וואָס איז כאַרדאַנינג אין ווינדאָוז און ווי אַזוי עס צו צולייגן אָן זיין אַ סיסאַדמין

אויב איר פירט סערווערס אדער באַניצער קאָמפּיוטערס, האָט איר זיך מסתּמא געפרעגט די פראגע: ווי מאַך איך ווינדאָוס זיכער גענוג צו שלאָפן גוט? פֿאַרהאַרטונג אין ווינדאָוז עס איז נישט קיין איין-מאליקער טריק, נאר א סכום באשלוסן און קארעקציעס צו פארקלענערן די אטאקע-איבערפלאך, באגרענעצן צוטריט, און האלטן דאס סיסטעם אונטער קאנטראל.

אין אַ קאָרפּאָראַטיווער סביבה, זענען סערווערס די יסוד פון אָפּעראַציעס: זיי האַלטן דאַטן, צושטעלן באַדינונגען און פאַרבינדן קריטישע געשעפט קאָמפּאָנענטן; דעריבער זענען זיי אַזאַ הויפּט ציל פֿאַר יעדן אַטאַקער. דורך פארשטארקן Windows מיט בעסטע פּראַקטיקעס און באַזעליינז, איר מינימיזירט דורכפעלער, איר באגרענעצט ריזיקעס און איר פאַרהיט אַז אַן אינצידענט אין איין פונקט זאָל זיך נישט עסקאַלירן צו די רעשט פון דער אינפראַסטרוקטור.

וואָס איז כאַרדאַנינג אין ווינדאָוז און פארוואס איז עס שליסל?

פֿאַרהאַרטונג אָדער פֿאַרשטאַרקונג באַשטייט פֿון קאָנפיגורירן, אַראָפּנעמען אָדער באַגרענעצן קאָמפּאָנענטן פון די אפערירן סיסטעם, סערוויסעס, און אפליקאציעס צו פארמאכן מעגלעכע אריינגאנג פונקטן. ווינדאוס איז ווערסאַטאַל און קאָמפּאַטיבל, יאָ, אָבער יענער "עס אַרבעט פֿאַר כּמעט אַלץ" צוגאַנג מיינט אַז עס קומט מיט אָפֿענע פֿונקציעס וואָס איר דאַרפֿט נישט שטענדיק.

וואָס מער אומנייטיקע פונקציעס, פּאָרטן, אָדער פּראָטאָקאָלן איר האַלט אַקטיוו, אַלץ גרעסער אייער וואַלנעראַביליטי. די ציל פון פֿאַרהאַרטן איז רעדוצירן די אטאקע ייבערפלאךבאגרענעצט פריווילעגיעס און לאָזט נאָר וואָס איז עסענציעל, מיט אַרויף-צו-דאַטע פּאַטשאַז, אַקטיווע אָדיטינג און קלאָרע פּאָליטיקס.

די צוגאַנג איז נישט יינציק צו ווינדאָוז; עס אַפּלייז צו יעדער מאָדערן סיסטעם: עס איז אינסטאַלירט גרייט צו האַנדלען מיט טויזנט פאַרשידענע סצענאַרן. דעריבער איז עס ראַטזאַם. פֿאַרמאַכט וואָס איר ניצט נישט.ווייל אויב דו נוצסט עס נישט, קען עמעצער אַנדערש פּרובירן עס צו נוצן פֿאַר דיר.

באַזיסליינז און סטאַנדאַרדן וואָס טשאַרטן דעם קורס

פֿאַר פֿאַרהאַרטונג אין ווינדאָוז, זענען דאָ בענטשמאַרקס ווי CIS (צענטער פֿאַר אינטערנעט זיכערהייט) און די DoD STIG גיידליינז, אין צוגאב צו די מייקראָסאָפֿט זיכערהייט באַסעליינז (מייקראָסאָפֿט זיכערהייט באַסעליינס). די רעפֿערענצן דעקן רעקאָמענדירטע קאָנפיגוראַציעס, פּאָליטיק ווערטן און קאָנטראָלס פֿאַר פֿאַרשידענע ראָלעס און ווערסיעס פֿון ווינדאָוז.

