- Các đường cơ sở (CIS, STIG và Microsoft) hướng dẫn quá trình củng cố nhất quán và có thể đo lường được.
- Ít không gian hơn: chỉ cài đặt những gì cần thiết, giới hạn cổng và quyền.
- Việc vá lỗi, giám sát và mã hóa giúp duy trì tính bảo mật theo thời gian.
- Tự động hóa với GPO và các công cụ để duy trì trạng thái bảo mật của bạn.
Nếu bạn quản lý máy chủ hoặc máy tính của người dùng, có lẽ bạn đã tự hỏi mình câu hỏi này: làm thế nào để bảo mật Windows đủ tốt để sử dụng an toàn? cứng trong Windows Đây không phải là một thủ thuật một lần, mà là một loạt các quyết định và điều chỉnh để giảm bề mặt tấn công, hạn chế quyền truy cập và giữ cho hệ thống được kiểm soát.
Trong môi trường doanh nghiệp, máy chủ là nền tảng của hoạt động: chúng lưu trữ dữ liệu, cung cấp dịch vụ và kết nối các thành phần kinh doanh quan trọng; đó là lý do tại sao chúng là mục tiêu hàng đầu của bất kỳ kẻ tấn công nào. Bằng cách củng cố Windows bằng các phương pháp hay nhất và cơ sở dữ liệu, Bạn giảm thiểu thất bại, bạn hạn chế rủi ro và bạn ngăn chặn một sự cố tại một thời điểm nào đó lan sang phần còn lại của cơ sở hạ tầng.
Hardening trong Windows là gì và tại sao nó lại quan trọng?
Làm cứng hoặc gia cố bao gồm cấu hình, xóa hoặc hạn chế các thành phần của hệ điều hành, dịch vụ và ứng dụng để ngăn chặn các điểm truy cập tiềm ẩn. Windows rất linh hoạt và tương thích, đúng vậy, nhưng cách tiếp cận "nó hoạt động với hầu hết mọi thứ" đồng nghĩa với việc nó đi kèm với các chức năng mở mà bạn không phải lúc nào cũng cần.
Càng duy trì nhiều chức năng, cổng hoặc giao thức không cần thiết, lỗ hổng của bạn càng lớn. Mục tiêu của việc củng cố là giảm bề mặt tấn côngHạn chế quyền hạn và chỉ giữ lại những gì cần thiết, với các bản vá lỗi cập nhật, kiểm tra tích cực và chính sách rõ ràng.
Cách tiếp cận này không chỉ áp dụng riêng cho Windows; nó áp dụng cho bất kỳ hệ thống hiện đại nào: nó được cài đặt sẵn sàng để xử lý hàng ngàn tình huống khác nhau. Đó là lý do tại sao nên sử dụng Đóng những gì bạn không sử dụng.Bởi vì nếu bạn không sử dụng nó, người khác có thể sẽ cố gắng sử dụng nó thay bạn.
Các đường cơ sở và tiêu chuẩn vạch ra lộ trình
Để tăng cường bảo mật trong Windows, có các điểm chuẩn như CIS (Trung tâm An ninh Internet) và các hướng dẫn STIG của DoD, ngoài ra còn có Cơ sở bảo mật của Microsoft (Microsoft Security Baselines). Các tài liệu tham khảo này đề cập đến các cấu hình được đề xuất, giá trị chính sách và biện pháp kiểm soát cho các vai trò và phiên bản Windows khác nhau.
Việc áp dụng đường cơ sở giúp đẩy nhanh đáng kể tiến độ dự án: nó thu hẹp khoảng cách giữa cấu hình mặc định và các phương pháp hay nhất, tránh được những "khoảng trống" thường thấy trong các đợt triển khai nhanh. Tuy nhiên, mỗi môi trường đều khác nhau và nên kiểm tra những thay đổi trước khi đưa vào sản xuất.
Làm cứng cửa sổ từng bước
Chuẩn bị và an ninh vật lý
Quá trình bảo mật trong Windows bắt đầu trước khi hệ thống được cài đặt. Giữ một kiểm kê máy chủ hoàn chỉnhCô lập những cái mới khỏi lưu lượng cho đến khi chúng được củng cố, bảo vệ BIOS/UEFI bằng mật khẩu, vô hiệu hóa khởi động từ phương tiện bên ngoài và ngăn chặn việc tự động đăng nhập trên bảng điều khiển phục hồi.
