- Ang mga baseline (CIS, STIG at Microsoft) ay gumagabay sa isang pare-pareho at masusukat na hardening.
- Mas kaunting espasyo: i-install lang ang mahalaga, limitahan ang mga port at pribilehiyo.
- Ang pag-patch, pagsubaybay, at pag-encrypt ay nagpapanatili ng seguridad sa paglipas ng panahon.
- Mag-automate gamit ang mga GPO at tool upang mapanatili ang iyong postura sa seguridad.
Kung namamahala ka ng mga server o computer ng gumagamit, malamang na naitanong mo sa iyong sarili ang tanong na ito: paano ko gagawing ligtas ang Windows upang makatulog nang mahimbing? pagpapatigas sa Windows Ito ay hindi isang one-off na trick, ngunit isang hanay ng mga desisyon at pagsasaayos upang bawasan ang pag-atake, limitahan ang pag-access, at panatilihing kontrolado ang system.
Sa isang corporate environment, ang mga server ang pundasyon ng mga operasyon: nag-iimbak sila ng data, nagbibigay ng mga serbisyo, at nagkokonekta ng mga kritikal na bahagi ng negosyo; kaya naman sila ang pangunahing target ng sinumang umaatake. Sa pamamagitan ng pagpapalakas ng Windows gamit ang pinakamahuhusay na kagawian at baseline, Binabawasan mo ang mga pagkabigo, nililimitahan mo ang mga panganib at pinipigilan mo ang isang insidente sa isang punto na lumaki sa iba pang imprastraktura.
Ano ang hardening sa Windows at bakit ito susi?
Ang hardening o reinforcement ay binubuo ng i-configure, alisin o paghigpitan ang mga bahagi ng operating system, mga serbisyo, at mga application upang isara ang mga potensyal na entry point. Ang Windows ay maraming nalalaman at tugma, oo, ngunit ang "ito ay gumagana para sa halos lahat ng bagay" na paraan ay nangangahulugan na ito ay may mga bukas na pag-andar na hindi mo palaging kailangan.
Ang mas maraming hindi kinakailangang function, port, o protocol na pinapanatili mong aktibo, mas malaki ang iyong kahinaan. Ang layunin ng hardening ay bawasan ang ibabaw ng pag-atakeLimitahan ang mga pribilehiyo at iwanan lamang ang mahalaga, na may napapanahong mga patch, aktibong pag-audit, at malinaw na mga patakaran.
Ang diskarte na ito ay hindi natatangi sa Windows; nalalapat ito sa anumang modernong sistema: naka-install ito na handang pangasiwaan ang isang libong iba't ibang mga sitwasyon. Kaya naman advisable Isara ang hindi mo ginagamit.Dahil kung hindi mo ito gagamitin, baka may ibang sumubok na gamitin ito para sa iyo.
Mga baseline at pamantayan na nag-tsart ng kurso
Para sa hardening sa Windows, may mga benchmark tulad ng CIS (Center for Internet Security) at ang mga alituntunin ng DoD STIG, bilang karagdagan sa Mga Baseline ng Microsoft Security (Microsoft Security Baselines). Sinasaklaw ng mga reference na ito ang mga inirerekomendang configuration, value ng patakaran, at kontrol para sa iba't ibang tungkulin at bersyon ng Windows.
Ang paglalapat ng baseline ay lubos na nagpapabilis sa proyekto: binabawasan nito ang mga agwat sa pagitan ng default na pagsasaayos at pinakamahuhusay na kagawian, na iniiwasan ang "mga puwang" na tipikal ng mabilis na pag-deploy. Gayunpaman, ang bawat kapaligiran ay natatangi at ipinapayong gawin ito subukan ang mga pagbabago bago dalhin ang mga ito sa produksyon.
Hakbang sa Pagpapatigas ng Windows
Paghahanda at pisikal na seguridad
Nagsisimula ang hardening sa Windows bago mai-install ang system. Panatilihin ang a kumpletong imbentaryo ng serverIhiwalay ang mga bago mula sa trapiko hanggang sa tumigas ang mga ito, protektahan ang BIOS/UEFI gamit ang isang password, huwag paganahin boot mula sa panlabas na media at pinipigilan ang autologon sa mga recovery console.
