Kini lile ni Windows ati bii o ṣe le lo laisi jijẹ sysadmin

Ti o ba ṣakoso awọn olupin tabi awọn kọnputa olumulo, o ti le beere lọwọ ararẹ ni ibeere yii: bawo ni MO ṣe jẹ ki Windows ni aabo to lati sun daradara? lile ni Windows Kii ṣe ẹtan ọkan-pipa, ṣugbọn ṣeto awọn ipinnu ati awọn atunṣe lati dinku dada ikọlu, opin wiwọle, ati tọju eto naa labẹ iṣakoso.

Ni agbegbe ile-iṣẹ, awọn olupin jẹ ipilẹ awọn iṣẹ: wọn tọju data, pese awọn iṣẹ, ati so awọn paati iṣowo to ṣe pataki; ti o ni idi ti won ba iru kan nomba afojusun fun eyikeyi attacker. Nipa fikun Windows pẹlu awọn iṣe ti o dara julọ ati awọn ipilẹ, O dinku awọn ikuna, o dinku awọn ewu ati pe o ṣe idiwọ iṣẹlẹ kan ni aaye kan lati dide si iyoku awọn amayederun.

Kini lile ni Windows ati kilode ti o jẹ bọtini?

Hardening tabi imuduro oriširiši tunto, yọ kuro tabi ni ihamọ irinše ti ẹrọ iṣẹ, awọn iṣẹ, ati awọn ohun elo lati pa awọn aaye titẹ sii ti o pọju. Windows jẹ wapọ ati ibaramu, bẹẹni, ṣugbọn pe “o ṣiṣẹ fun fere ohun gbogbo” ọna tumọ si pe o wa pẹlu awọn iṣẹ ṣiṣe ṣiṣi ti o ko nilo nigbagbogbo.

Awọn iṣẹ ti ko wulo diẹ sii, awọn ebute oko oju omi, tabi awọn ilana ti o jẹ ki o ṣiṣẹ, ti ailagbara rẹ pọ si. Ibi-afẹde ti lile ni din kolu dadaFi opin si awọn anfani ati fi ohun ti o ṣe pataki silẹ nikan, pẹlu awọn abulẹ ti ode-ọjọ, iṣayẹwo ti nṣiṣe lọwọ, ati awọn eto imulo mimọ.

Ọna yii kii ṣe alailẹgbẹ si Windows; o kan si eyikeyi eto igbalode: o ti fi sori ẹrọ ti o ṣetan lati mu ẹgbẹẹgbẹrun awọn oju iṣẹlẹ oriṣiriṣi. Ti o ni idi ti o ni imọran Pa ohun ti o ko lo.Nitoripe ti o ko ba lo, elomiran le gbiyanju lati lo fun ọ.

Awọn ipilẹ ati awọn iṣedede ti o ṣe apẹrẹ iṣẹ-ẹkọ naa

Fun lile ni Windows, awọn aṣepari wa bi CIS (Ile-iṣẹ fun Aabo Intanẹẹti) ati awọn ilana DoD STIG, ni afikun si awọn Awọn ipilẹ Aabo Microsoft (Awọn ipilẹ Aabo Microsoft). Awọn itọkasi wọnyi bo awọn atunto ti a ṣeduro, awọn iye eto imulo, ati awọn idari fun awọn ipa oriṣiriṣi ati awọn ẹya ti Windows.

Lilo ipilẹ ipilẹ kan mu iṣẹ akanṣe naa pọ si: o dinku awọn alafo laarin iṣeto aiyipada ati awọn iṣe ti o dara julọ, yago fun “awọn ela” aṣoju ti awọn imuṣiṣẹ iyara. Paapaa nitorinaa, gbogbo agbegbe jẹ alailẹgbẹ ati pe o ni imọran si idanwo awọn ayipada ṣaaju ki o to mu wọn sinu iṣelọpọ.

Igbesẹ Lile Windows nipasẹ Igbesẹ

Igbaradi ati aabo ti ara

Hardening ni Windows bẹrẹ ṣaaju fifi sori ẹrọ eto naa. Pa a pipe olupin ojaYasọtọ awọn tuntun kuro ninu ijabọ titi ti wọn yoo fi le, daabobo BIOS / UEFI pẹlu ọrọ igbaniwọle kan, mu ṣiṣẹ bata lati ita media ati idilọwọ autologon lori awọn afaworanhan imularada.