Nếu bạn sử dụng phần cứng của riêng mình, hãy đặt thiết bị ở những vị trí có kiểm soát truy cập vật lýNhiệt độ và việc theo dõi thích hợp là rất cần thiết. Việc hạn chế truy cập vật lý cũng quan trọng như truy cập logic, vì việc mở khung máy hoặc khởi động từ USB có thể gây nguy hiểm cho mọi thứ.
Chính sách về tài khoản, thông tin đăng nhập và mật khẩu
Bắt đầu bằng cách loại bỏ những điểm yếu rõ ràng: vô hiệu hóa tài khoản khách và nếu có thể, vô hiệu hóa hoặc đổi tên Quản trị viên cục bộTạo một tài khoản quản trị với tên không tầm thường (truy vấn Cách tạo tài khoản cục bộ trong Windows 11 ngoại tuyến) và sử dụng các tài khoản không có đặc quyền cho các tác vụ hàng ngày, chỉ nâng cao đặc quyền thông qua "Chạy dưới dạng" khi cần thiết.
Tăng cường chính sách mật khẩu của bạn: đảm bảo độ phức tạp và độ dài phù hợp. hết hạn định kỳLịch sử để ngăn chặn việc sử dụng lại và khóa tài khoản sau những lần thử không thành công. Nếu bạn quản lý nhiều nhóm, hãy cân nhắc các giải pháp như LAPS để luân chuyển thông tin đăng nhập cục bộ; điều quan trọng là tránh thông tin xác thực tĩnh và dễ đoán.
Xem lại tư cách thành viên nhóm (Quản trị viên, Người dùng máy tính từ xa, Người vận hành sao lưu, v.v.) và xóa bất kỳ thành viên nào không cần thiết. Nguyên tắc của đặc quyền thấp hơn Đây là đồng minh tốt nhất của bạn để hạn chế các chuyển động ngang.
Đồng bộ hóa mạng, DNS và thời gian (NTP)
Một máy chủ sản xuất phải có IP tĩnh, được đặt trong các phân đoạn được bảo vệ sau tường lửa (và biết Cách chặn các kết nối mạng đáng ngờ từ CMD (khi cần thiết) và xác định hai máy chủ DNS để dự phòng. Xác minh xem bản ghi A và PTR có tồn tại không; hãy nhớ rằng việc truyền DNS... nó có thể mất Và nên lập kế hoạch.
Cấu hình NTP: Chỉ cần sai lệch vài phút cũng có thể làm gián đoạn Kerberos và gây ra lỗi xác thực hiếm gặp. Hãy thiết lập bộ đếm thời gian đáng tin cậy và đồng bộ hóa nó. toàn bộ hạm đội chống lại nó. Nếu bạn không cần, hãy tắt các giao thức cũ như NetBIOS qua TCP/IP hoặc tìm kiếm LMHosts Giảm tiếng ồn và triển lãm.
Vai trò, tính năng và dịch vụ: ít hơn là nhiều hơn
Chỉ cài đặt các vai trò và tính năng bạn cần cho mục đích của máy chủ (IIS, .NET ở phiên bản bắt buộc, v.v.). Mỗi gói bổ sung là bề mặt bổ sung để biết các lỗ hổng và cấu hình. Gỡ cài đặt các ứng dụng mặc định hoặc bổ sung sẽ không được sử dụng (xem Winaero Tweaker: Điều chỉnh hữu ích và an toàn).
Đánh giá các dịch vụ: những dịch vụ cần thiết, tự động; những dịch vụ phụ thuộc vào người khác, trong Tự động (bắt đầu chậm) hoặc với các phụ thuộc được xác định rõ ràng; bất kỳ thứ gì không mang lại giá trị, hãy vô hiệu hóa. Và đối với các dịch vụ ứng dụng, hãy sử dụng tài khoản dịch vụ cụ thể với quyền hạn tối thiểu, không phải Hệ thống cục bộ nếu bạn có thể tránh được.
