মাইক্রোসফ্ট নিরাপত্তা বেসলাইন ব্যবহার করে উইন্ডোজ শক্ত করা

Microsoft নিরাপত্তা বেসলাইন সুরক্ষিত কনফিগারেশন প্রদান এবং ডোমেন কন্ট্রোলার, সার্ভার, কম্পিউটার এবং ব্যবহারকারীদের রক্ষা করার জন্য মাইক্রোসফ্ট উইন্ডোজ ওয়ার্কস্টেশন এবং সার্ভারের জন্য প্রস্তাবিত সেটিংস ধারণ করে। Microsoft নিরাপত্তা বেসলাইনের উপর ভিত্তি করে রেফারেন্স গ্রুপ পলিসি অবজেক্ট এবং টেমপ্লেট তৈরি করেছে। অ্যাডমিনিস্ট্রেটররা তাদের AD ডোমেনে প্রয়োগ করতে পারেন। মাইক্রোসফ্ট সিকিউরিটি বেসলাইন জিপিও-তে নিরাপত্তা সেটিংস প্রশাসকদের সর্বশেষ গ্লোবাল নিরাপত্তা সর্বোত্তম অনুশীলন অনুসারে উইন্ডোজ অবকাঠামো রক্ষা করতে সক্ষম করে। এই নিবন্ধে আমরা দেখাব কিভাবে আপনার ডোমেনে Microsoft নিরাপত্তা বেসলাইন GPO গুলি প্রয়োগ করা যায়।

রেফারেন্স Microsoft নিরাপত্তা বেসলাইন গ্রুপ নীতিগুলি হল Microsoft Security Compliance Manager (SCM)-এর একটি অংশ। . SCM হল একটি বিনামূল্যের পণ্য যাতে Windows এবং অন্যান্য Microsoft পণ্যগুলির জন্য সর্বোত্তম অনুশীলন এবং বর্তমান নিরাপত্তা সুপারিশ বিশ্লেষণ, পরীক্ষা এবং প্রয়োগ করার জন্য একাধিক টুল রয়েছে।

মাইক্রোসফ্ট সিকিউরিটি কমপ্লায়েন্স টুলকিট এই লিঙ্কটি অনুসরণ করে উপলব্ধ:https://www.microsoft.com/en-us/download/details.aspx?id=55319। আজকে নিম্নলিখিত পণ্যগুলির জন্য বেসলাইনগুলি সিকিউরিটি কমপ্লায়েন্স টুলকিটে উপলব্ধ রয়েছে:

• Windows 10 Version 20H2 এবং Windows Server Version 20H2
• Windows 10 Version 2004 এবং Windows Server Version 2004
• Windows 10 Version 1909 এবং Windows Server Version 1909
• Windows 10 Version 1903 এবং Windows Server Version 1903
• Windows 10 সংস্করণ 1809 এবং Windows Server 2019
• Windows 10 Version 1607 এবং Windows Server 2016
• Microsoft Edge v88
• Office365 ProPlus
• উইন্ডোজ সার্ভার 2012 R2

এছাড়াও আপনি এই টুলগুলি ডাউনলোড করতে পারেন:

• LGPO স্থানীয় GPO সেটিংস পরিচালনা করতে ব্যবহৃত হয়;
• পলিসি অ্যানালাইজার বিদ্যমান গ্রুপ নীতিগুলি বিশ্লেষণ করার এবং নিরাপত্তা বেসলাইনে রেফারেন্স নীতিগুলির সাথে তাদের তুলনা করার একটি সরঞ্জাম;
• SetObjectSecurity

প্রতিটি Windows সংস্করণের নিরাপত্তা বেসলাইন সংরক্ষণাগারে বেশ কয়েকটি ফোল্ডার রয়েছে:

• ডকুমেন্টেশন নিরাপত্তা বেসলাইনে প্রয়োগ করা সেটিংসের বিশদ বিবরণ সহ XLSX এবং PDF ফাইল রয়েছে;
• GP রিপোর্ট প্রয়োগ করার জন্য GPO সেটিংস সহ HTML রিপোর্ট আছে;
• GPOs - বিভিন্ন পরিস্থিতিতে জিপিও অবজেক্ট রয়েছে। আপনি আপনার গ্রুপ পলিসি ম্যানেজমেন্ট (GPMC) কনসোলে নীতিগুলি আমদানি করতে পারেন;
• স্ক্রিপ্ট ডোমেন বা স্থানীয় নীতিতে GPO সেটিংস সহজেই আমদানি করতে PowerShell স্ক্রিপ্ট রয়েছে:Baseline-ADImport.ps1 , Baseline-LocalInstall.ps1 , Remove-EPBaselineSettings.ps1 , MapGuidsToGpoNames.ps1
• টেমপ্লেট – অতিরিক্ত ADMX/ADML GPO টেমপ্লেট (উদাহরণস্বরূপ, AdmPwd.admx LAPS, MSS-legacy.admx-এর জন্য স্থানীয় পাসওয়ার্ড পরিচালনার সেটিংস রয়েছে , SecGuide.admx )