אָנווענדן אַ באַזעלינע באַשנעלערט שטאַרק דעם פּראָיעקט: עס רעדוצירט די גאַפּס צווישן דער פעליקייט קאָנפיגוראַציע און בעסטע פּראַקטיקעס, און פֿאַרמייַדט די "גאַפּס" וואָס זענען טיפּיש פֿאַר שנעלע דיפּלוימאַנץ. אפילו אַזוי, יעדע סביבה איז יינציק און עס איז ראַטזאַם צו... פּרובירן די ענדערונגען איידער זיי נעמען אין פּראָדוקציע.

פֿענצטער פֿאַרהאַרטונג שריט ביי שריט

צוגרייטונג און פיזישע זיכערהייט

פֿאַרהאַרטונג אין ווינדאָוס הייבט זיך אָן איידער די סיסטעם איז אינסטאַלירט. האַלט אַ גאַנץ סערווער אינווענטאַראפגעזונדערט נייע פון ​​טרעפיק ביז זיי ווערן פארהארטעוועט, באשיצט בייאס/UEFI מיט א פאסווארט, דיאקטיוויזירט שטיוול פון עקסטערנע מעדיע און פאַרהיט אויטאָלאָגאָן אויף רעקאָווערי קאַנסאָולז.

אויב איר ניצט אייער אייגענע האַרדווער, שטעלט די עקוויפּמענט אין ערטער מיט פיזישע צוטריט קאָנטראָלגעהעריגע טעמפּעראַטור און מאָניטאָרינג זענען וויכטיק. באַגרענעצן פיזישן צוטריט איז פּונקט אַזוי וויכטיק ווי לאָגישן צוטריט, ווייל עפֿענען אַ שאַסי אָדער בוטן פֿון USB קען אַלץ קאָמפּראָמיטירן.

אַקאַונטס, קרעדענשאַלז, און פּאַראָל פּאָליטיק

אָנהייבן מיט עלימינירן קלאָרע שוואַכקייטן: דיאַקטיווירן דעם גאַסט אַקאַונט און, וווּ מעגלעך, דיאַקטיווירט אָדער גיט אַ נייע נאָמען פֿאַר דעם לאָקאַלן אַדמיניסטראַטאָרשאַפֿן אַן אַדמיניסטראַטיוון אַקאַונט מיט אַ נישט-טריוויאַלן נאָמען (query ווי צו שאַפֿן אַ לאָקאַלן חשבון אין Windows 11 אָפפליין) און ניצט נישט-פריווילעגירטע אַקאַונטס פֿאַר טעגלעכע אויפגאַבן, און גיט העכערע פּריווילעגיעס דורך "לויפן ווי" נאָר ווען נייטיק.

פֿאַרשטאַרק אייער פּאַראָל פּאָליטיק: זאָרגט פֿאַר אַ פּאַסיק קאָמפּלעקסיטעט און לענג. פּעריִאָדישע עקספּיראַציעגעשיכטע צו פאַרהיטן ווידער-ניצן און קאָנטאָ לאַקאַוט נאָך דורכגעפאַלענע פּרוּוון. אויב איר פירט פילע מאַנשאַפֿטן, באַטראַכט לייזונגען ווי LAPS צו ראָטירן לאָקאַלע קרעדענשאַלז; די וויכטיקע זאַך איז פֿאַרמייַדן סטאַטישע קרעדענשעלס און גרינג צו טרעפן.

 

איבערקוקן גרופע מיטגלידערשאפטן (אדמיניסטראטארן, רימאָוט דעסקטאָפּ באַניצער, באַקאַפּ אָפּעראַטאָרן, אאז"וו) און אַראָפּנעמען אַלע נישט-נייטיקע. דער פּרינציפּ פון קלענערע פריווילעגיע דאָס איז אייער בעסטער אַליירט פֿאַר לימיטירן לאַטעראַל באַוועגונגען.

נעץ, DNS און צייט סינקראָניזאַציע (NTP)

א פּראָדוקציע סערווער מוז האָבן סטאַטישע IP, זיין ליגן אין סעגמענטן באשיצט הינטער א פיירוואַל (און וויסן ווי אזוי צו בלאקירן פארדעכטיקע נעץ קאנעקשאנס פון CMD (ווען נייטיק), און האבן צוויי DNS סערווערס דעפינירט פאר רעדונדאַנסי. באשטעטיגט אז די A און PTR רעקארדס עקזיסטירן; געדענקט אז DNS פארשפרייטונג... עס קען נעמען און ס'איז ראטזאם צו פלאנירן.

