থার্ড-পার্টি টুল ব্যবহার করে উইন্ডোজ ১১-কে আরও সুরক্ষিত করা

উইন্ডোজ ১১ (এবং উইন্ডোজ ১০) খুবই সুবিধাজনক সিস্টেম, কিন্তু এগুলো ফ্যাক্টরি থেকেই 'উন্মুক্ত' অবস্থায় আসে। যাতে প্রায় সবকিছুই প্রথমবারেই কাজ করে: পুরোনো প্রোটোকল, আপনার ব্যবহার না করা সার্ভিস, উইজার্ড, টেলিমেট্রি, এমনকি পাওয়ারশেল তার সমস্ত সুবিধাসহ… ঠিক এই সুবিধাকেই আক্রমণকারী এবং ম্যালওয়্যার কাজে লাগায় নেটওয়ার্কে প্রবেশ করতে, ঘোরাফেরা করতে এবং তুলনামূলক সহজে বিশেষাধিকার বাড়িয়ে নিতে, যদি আপনি শুধু অ্যান্টিভাইরাস ইনস্টল করে বসে থাকেন।

জানালা সুরক্ষিত করার অর্থ হলো সেই অপ্রয়োজনীয় দরজাগুলো বন্ধ করে দেওয়া।এর মধ্যে রয়েছে ডিফল্ট সুরক্ষা ব্যবস্থা সক্রিয় করা, কোন অ্যাপ্লিকেশনগুলো চলতে পারবে তা নিয়ন্ত্রণ করা, এবং সময়ের সাথে সাথে সুরক্ষিত কনফিগারেশনটি যেন দুর্বল না হয়ে যায় তা নিশ্চিত করতে ক্রমাগত পর্যবেক্ষণ করা। যদিও অনেক কাজ ম্যানুয়ালি করা যায়, বর্তমানে টেস্টিং, ডেপ্লয়মেন্ট এবং মনিটরিং স্বয়ংক্রিয় করে এমন থার্ড-পার্টি টুলের সাহায্য ছাড়া একটি গুরুতর হার্ডেনিং প্রকল্প হাতে নেওয়া প্রায় অকল্পনীয়।

উইন্ডোজ ১০ এবং ১১-এ হার্ডেনিং কী এবং কেন এটিকে গুরুত্ব সহকারে নেওয়া অপরিহার্য?

শক্তিশালীকরণ বা সুরক্ষিতকরণ বলতে সিস্টেমের আক্রমণ পৃষ্ঠতল হ্রাস করাকে বোঝায়। অপারেটিং সিস্টেম, অ্যাপ্লিকেশন এবং সার্ভিসগুলোর কনফিগারেশনকে সুরক্ষিত বেসলাইন (CIS, DISA STIG, Microsoft নির্দেশিকা, ইত্যাদি) অনুযায়ী সামঞ্জস্য করা। মূল ধারণাটি খুবই সহজ: প্রতিটি অপ্রয়োজনীয় ফাংশন, ব্যাকগ্রাউন্ডে চালু থাকা প্রতিটি সার্ভিস, এবং কারণ ছাড়াই চালু হওয়া প্রতিটি স্ক্রিপ্ট, আক্রমণের আরেকটি পথ তৈরি করে।

মাইক্রোসফট সহ নির্মাতারা নিরাপত্তার চেয়ে কার্যকারিতাকে বেশি প্রাধান্য দেয়।তারা চায় উইন্ডোজ যেন প্রায় যেকোনো কম্পিউটারে এবং যেকোনো পরিবেশে কাজ করে, তাই তারা এমন সব কম্প্যাটিবিলিটি ফিচার, লিগ্যাসি প্রোটোকল এবং কম্পোনেন্ট চালু করে, যেগুলোর অস্তিত্ব সম্পর্কে বেশিরভাগ ব্যবহারকারী জানেই না। এই সবকিছুই চমৎকার, যতক্ষণ না কোনো আক্রমণকারী আপনার আদৌ প্রয়োজন না থাকা সেইসব "অতিরিক্ত" ফিচারগুলোর কোনো একটির সুযোগ নেয়।

বিধিমালা এবং মানদণ্ডে দৃঢ়করণ একটি সুস্পষ্ট আবশ্যকতা হয়ে উঠেছে। (ISO 27001, ENS, PCI-DSS, CIS, STIG, ইত্যাদি)। এটি এখন আর ঐচ্ছিক কোনো বিষয় নয়: প্রতিষ্ঠানগুলোকে অবশ্যই সিস্টেমের ধরন, ভূমিকা, সংস্করণ, পরিবেশ (প্রোডাকশন, প্রি-প্রোডাকশন, ল্যাবরেটরি, ইউজার ওয়ার্কস্টেশন, সার্ভার, কিয়স্ক, VDI…) অনুযায়ী নির্দিষ্ট হার্ডেনিং পলিসি নির্ধারণ করতে হবে এবং যুক্তিসঙ্গত গ্র্যানুলারিটির সর্বোচ্চ স্তর পর্যন্ত যেতে হবে।

পদ্ধতি ছাড়া শক্তকরণ প্রয়োগ করা উৎপাদন ভেঙে যাওয়ার একটি নিখুঁত উপায়।একটি গুরুত্বপূর্ণ প্রক্রিয়ায় সর্বদা তিনটি পর্যায় থাকে: প্রথমত, পরীক্ষণ; তারপর, নিয়ন্ত্রিত বাস্তবায়ন; এবং সবশেষে, নিরন্তর পর্যবেক্ষণ। ঠিক এখানেই থার্ড-পার্টি টুলগুলোর ভূমিকা শুরু হয়: এগুলো ছাড়া মানবিক ভুল এবং উৎপাদনে অপ্রত্যাশিত সমস্যা প্রায় নিশ্চিত।

উইন্ডোজে হার্ডেনিং প্রোজেক্টের তিনটি পর্যায়

১. পরীক্ষণ পর্যায়: প্রতিটি নিয়মের প্রভাব অনুধাবন করা

সরাসরি প্রোডাকশনে একটি 'হার্ড' বেসলাইন প্রয়োগ করলে সাধারণত সমস্যা তৈরি হয়।অনেক নির্দেশিকাতেই সম্ভাব্য ঝুঁকির আভাস আছে এমন সবকিছু নিষ্ক্রিয় করে দেওয়ার পরামর্শ দেওয়া হয়, কিন্তু বাস্তব জীবনে আপনার কাছে লিগ্যাসি অ্যাপ্লিকেশন, থার্ড-পার্টি ইন্টিগ্রেশন, পুরোনো প্রোটোকলের ওপর নির্ভরশীল পরিষেবা এবং ম্যাক্রো বা অ্যাক্টিভএক্স কম্পোনেন্ট নিয়ে কাজ করা ব্যবহারকারী থাকে।

