Windows'ta sertleştirme nedir ve sistem yöneticisi olmadan nasıl uygulanır?

Sunucuları veya kullanıcı bilgisayarlarını yönetiyorsanız muhtemelen kendinize şu soruyu sormuşsunuzdur: Windows'u sorunsuz bir şekilde uyuyabilecek kadar güvenli hale nasıl getirebilirim? Windows'ta sertleştirme Bu tek seferlik bir numara değil, saldırı yüzeyini azaltmak, erişimi sınırlamak ve sistemi kontrol altında tutmak için bir dizi karar ve ayarlamadır.

Kurumsal bir ortamda sunucular, operasyonların temelini oluşturur: verileri depolar, hizmet sağlar ve kritik iş bileşenlerini birbirine bağlar; bu nedenle her saldırgan için birincil hedeftirler. Windows'u en iyi uygulamalar ve temellerle güçlendirerek, Başarısızlıkları en aza indirirseniz, riskleri sınırlandırırsınız ve bir noktada yaşanan olayın altyapının geri kalanına yayılmasını önlersiniz.

Windows'ta sertleştirme nedir ve neden önemlidir?

Sertleştirme veya takviye şunlardan oluşur: bileşenleri yapılandırın, kaldırın veya kısıtlayın İşletim sisteminin, hizmetlerin ve uygulamaların potansiyel giriş noktalarını kapatması. Windows çok yönlü ve uyumludur, evet, ancak "neredeyse her şey için çalışır" yaklaşımı, her zaman ihtiyaç duymadığınız açık işlevlerle birlikte geldiği anlamına gelir.

Ne kadar çok gereksiz işlevi, portu veya protokolü aktif tutarsanız, güvenlik açığınız o kadar artar. Güçlendirmenin amacı saldırı yüzeyini azaltmakAyrıcalıkları sınırlayın ve yalnızca güncel yamalar, etkin denetim ve net politikalarla gerekli olanı bırakın.

Bu yaklaşım yalnızca Windows'a özgü değildir; tüm modern sistemler için geçerlidir: Binlerce farklı senaryoyu idare edebilecek şekilde kurulur. Bu yüzden tavsiye edilir. Kullanmadıklarınızı kapatın.Çünkü eğer siz kullanmazsanız, başkası sizin adınıza kullanmaya çalışabilir.

Rotayı çizen temel çizgiler ve standartlar

Windows'ta sertleştirme için şu gibi kıyaslamalar vardır: CIS (İnternet Güvenliği Merkezi) ve DoD STIG yönergelerine ek olarak Microsoft Güvenlik Temelleri (Microsoft Güvenlik Temelleri). Bu referanslar, farklı Windows rolleri ve sürümleri için önerilen yapılandırmaları, politika değerlerini ve denetimleri kapsar.

Bir temel çizgi uygulamak projeyi büyük ölçüde hızlandırır: Varsayılan yapılandırma ile en iyi uygulamalar arasındaki boşlukları azaltır ve hızlı dağıtımlarda sıklıkla görülen "boşluklardan" kaçınılmasını sağlar. Yine de, her ortam benzersizdir ve değişiklikleri test et Üretime geçmeden önce.

Adım Adım Windows Güçlendirme

Hazırlık ve fiziksel güvenlik

Windows'ta sertleştirme, sistem kurulmadan önce başlar. tam sunucu envanteriYeni olanları güçlendirilene kadar trafikten izole edin, BIOS/UEFI'yi bir parola ile koruyun, devre dışı bırakın harici ortamdan önyükleme ve kurtarma konsollarında otomatik oturum açmayı engeller.

Kendi donanımınızı kullanıyorsanız, ekipmanı aşağıdaki konumlara yerleştirin: fiziksel erişim kontrolüUygun sıcaklık ve izleme önemlidir. Fiziksel erişimi sınırlamak, mantıksal erişim kadar önemlidir, çünkü bir kasayı açmak veya USB'den önyükleme yapmak her şeyi tehlikeye atabilir.

Hesaplar, kimlik bilgileri ve parola politikası

Açıkça görülen zayıflıkları ortadan kaldırarak başlayın: Misafir hesabını devre dışı bırakın ve mümkünse, yerel Yöneticiyi devre dışı bırakır veya yeniden adlandırırÖnemsiz olmayan bir adla (sorgu) bir yönetici hesabı oluşturun Windows 11'de çevrimdışı yerel hesap nasıl oluşturulur?) ve günlük görevler için ayrıcalıksız hesaplar kullanır, yalnızca gerekli olduğunda "Farklı çalıştır" yoluyla ayrıcalıkları yükseltir.

Şifre politikanızı güçlendirin: Uygun karmaşıklık ve uzunlukta olduğundan emin olun. periyodik son kullanma tarihiBaşarısız girişimlerden sonra yeniden kullanımı ve hesap kilitlenmesini önlemek için geçmişe yönelik bir çözüm. Çok sayıda ekibi yönetiyorsanız, yerel kimlik bilgilerini döndürmek için LAPS gibi çözümleri değerlendirin; önemli olan nokta şudur: statik kimlik bilgilerinden kaçının ve tahmin edilmesi kolaydır.

