কম্পিউটার

মাইক্রোসফ্ট নিরাপত্তা বেসলাইন ব্যবহার করে উইন্ডোজ শক্ত করা

Microsoft নিরাপত্তা বেসলাইন সুরক্ষিত কনফিগারেশন প্রদান এবং ডোমেন কন্ট্রোলার, সার্ভার, কম্পিউটার এবং ব্যবহারকারীদের রক্ষা করার জন্য মাইক্রোসফ্ট উইন্ডোজ ওয়ার্কস্টেশন এবং সার্ভারের জন্য প্রস্তাবিত সেটিংস ধারণ করে। Microsoft নিরাপত্তা বেসলাইনের উপর ভিত্তি করে রেফারেন্স গ্রুপ পলিসি অবজেক্ট এবং টেমপ্লেট তৈরি করেছে। অ্যাডমিনিস্ট্রেটররা তাদের AD ডোমেনে প্রয়োগ করতে পারেন। মাইক্রোসফ্ট সিকিউরিটি বেসলাইন জিপিও-তে নিরাপত্তা সেটিংস প্রশাসকদের সর্বশেষ গ্লোবাল নিরাপত্তা সর্বোত্তম অনুশীলন অনুসারে উইন্ডোজ অবকাঠামো রক্ষা করতে সক্ষম করে। এই নিবন্ধে আমরা দেখাব কিভাবে আপনার ডোমেনে Microsoft নিরাপত্তা বেসলাইন GPO গুলি প্রয়োগ করা যায়।

রেফারেন্স Microsoft নিরাপত্তা বেসলাইন গ্রুপ নীতিগুলি হল Microsoft Security Compliance Manager (SCM)-এর একটি অংশ। . SCM হল একটি বিনামূল্যের পণ্য যাতে Windows এবং অন্যান্য Microsoft পণ্যগুলির জন্য সর্বোত্তম অনুশীলন এবং বর্তমান নিরাপত্তা সুপারিশ বিশ্লেষণ, পরীক্ষা এবং প্রয়োগ করার জন্য একাধিক টুল রয়েছে।

মাইক্রোসফ্ট সিকিউরিটি কমপ্লায়েন্স টুলকিট এই লিঙ্কটি অনুসরণ করে উপলব্ধ:https://www.microsoft.com/en-us/download/details.aspx?id=55319। আজকে নিম্নলিখিত পণ্যগুলির জন্য বেসলাইনগুলি সিকিউরিটি কমপ্লায়েন্স টুলকিটে উপলব্ধ রয়েছে:

মাইক্রোসফ্ট নিরাপত্তা বেসলাইন ব্যবহার করে উইন্ডোজ শক্ত করা

  • Windows 10 Version 20H2 এবং Windows Server Version 20H2
  • Windows 10 Version 2004 এবং Windows Server Version 2004
  • Windows 10 Version 1909 এবং Windows Server Version 1909
  • Windows 10 Version 1903 এবং Windows Server Version 1903
  • Windows 10 সংস্করণ 1809 এবং Windows Server 2019
  • Windows 10 Version 1607 এবং Windows Server 2016
  • Microsoft Edge v88
  • Office365 ProPlus
  • উইন্ডোজ সার্ভার 2012 R2

এছাড়াও আপনি এই টুলগুলি ডাউনলোড করতে পারেন:

  • LGPO স্থানীয় GPO সেটিংস পরিচালনা করতে ব্যবহৃত হয়;
  • পলিসি অ্যানালাইজার বিদ্যমান গ্রুপ নীতিগুলি বিশ্লেষণ করার এবং নিরাপত্তা বেসলাইনে রেফারেন্স নীতিগুলির সাথে তাদের তুলনা করার একটি সরঞ্জাম;
  • SetObjectSecurity

প্রতিটি Windows সংস্করণের নিরাপত্তা বেসলাইন সংরক্ষণাগারে বেশ কয়েকটি ফোল্ডার রয়েছে:

