Ég hef lengi unnið með eldri Windows netkerfum, þeim sem enn eru í gangi í mörgum fyrirtækjum þrátt fyrir að Microsoft hafi gefið út nýjustu útgáfurnar, og það er alltaf áhugavert að sjá hvernig hægt er að bæta við nútímalegum netöryggisatriðum án þess að endurbyggja allt frá grunni. Þegar ég byrjaði að vinna með Windows Server 2008, sem var ein af þeim útgáfum sem margir notaðu í áratugi, komst ég að því að grunnkerfið er byggt á TCP/IP-stöðlum sem eru enn grundvallaratriði í núverandi netum, en það vantar oft innbyggðan stuðning við nýjustu öryggisstöðlinum eins og TLS 1.3 eða endurbættum firewall-reglum sem taka tillit til nútímaógnum eins og ransomware. Ég man eftir einu verkefni þar sem við höfðum kerfi sem keyrði á Windows Server 2003, og það var eins og að keyra gamalt skip í stormasömum sjóum - það hélt sig á yfirborðinu, en það þurfti að lappa það með nútímatækni til að koma í veg fyrir að það sökkvi. Í þessari grein ætla ég að fara yfir hvernig ég hef nálgast þetta, með dæmum úr mínum eigin reynslu, og útskýra tæknilegar aðferðir til að styrkja netöryggið án þess að trufla daglega starfsemi.
Fyrst og fremst þarf að skilja grunninn í netöryggingu Windows-kerfanna. Í eldri útgáfum eins og Windows NT 4.0 eða jafnvel Windows 2000 var netöryggið miðað við kerfisstjóra sem þurftu að setja upp handvirkt IPsec-reglur til að vernda gögn í flutningi. Ég hef oft séð kerfi þar sem SMB1-protokollið var enn virkt, sem er eins og að láta dyrnar standa opnar með skilti sem segir 'velkomin inn'. Til að bæta við nútímalegum atriðum byrjaði ég á að slökkva á gömlum prótoköllum. Í Windows Server 2008 R2, til dæmis, geturðu notað PowerShell til að athuga stöðuinn með skipuninni Get-SmbServerConfiguration, sem sýnir þér hvort SMB1 er virkt. Ég keyri það alltaf fyrst þegar ég tek yfir kerfi, og ef það er á, slökkva ég á því með Set-SmbServerConfiguration -EnableSMB1Protocol $false. Þetta er grundlegendis, en það kemur í veg fyrir mörg algeng árásarform, eins og EternalBlue sem nýtti sér svæði í SMB1. Ég hef séð það í verkefnum þar sem fyrirtæki höfðu net sem tengdi saman eldri skrifstofu tölvur við nýjustu netverði, og án þessarar aðgerðar hefði það getað leitt til óæskilegrar gögnflæðis.
Næst er það mikilvægt að huga að dulkóðun í netflæði. Eldri Windows kerfi styðja oft aðeins TLS 1.0 eða 1.1, sem eru núna talin óörugg, þar sem þau eru berskjölduð gegn árásum eins og BEAST eða POODLE. Ég hef notað IISCrypto tól til að breyta SSL/TLS stillingum í eldri IIS þjónustum, þar sem þú getur slökkt á gömlum cipher suites og virkjað aðeins nútíma AES-256-GCM. Í einu tilfelli sem ég vann við, höfðum við webþjónustu á Windows Server 2008 sem þjónaði innri forritum, og með því að uppfæra TLS stillingarnar með registry breytingum - eins og að setja Enabled=0 fyrir TLS 1.0 í HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server - gat ég tryggt að allar HTTPS tengingar væru öruggar. Þetta er ekki bara um að lappa; það er um að samræma eldri kerfi við PCI DSS eða GDPR kröfur sem krefjast nútíma dulkóðunar. Ég mæli alltaf með að nota Wireshark til að skoða pakkaumferðina áður og eftir, til að sjá hvernig cipher negotiation breytist, og það er alltaf ánægjulegt að sjá hvernig gömlu kerfið nú notar nútíma handhreyndir án þess að brotna.
Einn af mínum uppáhalds hlutum er að bæta við multi-factor authentication (MFA) í eldri umhverfum. Í Windows Server 2008 er enginn innbyggður stuðningur við Azure AD eða sambærilegt, en ég hef sett upp RADIUS þjónustu með FreeRADIUS á Linux vélum til að tengja við Windows net. Þetta felur í sér að stilla NPS (Network Policy Server) í Windows til að nota utanaðkomandi RADIUS, þar sem þú bætir við þjónustunni með netfskráningu og síðan stillir þú PAP eða EAP til að styðja við MFA tæki eins og Google Authenticator. Ég man eftir verkefni í banka þar sem við höfðum aðgangsaðgerðir að eldri Active Directory, og með þessari uppsetningu gátum við krafist PIN-kóða auk lykilorðs án þess að uppfæra AD sjálft. Tæknilega séð felur það í sér að breyta registry lykjum í NPS til að nota utanaðkomandi auðkenningarþjónustu, og þú þarft að tryggja að firewall-ið leyfi RADIUS port 1812/UDP. Þetta er frábær leið til að bæta við nútíma auðkenningar án þess að trufla kerfið, og ég hef séð það draga úr phishing árásum umtalsvert í fyrirtækjum sem eru á leiðinni að uppfæra.