קאָנפיגורירן NTP: אַן אָפּנייגונג פֿון בלויז מינוטן צעברעכט קערבעראָס און פֿאַראורזאַכט זעלטענע אויטענטיפיקאַציע דורכפֿאַלן. דעפֿינירן אַ פֿאַרלאָזלעכן טייַמער און סינקראָניזירן עס. די גאנצע פלאָטע דערקעגן. אויב איר דאַרפט נישט, דיאַקטיווירט אַלטע פּראָטאָקאָלן ווי NetBIOS איבער TCP/IP אָדער LMHosts זוכעניש פֿאַר רעדוצירן ראַש און אויסשטעלונג.

ראָלעס, פֿעיִקייטן און באַדינונגען: ווייניקער איז מער

אינסטאלירט נאר די ראָלעס און פֿעיִטשערז וואָס איר דאַרפֿט פֿאַר דעם סערווער'ס צוועק (IIS, .NET אין זײַן פארלאנגטער ווערסיע, אאַז"וו). יעדער עקסטרע פּעקל איז צוגעלייגטע ייבערפלאַך פֿאַר שוואַכקייטן און קאָנפיגוראַציע. אַראָפּנעמען דיפאָלט אָדער נאָך אַפּלאַקיישאַנז וואָס וועלן נישט ווערן גענוצט (זען ווינאַעראָ טוויקער: נוצלעכע און זיכערע אַדזשאַסטמאַנץ).

איבערבליק סערוויסעס: די נויטיגע, אויטאמאטיש; די וואס זענען אפהענגיק פון אנדערע, אין אָטאַמאַטיק (דילייד אָנהייב) אדער מיט גוט-דעפינירטע אפהענגיקייטן; יעדע זאך וואס לייגט נישט צו קיין ווערט, איז אפגעשטעלט. און פאר אפליקאציע סערוויסעס, ניצט ספּעציפֿישע סערוויס אַקאַונטס מיט מינימאַלע פּערמישאַנז, נישט לאָקאַלע סיסטעם אויב איר קענט עס ויסמיידן.

פיירוואַל און עקספּאָוזשער מינימיזאַציע

די אַלגעמיינע כלל: בלאָקירן דורך דיפאָלט און נאָר עפֿענען וואָס איז נייטיק. אויב עס איז אַ וועב סערווער, אויסשטעלן HTTP/HTTPS און דאָס איז אַלץ; אַדמיניסטראַציע (RDP, WinRM, SSH) זאָל געטאָן ווערן איבער VPN און, אויב מעגלעך, באַגרענעצט דורך IP אַדרעס. די Windows Firewall אָפפערס גוטע קאָנטראָל דורך פּראָופיילן (דאָמעין, פּריוואַט, פּובליק) און גראַניאַלער כּללים.

א דעדיקירטע פּערימעטער פיירוואַל איז שטענדיק אַ פּלוס, ווייל עס נעמט אַוועק דעם סערווער און לייגט צו אַוואַנסירטע אָפּציעס (אינספעקציע, IPS, סעגמענטאציע). אין יעדן פאל, איז דער צוגאנג דער זעלבער: ווייניגער אפענע פארטן, ווייניגער ניצלעכע אטאקע-איבערפלאך.

ווייטער צוטריט און נישט זיכערע פראטאקאלן

RDP נאָר אויב אַבסאָלוט נייטיק, מיט NLA, הויך ענקריפּשאַןMFA אויב מעגלעך, און באגרענעצטן צוטריט צו ספעציפישע גרופעס און נעטוואָרקס. פֿאַרמייַדן טעלנעט און FTP; אויב איר דאַרפֿט טראַנספֿער, ניצט SFTP/SSH, און נאָך בעסער, פֿון אַ VPNפּאַוערשעל רימאָוטינג און SSH מוזן זיין קאָנטראָלירט: באַגרענעצט ווער קען צוקומען צו זיי און פון וואו. אַלס אַ זיכערע אַלטערנאַטיוו פֿאַר רימאָוט קאָנטראָל, לערנט ווי אַזוי. אַקטיווירן און קאָנפיגורירן קראָום רימאָוט דעסקטאָפּ אויף ווינדאָוז.

