ونڈوز میں سختی کیا ہے اور اسے سیسڈمین بنائے بغیر کیسے لاگو کیا جائے۔

اگر آپ سرورز یا صارف کے کمپیوٹرز کا نظم کرتے ہیں، تو آپ نے شاید اپنے آپ سے یہ سوال پوچھا ہے: میں ونڈوز کو اتنی محفوظ کیسے بنا سکتا ہوں کہ وہ اچھی طرح سو سکے؟ ونڈوز میں سختی یہ کوئی یک طرفہ چال نہیں ہے، بلکہ حملے کی سطح کو کم کرنے، رسائی کو محدود کرنے اور نظام کو کنٹرول میں رکھنے کے لیے فیصلوں اور ایڈجسٹمنٹ کا ایک مجموعہ ہے۔

کارپوریٹ ماحول میں، سرورز آپریشنز کی بنیاد ہیں: وہ ڈیٹا ذخیرہ کرتے ہیں، خدمات فراہم کرتے ہیں، اور اہم کاروباری اجزاء کو جوڑتے ہیں۔ اس لیے وہ کسی بھی حملہ آور کے لیے ایک اہم ہدف ہیں۔ بہترین طریقوں اور بنیادی خطوط کے ساتھ ونڈوز کو مضبوط بنا کر، آپ ناکامیوں کو کم کرتے ہیں، آپ خطرات کو محدود کرتے ہیں۔ اور آپ ایک موقع پر کسی واقعے کو باقی انفراسٹرکچر تک بڑھنے سے روکتے ہیں۔

ونڈوز میں سخت ہونا کیا ہے اور یہ کلیدی کیوں ہے؟

سختی یا کمک پر مشتمل ہے۔ اجزاء کو ترتیب دیں، ہٹائیں یا محدود کریں۔ ممکنہ انٹری پوائنٹس کو بند کرنے کے لیے آپریٹنگ سسٹم، خدمات اور ایپلیکیشنز۔ ونڈوز ورسٹائل اور ہم آہنگ ہے، ہاں، لیکن "یہ تقریباً ہر چیز کے لیے کام کرتا ہے" کے نقطہ نظر کا مطلب ہے کہ یہ کھلی فعالیت کے ساتھ آتا ہے جن کی آپ کو ہمیشہ ضرورت نہیں ہوتی ہے۔

آپ جتنے زیادہ غیر ضروری فنکشنز، پورٹس، یا پروٹوکولز کو فعال رکھیں گے، آپ کی کمزوری اتنی ہی زیادہ ہوگی۔ سختی کا مقصد ہے حملے کی سطح کو کم کریںمراعات کو محدود کریں اور صرف وہی چھوڑیں جو ضروری ہے، تازہ ترین پیچ، فعال آڈیٹنگ، اور واضح پالیسیوں کے ساتھ۔

یہ نقطہ نظر ونڈوز کے لیے منفرد نہیں ہے۔ یہ کسی بھی جدید نظام پر لاگو ہوتا ہے: یہ ہزار مختلف منظرناموں کو سنبھالنے کے لیے تیار نصب ہے۔ اس لیے یہ مشورہ دیا جاتا ہے۔ جو آپ استعمال نہیں کر رہے اسے بند کر دیں۔کیونکہ اگر آپ اسے استعمال نہیں کرتے ہیں، تو کوئی اور آپ کے لیے اسے استعمال کرنے کی کوشش کر سکتا ہے۔

بنیادی خطوط اور معیارات جو کورس کو چارٹ کرتے ہیں۔

ونڈوز میں سختی کے لیے، ایسے معیارات ہیں جیسے CIS (سینٹر برائے انٹرنیٹ سیکورٹی) اور DoD STIG رہنما خطوط، اس کے علاوہ مائیکروسافٹ سیکیورٹی بیس لائنز (مائیکروسافٹ سیکیورٹی بیس لائنز)۔ یہ حوالہ جات ونڈوز کے مختلف کرداروں اور ورژنز کے لیے تجویز کردہ کنفیگریشنز، پالیسی ویلیوز اور کنٹرولز کا احاطہ کرتے ہیں۔

بیس لائن کو لاگو کرنے سے پراجیکٹ میں بہت تیزی آتی ہے: یہ ڈیفالٹ کنفیگریشن اور بہترین طریقوں کے درمیان فرق کو کم کرتا ہے، تیز رفتار تعیناتیوں کے مخصوص "خالی" سے گریز کرتا ہے۔ اس کے باوجود، ہر ماحول منفرد ہے اور یہ مشورہ دیا جاتا ہے تبدیلیوں کی جانچ کریں۔ پیداوار میں لے جانے سے پہلے.