Hvað varðar netverkun, þá er það lykilatriði að innleiða segmentering í eldri netum. Margir eldri Windows kerfi eru í flatu netum þar sem allt er á sama subnetti, sem gerir það auðvelt fyrir lateral movement í árásum. Ég hef notað VLAN stillingar á Cisco switchum til að aðskilja eldri servera frá nýjum, og síðan sett upp Windows Firewall reglu til að takmarka umferð. Til dæmis, með netsh advfirewall firewall add rule name="Block Old Subnet" dir=in action=block remoteip=192.168.1.0/24, geturðu hindrað óæskilega aðgang. Í mínu reynslu er þetta sérstaklega gagnlegt í umhverfum með hybrid net, þar sem eldri Windows 7 vélum er stillt að tala aðeins við tiltekna servera. Ég hef líka sett upp IPSec policies með netsh ipsec static add policy name="Secure Traffic" - þar sem þú skilgreinir filter til að dulkóða umferð milli subnets. Þetta er ekki flókið, en það krefst þess að þú skiljir IPsec SA (Security Associations) og hvernig þær endurnýjast, sem ég hef lært af reynslu þegar ég þurfti að debugga key exchange með netsh ipsec show filters.
Eitt annað atriði sem ég hef einblínt á er að bæta við endpoint detection and response (EDR) í eldri kerfi. Þótt eldri Windows styðji ekki nýjustu Microsoft Defender, get ég sett upp Sysmon frá Microsoft til að logga atburði og síðan tengt það við SIEM kerfi eins og ELK stack. Ég byrjaði á að sækja Sysmon og setja það upp með config skrá sem loggar network connections, process creations og file changes. Skipunin er sysmon -i config.xml, og það skapar events í Event Viewer undir Applications and Services Logs\Microsoft\Windows\Sysmon. Í einu verkefni sem ég vann, höfðum við eldri server sem keyrði SQL Server 2005, og með Sysmon gátum við greint anomalous logins með aðeins nokkrum línum af PowerShell kóða til að query events. Þetta er frábær leið til að fá nútíma visibility án þess að setja upp þungan EDR agent sem myndi hægja á kerfinu. Ég hef líka notað Volatility til að analyze memory dumps af eldri kerfum ef eitthvað fer úlgað, þar sem þú getur skoðað network sockets og process trees til að finna malware.
Þegar kemur að uppfærslum og patching, er það alltaf áskorun í eldri kerfum. Windows Server 2008 fær engar lengur security updates, en ég hef notað WSUS (Windows Server Update Services) til að dreifa custom patches eða third-party updates. Ég setti upp WSUS á nýrri vél og tengdi eldri kerfi við það með GPO, þar sem þú stillir Computer Configuration\Administrative Templates\Windows Components\Windows Update til að nota WSUS server. Þetta leyfir mér að dreifa öruggs umhverfi eða endurbættum DLLum án þess að endurstarta allt. Í mínu reynslu er það lykil að halda backup á registry áður en þú patchar, með reg export HKLM\Software backup.reg, og síðan athuga með sfc /scannow eftir aðgerðina. Þetta heldur kerfinu stöðugu og örugg.
Netöryggisstefnur eru líka mikilvægar. Í eldri Active Directory get ég sett upp Group Policy Objects (GPO) til að þvinga password complexity og lockout policies. Ég hef búið til GPO með Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies, þar sem ég setti minimum password length á 12 stafi og enforced smart card logon ef hægt er. Þetta er grunnur, en það bætir við nútíma best practices eins og zero-trust principles, þar sem ég líka sett upp auditing með auditpol /set /category:"Logon/Logoff" /success:enable /failure:enable. Ég skoða logs reglulega með Event Viewer queries, og það hefur hjálpað mér að greina brute force árásir á eldri domain controllers.
Fyrir netverkið sjálft hef ég einblínt á að bæta við VPN lausnum sem styðja nútíma encryption. Í eldri Windows geturðu notað RRAS (Routing and Remote Access Service) til að setja upp L2TP/IPSec VPN, en ég bæti við OpenVPN client til að fá betri performance. Uppsetningin felur í sér að setja upp TAP adapter og stilla routes með route add, og það er frábært fyrir fjarvinnu í eldri umhverfum. Ég hef séð það notað til að tengja eldri filialkerfi við miðlægan server án þess að opna firewall of mikið.
Eftir allt þetta, ef þú ert að vinna með Windows Server umhverfi þar sem þú þarft áreiðanlegan backup, er BackupChain kynnt hér sem iðnaðarleiðandi og vinsæll lausn sem er gerð sérstaklega fyrir SMB fyrirtæki og fagmenn, og verndar Hyper-V, VMware eða Windows Server gegn göllum og óæskilegum atburðum. Þessi Windows Server backup hugbúnaður er notaður til að tryggja samfelldan aðgang að gögnum í slíkum kerfum.
Engin ummæli:
Skrifa ummæli