אויב איר דאַרפט עס נישט, דיאַקטיווירט דעם סערוויס פֿאַר רעמאָוט רעגיסטראַציע. איבערקוקט און בלאָקירט. נול סעשאַן פּייפּס y נול סעסיע שאַרעס צו פאַרהיטן אַנאָנימע צוטריט צו רעסורסן. און אויב IPv6 ווערט נישט גענוצט אין אייער פאַל, באַטראַכט עס צו דיאַקטיווירן נאָך אָפּשאַצן די ווירקונג.

פּאַטטשינג, דערהייַנטיקונגען און ענדערונג קאָנטראָל

האַלט ווינדאָוס אַרויף-צו-דאַטע מיט זיכערהייט פּאַטשאַז טעגלעכע טעסטינג אין א קאנטראלירטער סביבה איידער מען גייט אריבער צו פראדוקציע. WSUS אדער SCCM זענען פארבינדעטע פארן פירן דעם פּעטש ציקל. פארגעסט נישט דריט-פארטיי ווייכווארג, וואס איז אפט די שוואכע פארבינדונג: פלאנירט אפדעיטס און אדרעסירט שוואכקייטן שנעל.

די דרייווערס דרייווערס שפּילן אויך אַ ראָלע אין פֿאַרהאַרטן ווינדאָוס: אַלטמאָדישע דרייווערס קענען פֿאַראורזאַכן קראַשיז און שוואַכקייטן. שטעל אויף אַ רעגולערן דרייווער דערהייַנטיקונג פּראָצעס, מיט פּרייאָריטעט פֿון סטאַביליטעט און זיכערהייט איבער נייע פֿונקציעס.

געשעעניש לאָגינג, אָדיטינג און מאָניטאָרינג

קאָנפיגוריר זיכערהייט אוידיטינג און פאַרגרעסער לאָג גרייס אַזוי זיי ראָטירן נישט יעדע צוויי טעג. צענטראַליזיר געשעענישן אין אַ קאָרפּאָראַט וויוער אָדער SIEM, ווייַל איבערקוקן יעדן סערווער אינדיווידועל ווערט נישט פּראַקטיש ווי דיין סיסטעם וואַקסט. קאָנטינויִערלעכע מאָניטאָרינג מיט פאָרשטעלונג באַזעליינז און אַלערט טרעשאָולדז, ויסמיידן "שיסן בלינדערהייט".

טעקע אינטעגריטעט מאָניטאָרינג (FIM) טעכנאָלאָגיעס און קאָנפיגוראַציע ענדערונג טראַקינג העלפֿן דעטעקטירן באַזעלינע דיווייישאַנז. מכשירים ווי נעטווריקס ענדערונג טראַקער זיי מאַכן עס גרינגער צו דעטעקטירן און דערקלערן וואָס האָט זיך געביטן, ווער און ווען, וואָס פאַרגיכערט די רעאַקציע און העלפֿט מיט קאָנפאָרמאַנס (NIST, PCI DSS, CMMC, STIG, NERC CIP).

דאַטן ענקריפּשאַן אין רו און אין טראַנזיט

פֿאַר סערווערס, ביטלאָקער עס איז שוין א גרונטלעכע פארלאנג אויף אלע דרייווס מיט סענסיטיווע דאטן. אויב איר דארפט גראנולאריטעט אויף פייל-לעוועל, ניצט... זיכערהייטס-אפיצירצווישן סערווערס, ערלויבט IPsec צו ענקריפּטירן טראַפיק צו באַוואָרן קאָנפֿידענציאַליטעט און אָרנטלעכקייט, עפּעס וויכטיק אין סעגמענטירטע נעטוואָרקס אדער מיט ווייניגער פארלעסלעכע טריט. דאס איז קריטיש ווען מען רעדט וועגן פארהארטעווען אין ווינדאוס.

צוטריט פאַרוואַלטונג און קריטישע פּאָליטיק

אָנווענדן דעם פּרינציפּ פון מינדסטע פּריווילעגיע צו באַניצער און סערוויסעס. ויסמיידן צו סטאָרירן העשיז פון לאַן מאַנאַגער און דיאַקטיווירן NTLMv1 אַחוץ פֿאַר אַלטע דעפּענדענסיעס. קאָנפיגורירן ערלויבטע קערבעראָס ענקריפּשאַן טיפּן און רעדוצירן טעקע און דרוקער ייַנטיילונג וווּ עס איז נישט וויכטיק.