পরীক্ষা করার সঠিক উপায় হলো পরীক্ষাগার পরিবেশে বাস্তব নেটওয়ার্কটির অনুকরণ করা। সেখানে হার্ডেনিং পলিসিগুলো যথাসম্ভব কঠোরভাবে প্রয়োগ করুন এবং পর্যবেক্ষণ করুন কী কী সমস্যা হচ্ছে: যেমন অ্যাপ্লিকেশন চালু হওয়া বন্ধ হয়ে যাওয়া, সার্ভিস কানেক্ট না হওয়া, প্রিন্টিং ব্যর্থ হওয়া, নির্ধারিত টাস্ক আর না চলা ইত্যাদি। এই পর্যায়টি পুরো প্রকল্পের মধ্যে নিঃসন্দেহে সবচেয়ে দীর্ঘ, ঘণ্টার হিসাবে সবচেয়ে ব্যয়বহুল এবং সবচেয়ে সংবেদনশীল।

প্রতিটি কনফিগারেশন পরিবর্তনকে নিরাপত্তাজনিত প্রভাব বনাম সুবিধার নিরিখে মূল্যায়ন করা উচিত।কিছু নিয়ম আছে যা প্রশ্নাতীত (উদাহরণস্বরূপ, সেকেলে প্রোটোকল বা এলএম হ্যাশ নিষ্ক্রিয় করা), এবং অন্য কিছু ক্ষেত্রে আপনাকে একটি নির্দিষ্ট মাত্রার ঝুঁকি মেনে নিতে হবে, কারণ এর বিকল্পটি কার্যত অসম্ভব। এই পর্যায়ের ফলাফল হলো সাধারণত আপনার পরিবেশের জন্য "অভিযোজিত" একটি বেসলাইন, যা সিআইএস (CIS) বা এসটিআইজি (STIG)-এর মতো কোনো রেফারেন্স থেকে উদ্ভূত, কিন্তু বাস্তবতার সাথে সামঞ্জস্যপূর্ণ।

২. প্রয়োগ এবং নিয়ন্ত্রিত স্থাপন পর্যায়

নীতিমালাটি পরিমার্জিত হয়ে গেলে, তা নেটওয়ার্কের সকল উপাদানে প্রয়োগ করতে হবে।ওয়ার্কস্টেশন, ল্যাপটপ, অ্যাপ্লিকেশন সার্ভার, ডেটাবেস সার্ভার, ডোমেইন কন্ট্রোলার, ফাইল সার্ভার ইত্যাদি। এই কাজটি ম্যানুয়ালি করা বা অনিয়ন্ত্রিত স্ক্রিপ্ট ব্যবহার করা বিশৃঙ্খলা ডেকে আনার একটি নিশ্চিত পথ।

কনফিগারেশন ম্যানেজমেন্ট এবং হার্ডেনিং টুলগুলো ডেপ্লয়মেন্টকে সুসংহত করতে সক্ষম করে। একটি একক নিয়ন্ত্রণ কেন্দ্র থেকে, প্রতিটি সিস্টেম টাইপ যেন উপযুক্ত প্রোফাইল পায় এবং নিয়মগুলো পরীক্ষিত পদ্ধতিতেই প্রয়োগ করা হয়, তা নিশ্চিত করা হয়। এখানেই GPO, System Center Configuration Manager, Ansible, Puppet, Chef বা বিশেষায়িত হার্ডেনিং সলিউশনের মতো প্রযুক্তিগুলো কাজে আসে।

আরেকটি প্রধান সুবিধা হলো শনাক্তকরণযোগ্যতা।কে, কখন, এবং কোন সিস্টেমে কী পরিবর্তন করেছে? এই স্বচ্ছতা না থাকলে, যখন কোনো নিরাপত্তা আপডেট বা অ্যাপ্লিকেশন পরিবর্তনের কারণে অস্বাভাবিক আচরণ দেখা দেয়, তখন সমস্যাটি হার্ডেনিং, কোনো প্যাচ, নাকি স্থানীয় কোনো ভুল কনফিগারেশনের কারণে হচ্ছে, তা নির্ণয় করা অত্যন্ত কঠিন হয়ে পড়ে।

৩. অবিচ্ছিন্ন পর্যবেক্ষণ ও রক্ষণাবেক্ষণ পর্যায়

কর্পোরেট নেটওয়ার্ক একটি জীবন্ত পরিবেশনতুন অ্যাপ্লিকেশন ইনস্টল করা হয়, সরঞ্জাম পরিষেবা থেকে বাদ দেওয়া হয়, সার্ভারের ভূমিকা পরিবর্তন করা হয়, বিভিন্ন বিশেষাধিকার স্তরের ব্যবহারকারী যুক্ত করা হয়, ইত্যাদি। আপনি যদি বেসলাইনের সাথে সঙ্গতি পর্যবেক্ষণ না করেন, তবে কয়েক মাসের মধ্যেই আপনি প্রাথমিক অবস্থার মতোই একটি অসুরক্ষিত অবস্থায় ফিরে যাবেন।

ক্রমাগত পর্যবেক্ষণের মাধ্যমে প্রত্যাশিত বিন্যাস থেকে বিচ্যুতি শনাক্ত করা হয়।এই ত্রুটিগুলো অনিচ্ছাকৃত হতে পারে (যেমন কোনো টেকনিশিয়ান সাময়িকভাবে কিছু চালু করে পরে ভুলে গেলে) অথবা ইচ্ছাকৃতও হতে পারে (যেমন কেউ সুরক্ষিত করা একটি দরজা পুনরায় খোলার চেষ্টা করলে)। কিছু টুল এমনকি এই ত্রুটিগুলো স্বয়ংক্রিয়ভাবে সংশোধন করে এবং একটি কেন্দ্রীয় লগে তা রেকর্ড করে রাখে।