  • ডকুমেন্টেশন নিরাপত্তা বেসলাইনে প্রয়োগ করা সেটিংসের বিশদ বিবরণ সহ XLSX এবং PDF ফাইল রয়েছে;
  • GP রিপোর্ট প্রয়োগ করার জন্য GPO সেটিংস সহ HTML রিপোর্ট আছে;
  • GPOs - বিভিন্ন পরিস্থিতিতে জিপিও অবজেক্ট রয়েছে। আপনি আপনার গ্রুপ পলিসি ম্যানেজমেন্ট (GPMC) কনসোলে নীতিগুলি আমদানি করতে পারেন;
  • স্ক্রিপ্ট ডোমেন বা স্থানীয় নীতিতে GPO সেটিংস সহজেই আমদানি করতে PowerShell স্ক্রিপ্ট রয়েছে:Baseline-ADImport.ps1 , Baseline-LocalInstall.ps1 , Remove-EPBaselineSettings.ps1 , MapGuidsToGpoNames.ps1
  • টেমপ্লেট – অতিরিক্ত ADMX/ADML GPO টেমপ্লেট (উদাহরণস্বরূপ, AdmPwd.admx LAPS, MSS-legacy.admx-এর জন্য স্থানীয় পাসওয়ার্ড পরিচালনার সেটিংস রয়েছে , SecGuide.admx )

মাইক্রোসফ্ট নিরাপত্তা বেসলাইন ব্যবহার করে উইন্ডোজ শক্ত করা

অ্যাক্টিভ ডিরেক্টরি ডোমেন পরিবেশে, GPO ব্যবহার করে নিরাপত্তা বেসলাইন বাস্তবায়ন করা সহজ (একটি ওয়ার্কগ্রুপে, আপনি LGPO.exe টুল ব্যবহার করে একটি স্থানীয় গ্রুপ নীতির মাধ্যমে সুপারিশকৃত নিরাপত্তা সেটিংস প্রয়োগ করতে পারেন)।

বিভিন্ন Windows পরিকাঠামো উপাদানগুলির জন্য GPO নিরাপত্তা বেসলাইন টেমপ্লেট রয়েছে:কম্পিউটার, ব্যবহারকারী, ডোমেন সার্ভার, ডোমেন কন্ট্রোলারের জন্য নীতি (ভার্চুয়াল ডিসিগুলির জন্য একটি পৃথক নীতি রয়েছে), সেইসাথে ইন্টারনেট এক্সপ্লোরার, বিটলকার, ক্রেডেনশিয়াল গার্ড, উইন্ডোজ ডিফেন্ডার অ্যান্টিভাইরাস সেটিংস। বিভিন্ন পরিস্থিতির জন্য কনফিগার করা গ্রুপ নীতিগুলি GPOs ফোল্ডারে অবস্থিত (আপনি নীচে Windows Server 2019 এবং Windows 10 1909-এর জন্য GPO-গুলির তালিকা দেখতে পারেন):

  • MSFT ইন্টারনেট এক্সপ্লোরার 11 — কম্পিউটার
  • MSFT ইন্টারনেট এক্সপ্লোরার 11 — ব্যবহারকারী
  • MSFT Windows 10 1909 — BitLocker
  • MSFT Windows 10 1909 — কম্পিউটার
  • MSFT Windows 10 1909 — ব্যবহারকারী
  • MSFT Windows 10 1909 এবং সার্ভার 1909 — ডিফেন্ডার অ্যান্টিভাইরাস
  • MSFT Windows 10 1909 এবং সার্ভার 1909 — ডোমেন নিরাপত্তা
  • এমএসএফটি উইন্ডোজ 10 1909 এবং সার্ভার 1909 সদস্য সার্ভার — ক্রেডেনশিয়াল গার্ড
  • MSFT উইন্ডোজ সার্ভার 1909 — ডোমেন কন্ট্রোলার ভার্চুয়ালাইজেশন ভিত্তিক নিরাপত্তা
  • MSFT উইন্ডোজ সার্ভার 1909 — ডোমেন কন্ট্রোলার
  • MSFT উইন্ডোজ সার্ভার 1909 — সদস্য সার্ভার
মনে রাখবেন যে প্রতিটি Windows সার্ভার সংস্করণ বা Windows 10 বিল্ডের জন্য একটি পৃথক নিরাপত্তা বেসলাইন সেট আছে।

আপনার উইন্ডোজ সংস্করণের সাথে মিলে যাওয়া নিরাপত্তা বেসলাইন সংস্করণের সাথে সংরক্ষণাগারটি বের করুন এবং গ্রুপ নীতি ব্যবস্থাপনা খুলুন (gpmc.msc ) কনসোল।