Ti o ba lo ohun elo ti ara rẹ, gbe ẹrọ naa si awọn ipo pẹlu ti ara wiwọle IṣakosoIwọn otutu to dara ati ibojuwo jẹ pataki. Idiwọn iraye si ti ara jẹ pataki bi iraye si ọgbọn, nitori ṣiṣi chassis kan tabi gbigba lati USB le ba ohun gbogbo jẹ.

Awọn akọọlẹ, awọn iwe-ẹri, ati eto imulo ọrọ igbaniwọle

Bẹrẹ nipa imukuro awọn ailagbara ti o han gedegbe: mu akọọlẹ alejo ṣiṣẹ ati, nibiti o ti ṣee ṣe, pa tabi tunrukọ Alakoso agbegbeṢẹda akọọlẹ iṣakoso pẹlu orukọ ti kii ṣe nkan (ibeere Bii o ṣe le ṣẹda akọọlẹ agbegbe kan ni Windows 11 offline) ati pe o nlo awọn akọọlẹ ti ko ni anfani fun awọn iṣẹ-ṣiṣe lojoojumọ, igbega awọn anfani nipasẹ "Ṣiṣe bi" nikan nigbati o jẹ dandan.

Mu eto imulo ọrọ igbaniwọle rẹ lagbara: rii daju idiju ati ipari ti o yẹ. igbakọọkan ipariItan lati ṣe idiwọ ilotunlo ati titiipa akọọlẹ lẹhin awọn igbiyanju kuna. Ti o ba ṣakoso ọpọlọpọ awọn ẹgbẹ, ronu awọn solusan bii LAPS lati yi awọn iwe-ẹri agbegbe pada; ohun pataki ni yago fun aimi ẹrí ati ki o rọrun lati gboju le won.

 

Ṣe atunwo awọn ẹgbẹ ẹgbẹ (Awọn alabojuto, Awọn olumulo Ojú-iṣẹ Latọna jijin, Awọn oniṣẹ Afẹyinti, ati bẹbẹ lọ) ati yọkuro eyikeyi awọn ti ko wulo. Ilana ti o kere anfani O jẹ ọrẹ rẹ ti o dara julọ fun idinku awọn agbeka ita.

Nẹtiwọọki, DNS ati amuṣiṣẹpọ akoko (NTP)

Olupin iṣelọpọ gbọdọ ni Aimi IP, wa ni awọn apakan ti o ni aabo lẹhin ogiriina kan (ati mọ Bii o ṣe le dènà awọn isopọ nẹtiwọọki ifura lati CMD (nigbati o jẹ dandan), ati pe o ni awọn olupin DNS meji ti a ṣalaye fun apọju. Rii daju pe awọn igbasilẹ A ati PTR wa; Ranti pe itankale DNS… o le gba Ati pe o ni imọran lati gbero.

Ṣe atunto NTP: iyapa ti awọn iṣẹju iṣẹju diẹ fi opin si Kerberos o fa awọn ikuna ijẹrisi toje. Ṣetumo aago ti o gbẹkẹle ki o muu ṣiṣẹ pọ. gbogbo titobi lòdì sí i. Ti o ko ba nilo lati, mu awọn ilana aṣẹ ti o le jẹ bi NetBIOS lori TCP/IP tabi wiwa LMHosts fun din ariwo ati ifihan.

Awọn ipa, awọn ẹya ati awọn iṣẹ: kere si jẹ diẹ sii

Fi sori ẹrọ nikan awọn ipa ati awọn ẹya ti o nilo fun idi olupin (IIS, .NET ni ẹya ti o nilo, ati bẹbẹ lọ). Kọọkan afikun package ni afikun dada fun vulnerabilities ati iṣeto ni. Yọ aiyipada kuro tabi awọn ohun elo afikun ti kii yoo lo (wo Winaero Tweaker: Wulo ati Awọn atunṣe Ailewu).

Awọn iṣẹ atunyẹwo: awọn pataki, laifọwọyi; awon ti o dale lori awọn miran, ni Laifọwọyi (ibẹrẹ idaduro) tabi pẹlu awọn igbẹkẹle ti a pinnu daradara; ohunkohun ti ko fi iye, alaabo. Ati fun awọn iṣẹ ohun elo, lo pato iṣẹ iroyin pẹlu awọn igbanilaaye kekere, kii ṣe Eto Agbegbe ti o ba le yago fun.