 

Grup üyeliklerini (Yöneticiler, Uzak Masaüstü Kullanıcıları, Yedekleme Operatörleri vb.) gözden geçirin ve gereksiz olanları kaldırın. daha az ayrıcalık Yanal hareketleri sınırlamada en iyi müttefikinizdir.

Ağ, DNS ve zaman senkronizasyonu (NTP)

Bir üretim sunucusunun sahip olması gerekenler Statik IP, bir güvenlik duvarının arkasında korunan segmentlerde bulunmalıdır (ve bilinmelidir) Şüpheli ağ bağlantıları CMD'den nasıl engellenir (gerektiğinde) ve yedeklilik için iki DNS sunucusu tanımlayın. A ve PTR kayıtlarının mevcut olduğunu doğrulayın; DNS yayılımının... alabilir Ve plan yapmakta fayda var.

NTP'yi yapılandırın: Sadece birkaç dakikalık bir sapma Kerberos'u bozar ve nadir görülen kimlik doğrulama hatalarına neden olur. Güvenilir bir zamanlayıcı tanımlayın ve senkronize edin. tüm filo Buna karşı. İhtiyacınız yoksa, TCP/IP üzerinden NetBIOS veya LMHosts araması gibi eski protokolleri devre dışı bırakın. Gürültüyü azaltın ve sergi.

Roller, özellikler ve hizmetler: daha azı daha fazladır

Yalnızca sunucunun amacı için ihtiyaç duyduğunuz rolleri ve özellikleri yükleyin (IIS, gerekli sürümünde .NET vb.). Her ek paket ek yüzey Güvenlik açıkları ve yapılandırma için. Kullanılmayacak varsayılan veya ek uygulamaları kaldırın (bkz. Winaero Tweaker: Faydalı ve Güvenli Ayarlamalar).

Hizmetleri gözden geçirin: Gerekli olanlar otomatik olarak; başkalarına bağlı olanlar ise Otomatik (gecikmeli başlatma) veya iyi tanımlanmış bağımlılıklarla; değer katmayan her şey devre dışı bırakılır. Uygulama hizmetleri için ise belirli hizmet hesapları minimum izinlerle, eğer kaçınabilirseniz Yerel Sistem değil.

Güvenlik duvarı ve maruz kalmanın en aza indirilmesi

Genel kural: Varsayılan olarak engelleyin ve yalnızca gerekli olanı açın. Bir web sunucusuysa, HTTP / HTTPS İşte bu kadar; yönetim (RDP, WinRM, SSH) VPN üzerinden yapılmalı ve mümkünse IP adresiyle sınırlandırılmalıdır. Windows güvenlik duvarı, profiller (Etki Alanı, Özel, Genel) ve ayrıntılı kurallar aracılığıyla iyi bir kontrol sunar.

Özel bir çevre güvenlik duvarı her zaman bir artıdır, çünkü sunucuyu boşaltır ve gelişmiş seçenekler (denetim, IPS, segmentasyon). Her durumda yaklaşım aynıdır: daha az açık port, daha az kullanılabilir saldırı yüzeyi.

Uzaktan erişim ve güvenli olmayan protokoller

RDP yalnızca kesinlikle gerekliyse, NLA, yüksek şifrelemeMümkünse MFA ve belirli gruplara ve ağlara sınırlı erişim. Telnet ve FTP'den kaçının; transfer gerekiyorsa SFTP/SSH kullanın, hatta daha iyisi, bir VPN'denPowerShell Uzaktan Erişim ve SSH kontrol altında tutulmalıdır: bunlara kimin ve nereden erişebileceğini sınırlayın. Uzaktan kontrole güvenli bir alternatif olarak, nasıl yapılacağını öğrenin. Windows'ta Chrome Uzak Masaüstü'nü etkinleştirin ve yapılandırın.

İhtiyacınız yoksa Uzaktan Kayıt hizmetini devre dışı bırakın. İnceleyin ve engelleyin. NullSessionPipes y NullSessionShares Kaynaklara anonim erişimi engellemek için. Eğer sizin durumunuzda IPv6 kullanılmıyorsa, etkisini değerlendirdikten sonra devre dışı bırakmayı düşünün.

Yama, güncellemeler ve değişiklik kontrolü

Windows'u güncel tutun güvenlik yamaları Üretime geçmeden önce kontrollü bir ortamda günlük testler yapın. Yama döngüsünü yönetmek için WSUS veya SCCM müttefiklerinizdir. Genellikle zayıf halka olan üçüncü taraf yazılımları unutmayın: Güncellemeleri planlayın ve güvenlik açıklarını hızla giderin.

Jardines de Viveros sürücüler Sürücüler, Windows'un güçlendirilmesinde de rol oynar: güncel olmayan aygıt sürücüleri çökmelere ve güvenlik açıklarına neden olabilir. Yeni özellikler yerine kararlılık ve güvenliğe öncelik vererek düzenli bir sürücü güncelleme süreci oluşturun.