Kung gumagamit ka ng sarili mong hardware, ilagay ang kagamitan sa mga lokasyong may pisikal na kontrol sa pag-accessAng tamang temperatura at pagsubaybay ay mahalaga. Ang paglilimita sa pisikal na pag-access ay kasinghalaga ng lohikal na pag-access, dahil ang pagbubukas ng isang chassis o pag-boot mula sa USB ay maaaring ikompromiso ang lahat.
Mga account, kredensyal, at patakaran sa password
Magsimula sa pamamagitan ng pag-aalis ng mga halatang kahinaan: huwag paganahin ang guest account at, kung saan posible, hindi pinapagana o pinapalitan ang pangalan ng lokal na AdministratorLumikha ng isang administratibong account na may hindi mahalaga na pangalan (query Paano lumikha ng isang lokal na account sa Windows 11 offline) at gumagamit ng mga unprivileged account para sa pang-araw-araw na gawain, na nagtataas ng mga pribilehiyo sa pamamagitan ng "Run as" kung kinakailangan lang.
Palakasin ang iyong patakaran sa password: tiyakin ang naaangkop na pagiging kumplikado at haba. panaka-nakang pag-expireKasaysayan upang maiwasan ang muling paggamit at pag-lock ng account pagkatapos ng mga nabigong pagtatangka. Kung namamahala ka ng maraming koponan, isaalang-alang ang mga solusyon tulad ng LAPS upang i-rotate ang mga lokal na kredensyal; ang mahalaga ay iwasan ang mga static na kredensyal at madaling hulaan.
Suriin ang mga membership ng grupo (Mga Administrator, Mga Gumagamit ng Remote na Desktop, Mga Operator ng Backup, atbp.) at alisin ang anumang hindi kailangan. Ang prinsipyo ng mas mababang pribilehiyo Ito ang iyong pinakamahusay na kaalyado para sa paglilimita sa mga paggalaw sa gilid.
Network, DNS at time synchronization (NTP)
Dapat mayroon ang isang production server Static IP, ay matatagpuan sa mga segment na protektado sa likod ng isang firewall (at alam Paano harangan ang mga kahina-hinalang koneksyon sa network mula sa CMD (kapag kinakailangan), at magkaroon ng dalawang DNS server na tinukoy para sa redundancy. I-verify na umiiral ang mga tala ng A at PTR; tandaan na ang DNS propagation... maaaring tumagal ito At ipinapayong magplano.
I-configure ang NTP: ang isang paglihis ng ilang minuto lamang ay nakakasira sa Kerberos at nagdudulot ng mga bihirang pagkabigo sa pagpapatotoo. Tukuyin ang isang pinagkakatiwalaang timer at i-synchronize ito. ang buong armada laban dito. Kung hindi mo kailangan, huwag paganahin ang mga legacy na protocol tulad ng NetBIOS sa TCP/IP o paghahanap ng LMHosts para sa Bawasan ang ingay at eksibisyon.
Mga tungkulin, tampok at serbisyo: mas kaunti ang higit pa
I-install lamang ang mga tungkulin at tampok na kailangan mo para sa layunin ng server (IIS, .NET sa kinakailangang bersyon nito, atbp.). Ang bawat dagdag na pakete ay karagdagang ibabaw para sa mga kahinaan at pagsasaayos. I-uninstall ang default o karagdagang mga application na hindi gagamitin (tingnan Winaero Tweaker: Mga Kapaki-pakinabang at Ligtas na Pagsasaayos).
Suriin ang mga serbisyo: ang mga kinakailangan, awtomatiko; ang mga umaasa sa iba, sa Awtomatikong (naantala na pagsisimula) o may mahusay na tinukoy na mga dependency; anumang bagay na hindi nagdaragdag ng halaga, hindi pinagana. At para sa mga serbisyo ng application, gamitin mga partikular na account ng serbisyo na may kaunting mga pahintulot, hindi Local System kung maiiwasan mo ito.