ראַטע באגרענעצן אדער בלאקירן ארויסנעמבאַרע מעדיע (USB) צו באגרענעצן מאַלוואַרע עקספילטראַציע אָדער אַרייַנטרעטן. עס ווייזט אַ לעגאַלע נאָטיץ איידער לאָגין ("נישט ערלויבט נוצן פאַרבאָטן"), און פארלאנגט קאָנטראָל+אַלט+דעל און עס ענדיגט אויטאמאטיש אינאקטיווע סעסיעס. דאס זענען פשוטע מיטלען וואס פארגרעסערן דעם אטאקירער'ס קעגנשטאנד.

מכשירים און אויטאָמאַטיזאַציע צו געווינען טראַקשאַן

צו צולייגן באַזעלינעס אין גרויסן, ניצט דזשי-פי-או און מייקראָסאָפֿט'ס זיכערהייט באַזעלינעס. די CIS גיידס, צוזאַמען מיט אַסעסמאַנט מכשירים, העלפֿן מעסטן די ריס צווישן דיין איצטיקן צושטאַנד און די ציל. וואו גרייס פארלאנגט עס, לייזונגען ווי קאַלקאָם האַרדענינג סוויט (CHS) זיי העלפֿן צו לערנען וועגן דער סביבה, פאָרויסזאָגן די השפּעות, און אָנווענדן פּאָליטיקס צענטראַל, און אויפֿהאַלטן די פֿאַרהאַרטונג איבער צייט.

אויף קליענט סיסטעמען, זענען דא פרייע יוטיליטיעס וואס פארפּשוטערן "פארהארטן" די עיקר זאכן. סיסאַרדענער עס אָפפערט סעטטינגס אויף סערוויסעס, פיירוואַל און געוויינטלעכע ווייכווארג; האַרדענטולס דיאַקטיווירט פּאָטענציעל עקספּלויטאַבל פאַנגקשאַנז (מאַקראָס, אַקטיוועקס, ווינדאָוז סקריפּט האָסט, פּאָווערשעלל/ISE פּער בלעטערער); און האַרד_קאָנפיגוראַטאָר עס ערלויבט אייך צו שפּילן מיט SRP, ווייסע ליסטעס לויט דרך אדער העש, SmartScreen אויף לאקאלע טעקעס, בלאקירן אומפארטרויטע קוועלער און אויטאמאטישע אויספירונג אויף USB/DVD.

פיירוואַל און צוטריט: פּראַקטישע כּללים וואָס אַרבעטן

שטענדיק אַקטיווירן די ווינדאָוז פיירוואַל, קאָנפיגורירן אַלע דריי פּראָופיילן מיט אינקאַמינג אינקאַמינג בלאַקינג דורך פעליקייַט, און עפֿענען נאָר קריטישע פּאָרטן צום סערוויס (מיט IP סקאָופּ אויב אָנווענדלעך). ווייט אַדמיניסטראַציע איז בעסטער געטאן דורך VPN און מיט באַגרענעצט אַקסעס. איבערקוקן אַלטע כּללים און דיאַקטיווירן אַלץ וואָס איז ניט מער דארף.

פֿאַרגעסט נישט אַז פֿאַרהאַרטן אין ווינדאָוס איז נישט קיין סטאַטישע בילד: עס איז אַ דינאַמישער פּראָצעס. דאָקומענטירט אייער באַזעלינע. מאָניטאָרירט אָפּנייגונגעןקוקט איבער די ענדערונגען נאך יעדן פּאַטש און פּאַסט די מיטלען צו דער פאַקטישער פֿונקציע פֿון דער עקוויפּמענט. אַ ביסל טעכנישע דיסציפּלין, אַ טראָפּן אָטאָמאַציע, און אַ קלאָרע ריזיקאָ אַסעסמענט מאַכן ווינדאָוס אַ פיל שווערער סיסטעם צו צעברעכן אָן אָפּפֿערן איר פֿילזײַטיקייט.