Olay günlüğü tutma, denetleme ve izleme

Güvenlik denetimini yapılandırın ve günlüklerin boyutunu iki günde bir değişmemesi için artırın. Sisteminiz büyüdükçe her sunucuyu ayrı ayrı incelemek pratik olmayacağından, olayları kurumsal bir görüntüleyicide veya SIEM'de merkezileştirin. sürekli izleme Performans temel çizgileri ve uyarı eşikleri ile "körü körüne ateş etmekten" kaçının.

Dosya Bütünlüğü İzleme (FIM) teknolojileri ve yapılandırma değişikliği izleme, temel sapmaların tespit edilmesine yardımcı olur. Netwrix Değişiklik İzleyici Neyin, kim tarafından ve ne zaman değiştiğini tespit etmeyi ve açıklamayı kolaylaştırır, müdahaleyi hızlandırır ve uyumluluğa yardımcı olur (NIST, PCI DSS, CMMC, STIG, NERC CIP).

Hareketsizken ve aktarım sırasında veri şifrelemesi

Sunucular için, BitLocker Hassas verilerin bulunduğu tüm sürücüler için zaten temel bir gerekliliktir. Dosya düzeyinde ayrıntıya ihtiyacınız varsa, şunu kullanın... EFSSunucular arasında IPsec, gizliliği ve bütünlüğü korumak için trafiğin şifrelenmesine olanak tanır; bu da segmentli ağlar veya daha az güvenilir adımlarla. Bu, Windows'ta sertleştirmeyi tartışırken çok önemlidir.

Erişim yönetimi ve kritik politikalar

Kullanıcılara ve hizmetlere en az ayrıcalık ilkesini uygulayın. Karma değerleri depolamaktan kaçının. LAN Yöneticisi ve eski bağımlılıklar haricinde NTLMv1'i devre dışı bırakın. İzin verilen Kerberos şifreleme türlerini yapılandırın ve gerekli olmadığı durumlarda dosya ve yazıcı paylaşımını azaltın.

Değer Çıkarılabilir medyayı (USB) kısıtlayın veya engelleyin Kötü amaçlı yazılımların sızmasını veya girişini sınırlamak için. Giriş yapmadan önce yasal bir bildirim görüntüler ("Yetkisiz kullanım yasaktır") ve Ctrl + Alt + Del ve etkin olmayan oturumları otomatik olarak sonlandırır. Bunlar, saldırganın direncini artıran basit önlemlerdir.

İvme kazanmak için araçlar ve otomasyon

Temel değerleri toplu olarak uygulamak için şunu kullanın: GPO ve Microsoft Güvenlik Temelleri. CIS kılavuzları, değerlendirme araçlarıyla birlikte, mevcut durumunuz ile hedef arasındaki farkı ölçmenize yardımcı olur. Ölçeklendirmenin gerektirdiği durumlarda, aşağıdaki gibi çözümler: CalCom Sertleştirme Paketi (CHS) Çevre hakkında bilgi edinmeye, etkileri tahmin etmeye ve politikaları merkezi olarak uygulamaya yardımcı olur, zamanla sertleşmeyi sürdürürler.

İstemci sistemlerinde, temel unsurların "güçlendirilmesini" kolaylaştıran ücretsiz yardımcı programlar bulunmaktadır. Sistem sertleştirici Servisler, güvenlik duvarı ve ortak yazılımlar üzerinde ayarlar sunar; Sertleştirilmiş aletler potansiyel olarak istismar edilebilir işlevleri devre dışı bırakır (makrolar, ActiveX, Windows Script Host, tarayıcı başına PowerShell/ISE); ve Sert_Yapılandırıcı SRP ile oynamanıza, yol veya karma ile beyaz listeler oluşturmanıza, yerel dosyalarda SmartScreen kullanmanıza, güvenilmeyen kaynakların engellenmesine ve USB/DVD üzerinde otomatik çalıştırmaya olanak tanır.

Güvenlik duvarı ve erişim: işe yarayan pratik kurallar

Windows güvenlik duvarını her zaman etkinleştirin, üç profili de gelen gelen engellemeyi varsayılan olarak ayarlayarak yapılandırın ve açın sadece kritik portlar Hizmete (varsa IP kapsamıyla birlikte). Uzaktan yönetim en iyi VPN üzerinden ve kısıtlı erişimle yapılır. Eski kuralları inceleyin ve artık ihtiyaç duyulmayan her şeyi devre dışı bırakın.

Windows'ta sertleştirmenin statik bir görüntü olmadığını, dinamik bir süreç olduğunu unutmayın. Temel değerlerinizi belgelendirin. sapmaları izlerHer yamadan sonra değişiklikleri gözden geçirin ve önlemleri ekipmanın gerçek işlevine uyarlayın. Biraz teknik disiplin, bir miktar otomasyon ve net bir risk değerlendirmesi, Windows'u çok yönlülüğünden ödün vermeden kırılması çok daha zor bir sistem haline getirir.