অ্যাক্টিভ ডিরেক্টরি ডোমেন পরিবেশে, GPO ব্যবহার করে নিরাপত্তা বেসলাইন বাস্তবায়ন করা সহজ (একটি ওয়ার্কগ্রুপে, আপনি LGPO.exe টুল ব্যবহার করে একটি স্থানীয় গ্রুপ নীতির মাধ্যমে সুপারিশকৃত নিরাপত্তা সেটিংস প্রয়োগ করতে পারেন)।

বিভিন্ন Windows পরিকাঠামো উপাদানগুলির জন্য GPO নিরাপত্তা বেসলাইন টেমপ্লেট রয়েছে:কম্পিউটার, ব্যবহারকারী, ডোমেন সার্ভার, ডোমেন কন্ট্রোলারের জন্য নীতি (ভার্চুয়াল ডিসিগুলির জন্য একটি পৃথক নীতি রয়েছে), সেইসাথে ইন্টারনেট এক্সপ্লোরার, বিটলকার, ক্রেডেনশিয়াল গার্ড, উইন্ডোজ ডিফেন্ডার অ্যান্টিভাইরাস সেটিংস। বিভিন্ন পরিস্থিতির জন্য কনফিগার করা গ্রুপ নীতিগুলি GPOs ফোল্ডারে অবস্থিত (আপনি নীচে Windows Server 2019 এবং Windows 10 1909-এর জন্য GPO-গুলির তালিকা দেখতে পারেন):

• MSFT ইন্টারনেট এক্সপ্লোরার 11 — কম্পিউটার
• MSFT ইন্টারনেট এক্সপ্লোরার 11 — ব্যবহারকারী
• MSFT Windows 10 1909 — BitLocker
• MSFT Windows 10 1909 — কম্পিউটার
• MSFT Windows 10 1909 — ব্যবহারকারী
• MSFT Windows 10 1909 এবং সার্ভার 1909 — ডিফেন্ডার অ্যান্টিভাইরাস
• MSFT Windows 10 1909 এবং সার্ভার 1909 — ডোমেন নিরাপত্তা
• এমএসএফটি উইন্ডোজ 10 1909 এবং সার্ভার 1909 সদস্য সার্ভার — ক্রেডেনশিয়াল গার্ড
• MSFT উইন্ডোজ সার্ভার 1909 — ডোমেন কন্ট্রোলার ভার্চুয়ালাইজেশন ভিত্তিক নিরাপত্তা
• MSFT উইন্ডোজ সার্ভার 1909 — ডোমেন কন্ট্রোলার
• MSFT উইন্ডোজ সার্ভার 1909 — সদস্য সার্ভার

আপনার উইন্ডোজ সংস্করণের সাথে মিলে যাওয়া নিরাপত্তা বেসলাইন সংস্করণের সাথে সংরক্ষণাগারটি বের করুন এবং গ্রুপ নীতি ব্যবস্থাপনা খুলুন (gpmc.msc ) কনসোল।

1. আপনার DC-তে SYSVOL পলিসি ডেফিনিশন ফোল্ডারে (GPO সেন্ট্রাল স্টোর) ADMX টেমপ্লেট কপি করুন;
2. নাম দিয়ে একটি নতুন GPO তৈরি করুন Windows 10 2004 নিরাপত্তা বেসলাইন;
3. জিপিওতে ডান ক্লিক করুন এবং আমদানি সেটিংস নির্বাচন করুন;
4. একটি ব্যাকআপ অবস্থান হিসাবে আপনার উইন্ডোজ সংস্করণের জন্য নিরাপত্তা বেসলাইন ফাইলের একটি পথ নির্দিষ্ট করুন (উদাহরণস্বরূপ, C:\Tools\SCM\Windows 10 Version 2004 and Windows Server Version 2004 Security Baseline\Windows-10-Windows Server-v2004-Security-Baseline-FINAL\GPOs );
5. আপনি নীতি টেমপ্লেটের একটি তালিকা দেখতে পাবেন। আমাদের ক্ষেত্রে, আমি কম্পিউটার সেটিংস সহ একটি নীতি আমদানি করব। MSFT Windows 10 2004 – কম্পিউটার নির্বাচন করুন (দেখুন সেটিংস ব্যবহার করে বোতাম, আপনি একটি gpresult রিপোর্ট আকারে নীতি সেটিংস দেখতে পারেন);
6. তারপর আপনাকে নিরাপত্তা বস্তু এবং UNC পাথগুলিতে রেফারেন্স লিঙ্কগুলি কীভাবে স্থানান্তর করতে হয় তা নির্বাচন করতে বলা হবে। যেহেতু নীতিটি নতুন, তাই উৎস থেকে অভিন্নভাবে অনুলিপি করা নির্বাচন করুন৷;
7. তারপর Windows 10 2004 চালিত কম্পিউটারগুলির জন্য রেফারেন্স নিরাপত্তা বেসলাইন নীতি সেটিংস আপনার GPO তে আমদানি করা হবে।