Ogiriina ati idinku ifihan

Ofin gbogbogbo: dina nipasẹ aiyipada ati ṣii ohun ti o jẹ dandan nikan. Ti o ba jẹ olupin wẹẹbu, fi han HTTP / HTTPS Ati pe iyẹn; iṣakoso (RDP, WinRM, SSH) yẹ ki o ṣee ṣe lori VPN ati, ti o ba ṣeeṣe, ni ihamọ nipasẹ adiresi IP. Ogiriina Windows nfunni ni iṣakoso to dara nipasẹ awọn profaili (Agbegbe, Ikọkọ, Ara) ati awọn ofin granular.

Ogiriina agbegbe igbẹhin jẹ afikun nigbagbogbo, nitori pe o gbe olupin naa kuro ati ṣafikun awọn aṣayan to ti ni ilọsiwaju (ayẹwo, IPS, ipin). Ni eyikeyi idiyele, ọna naa jẹ kanna: awọn ebute oko oju omi ti o ṣii diẹ, oju ikọlu ti ko ṣee lo.

Wiwọle latọna jijin ati awọn ilana ti ko ni aabo

RDP nikan ti o ba jẹ dandan, pẹlu NLA, ga ìsekóòdùMFA ti o ba ṣee ṣe, ati wiwọle si ihamọ si awọn ẹgbẹ ati awọn nẹtiwọki kan pato. Yago fun telnet ati FTP; Ti o ba nilo gbigbe, lo SFTP/SSH, ati paapaa dara julọ, lati VPN kanRemoting PowerShell ati SSH gbọdọ wa ni iṣakoso: idinwo tani o le wọle si wọn ati lati ibo. Bi yiyan aabo fun isakoṣo latọna jijin, kọ ẹkọ bi o ṣe le Mu ṣiṣẹ ati tunto Ojú-iṣẹ Latọna jijin Chrome lori Windows.

Ti o ko ba nilo rẹ, mu iṣẹ Iforukọsilẹ Latọna kuro. Atunwo ati Àkọsílẹ NullSessionPipes y NullSessionShares lati yago fun wiwọle ailorukọ si awọn orisun. Ati pe ti IPv6 ko ba lo ninu ọran rẹ, ronu piparẹ lẹhin ṣiṣe iṣiro ipa naa.

Patching, awọn imudojuiwọn, ati iṣakoso iyipada

Jeki Windows imudojuiwọn pẹlu awọn abulẹ aabo Idanwo lojoojumọ ni agbegbe iṣakoso ṣaaju gbigbe si iṣelọpọ. WSUS tabi SCCM jẹ ore fun ṣiṣakoso ọmọ alemo naa. Maṣe gbagbe sọfitiwia ẹnikẹta, eyiti o jẹ ọna asopọ alailagbara nigbagbogbo: awọn imudojuiwọn iṣeto ati awọn ailagbara koju ni iyara.

Los awakọ Awọn awakọ tun ṣe ipa kan ni lile Windows: awọn awakọ ẹrọ ti igba atijọ le fa awọn ipadanu ati awọn ailagbara. Ṣeto ilana imudojuiwọn awakọ deede, iṣaju iduroṣinṣin ati aabo lori awọn ẹya tuntun.

Ṣiṣayẹwo iṣẹlẹ, iṣatunṣe, ati abojuto

Ṣe atunto iṣayẹwo aabo ati mu iwọn log pọ si ki wọn ma ṣe yiyi ni gbogbo ọjọ meji. Ṣe agbedemeji awọn iṣẹlẹ ni oluwo ile-iṣẹ tabi SIEM, nitori atunwo olupin kọọkan ni ọkọọkan di alaiṣe bi eto rẹ ṣe n dagba. lemọlemọfún monitoring Pẹlu awọn ipilẹ iṣẹ ṣiṣe ati awọn iloro itaniji, yago fun “ibọn ni afọju”.

Awọn imọ-ẹrọ Abojuto Integrity Faili (FIM) ati ipasẹ iyipada iṣeto ni iranlọwọ ṣe awari awọn iyapa ipilẹ. Awọn irinṣẹ bii Netwrix Change Tracker Wọn jẹ ki o rọrun lati ṣawari ati ṣe alaye ohun ti o ti yipada, tani ati nigbawo, yiyara idahun ati iranlọwọ pẹlu ibamu (NIST, PCI DSS, CMMC, STIG, NERC CIP).