  1. আপনার DC-তে SYSVOL পলিসি ডেফিনিশন ফোল্ডারে (GPO সেন্ট্রাল স্টোর) ADMX টেমপ্লেট কপি করুন; মাইক্রোসফ্ট নিরাপত্তা বেসলাইন ব্যবহার করে উইন্ডোজ শক্ত করা
  2. নাম দিয়ে একটি নতুন GPO তৈরি করুন Windows 10 2004 নিরাপত্তা বেসলাইন;
  3. জিপিওতে ডান ক্লিক করুন এবং আমদানি সেটিংস নির্বাচন করুন; মাইক্রোসফ্ট নিরাপত্তা বেসলাইন ব্যবহার করে উইন্ডোজ শক্ত করা
  4. একটি ব্যাকআপ অবস্থান হিসাবে আপনার উইন্ডোজ সংস্করণের জন্য নিরাপত্তা বেসলাইন ফাইলের একটি পথ নির্দিষ্ট করুন (উদাহরণস্বরূপ, C:\Tools\SCM\Windows 10 Version 2004 and Windows Server Version 2004 Security Baseline\Windows-10-Windows Server-v2004-Security-Baseline-FINAL\GPOs ); মাইক্রোসফ্ট নিরাপত্তা বেসলাইন ব্যবহার করে উইন্ডোজ শক্ত করা
  5. আপনি নীতি টেমপ্লেটের একটি তালিকা দেখতে পাবেন। আমাদের ক্ষেত্রে, আমি কম্পিউটার সেটিংস সহ একটি নীতি আমদানি করব। MSFT Windows 10 2004 – কম্পিউটার নির্বাচন করুন (দেখুন সেটিংস ব্যবহার করে বোতাম, আপনি একটি gpresult রিপোর্ট আকারে নীতি সেটিংস দেখতে পারেন); মাইক্রোসফ্ট নিরাপত্তা বেসলাইন ব্যবহার করে উইন্ডোজ শক্ত করা
  6. তারপর আপনাকে নিরাপত্তা বস্তু এবং UNC পাথগুলিতে রেফারেন্স লিঙ্কগুলি কীভাবে স্থানান্তর করতে হয় তা নির্বাচন করতে বলা হবে। যেহেতু নীতিটি নতুন, তাই উৎস থেকে অভিন্নভাবে অনুলিপি করা নির্বাচন করুন৷; মাইক্রোসফ্ট নিরাপত্তা বেসলাইন ব্যবহার করে উইন্ডোজ শক্ত করা
  7. তারপর Windows 10 2004 চালিত কম্পিউটারগুলির জন্য রেফারেন্স নিরাপত্তা বেসলাইন নীতি সেটিংস আপনার GPO তে আমদানি করা হবে। মাইক্রোসফ্ট নিরাপত্তা বেসলাইন ব্যবহার করে উইন্ডোজ শক্ত করা

শুধুমাত্র নির্দিষ্ট উইন্ডোজ বিল্ড চালিত কম্পিউটারগুলিতে গ্রুপ পলিসি অবজেক্ট প্রয়োগ করতে, GPO WMI ফিল্টার ব্যবহার করুন। উদাহরণস্বরূপ, Windows 10 2004 এর জন্য আপনি নিম্নলিখিত WMI ফিল্টারটি ব্যবহার করতে পারেন:

Select Version,ProductType from Win32_OperatingSystem WHERE Version LIKE "10.0.19041%" and ProductType = "1"

আপনার নীতিতে ফিল্টারটি প্রয়োগ করুন এবং আপনার প্রয়োজনীয় সাংগঠনিক ইউনিটের সাথে নীতিটি লিঙ্ক করুন৷

মাইক্রোসফ্ট নিরাপত্তা বেসলাইন ব্যবহার করে উইন্ডোজ শক্ত করা

একইভাবে, আপনি ব্যবহারকারী, ডোমেন কন্ট্রোলার, ডোমেন সদস্য সার্ভার ইত্যাদির জন্য নিরাপত্তা বেসলাইন আমদানি করতে পারেন।