এখানে কমপ্লায়েন্স স্ক্যানারগুলো একটি গুরুত্বপূর্ণ ভূমিকা পালন করে।তারা প্রতিটি সিস্টেমকে একটি রেফারেন্সের (সিআইএস, এসটিআইজি, মাইক্রোসফট গাইড, অভ্যন্তরীণ কর্পোরেট ডেটাবেস) সাথে তুলনা করে এবং সময়ের সাথে সাথে এর সুরক্ষাব্যবস্থার উন্নতি ও বিবর্তনের অবস্থা নিয়ে প্রতিবেদন তৈরি করে, যা অডিট এবং উন্নয়নমূলক পদক্ষেপগুলোকে অগ্রাধিকার দেওয়ার জন্য অপরিহার্য।

অটোমেশন টুলগুলোকে আরও শক্তিশালী করা: “অল-ইন-ওয়ান” পদ্ধতি

সবচেয়ে পূর্ণাঙ্গ টুলগুলো হলো সেগুলো, যা বিশেষভাবে অটোমেশনকে আরও শক্তিশালী করার জন্য ডিজাইন করা হয়েছে।কারণ তারা একটি কেন্দ্রীয় কনসোল থেকেই তিনটি পর্যায়ই পরিচালনা করে: নিয়মগুলোর প্রভাব পরীক্ষা করা, কনফিগারেশন স্থাপন করা এবং বিচ্যুতি পর্যবেক্ষণ করা।

এর সবচেয়ে বড় শক্তি হলো স্বয়ংক্রিয় প্রভাব বিশ্লেষণ।আপনার সিস্টেম টিমকে একের পর এক পরীক্ষা করার পরিবর্তে, এই সমাধানগুলো সার্ভারগুলোর আচরণ শেখে এবং একটি নির্দিষ্ট পলিসি প্রয়োগ করলে কী ঘটবে তা অনুকরণ করে, যা প্রোডাকশনে যাওয়ার আগেই বলে দেয় কোন কোন সার্ভিস প্রভাবিত হবে।

সার্ভার-ভিত্তিক সমাধানগুলোর মধ্যে নিম্নলিখিতগুলো উল্লেখযোগ্য::

• ক্যালকম সার্ভার হার্ডেনিং সলিউশন (সিএইচএস)এই প্ল্যাটফর্মটি উইন্ডোজ সার্ভারগুলোকে আরও সুরক্ষিত করতে এবং পরিষেবা বিঘ্ন ন্যূনতম পর্যায়ে নামিয়ে আনতে ডিজাইন করা হয়েছে। এটি প্রতিটি নিয়মের প্রভাব বিশ্লেষণ করে, বেসলাইন সামঞ্জস্য করতে সাহায্য করে এবং নিয়ন্ত্রিত পদ্ধতিতে পরিবর্তনগুলো প্রয়োগ করে। এছাড়াও, এটি ক্রমাগত পর্যবেক্ষণ করে যে সার্ভারগুলো অনুমোদিত নিরাপত্তা নীতির সাথে সামঞ্জস্যপূর্ণ থাকছে কি না।
• IIS-এর জন্য CalCom নিরাপত্তা সমাধানএকই ধরনের একটি পদ্ধতি, তবে এটি IIS ওয়েব সার্ভারকে কেন্দ্র করে তৈরি। এটি মিডলওয়্যার নিরাপত্তা কনফিগারেশন (হেডার, এনক্রিপশন, মডিউল, পারমিশন ইত্যাদি) নিয়ে কাজ করে, যা ঐতিহ্যগতভাবে একটি বিতর্কিত বিষয়। এটি নিরাপদ কনফিগারেশনের প্রভাব বিশ্লেষণ পর্যায় এবং বাস্তবায়ন ও পর্যবেক্ষণ উভয়কেই স্বয়ংক্রিয় করে তোলে।

এই ধরনের টুলগুলো সাধারণত স্বীকৃত বেঞ্চমার্ক (CIS, STIG) এবং মাইক্রোসফট গাইডের উপর নির্ভর করে।তবে, এগুলি আপনাকে প্রতিষ্ঠানের নির্দিষ্ট প্রেক্ষাপটের সাথে খাপ খাইয়ে নেওয়ার জন্য প্রতিটি নিয়মকে ঝুঁকিপূর্ণভাবে কাস্টমাইজ করার সুযোগ দেয়, যা অত্যন্ত গুরুত্বপূর্ণ কর্পোরেট অ্যাপ্লিকেশন নিয়ে কাজ করার ক্ষেত্রে একটি মূল বিষয়।

কনফিগারেশন ম্যানেজমেন্ট টুলস: অ্যানসিবল, শেফ, পাপেট, এসসিএসএম…

কনফিগারেশন ম্যানেজমেন্ট (এসসিএম) প্ল্যাটফর্মগুলো হার্ডেনিংয়ের জন্য ডিজাইন করা হয়নি, কিন্তু এটি প্রয়োগের জন্য এগুলো আদর্শ। বৃহৎ পরিসরে: এগুলি আপনাকে "প্রতিটি ধরণের সিস্টেম কেমন হওয়া উচিত" তা নির্ধারণ করতে এবং সেই কনফিগারেশনটি পুনরাবৃত্তিযোগ্য উপায়ে সম্পূর্ণ পরিকাঠামোতে প্রয়োগ করতে দেয়।

নিরাপত্তার দৃষ্টিকোণ থেকে, একটি এসসিএম বেশ কিছু সুবিধা প্রদান করে।:

• একবারে একটি জটিল কনফিগারেশন নীতি প্রয়োগ করুন (ফায়ারওয়াল নিয়মাবলী, পরিষেবা, অনুমতি, স্থানীয় নীতিমালা…) হাজার হাজার কম্পিউটারে ম্যানুয়ালি কিছু সম্পাদনা না করেই প্রয়োগ করা যায়।
• কনফিগারেশন সংস্করণ করুনযেকোনো সময়ে পলিসির কোন সংস্করণটি ব্যবহৃত হচ্ছে তা আপনি জানতে পারবেন এবং কোনো সমস্যা হলে পূর্ববর্তী সংস্করণে ফিরে যেতে পারবেন।
• পরিবর্তনগুলি পর্যালোচনা ও অনুমোদন করুনপর্যালোচনা প্রক্রিয়া ছাড়া কোনো কিছুই উৎপাদনে আনা হয় না, যা ব্যক্তিগত ‘অস্থিরতার’ ঝুঁকি কমিয়ে দেয়।
• নিরীক্ষা এবং রেকর্ডপ্রতিটি পরিবর্তন নথিভুক্ত করা হয়, যা নিয়ন্ত্রিত পরিবেশে অত্যন্ত গুরুত্বপূর্ণ।