Tường lửa và giảm thiểu tiếp xúc
Nguyên tắc chung: chặn theo mặc định và chỉ mở những gì cần thiết. Nếu đó là máy chủ web, hãy hiển thị HTTP / HTTPS Vậy là xong; việc quản trị (RDP, WinRM, SSH) nên được thực hiện qua VPN và nếu có thể, nên hạn chế theo địa chỉ IP. Tường lửa Windows cung cấp khả năng kiểm soát tốt thông qua các cấu hình (Tên miền, Riêng tư, Công cộng) và các quy tắc chi tiết.
Tường lửa chu vi chuyên dụng luôn là một điểm cộng, vì nó giảm tải cho máy chủ và bổ sung thêm tùy chọn nâng cao (kiểm tra, IPS, phân đoạn). Trong mọi trường hợp, cách tiếp cận đều giống nhau: ít cổng mở hơn, ít bề mặt tấn công có thể sử dụng hơn.
Truy cập từ xa và giao thức không an toàn
RDP chỉ khi thực sự cần thiết, với NLA, mã hóa caoNếu có thể, hãy sử dụng MFA và hạn chế quyền truy cập vào các nhóm và mạng cụ thể. Tránh telnet và FTP; nếu cần truyền dữ liệu, hãy sử dụng SFTP/SSH, và tốt hơn nữa là từ VPNPowerShell Remoting và SSH phải được kiểm soát: giới hạn người có thể truy cập và từ đâu. Là một giải pháp thay thế an toàn cho điều khiển từ xa, hãy tìm hiểu cách Kích hoạt và cấu hình Chrome Remote Desktop trên Windows.
Nếu bạn không cần, hãy tắt dịch vụ Đăng ký từ xa. Xem lại và chặn NullSessionPipes y NullSessionShares để ngăn chặn truy cập ẩn danh vào tài nguyên. Và nếu IPv6 không được sử dụng trong trường hợp của bạn, hãy cân nhắc tắt nó sau khi đánh giá tác động.
Vá lỗi, cập nhật và kiểm soát thay đổi
Giữ cho Windows được cập nhật với bản vá bảo mật Kiểm tra hàng ngày trong môi trường được kiểm soát trước khi chuyển sang sản xuất. WSUS hoặc SCCM là những công cụ đắc lực để quản lý chu kỳ vá lỗi. Đừng quên phần mềm của bên thứ ba, thường là mắt xích yếu: hãy lên lịch cập nhật và nhanh chóng vá lỗ hổng.
Các trình điều khiển Trình điều khiển cũng đóng vai trò trong việc tăng cường bảo mật cho Windows: trình điều khiển thiết bị lỗi thời có thể gây ra sự cố và lỗ hổng bảo mật. Hãy thiết lập quy trình cập nhật trình điều khiển thường xuyên, ưu tiên tính ổn định và bảo mật hơn là các tính năng mới.
Ghi nhật ký sự kiện, kiểm tra và giám sát
Cấu hình kiểm tra bảo mật và tăng kích thước nhật ký để chúng không bị thay đổi sau mỗi hai ngày. Tập trung các sự kiện vào trình xem của doanh nghiệp hoặc SIEM, vì việc xem xét từng máy chủ riêng lẻ sẽ trở nên bất tiện khi hệ thống của bạn phát triển. giám sát liên tục Với các mức hiệu suất cơ bản và ngưỡng cảnh báo, hãy tránh "bắn bừa bãi".
Công nghệ Giám sát Tính toàn vẹn Tệp (FIM) và theo dõi thay đổi cấu hình giúp phát hiện các sai lệch cơ bản. Các công cụ như Trình theo dõi thay đổi Netwrix Chúng giúp phát hiện và giải thích dễ dàng hơn những thay đổi về ai và khi nào, tăng tốc phản hồi và hỗ trợ tuân thủ (NIST, PCI DSS, CMMC, STIG, NERC CIP).
Mã hóa dữ liệu khi lưu trữ và khi truyền tải
Đối với máy chủ, BitLocker Đây là yêu cầu cơ bản trên tất cả các ổ đĩa chứa dữ liệu nhạy cảm. Nếu bạn cần độ chi tiết ở cấp độ tệp, hãy sử dụng... EFSGiữa các máy chủ, IPsec cho phép lưu lượng được mã hóa để bảo toàn tính bảo mật và tính toàn vẹn, một điều quan trọng trong mạng phân đoạn hoặc với các bước kém tin cậy hơn. Điều này rất quan trọng khi thảo luận về việc bảo mật trong Windows.