ব্যবহারকারী কম্পিউটারে নিরাপত্তা বেসলাইন প্রয়োগ করার আগে, প্রস্তাবিত সেটিংস ভালোভাবে পরীক্ষা করুন এবং প্রথমে পরীক্ষাকারী ব্যবহারকারী বা কম্পিউটারের সাথে একটি OU-তে প্রয়োগ করুন। প্রয়োজন হলে, আপনি নিরাপত্তা বেসলাইন দ্বারা প্রস্তাবিত কিছু সেটিংস অক্ষম করতে পারেন। শুধুমাত্র পরীক্ষার কম্পিউটারে নিরাপত্তা বেসলাইন সেটিংস সফলভাবে পরীক্ষা করার পরে, আপনি সেগুলি আপনার ডোমেনের সমস্ত কম্পিউটার/সার্ভারে প্রয়োগ করতে পারেন৷

নিরাপত্তা বেসলাইনে কয়েক ডজন বা এমনকি শত শত সেটিংস রয়েছে। আমরা এক নিবন্ধে তাদের আলোচনা করতে সক্ষম নই। woshub.com-এর অন্যান্য নিবন্ধে আমরা যে নিরাপত্তা সেটিংস কভার করেছি তা বিবেচনা করা যাক:

  • প্রোগ্রাম শুরু এবং ইনস্টলেশনের নিয়মগুলি পরিচালনা করা:AppLocker (সফ্টওয়্যার সীমাবদ্ধতা নীতি), UAC এবং Windows ইনস্টলার
  • ডোমেন পাসওয়ার্ড এবং অ্যাকাউন্ট লকআউট নীতি
  • সুবিধাপ্রাপ্ত অ্যাকাউন্ট সীমাবদ্ধতা
  • বেনামী অ্যাক্সেস সীমাবদ্ধতা
  • সমস্ত ইভেন্ট এবং ব্যবহারকারীর লগইন ইতিহাস সম্পর্কে তথ্য পেতে অডিট নীতি সেটিংস
  • LSA মেমরি সুরক্ষা
  • পেরিফেরালগুলিতে অ্যাক্সেস (প্রিন্টার এবং ইউএসবি ইনস্টলেশন নীতি সহ)
  • NetBIOS এবং NTLM প্রোটোকল নিষ্ক্রিয় করা হচ্ছে
  • দূরবর্তী সহায়তার সেটিংস, ছায়া সংযোগ, আরডিএস টাইমআউট, ক্রেডএসএসপি ওরাকল প্রতিকার
  • পাওয়ারশেল এক্সিকিউশন পলিসি
  • উইন্ডোজ এরর রিপোর্টিং এর কনফিগারেশন
  • উইন্ডোজ ফায়ারওয়াল নিয়ম পরিচালনা
  • WinRM সেটিংস
  • বিল্ট-ইন অ্যাডমিনিস্ট্রেটর অ্যাকাউন্ট নিষ্ক্রিয় করা হচ্ছে
  • কঠিন ইউএনসি পাথ নীতি
  • SMBv1 নিষ্ক্রিয় করা হচ্ছে
আপনি যদি Windows 10 চলমান আপনার হোম কম্পিউটারকে সুরক্ষিত করতে চান, তাহলে আপনি একটি প্রস্তুত PowerShell স্ক্রিপ্ট ব্যবহার করে এটিতে নিরাপত্তা বেসলাইন সেটিংস প্রয়োগ করতে পারেন।

স্বাক্ষরবিহীন স্ক্রিপ্টগুলি চালানোর অনুমতি দিন:

Set-ExecutionPolicy -Scope Process Unrestricted
নীতি প্রয়োগ করুন:
Baseline-LocalInstall.ps1 -Win10NonDomainJoined

Microsoft নিরাপত্তা বেসলাইন সেটিংস আপনার Windows পরিকাঠামোর নিরাপত্তা বাড়াতে পারে এবং আপনার কর্পোরেট নেটওয়ার্কের সমস্ত কম্পিউটারে (নতুন সহ) একই সেটিংস প্রয়োগ করা হয়েছে তা নিশ্চিত করতে সাহায্য করে৷


  1. উইন্ডোজ 11 নিরাপত্তা বই

  2. Windows 10-এ Microsoft Security Essentials আনইনস্টল করুন

  3. কিভাবে Microsoft Edge ব্যবহার করে Windows 10 এ একটি PWA ইনস্টল করবেন

  4. উইন্ডোজ সিকিউরিটি ব্যবহার করে হুমকির জন্য কীভাবে একটি ফোল্ডার স্ক্যান করবেন