এই ধরনের সরঞ্জামের সাধারণ উদাহরণগুলি হল:

• Ansibleলিনাক্স পরিবেশে ব্যাপকভাবে ব্যবহৃত হলেও, এটি উইন্ডোজ পরিচালনা করতেও সক্ষম। সিস্টেমের কাঙ্ক্ষিত অবস্থা প্লেবুকের মাধ্যমে সংজ্ঞায়িত করা হয় এবং আইডম্পোটেন্টভাবে প্রয়োগ করা হয়।
• মাথাDevSecOps-কে লক্ষ্য করে তৈরি হওয়ায়, এটি অ্যাপ্লিকেশন ডেলিভারি এবং নিরাপদ অবকাঠামো কনফিগারেশন ও কমপ্লায়েন্স যাচাইকরণ উভয়ই পরিচালনা করতে দেয়।
• পুতুলআরেকটি ইনফ্রাস্ট্রাকচার অটোমেশন প্ল্যাটফর্ম, যা উইন্ডোজ এবং অন্যান্য সিস্টেমে নিরাপত্তা নীতি প্রয়োগের জন্যও ব্যবহারযোগ্য।
• মাইক্রোসফট সিস্টেম সেন্টার কনফিগারেশন ম্যানেজার (SCCM/ConfigMgr)কর্পোরেট উইন্ডোজ পরিবেশে এটি একটি ক্লাসিক পদ্ধতি, যা সফটওয়্যার ডিস্ট্রিবিউশন, প্যাচ ম্যানেজমেন্ট, ইনভেন্টরি এবং অপারেটিং সিস্টেম কনফিগারেশন কন্ট্রোলকে একত্রিত করে।

যদিও এই সমাধানগুলিতে 'স্ট্যান্ডার্ড হিসাবে শক্তকরণ' অন্তর্ভুক্ত থাকে নাএগুলো আপনাকে বেসলাইন (সিআইএস, এসটিআইজি, মাইক্রোসফট টেমপ্লেট) কোডে রূপান্তর করতে এবং পুরো পার্ক জুড়ে সামঞ্জস্যপূর্ণভাবে তা প্রয়োগ করতে দেয়, যা মানুষের ভুল ব্যাপকভাবে কমিয়ে দেয়।

কমপ্লায়েন্স স্ক্যানার: আপনার উইন্ডোজ কতটা সুরক্ষিত তা পরিমাপ করা

কমপ্লায়েন্স স্ক্যানার কনফিগারেশন প্রয়োগ করে না, কিন্তু এগুলো আপনার নিরাপত্তা পরিস্থিতির তাপমাত্রা মাপার যন্ত্র হিসেবে কাজ করে।তারা প্রতিটি কম্পিউটার বা সার্ভারকে একটি রেফারেন্সের (যেমন, উইন্ডোজ ১১-এর জন্য সিআইএস বেঞ্চমার্ক, ডিআইএসএ-এর এসটিআইজি বা তাদের নিজস্ব টেমপ্লেট) সাথে তুলনা করে মূল্যায়ন করে এবং 'কী অনুপস্থিত' বা 'কী অতিরিক্ত' সে বিষয়ে একটি প্রতিবেদন জমা দেয়।

এর প্রধান কাজ হলো পর্যবেক্ষণ করা এবং প্রমাণ তৈরি করা। অভ্যন্তরীণ ও বাহ্যিক নিরীক্ষার ক্ষেত্রে: এগুলি আপনাকে বস্তুনিষ্ঠ তথ্যের মাধ্যমে প্রমাণ করতে সাহায্য করে যে আপনি কোনো নির্দিষ্ট বিধি বা মানদণ্ড কতটা মেনে চলেন, এবং প্রতিকারমূলক পদক্ষেপগুলিকে অগ্রাধিকার দিতে সহায়তা করে।

এই ধরনের সরঞ্জামের কিছু সাধারণ উদাহরণ হলো:

• ট্রিপওয়্যার কনফিগারেশন ম্যানেজারএটি আপনার সমস্ত অ্যাসেটের কনফিগারেশন এবং কমপ্লায়েন্স স্ট্যাটাসের একটি কেন্দ্রীয় চিত্র প্রদান করে এবং অননুমোদিত পরিবর্তন শনাক্ত করার ক্ষমতা রাখে।
• কোয়ালিদুর্বলতা স্ক্যানিংয়ের জন্য পরিচিত হলেও, এতে উইন্ডোজ সহ একাধিক প্রযুক্তির জন্য কনফিগারেশন এবং কমপ্লায়েন্স বিশ্লেষণ মডিউলও রয়েছে।
• এনএনটি সিকিউরঅপসএটি বুদ্ধিদীপ্ত পরিবর্তন নিয়ন্ত্রণ ও স্বয়ংক্রিয়করণ, কনফিগারেশন নিরীক্ষা, রিয়েল টাইমে বিচ্যুতি শনাক্তকরণ এবং ক্রমাগতভাবে নিয়ম মেনে চলতে সাহায্য করার উপর আলোকপাত করে।
• সিআইএস-ক্যাট প্রো অ্যাসেসরসেন্টার ফর ইন্টারনেট সিকিউরিটি-র একটি টুল যা আপনার সিস্টেমগুলোকে সিআইএস (CIS) বেঞ্চমার্কের সাথে তুলনা করে এবং কোন প্যারামিটারগুলো পূরণ হচ্ছে আর কোনগুলো হচ্ছে না, তার বিস্তারিত রিপোর্ট তৈরি করে।

একটি পরিপক্ক সিস্টেমে, নীতিমালা প্রয়োগের জন্য এসসিএম/হার্ডেনিং টুল এবং ফলাফল যাচাই ও পরিমাপের জন্য কমপ্লায়েন্স স্ক্যানার ব্যবহার করা স্বাভাবিক।এভাবে সংজ্ঞা, প্রয়োগ এবং নিয়ন্ত্রণের মধ্যকার চক্রটি সম্পূর্ণ হয়।