قدم بہ قدم ونڈوز کو سخت کرنا

تیاری اور جسمانی تحفظ

سسٹم انسٹال ہونے سے پہلے ونڈوز میں سخت ہونا شروع ہو جاتا ہے۔ رکھنا a مکمل سرور انوینٹرینئے کو ٹریفک سے الگ رکھیں جب تک کہ وہ سخت نہ ہو جائیں، BIOS/UEFI کو پاس ورڈ کے ساتھ محفوظ کریں، غیر فعال کریں۔ بیرونی میڈیا سے بوٹ اور ریکوری کنسولز پر آٹولوگون کو روکتا ہے۔

اگر آپ اپنا ہارڈ ویئر استعمال کرتے ہیں، تو سامان کو ان جگہوں پر رکھیں جس کے ساتھ جسمانی رسائی کنٹرولمناسب درجہ حرارت اور نگرانی ضروری ہے۔ جسمانی رسائی کو محدود کرنا اتنا ہی ضروری ہے جتنا کہ منطقی رسائی، کیونکہ چیسس کھولنا یا USB سے بوٹ کرنا ہر چیز سے سمجھوتہ کر سکتا ہے۔

اکاؤنٹس، اسناد، اور پاس ورڈ کی پالیسی

واضح کمزوریوں کو ختم کرکے شروع کریں: مہمانوں کے اکاؤنٹ کو غیر فعال کریں اور جہاں ممکن ہو، مقامی ایڈمنسٹریٹر کو غیر فعال یا نام تبدیل کرتا ہے۔ایک غیر معمولی نام کے ساتھ ایک انتظامی اکاؤنٹ بنائیں (استفسار ونڈوز 11 آف لائن میں مقامی اکاؤنٹ کیسے بنایا جائے۔) اور روزمرہ کے کاموں کے لیے غیر مراعات یافتہ اکاؤنٹس کا استعمال کرتا ہے، صرف ضروری ہونے پر "اس طور پر چلائیں" کے ذریعے مراعات کو بڑھاتا ہے۔

اپنی پاس ورڈ کی پالیسی کو مضبوط بنائیں: مناسب پیچیدگی اور لمبائی کو یقینی بنائیں۔ متواتر میعاد ختمناکام کوششوں کے بعد دوبارہ استعمال اور اکاؤنٹ لاک آؤٹ کو روکنے کے لیے تاریخ۔ اگر آپ بہت سی ٹیموں کا انتظام کرتے ہیں، تو مقامی اسناد کو گھمانے کے لیے LAPS جیسے حل پر غور کریں۔ اہم بات یہ ہے جامد اسناد سے بچیں اور اندازہ لگانا آسان ہے۔

 

گروپ کی رکنیت کا جائزہ لیں (ایڈمنسٹریٹرز، ریموٹ ڈیسک ٹاپ صارفین، بیک اپ آپریٹرز وغیرہ) اور کسی بھی غیر ضروری کو ہٹا دیں۔ کا اصول کم استحقاق پس منظر کی نقل و حرکت کو محدود کرنے کے لیے یہ آپ کا بہترین اتحادی ہے۔

نیٹ ورک، ڈی این ایس اور ٹائم سنکرونائزیشن (این ٹی پی)

ایک پروڈکشن سرور ہونا ضروری ہے۔ جامد IP، فائر وال کے پیچھے محفوظ حصوں میں واقع ہوں (اور جانیں۔ سی ایم ڈی سے مشکوک نیٹ ورک کنکشن کو کیسے بلاک کیا جائے۔ (جب ضروری ہو)، اور فالتو پن کے لیے دو DNS سرورز کی وضاحت کی گئی ہے۔ تصدیق کریں کہ A اور PTR ریکارڈ موجود ہیں؛ یاد رکھیں کہ DNS پروپیگنڈہ... یہ لگ سکتا ہے اور منصوبہ بندی کرنے کا مشورہ دیا جاتا ہے۔