Quản lý quyền truy cập và các chính sách quan trọng
Áp dụng nguyên tắc đặc quyền tối thiểu cho người dùng và dịch vụ. Tránh lưu trữ các hàm băm của Quản lý mạng LAN và tắt NTLMv1 trừ các phụ thuộc cũ. Cấu hình các loại mã hóa Kerberos được phép và giảm việc chia sẻ tệp và máy in ở những nơi không cần thiết.
Giá trị Hạn chế hoặc chặn phương tiện di động (USB) để hạn chế việc phần mềm độc hại xâm nhập hoặc rò rỉ. Nó sẽ hiển thị thông báo pháp lý trước khi đăng nhập (“Cấm sử dụng trái phép”) và yêu cầu Ctrl + Alt + Del và tự động chấm dứt các phiên không hoạt động. Đây là những biện pháp đơn giản giúp tăng khả năng chống trả của kẻ tấn công.
Công cụ và tự động hóa để đạt được sức hút
Để áp dụng đường cơ sở hàng loạt, hãy sử dụng GPO và Cơ sở Bảo mật của Microsoft. Hướng dẫn CIS, cùng với các công cụ đánh giá, giúp đo lường khoảng cách giữa trạng thái hiện tại của bạn và mục tiêu. Khi quy mô yêu cầu, các giải pháp như Bộ gia cố CalCom (CHS) Họ giúp tìm hiểu về môi trường, dự đoán tác động và áp dụng chính sách một cách tập trung, duy trì sự ổn định theo thời gian.
Trên hệ thống máy khách, có các tiện ích miễn phí giúp đơn giản hóa việc "củng cố" những điều cần thiết. Syshardener Nó cung cấp các thiết lập về dịch vụ, tường lửa và phần mềm phổ biến; Dụng cụ làm cứng vô hiệu hóa các chức năng có khả năng bị khai thác (macro, ActiveX, Windows Script Host, PowerShell/ISE cho mỗi trình duyệt); và Trình cấu hình cứng Nó cho phép bạn chơi với SRP, danh sách trắng theo đường dẫn hoặc băm, SmartScreen trên các tệp cục bộ, chặn các nguồn không đáng tin cậy và thực thi tự động trên USB/DVD.
Tường lửa và quyền truy cập: các quy tắc thực tế có hiệu quả
Luôn kích hoạt tường lửa Windows, cấu hình cả ba cấu hình với chức năng chặn truy cập đến theo mặc định và mở chỉ các cổng quan trọng cho dịch vụ (với phạm vi IP nếu có). Quản trị từ xa tốt nhất nên được thực hiện qua VPN và với quyền truy cập hạn chế. Xem lại các quy tắc cũ và vô hiệu hóa bất kỳ thứ gì không còn cần thiết.
Đừng quên rằng việc bảo mật trong Windows không phải là một hình ảnh tĩnh: đó là một quá trình động. Hãy ghi lại đường cơ sở của bạn. giám sát độ lệchXem xét các thay đổi sau mỗi bản vá và điều chỉnh các biện pháp cho phù hợp với chức năng thực tế của thiết bị. Một chút kỷ luật kỹ thuật, một chút tự động hóa và đánh giá rủi ro rõ ràng sẽ giúp Windows trở thành một hệ thống khó bị phá vỡ hơn nhiều mà không làm mất đi tính linh hoạt của nó.
Biên tập viên chuyên về các vấn đề công nghệ và internet với hơn mười năm kinh nghiệm trong các lĩnh vực truyền thông kỹ thuật số khác nhau. Tôi đã từng làm biên tập viên và người sáng tạo nội dung cho các công ty thương mại điện tử, truyền thông, tiếp thị và quảng cáo trực tuyến. Tôi cũng đã viết trên các trang web kinh tế, tài chính và các lĩnh vực khác. Công việc của tôi cũng là niềm đam mê của tôi. Bây giờ, qua bài viết của tôi trong Tecnobits, Tôi cố gắng khám phá tất cả những tin tức và cơ hội mới mà thế giới công nghệ mang đến cho chúng ta hàng ngày để cải thiện cuộc sống của chúng ta.