উইন্ডোজকে আরও সুরক্ষিত করার জন্য ওপেন সোর্স টুল এবং বিনামূল্যের ইউটিলিটি

বাণিজ্যিক সমাধান ছাড়াও, উইন্ডোজের সুরক্ষা জোরদারকরণ এবং নিরাপত্তা মূল্যায়নের জন্য বিনামূল্যে এবং ওপেন-সোর্স টুলের একটি অত্যন্ত সমৃদ্ধ ইকোসিস্টেম রয়েছে।এগুলো সাধারণত পেইড প্ল্যাটফর্মের মতো ততটা আকর্ষণীয় হয় না, কিন্তু নির্দিষ্ট বিশ্লেষণের জন্য এবং সীমিত বাজেটের পরিবেশের ক্ষেত্রে এগুলো অত্যন্ত কার্যকর।

সবচেয়ে আকর্ষণীয় কয়েকটি হলো:

• লবণ প্রকল্পএকটি অটোমেশন ফ্রেমওয়ার্ক যা আপনাকে ইনফ্রাস্ট্রাকচার অর্কেস্ট্রেট করতে, রিমোট কমান্ড কার্যকর করতে এবং কনফিগারেশন পরিচালনা করতে সাহায্য করে। এটি উইন্ডোজে নিরাপত্তা প্যারামিটার প্রয়োগ করতে এবং সময়ের সাথে সাথে তা বজায় রাখতে ব্যবহার করা যেতে পারে।
• মাইক্রোসফট নিরাপত্তা সম্মতি টুলকিট (SCT)মাইক্রোসফটের অফিসিয়াল প্যাকেজ, যাতে রয়েছে সিকিউরিটি কনফিগারেশন বেসলাইন, স্ক্রিপ্ট এবং টুলস, যা দিয়ে আপনার কম্পিউটারগুলোর প্রকৃত অবস্থার সাথে সেগুলোকে বিশ্লেষণ, পরীক্ষা ও তুলনা করা যায়।
• হার্ডেনিং অডিটরনির্দিষ্ট হার্ডেনিং নির্দেশিকা (যেমন, উইন্ডোজ ১০ এবং অফিসের জন্য অস্ট্রেলিয়ান সংস্থা ASD-এর নির্দেশিকা) অনুযায়ী উইন্ডোজ সিস্টেমের সামঞ্জস্যতা যাচাই করার উদ্দেশ্যে তৈরি স্ক্রিপ্টের একটি সংগ্রহ।
• উইন্ডোজ এক্সপ্লয়েট সাজেস্টার – নেক্সট জেনারেশন (WES-NG)systeminfo.exe-এর আউটপুটের উপর ভিত্তি করে, এটি সিস্টেমে থাকা দুর্বলতা এবং এর সাথে সম্পর্কিত সম্ভাব্য এক্সপ্লয়েটগুলোর একটি তালিকা তৈরি করে, যা কোন গুরুত্বপূর্ণ প্যাচগুলো অনুপস্থিত তা দেখার জন্য খুবই উপযোগী।
• প্রিভেস্ক (পাওয়ারশেল) y উইন্ডোজ-প্রাইভেস্ক-চেকএমন স্ক্রিপ্ট যা সিস্টেমে থাকা ভুল কনফিগারেশন বিশ্লেষণ করে প্রিভিলেজ এসক্যালেশনের সুযোগ করে দিতে পারে এমন উপাদান খুঁজে বের করে (যেমন: শিথিল পারমিশন, ভুলভাবে কনফিগার করা সার্ভিস, ঝুঁকিপূর্ণ পাথ ইত্যাদি)।

এই ধরনের সরঞ্জামগুলো বিশেষ করে পরীক্ষণ এবং প্রযুক্তিগত নিরীক্ষা পর্যায়ে উপযোগী।এমন দুর্বলতাগুলো উদ্ঘাটনে সাহায্য করা, যা জিপিও বা টেমপ্লেটের সাধারণ পর্যালোচনায় হয়তো এড়িয়ে যেতে পারে।

উইন্ডোজ ১০ এবং ১১ ওয়ার্কস্টেশনে সুনির্দিষ্ট সুরক্ষা ব্যবস্থা: প্রাথমিক থেকে উন্নত

'প্রসেস' লেয়ার এবং গ্লোবাল টুলস ছাড়াও ইউজার ওয়ার্কস্টেশন লেভেলে নির্দিষ্ট সেটিংসের একটি দীর্ঘ তালিকা রয়েছে, যা সবকিছুতে বড় পার্থক্য গড়ে দেয়।এর মধ্যে কিছু আসে খোদ মাইক্রোসফট থেকে, কিছু সরকারি নির্দেশিকা থেকে, এবং বাকিগুলো বাস্তব ঘটনা থেকে অর্জিত অভিজ্ঞতা থেকে।

আপডেট করা সংস্করণ এবং প্যাচ ব্যবহার

প্রথম বিষয়টি সুস্পষ্ট, কিন্তু অনেক প্রতিষ্ঠানেই তা মানা হয় না: সর্বদা x64 সমর্থিত সংস্করণ ব্যবহার করুন এবং সেগুলোকে প্যাচ করে রাখুন।৬৪-বিট উইন্ডোজ ১০/১১-এ কার্নেল-লেভেল ডিইপি, প্যাচগার্ড, বাধ্যতামূলক ড্রাইভার সাইনিং এবং ৩২-বিট ড্রাইভারের সমর্থনের অভাবের মতো প্রতিরোধমূলক ব্যবস্থা অন্তর্ভুক্ত রয়েছে, যা নির্দিষ্ট শ্রেণীর দুর্বলতার সুযোগ নেওয়াকে অনেক বেশি কঠিন করে তোলে।

প্যাচ ব্যবস্থাপনা কেন্দ্রীভূত হওয়া উচিত।WSUS, ConfigMgr, Windows Update for Business বা এই জাতীয় সলিউশন ব্যবহার করার পাশাপাশি, যখনই সম্ভব গুরুত্বপূর্ণ সময়ের বাইরে প্যাচ করার জন্য Wake-on-LAN ব্যবহার করা উচিত। "ওয়ান-ডে" অ্যাটাক (প্যাচ রিলিজ হওয়ার সাথে সাথেই আক্রমণ) ব্যাপকভাবে বেড়ে গেছে, তাই ঝুঁকির সময়কাল কমানো অত্যন্ত জরুরি।