این ٹی پی کو ترتیب دیں: صرف چند منٹوں کا انحراف کربروس کو توڑ دیتا ہے اور غیر معمولی تصدیق کی ناکامیوں کا سبب بنتا ہے۔ ایک قابل اعتماد ٹائمر کی وضاحت کریں اور اسے مطابقت پذیر بنائیں۔ پورے بیڑے اس کے خلاف اگر آپ کو ضرورت نہیں ہے تو، NetBIOS جیسے لیگیسی پروٹوکول کو TCP/IP یا LMHosts تلاش کرنے کے لیے غیر فعال کریں۔ شور کو کم کریں اور نمائش.

کردار، خصوصیات اور خدمات: کم زیادہ ہے۔

صرف وہی کردار اور خصوصیات انسٹال کریں جن کی آپ کو سرور کے مقصد کے لیے ضرورت ہے (IIS، .NET اس کے مطلوبہ ورژن میں، وغیرہ)۔ ہر ایک اضافی پیکج ہے اضافی سطح کمزوریوں اور ترتیب کے لیے۔ ڈیفالٹ یا اضافی ایپلیکیشنز کو ان انسٹال کریں جو استعمال نہیں ہوں گی (دیکھیں۔ Winaero Tweaker: مفید اور محفوظ ایڈجسٹمنٹ).

خدمات کا جائزہ لیں: ضروری ہیں، خود بخود؛ وہ جو دوسروں پر انحصار کرتے ہیں، میں خودکار (شروع ہونے میں تاخیر) یا اچھی طرح سے بیان کردہ انحصار کے ساتھ؛ کوئی بھی چیز جو قدر میں اضافہ نہیں کرتی، غیر فعال۔ اور ایپلیکیشن سروسز کے لیے استعمال کریں۔ مخصوص سروس اکاؤنٹس کم سے کم اجازتوں کے ساتھ، نہ کہ لوکل سسٹم اگر آپ اس سے بچ سکتے ہیں۔

فائر وال اور نمائش کو کم سے کم کرنا

عام اصول: بطور ڈیفالٹ بلاک کریں اور صرف وہی کھولیں جو ضروری ہو۔ اگر یہ ویب سرور ہے، تو بے نقاب کریں۔ HTTP / HTTPS اور بس۔ ایڈمنسٹریشن (RDP, WinRM, SSH) کو VPN پر کیا جانا چاہئے اور، اگر ممکن ہو تو، IP ایڈریس کے ذریعہ محدود کیا جانا چاہئے۔ ونڈوز فائر وال پروفائلز (ڈومین، پرائیویٹ، پبلک) اور گرینولر رولز کے ذریعے اچھا کنٹرول پیش کرتا ہے۔

ایک وقف شدہ پیری میٹر فائر وال ہمیشہ ایک پلس ہوتا ہے، کیونکہ یہ سرور کو آف لوڈ کرتا ہے اور اضافہ کرتا ہے۔ جدید ترین اختیارات (معائنہ، آئی پی ایس، سیگمنٹیشن)۔ کسی بھی صورت میں، نقطہ نظر ایک ہی ہے: کم کھلی بندرگاہیں، کم استعمال کے قابل حملے کی سطح۔

ریموٹ رسائی اور غیر محفوظ پروٹوکول

RDP صرف اس صورت میں جب بالکل ضروری ہو، کے ساتھ NLA، اعلی خفیہ کاریاگر ممکن ہو تو MFA، اور مخصوص گروپوں اور نیٹ ورکس تک محدود رسائی۔ ٹیل نیٹ اور ایف ٹی پی سے بچیں؛ اگر آپ کو منتقلی کی ضرورت ہے تو، SFTP/SSH استعمال کریں، اور اس سے بھی بہتر، وی پی این سےPowerShell Remoting اور SSH کو کنٹرول کرنا ضروری ہے: محدود کریں کہ ان تک کون اور کہاں سے رسائی حاصل کر سکتا ہے۔ ریموٹ کنٹرول کے لیے ایک محفوظ متبادل کے طور پر، سیکھیں۔ ونڈوز پر کروم ریموٹ ڈیسک ٹاپ کو چالو اور کنفیگر کریں۔.