শুধুমাত্র নির্দিষ্ট উইন্ডোজ বিল্ড চালিত কম্পিউটারগুলিতে গ্রুপ পলিসি অবজেক্ট প্রয়োগ করতে, GPO WMI ফিল্টার ব্যবহার করুন। উদাহরণস্বরূপ, Windows 10 2004 এর জন্য আপনি নিম্নলিখিত WMI ফিল্টারটি ব্যবহার করতে পারেন:

Select Version,ProductType from Win32_OperatingSystem WHERE Version LIKE "10.0.19041%" and ProductType = "1"

আপনার নীতিতে ফিল্টারটি প্রয়োগ করুন এবং আপনার প্রয়োজনীয় সাংগঠনিক ইউনিটের সাথে নীতিটি লিঙ্ক করুন৷

ব্যবহারকারী কম্পিউটারে নিরাপত্তা বেসলাইন প্রয়োগ করার আগে, প্রস্তাবিত সেটিংস ভালোভাবে পরীক্ষা করুন এবং প্রথমে পরীক্ষাকারী ব্যবহারকারী বা কম্পিউটারের সাথে একটি OU-তে প্রয়োগ করুন। প্রয়োজন হলে, আপনি নিরাপত্তা বেসলাইন দ্বারা প্রস্তাবিত কিছু সেটিংস অক্ষম করতে পারেন। শুধুমাত্র পরীক্ষার কম্পিউটারে নিরাপত্তা বেসলাইন সেটিংস সফলভাবে পরীক্ষা করার পরে, আপনি সেগুলি আপনার ডোমেনের সমস্ত কম্পিউটার/সার্ভারে প্রয়োগ করতে পারেন৷

নিরাপত্তা বেসলাইনে কয়েক ডজন বা এমনকি শত শত সেটিংস রয়েছে। আমরা এক নিবন্ধে তাদের আলোচনা করতে সক্ষম নই। woshub.com-এর অন্যান্য নিবন্ধে আমরা যে নিরাপত্তা সেটিংস কভার করেছি তা বিবেচনা করা যাক:

• প্রোগ্রাম শুরু এবং ইনস্টলেশনের নিয়মগুলি পরিচালনা করা:AppLocker (সফ্টওয়্যার সীমাবদ্ধতা নীতি), UAC এবং Windows ইনস্টলার
• ডোমেন পাসওয়ার্ড এবং অ্যাকাউন্ট লকআউট নীতি
• সুবিধাপ্রাপ্ত অ্যাকাউন্ট সীমাবদ্ধতা
• বেনামী অ্যাক্সেস সীমাবদ্ধতা
• সমস্ত ইভেন্ট এবং ব্যবহারকারীর লগইন ইতিহাস সম্পর্কে তথ্য পেতে অডিট নীতি সেটিংস
• LSA মেমরি সুরক্ষা
• পেরিফেরালগুলিতে অ্যাক্সেস (প্রিন্টার এবং ইউএসবি ইনস্টলেশন নীতি সহ)
• NetBIOS এবং NTLM প্রোটোকল নিষ্ক্রিয় করা হচ্ছে
• দূরবর্তী সহায়তার সেটিংস, ছায়া সংযোগ, আরডিএস টাইমআউট, ক্রেডএসএসপি ওরাকল প্রতিকার
• পাওয়ারশেল এক্সিকিউশন পলিসি
• উইন্ডোজ এরর রিপোর্টিং এর কনফিগারেশন
• উইন্ডোজ ফায়ারওয়াল নিয়ম পরিচালনা
• WinRM সেটিংস
• বিল্ট-ইন অ্যাডমিনিস্ট্রেটর অ্যাকাউন্ট নিষ্ক্রিয় করা হচ্ছে
• কঠিন ইউএনসি পাথ নীতি
• SMBv1 নিষ্ক্রিয় করা হচ্ছে

স্বাক্ষরবিহীন স্ক্রিপ্টগুলি চালানোর অনুমতি দিন:

Set-ExecutionPolicy -Scope Process Unrestricted
নীতি প্রয়োগ করুন:
Baseline-LocalInstall.ps1 -Win10NonDomainJoined

Microsoft নিরাপত্তা বেসলাইন সেটিংস আপনার Windows পরিকাঠামোর নিরাপত্তা বাড়াতে পারে এবং আপনার কর্পোরেট নেটওয়ার্কের সমস্ত কম্পিউটারে (নতুন সহ) একই সেটিংস প্রয়োগ করা হয়েছে তা নিশ্চিত করতে সাহায্য করে৷