অ্যাকাউন্ট, পরিচয়পত্র এবং বিশেষাধিকার নিয়ন্ত্রণ

বিশেষাধিকারপ্রাপ্ত অ্যাকাউন্টগুলোর ব্যবস্থাপনা কঠোরকরণের অন্যতম স্তম্ভ।ব্যবহারকারীরা যদি সারাদিন লোকাল বা ডোমেইন অ্যাডমিনিস্ট্রেটর অ্যাকাউন্ট দিয়ে কাজ করে, তাহলে বিশ্বের সমস্ত প্রযুক্তিগত প্রতিরোধ ব্যবস্থা প্রয়োগ করার কোনো মানেই হয় না।

এই ক্ষেত্রে মৌলিক উত্তম অনুশীলনসমূহ:

• ব্যবহার দৈনিক কাজের জন্য স্ট্যান্ডার্ড অ্যাকাউন্ট এবং বিশেষাধিকারপ্রাপ্ত অ্যাকাউন্টগুলো শুধুমাত্র নির্দিষ্ট প্রশাসনিক কাজের জন্য সংরক্ষিত রাখুন।
• আলাদা ব্যবহারকারী এবং প্রশাসক অ্যাকাউন্টভিন্ন ক্রেডেনশিয়াল ব্যবহার করে এবং সম্ভব হলে অ্যাডমিন অ্যাকাউন্টগুলোতে ইন্টারনেট/মেসেজিং অ্যাক্সেস ছাড়া।
• ইমপ্লান্ট LAPS (স্থানীয় প্রশাসক পাসওয়ার্ড সমাধান) অথবা এর উত্তরসূরি, যা স্থানীয় অ্যাডমিনিস্ট্রেটর অ্যাকাউন্টগুলিতে অনন্য এবং শক্তিশালী পাসওয়ার্ড নিশ্চিত করে, এবং সেই 'একক পাসওয়ার্ড' প্রতিরোধ করে যা ব্যাপক হারে পার্শ্বীয় স্থানান্তরের সুযোগ করে দেয়।
• ব্যবহার সীমিত করুন উচ্চ-ঝুঁকিপূর্ণ স্টেশনগুলিতে বিশেষাধিকারপ্রাপ্ত পরিচয়পত্র (সাধারণ ব্যবহারকারীর সরঞ্জাম, ভাগাভাগি করে ব্যবহৃত মেশিন, ইত্যাদি)।
• সক্রিয় করা প্রমাণীকরণের গার্ড যখন হার্ডওয়্যার অনুমতি দেয়, তখন LSASS দ্বারা পরিচালিত ক্রেডেনশিয়ালগুলিকে গোপন মেমরিতে আলাদা করে রাখা হয়।

এছাড়াও, ক্রেডেনশিয়াল ক্যাশে কঠোরভাবে সীমিত করার পরামর্শ দেওয়া হয়। (উদাহরণস্বরূপ, একটিমাত্র পূর্ববর্তী লগইনে সীমাবদ্ধ করতে) এবং ঐতিহাসিকভাবে সমস্যাযুক্ত প্রযুক্তি, যেমন WDigest বা LM হ্যাশ স্টোরেজ, নিষ্ক্রিয় করুন, যা অফলাইন ব্রুট-ফোর্স আক্রমণের ক্ষেত্রে অত্যন্ত গুরুত্বপূর্ণ।

অ্যাপ্লিকেশন এবং উইন্ডোজ নিরাপত্তা সেটিংস

অনেক অনুপ্রবেশই ত্রুটিপূর্ণভাবে কনফিগার করা 'ব্যবহারকারী' অ্যাপ্লিকেশনগুলোকে কাজে লাগিয়ে শুরু হয়। ডিফল্টরূপে: অফিস কোনো সীমাবদ্ধতা ছাড়াই ম্যাক্রো ব্যবহারের অনুমতি দেয়, পিডিএফ রিডার জাভাস্ক্রিপ্ট বা এমবেডেড এক্সিকিউশন গ্রহণ করে, জাভার অনুমতি অত্যন্ত ব্যাপক, ব্রাউজারগুলোর কোনো প্লাগইন পলিসি নেই, ইত্যাদি।

এই ক্ষেত্রে কিছু গুরুত্বপূর্ণ পদক্ষেপ:

• নিরাপত্তা বেসলাইন প্রয়োগ করুন মাইক্রোসফট অফিস, পিডিএফ রিডার, জাভা এবং ব্রাউজারস্বাক্ষরবিহীন ম্যাক্রো, অপ্রয়োজনীয় সক্রিয় কন্টেন্ট এবং পুরোনো প্লাগইন নিষ্ক্রিয় করা।
• প্রদর্শন মাইক্রোসফট ডিফেন্ডার এক্সপ্লয়েট গার্ড উইন্ডোজ ১০/১১-এ (অথবা এর সমতুল্য থার্ড-পার্টি সফটওয়্যারে) সাধারণ (DEP, CFG, ASLR, SEHOP, হিপ প্রোটেকশন) এবং অ্যাপ্লিকেশন-নির্দিষ্ট এক্সপ্লয়টেশন প্রতিরোধ ব্যবস্থা সক্রিয় করার জন্য।
• সক্রিয় করুন আক্রমণ পৃষ্ঠ হ্রাস নিয়ম (ASR) ডিফেন্ডার অ্যান্টিভাইরাস বা থার্ড-পার্টি প্রোডাক্টের অনুরূপ প্রযুক্তিতে, বিশেষ করে যেগুলো অফিস এবং স্ক্রিপ্টের জন্য তৈরি।
• মৃত্যুদণ্ড কার্যকর করতে বাধ্য করুন অ্যাপ্লিকেশন গার্ড সহ মাইক্রোসফট এজ কন্টেইনারের মধ্যে অবিশ্বস্ত সাইট থেকে ব্রাউজিংকে বিচ্ছিন্ন করে ওয়েব এক্সপ্লয়েটের প্রভাব হ্রাস করা হয়।

