurusha risasi bila upofu".
Teknolojia za Ufuatiliaji wa Uadilifu wa Faili (FIM) na ufuatiliaji wa mabadiliko ya usanidi husaidia kugundua mikengeuko ya kimsingi. Zana kama vile Netwrix Change Tracker Hurahisisha kugundua na kueleza kilichobadilika, nani na lini, kuharakisha majibu na kusaidia kufuata (NIST, PCI DSS, CMMC, STIG, NERC CIP).
Usimbaji fiche wa data wakati wa mapumziko na katika usafiri
Kwa seva, BitLocker Tayari ni hitaji la msingi kwenye hifadhi zote zilizo na data nyeti. Ikiwa unahitaji granularity ya kiwango cha faili, tumia... EFSKati ya seva, IPsec inaruhusu trafiki kusimbwa ili kuhifadhi usiri na uadilifu, jambo muhimu katika mitandao iliyogawanywa au kwa hatua zisizotegemewa sana. Hii ni muhimu wakati wa kujadili ugumu katika Windows.
Udhibiti wa ufikiaji na sera muhimu
Tumia kanuni ya upendeleo mdogo kwa watumiaji na huduma. Epuka kuhifadhi heshi za Meneja wa LAN na uzime NTLMv1 isipokuwa kwa vitegemezi vya urithi. Sanidi aina zinazoruhusiwa za usimbaji fiche za Kerberos na upunguze kushiriki faili na kichapishi mahali ambapo si muhimu.
Thamani Zuia au zuia midia inayoweza kutolewa (USB) ili kupunguza upenyezaji au uingiaji wa programu hasidi. Inaonyesha notisi ya kisheria kabla ya kuingia ("Matumizi yasiyoidhinishwa yamepigwa marufuku"), na inahitaji Ctrl + Del + Del na husitisha vipindi visivyotumika kiotomatiki. Hizi ni hatua rahisi zinazoongeza upinzani wa mshambuliaji.
Zana na otomatiki ili kupata mvuto
Ili kutumia misingi kwa wingi, tumia GPO na Misingi ya Usalama ya Microsoft. Miongozo ya CIS, pamoja na zana za tathmini, husaidia kupima pengo kati ya hali yako ya sasa na lengo. Ambapo kiwango kinahitaji, suluhisho kama vile CalCom Hardening Suite (CHS) Wanasaidia kujifunza kuhusu mazingira, kutabiri athari, na kutumia sera kuu, kudumisha ugumu kwa muda.
Kwenye mifumo ya mteja, kuna huduma za bure ambazo hurahisisha "ugumu" wa mambo muhimu. Syshardener Inatoa mipangilio kwenye huduma, firewall na programu ya kawaida; Hardentools inalemaza vitendaji vinavyoweza kunyonywa (makros, ActiveX, Windows Script Host, PowerShell/ISE kwa kila kivinjari); na Kisanidi_Mgumu Inakuruhusu kucheza na SRP, orodha zilizoidhinishwa kwa njia au hashi, SmartScreen kwenye faili za ndani, kuzuia vyanzo visivyoaminika na kutekeleza kiotomatiki kwenye USB/DVD.
Firewall na ufikiaji: sheria za vitendo zinazofanya kazi
Washa ngome ya Windows kila wakati, sanidi wasifu zote tatu zilizo na vizuizi vinavyoingia kwa chaguo-msingi, na ufungue. bandari muhimu tu kwa huduma (pamoja na wigo wa IP ikiwa inatumika). Utawala wa mbali unafanywa vyema kupitia VPN na ufikiaji uliozuiliwa. Kagua sheria za urithi na uzime kitu chochote ambacho hakihitajiki tena.
Usisahau kwamba ugumu katika Windows sio picha tuli: ni mchakato wa nguvu. Andika msingi wako. hufuatilia mikengeukoKagua mabadiliko baada ya kila kiraka na urekebishe hatua kwa kazi halisi ya vifaa. Nidhamu kidogo ya kiufundi, mguso wa otomatiki, na tathmini ya wazi ya hatari hufanya Windows kuwa mfumo mgumu zaidi kuuvunja bila kuacha matumizi yake mengi.
Mhariri aliyebobea katika masuala ya teknolojia na intaneti akiwa na tajriba ya zaidi ya miaka kumi katika midia tofauti ya dijiti. Nimefanya kazi kama mhariri na muundaji wa maudhui kwa biashara ya mtandaoni, mawasiliano, uuzaji mtandaoni na makampuni ya utangazaji. Pia nimeandika kwenye tovuti za uchumi, fedha na sekta nyinginezo. Kazi yangu pia ni shauku yangu. Sasa, kupitia makala yangu katika Tecnobits, Ninajaribu kuchunguza habari zote na fursa mpya ambazo ulimwengu wa teknolojia hutupatia kila siku ili kuboresha maisha yetu.