اگر آپ کو اس کی ضرورت نہیں ہے تو، ریموٹ رجسٹریشن سروس کو غیر فعال کریں۔ جائزہ لیں اور بلاک کریں۔ NullSessionPipes y NullSessionShares وسائل تک گمنام رسائی کو روکنے کے لیے۔ اور اگر آپ کے معاملے میں IPv6 استعمال نہیں کیا جاتا ہے، تو اثرات کا اندازہ لگانے کے بعد اسے غیر فعال کرنے پر غور کریں۔

پیچ کرنا، اپ ڈیٹ کرنا، اور کنٹرول کو تبدیل کرنا

ونڈوز کو اپ ٹو ڈیٹ رکھیں سیکیورٹی پیچ پیداوار میں جانے سے پہلے ایک کنٹرول شدہ ماحول میں روزانہ ٹیسٹنگ۔ WSUS یا SCCM پیچ سائیکل کے انتظام کے لیے اتحادی ہیں۔ فریق ثالث کے سافٹ ویئر کو مت بھولنا، جو اکثر کمزور لنک ہوتا ہے: اپ ڈیٹس کو شیڈول کریں اور کمزوریوں کا جلد ازالہ کریں۔

ل ڈرائیور ڈرائیور بھی ونڈوز کو سخت کرنے میں اپنا کردار ادا کرتے ہیں: پرانے ڈیوائس ڈرائیور کریش اور کمزوریوں کا سبب بن سکتے ہیں۔ نئے فیچرز پر استحکام اور سیکیورٹی کو ترجیح دیتے ہوئے ڈرائیور کی تازہ کاری کا باقاعدہ عمل قائم کریں۔

ایونٹ لاگنگ، آڈیٹنگ، اور نگرانی

سیکیورٹی آڈیٹنگ کو ترتیب دیں اور لاگ سائز میں اضافہ کریں تاکہ وہ ہر دو دن بعد نہ گھومیں۔ کارپوریٹ ویور یا SIEM میں ایونٹس کو سنٹرلائز کریں، کیونکہ ہر سرور کا انفرادی طور پر جائزہ لینا آپ کے سسٹم کے بڑھنے کے ساتھ ساتھ ناقابل عمل ہو جاتا ہے۔ مسلسل نگرانی کارکردگی کی بنیادی خطوط اور الرٹ کی حدوں کے ساتھ، "آندھی فائرنگ" سے گریز کریں۔

فائل انٹیگریٹی مانیٹرنگ (FIM) ٹیکنالوجیز اور کنفیگریشن تبدیلی سے باخبر رہنے سے بنیادی انحراف کا پتہ لگانے میں مدد ملتی ہے۔ اوزار جیسے نیٹ ورکس چینج ٹریکر وہ اس بات کا پتہ لگانا اور وضاحت کرنا آسان بناتے ہیں کہ کیا تبدیلی آئی ہے، کس نے اور کب، ردعمل کو تیز کرنا اور تعمیل میں مدد کرنا (NIST، PCI DSS، CMMC، STIG، NERC CIP)۔

آرام اور ٹرانزٹ میں ڈیٹا کی خفیہ کاری

سرورز کے لیے، BitLocker یہ پہلے سے ہی حساس ڈیٹا والی تمام ڈرائیوز پر ایک بنیادی ضرورت ہے۔ اگر آپ کو فائل لیول گرانولریٹی کی ضرورت ہے تو استعمال کریں... ای ایف ایسسرورز کے درمیان، IPsec رازداری اور سالمیت کو محفوظ رکھنے کے لیے ٹریفک کو خفیہ کرنے کی اجازت دیتا ہے، جس میں کچھ اہم ہے۔ منقسم نیٹ ورکس یا کم قابل اعتماد اقدامات کے ساتھ۔ ونڈوز میں سختی پر بحث کرتے وقت یہ بہت ضروری ہے۔

رسائی کا انتظام اور اہم پالیسیاں

صارفین اور خدمات پر کم سے کم استحقاق کے اصول کا اطلاق کریں۔ کی ہیشز کو ذخیرہ کرنے سے گریز کریں۔ LAN مینیجر اور NTLMv1 کو غیر فعال کریں سوائے میراثی انحصار کے۔ کربروس انکرپشن کی اجازت شدہ اقسام کو ترتیب دیں اور فائل اور پرنٹر شیئرنگ کو کم کریں جہاں یہ ضروری نہ ہو۔