উইন্ডোজ সিস্টেমটির নিজস্ব কিছু প্রায় বাধ্যতামূলক পরিবর্তনের একটি প্যাকেজ রয়েছে।UAC-কে আরও শক্তিশালী করুন যাতে সমস্ত সংবেদনশীল অপারেশনের জন্য সিকিউর ডেস্কটপে ক্রেডেনশিয়াল প্রয়োজন হয়, পাসওয়ার্ড এন্ট্রির জন্য সিকিউর ডেস্কটপের ব্যবহার বাধ্যতামূলক করুন, অপ্রয়োজনীয় সার্ভিসগুলো (যেমন যে কম্পিউটার প্রিন্ট করে না সেগুলোর প্রিন্ট স্পুলার, অব্যবহৃত রিমোট সার্ভিস ইত্যাদি) নিষ্ক্রিয় করুন এবং হার্ডওয়্যার সমর্থন করলে আর্লি লঞ্চ অ্যান্টিম্যালওয়্যার (ELAM), সিকিউর বুট, মেজারড বুট ও কার্নেল আইসোলেশনের মতো ফিচারগুলো সক্রিয় করুন।

কোড নির্বাহ নিয়ন্ত্রণ: AppLocker, SRP, এবং উন্নত সমাধানসমূহ

ব্যবহারকারীর ওয়ার্কস্টেশনে অ্যাপ্লিকেশন নিয়ন্ত্রণ সম্ভবত সবচেয়ে কার্যকর প্রতিরক্ষা ব্যবস্থাগুলোর মধ্যে একটি।মূল ধারণাটি হলো: শুধুমাত্র আপনার নির্দিষ্ট করা জিনিসই কার্যকর করা হবে। ডাউনলোড, ইউএসবি ড্রাইভ বা অনিয়ন্ত্রিত পথ থেকে তৈরি কোনো ইতোমধ্যে বানানো EXE, স্ক্রিপ্ট বা DLL চলবে না।

উইন্ডোজ ডোমেইন পরিবেশে বেশ কিছু নেটিভ অপশন রয়েছে।:

• AppLockerএর মাধ্যমে আপনি এক্সিকিউটেবল, স্ক্রিপ্ট, ইনস্টলার এবং প্যাকেজড অ্যাপ্লিকেশনের জন্য পাবলিশার (সিগনেচার), পাথ বা হ্যাশ অনুযায়ী নিয়ম নির্ধারণ করতে পারেন। সঠিকভাবে কনফিগার করা হলে এবং বাস্তবসম্মত হোয়াইটলিস্টের সাথে যুক্ত করা হলে, এটি অননুমোদিত কোড এক্সিকিউশনের ঝুঁকি ব্যাপকভাবে হ্রাস করে।
• সফটওয়্যার সীমাবদ্ধতা নীতি (এসআরপি)পুরোনো হলেও কিছু ক্ষেত্রে এখনও কার্যকর, এটি 'অনুমোদিত' পাথ এবং সাধারণ হোয়াইটলিস্টের বাইরে এক্সিকিউশন ব্লক করার সুযোগ দেয়।
• ফোল্ডারগুলিতে নিয়ন্ত্রিত অ্যাক্সেস (ডিফেন্ডার): অননুমোদিত পরিবর্তন থেকে গুরুত্বপূর্ণ ডিরেক্টরিগুলোকে সুরক্ষিত রাখার উপর মনোযোগ দেয়, বিশেষ করে র‍্যানসমওয়্যারের প্রভাব প্রশমিত করে।

সাম্প্রতিক বছরগুলোতে এমন কিছু থার্ড-পার্টি টুলের আবির্ভাব ঘটেছে যা এই পদ্ধতিকে আরও সহজ করে তুলেছে।বিশেষ করে উন্নত ব্যবহারকারী এবং বাড়ি বা ছোট অফিসের পরিবেশের জন্য:

• হার্ডেনটুলসএকটি হালকা ইউটিলিটি যা অপব্যবহারের উচ্চ ঝুঁকিযুক্ত উইন্ডোজ উপাদানগুলিকে (যেমন: উইন্ডোজ স্ক্রিপ্ট হোস্ট, নির্দিষ্ট পাওয়ারশেল ইন্টিগ্রেশন, ম্যাক্রো, অফিসের অ্যাক্টিভএক্স ও ওএলই, পিডিএফে এমবেড করা জাভাস্ক্রিপ্ট ইত্যাদি) তাৎক্ষণিকভাবে নিষ্ক্রিয় করে দেয়। এটি এমন কার্যকারিতাগুলিকে "নাগালের বাইরে রাখার" জন্য আদর্শ, যা সাধারণ ব্যবহারকারীর কখনোই প্রয়োজন হবে না।
• হার্ড_কনফিগারেটরএটি একটি শক্তিশালী টুল যা এসআরপি পলিসি, স্মার্টস্ক্রিন এবং স্ক্রিপ্ট বিধিনিষেধের জন্য একটি ইন্টারফেস হিসেবে কাজ করে। এর মাধ্যমে আপনি পাথ বা হ্যাশ অনুযায়ী হোয়াইটলিস্ট তৈরি করতে, কঠোর বাইনারি ভ্যালিডেশন মোড সক্রিয় করতে, এক্সটার্নাল ড্রাইভে এক্সিকিউশন নিষ্ক্রিয় করতে, সিস্টেমের নির্দিষ্ট এলাকা সুরক্ষিত করতে এবং রিস্টোর পয়েন্ট তৈরি স্বয়ংক্রিয় করতে পারবেন।
• সিস্টেম নিরাপত্তা জোরদার করা বনাম অ্যাপকন্ট্রোল ম্যানেজার (প্রজেক্টগুলো গিটহাবে উপলব্ধ): প্রথমটি খুব কম ব্যবহৃত কম্পোনেন্ট (যেমন পাওয়ারশেল ভি২, উইন্ডোজ মিডিয়া প্লেয়ার, অতিরিক্ত টেলিমেট্রি ইত্যাদি) নিষ্ক্রিয় করে এবং ফায়ারওয়াল ও সার্ভিসগুলো সমন্বয় করার মাধ্যমে উইন্ডোজকে আরও সুরক্ষিত করার জন্য একটি অত্যন্ত সুস্পষ্ট গ্রাফিক্যাল ইউজার ইন্টারফেস (GUI) প্রদান করে; দ্বিতীয়টি সহজে-বোঝা যায় এমন অ্যাপ্লিকেশন কন্ট্রোল পলিসি (যেমন, ডাউনলোডস থেকে চালানোর চেষ্টা করে এমন যেকোনো কিছু ব্লক করা) নির্ধারণ এবং XML-এ কনফিগারেশন তৈরি করার উপর আলোকপাত করে, যাতে উইন্ডোজ কোড ইন্টিগ্রিটি তা প্রয়োগ করতে পারে।