Pag-minimize ng firewall at pagkakalantad
Ang pangkalahatang tuntunin: i-block bilang default at buksan lang kung ano ang kinakailangan. Kung ito ay isang web server, ilantad HTTP / HTTPS At iyon na; Ang pangangasiwa (RDP, WinRM, SSH) ay dapat gawin sa VPN at, kung maaari, pinaghihigpitan ng IP address. Nag-aalok ang Windows Firewall ng mahusay na kontrol sa pamamagitan ng mga profile (Domain, Pribado, Pampubliko) at mga granular na panuntunan.
Ang isang nakalaang perimeter firewall ay palaging isang plus, dahil ito ay nag-aalis sa server at nagdaragdag advanced na mga pagpipilian (inspeksyon, IPS, segmentation). Sa anumang kaso, ang diskarte ay pareho: mas kaunting mga bukas na port, hindi gaanong magagamit na pang-atake sa ibabaw.
Malayong pag-access at hindi secure na mga protocol
RDP lamang kung talagang kinakailangan, na may NLA, mataas na pag-encryptMFA kung maaari, at pinaghihigpitan ang pag-access sa mga partikular na grupo at network. Iwasan ang telnet at FTP; kung kailangan mo ng paglipat, gumamit ng SFTP/SSH, at mas mabuti pa, mula sa isang VPNDapat kontrolin ang PowerShell Remoting at SSH: limitahan kung sino ang makaka-access sa kanila at kung saan mula. Bilang isang ligtas na alternatibo para sa remote control, alamin kung paano I-activate at i-configure ang Remote na Desktop ng Chrome sa Windows.
Kung hindi mo ito kailangan, huwag paganahin ang serbisyo ng Remote Registration. Suriin at i-block NullSessionPipes y NullSessionShares upang maiwasan ang hindi kilalang pag-access sa mga mapagkukunan. At kung hindi ginagamit ang IPv6 sa iyong kaso, pag-isipang i-disable ito pagkatapos masuri ang epekto.
Pag-patch, pag-update, at kontrol sa pagbabago
Panatilihing napapanahon ang Windows mga patch ng seguridad Araw-araw na pagsubok sa isang kinokontrol na kapaligiran bago lumipat sa produksyon. Ang WSUS o SCCM ay mga kaalyado para sa pamamahala ng patch cycle. Huwag kalimutan ang software ng third-party, na kadalasang mahinang link: mag-iskedyul ng mga update at mabilis na ayusin ang mga kahinaan.
Los driver May papel din ang mga driver sa pagpapatigas ng Windows: ang mga hindi napapanahong driver ng device ay maaaring magdulot ng mga pag-crash at kahinaan. Magtatag ng isang regular na proseso ng pag-update ng driver, na inuuna ang katatagan at seguridad kaysa sa mga bagong feature.
Pag-log ng kaganapan, pag-audit, at pagsubaybay
I-configure ang pag-audit sa seguridad at dagdagan ang laki ng log para hindi umikot ang mga ito tuwing dalawang araw. Isentro ang mga kaganapan sa isang corporate viewer o SIEM, dahil ang pagsusuri sa bawat server nang paisa-isa ay nagiging hindi praktikal habang lumalaki ang iyong system. patuloy na pagsubaybay Gamit ang mga baseline ng pagganap at mga limitasyon ng alerto, iwasan ang "pagpapaputok nang walang taros".
Nakakatulong ang mga teknolohiya ng File Integrity Monitoring (FIM) at pagsubaybay sa pagbabago ng configuration na makita ang mga paglihis sa baseline. Mga kasangkapan tulad ng Tagasubaybay ng Pagbabago ng Netwrix Ginagawa nilang mas madali ang pagtuklas at pagpapaliwanag kung ano ang nagbago, sino at kailan, pinabilis ang pagtugon at pagtulong sa pagsunod (NIST, PCI DSS, CMMC, STIG, NERC CIP).
Pag-encrypt ng data sa pahinga at sa pagpapadala
Para sa mga server, BitLocker Isa na itong pangunahing kinakailangan sa lahat ng drive na may sensitibong data. Kung kailangan mo ng granularity sa antas ng file, gamitin ang... EFSSa pagitan ng mga server, pinapayagan ng IPsec na ma-encrypt ang trapiko upang mapanatili ang pagiging kumpidensyal at integridad, isang bagay na mahalaga sa naka-segment na mga network o may hindi gaanong maaasahang mga hakbang. Ito ay mahalaga kapag tinatalakay ang hardening sa Windows.