ویلورا ہٹانے کے قابل میڈیا (USB) کو محدود یا مسدود کرنا میلویئر کے اخراج یا اندراج کو محدود کرنے کے لیے۔ یہ لاگ ان کرنے سے پہلے ایک قانونی نوٹس دکھاتا ہے ("غیر مجاز استعمال ممنوع")، اور اس کی ضرورت ہوتی ہے۔ Ctrl + Alt + Del اور یہ خود بخود غیر فعال سیشنز کو ختم کر دیتا ہے۔ یہ آسان اقدامات ہیں جو حملہ آور کی مزاحمت کو بڑھاتے ہیں۔

کرشن حاصل کرنے کے لیے ٹولز اور آٹومیشن

بڑی تعداد میں بنیادی خطوط کا اطلاق کرنے کے لیے، استعمال کریں۔ GPO اور مائیکروسافٹ کی سیکورٹی بیس لائنز۔ CIS گائیڈز، تشخیصی ٹولز کے ساتھ، آپ کی موجودہ حالت اور ہدف کے درمیان فرق کو ماپنے میں مدد کرتے ہیں۔ جہاں پیمانے کی ضرورت ہوتی ہے، حل جیسے CalCom ہارڈیننگ سویٹ (CHS) وہ ماحول کے بارے میں جاننے، اثرات کی پیشین گوئی کرنے، اور پالیسیوں کو مرکزی طور پر لاگو کرنے میں مدد کرتے ہیں، وقت کے ساتھ ساتھ سختی کو برقرار رکھتے ہوئے۔

کلائنٹ سسٹمز پر، مفت یوٹیلیٹیز ہیں جو ضروری چیزوں کو "سخت بنانے" کو آسان بناتی ہیں۔ Syshardener یہ خدمات، فائر وال اور عام سافٹ ویئر پر سیٹنگز پیش کرتا ہے۔ ہارڈینٹولز ممکنہ طور پر قابل استعمال افعال کو غیر فعال کرتا ہے (میکروز، ایکٹو ایکس، ونڈوز اسکرپٹ ہوسٹ، پاور شیل/آئی ایس ای فی براؤزر)؛ اور ہارڈ_کنفیگریٹر یہ آپ کو ایس آر پی کے ساتھ کھیلنے کی اجازت دیتا ہے، راستے یا ہیش کے ذریعے وائٹ لسٹ، مقامی فائلوں پر اسمارٹ اسکرین، غیر بھروسہ مند ذرائع کو مسدود کرنا اور USB/DVD پر خود کار طریقے سے عملدرآمد۔

فائر وال اور رسائی: عملی اصول جو کام کرتے ہیں۔

ونڈوز فائر وال کو ہمیشہ ایکٹیویٹ کریں، تینوں پروفائلز کو انکمنگ انکمنگ بلاکنگ کے ساتھ بطور ڈیفالٹ کنفیگر کریں، اور کھولیں۔ صرف اہم بندرگاہیں سروس میں (اگر قابل اطلاق ہو تو IP اسکوپ کے ساتھ)۔ ریموٹ ایڈمنسٹریشن VPN کے ذریعے اور محدود رسائی کے ساتھ بہترین طریقے سے کی جاتی ہے۔ میراثی اصولوں کا جائزہ لیں اور کسی بھی ایسی چیز کو غیر فعال کریں جس کی اب ضرورت نہیں ہے۔

یہ نہ بھولیں کہ ونڈوز میں سختی ایک جامد تصویر نہیں ہے: یہ ایک متحرک عمل ہے۔ اپنی بیس لائن کو دستاویز کریں۔ انحراف کی نگرانی کرتا ہے۔ہر پیچ کے بعد تبدیلیوں کا جائزہ لیں اور آلات کے اصل کام کے مطابق اقدامات کو ڈھالیں۔ تھوڑا سا تکنیکی نظم و ضبط، آٹومیشن کا ایک ٹچ، اور خطرے کا واضح اندازہ ونڈوز کو اس کی استعداد کو قربان کیے بغیر توڑنا ایک بہت مشکل نظام بنا دیتا ہے۔