Ìsekóòdù data ni isinmi ati ni irekọja

Fun awọn olupin, BitLocker O ti jẹ ibeere ipilẹ tẹlẹ lori gbogbo awọn awakọ pẹlu data ifura. Ti o ba nilo granularity ipele-faili, lo... EFSLaarin awọn olupin, IPsec ngbanilaaye ijabọ lati wa ni fifi ẹnọ kọ nkan lati tọju aṣiri ati iduroṣinṣin, bọtini nkan kan ninu segmented nẹtiwọki tabi pẹlu kere gbẹkẹle awọn igbesẹ. Eyi ṣe pataki nigbati o ba n jiroro lile ni Windows.

Isakoso wiwọle ati awọn eto imulo to ṣe pataki

Waye opo ti anfani ti o kere julọ si awọn olumulo ati awọn iṣẹ. Yago fun titoju hashes ti Oluṣakoso LAN ki o si mu NTLMv1 kuro ayafi fun awọn ti o gbẹkẹle. Ṣe atunto awọn iru fifi ẹnọ kọ nkan Kerberos laaye ati dinku faili ati pinpin itẹwe nibiti ko ṣe pataki.

Iye Ni ihamọ tabi dènà media yiyọ kuro (USB) lati se idinwo malware exfiltration tabi titẹsi. O ṣe afihan akiyesi ofin ṣaaju wiwọle ("Ilo ti a ko gba laaye"), o nilo Konturolu alt piparẹ ati pe o laifọwọyi fopin si awọn akoko aiṣiṣẹ. Iwọnyi jẹ awọn iwọn ti o rọrun ti o pọ si resistance ikọlu.

Irinṣẹ ati adaṣiṣẹ lati jèrè isunki

Lati lo awọn ipilẹ ipilẹ ni olopobobo, lo GPO ati Awọn ipilẹ Aabo Microsoft. Awọn itọsọna CIS, pẹlu awọn irinṣẹ idanwo, ṣe iranlọwọ wiwọn aafo laarin ipo rẹ lọwọlọwọ ati ibi-afẹde. Nibo iwọn ti o nilo rẹ, awọn solusan bii CalCom Hardening Suite (CHS) Wọn ṣe iranlọwọ lati kọ ẹkọ nipa agbegbe, asọtẹlẹ awọn ipa, ati lo awọn eto imulo ni aarin, mimu lile ni akoko pupọ.

Lori awọn eto alabara, awọn ohun elo ọfẹ wa ti o rọrun “lile” awọn ohun pataki. Syshardener O nfun eto lori awọn iṣẹ, ogiriina ati wọpọ software; Hardentools mu awọn iṣẹ ti o le lo nilokulo (macros, ActiveX, Windows Script Gbalejo, PowerShell/ISE fun ẹrọ aṣawakiri); ati Hard_Configurator O gba ọ laaye lati mu ṣiṣẹ pẹlu SRP, awọn akojọ funfun nipasẹ ọna tabi hash, SmartScreen lori awọn faili agbegbe, didi awọn orisun ti a ko gbẹkẹle ati ipaniyan laifọwọyi lori USB/DVD.

Ogiriina ati wiwọle: awọn ofin to wulo ti o ṣiṣẹ

Mu ogiriina Windows ṣiṣẹ nigbagbogbo, tunto gbogbo awọn profaili mẹta pẹlu idinamọ ti nwọle nipasẹ aiyipada, ati ṣii nikan lominu ni ibudo si iṣẹ naa (pẹlu aaye IP ti o ba wulo). Isakoso latọna jijin jẹ ti o dara julọ nipasẹ VPN ati pẹlu iraye si ihamọ. Ṣe ayẹwo awọn ofin ti ogún ki o mu ohunkohun ti ko nilo mọ.

Maṣe gbagbe pe lile ni Windows kii ṣe aworan aimi: o jẹ ilana ti o ni agbara. Ṣe iwe ipilẹ rẹ. diigi iyapaṢe ayẹwo awọn ayipada lẹhin alemo kọọkan ki o mu awọn iwọn ṣiṣẹ si iṣẹ gangan ti ẹrọ naa. Ẹkọ imọ-ẹrọ diẹ, ifọwọkan ti adaṣe, ati igbelewọn eewu ti o han gbangba jẹ ki Windows jẹ eto ti o nira pupọ lati fọ laisi irubọ iṣiṣẹpọ rẹ.