I-access ang pamamahala at mga kritikal na patakaran
Ilapat ang prinsipyo ng hindi bababa sa pribilehiyo sa mga user at serbisyo. Iwasang mag-imbak ng mga hash ng Tagapamahala ng LAN at huwag paganahin ang NTLMv1 maliban sa mga legacy na dependency. I-configure ang pinapayagang mga uri ng pag-encrypt ng Kerberos at bawasan ang pagbabahagi ng file at printer kung saan hindi ito mahalaga.
Halaga Paghigpitan o harangan ang naaalis na media (USB) upang limitahan ang paglabas o pagpasok ng malware. Nagpapakita ito ng legal na abiso bago mag-login (“Hindi awtorisadong paggamit”), at nangangailangan Ctrl + Alt + Del at awtomatiko nitong tinatapos ang mga hindi aktibong session. Ito ay mga simpleng hakbang na nagpapataas ng paglaban ng umaatake.
Mga tool at automation upang makakuha ng traksyon
Upang ilapat ang mga baseline nang maramihan, gamitin GPO at Mga Baseline ng Seguridad ng Microsoft. Ang mga gabay ng CIS, kasama ang mga tool sa pagtatasa, ay tumutulong na sukatin ang agwat sa pagitan ng iyong kasalukuyang estado at ng target. Kung saan kinakailangan ito ng sukat, mga solusyon tulad ng CalCom Hardening Suite (CHS) Tumutulong ang mga ito upang malaman ang tungkol sa kapaligiran, hulaan ang mga epekto, at ilapat ang mga patakaran sa gitna, na pinapanatili ang hardening sa paglipas ng panahon.
Sa mga sistema ng kliyente, may mga libreng utility na nagpapasimple sa "pagpapatigas" ng mga mahahalaga. Syshardener Nag-aalok ito ng mga setting sa mga serbisyo, firewall at karaniwang software; Hardentools hindi pinapagana ang mga potensyal na mapagsamantalang function (macros, ActiveX, Windows Script Host, PowerShell/ISE bawat browser); at Hard_Configurator Binibigyang-daan ka nitong maglaro sa SRP, mga whitelist ayon sa path o hash, SmartScreen sa mga lokal na file, pagharang sa mga hindi pinagkakatiwalaang source at awtomatikong pagpapatupad sa USB/DVD.
Firewall at pag-access: praktikal na mga panuntunan na gumagana
Palaging i-activate ang Windows firewall, i-configure ang lahat ng tatlong profile na may papasok na pag-block bilang default, at buksan mga kritikal na port lamang sa serbisyo (na may saklaw ng IP kung naaangkop). Pinakamainam na gawin ang malayuang pangangasiwa sa pamamagitan ng VPN at may pinaghihigpitang pag-access. Suriin ang mga legacy na panuntunan at huwag paganahin ang anumang hindi na kailangan.
Huwag kalimutan na ang hardening sa Windows ay hindi isang static na imahe: ito ay isang dynamic na proseso. Idokumento ang iyong baseline. sinusubaybayan ang mga paglihisSuriin ang mga pagbabago pagkatapos ng bawat patch at iakma ang mga hakbang sa aktwal na paggana ng kagamitan. Ang isang maliit na teknikal na disiplina, isang ugnayan ng automation, at isang malinaw na pagtatasa ng panganib ay ginagawang mas mahirap sirain ang Windows nang hindi isinasakripisyo ang kakayahang magamit nito.
Dalubhasa ang editor sa mga isyu sa teknolohiya at internet na may higit sa sampung taong karanasan sa iba't ibang digital media. Nagtrabaho ako bilang isang editor at tagalikha ng nilalaman para sa e-commerce, komunikasyon, online na marketing at mga kumpanya ng advertising. Nagsulat din ako sa mga website ng ekonomiya, pananalapi at iba pang sektor. Ang aking trabaho ay hilig ko rin. Ngayon, sa pamamagitan ng aking mga artikulo sa Tecnobits, sinusubukan kong tuklasin ang lahat ng mga balita at mga bagong pagkakataon na iniaalok sa atin ng mundo ng teknolohiya araw-araw upang mapabuti ang ating buhay.