এই সমস্ত টুলের উদ্দেশ্য একই: প্রশাসককে এই সিদ্ধান্ত নেওয়ার সুযোগ দেওয়া যে, কী, কোথা থেকে এবং কী কী অনুমতি নিয়ে চালানো যাবে।যেকোনো ডাউনলোড করা ফাইলের অবাধ বিচরণের পরিবর্তে।

নেটওয়ার্ক নিরাপত্তা, এনক্রিপশন এবং অন্যান্য অপরিহার্য সেটিংস

থার্ড-পার্টি টুল ব্যবহার করে উইন্ডোজ ১১-কে আরও সুরক্ষিত করার একটি গুরুত্বপূর্ণ অংশ হলো, সিস্টেমটি বাইরের বিশ্বের সাথে কীভাবে যোগাযোগ করে।অভ্যন্তরীণ নেটওয়ার্ক, ইন্টারনেট, বাহ্যিক ডিভাইস এবং ক্লাউড পরিষেবা।

ফায়ারওয়াল, SMB, RPC এবং লিগ্যাসি প্রোটোকল

সঠিকভাবে কনফিগার করা একটি উইন্ডোজ ফায়ারওয়াল অনেক পেরিমিটার ফায়ারওয়ালের চেয়েও ভালো।কারণ এটি শুধু কোন পোর্ট ব্যবহার করা যাবে তা-ই নয়, বরং কোন অ্যাপ্লিকেশনগুলো যোগাযোগ করতে পারবে তাও নির্ধারণ করে। এটিকে আরও সুরক্ষিত করার জন্য সুস্পষ্ট ইনবাউন্ড ও আউটবাউন্ড নিয়ম নির্ধারণ করা, উন্মুক্ত পরিষেবাগুলো সীমিত করা এবং হোস্টের দৃশ্যমানতা কমাতে স্টিলথ মোডের মতো বিকল্পগুলো সক্রিয় করা প্রয়োজন।

ফাইল শেয়ারিং এবং প্রমাণীকরণ পরিষেবাগুলিতেকয়েকটি গুরুত্বপূর্ণ বিষয় রয়েছে:

• সঠিকভাবে স্বাক্ষর করুন এবং এনক্রিপ্ট করুন এসএমবি সেশন সেশন হাইজ্যাকিং এবং ট্র্যাফিক ম্যানিপুলেশন প্রতিরোধ করতে।
• ব্যবহার সীমিত করুন শুধুমাত্র একান্ত প্রয়োজন হলেই NTLMv2 ব্যবহার করুন। এবং যখনই সম্ভব কারবেরোসকে অগ্রাধিকার দিন।
• জোর করে আরপিসি ক্লায়েন্ট প্রমাণীকরণ নেটওয়ার্কে অতিরিক্ত তথ্য প্রকাশ করে এমন বেনামী যোগাযোগ প্রতিরোধ করতে।
• অক্ষম করা TCP/IP এর উপর NetBIOS অত্যন্ত নিয়ন্ত্রিত লিগ্যাসি সিনারিওগুলো ছাড়া।

এছাড়াও 'রিমোট কন্ট্রোল' পোর্টগুলোর মাধ্যমে উন্মুক্ত পৃষ্ঠতলটিকে আড়াল করে রাখা বাঞ্ছনীয়।শুধুমাত্র অপরিহার্য ব্যবহারকারী ও কম্পিউটারের জন্য রিমোট ডেস্কটপ সীমাবদ্ধ করুন, প্রিন্ট কিউ শক্তিশালী করুন, ব্যবহার না হলে রিমোট অ্যাসিস্ট্যান্স নিষ্ক্রিয় করুন এবং যথাযথ প্রমাণীকরণ ও এনক্রিপশনের মাধ্যমে WinRM সুরক্ষিত করুন।

ডিস্ক এনক্রিপশন, বাহ্যিক ডিভাইস এবং ডিএমএ

বিটলকার বা সমতুল্য কিছু দিয়ে সম্পূর্ণ ডিস্ক এনক্রিপশন করা কার্যত বাধ্যতামূলক। ল্যাপটপ এবং এমন পরিবেশে যেখানে হার্ড ড্রাইভ তৃতীয় পক্ষের হাতে চলে যেতে পারে, সেখানে AES দিয়ে ড্রাইভটি এনক্রিপ্ট করা এবং TPM দিয়ে কী-গুলো সুরক্ষিত রাখা (এবং ঐচ্ছিকভাবে, পিন বা অতিরিক্ত সুরক্ষা ব্যবস্থা যোগ করা) ডিভাইসটি চুরি বা হারিয়ে গেলে ডেটা অ্যাক্সেসের ঝুঁকি ব্যাপকভাবে কমিয়ে দেয়।

এনক্রিপশনের পাশাপাশি, বাহ্যিক ডিভাইসগুলোর নিয়ন্ত্রণ আরেকটি গুরুত্বপূর্ণ ক্ষেত্র।:

• ব্যবহার সীমিত বা অবরুদ্ধ করুন ইউএসবি ড্রাইভ এবং অন্যান্য স্টোরেজ ডিভাইস গ্রুপ পলিসি বা ডিভাইস কন্ট্রোল সলিউশনের মাধ্যমে, শুধুমাত্র একান্ত প্রয়োজনীয় বিষয়গুলোকেই অনুমতি দেওয়া হয়।
• নিষ্ক্রিয় করুন স্বয়ংক্রিয় সম্পাদন এবং স্বয়ংক্রিয় প্লেব্যাক ব্যবহারকারীর হস্তক্ষেপ ছাড়া এক্সিকিউটেবল ফাইল চালু হওয়া রোধ করতে অপটিক্যাল মিডিয়া এবং ইউএসবি উভয় ক্ষেত্রেই এটি করা হয়।
• অ্যাক্সেস ইন্টারফেস নিষ্ক্রিয় বা সুরক্ষিত করুন ডিএমএ (ফায়ারওয়্যার, থান্ডারবোল্ট)কারণ এগুলো মেমরিতে সরাসরি পড়া/লেখার সুযোগ দেয় এবং অপারেটিং সিস্টেমের কিছু সুরক্ষা ব্যবস্থাকে এড়িয়ে যেতে সাহায্য করে।

সিডি/ডিভিডি রেকর্ডিংয়ের কথাও আমাদের ভুলে যাওয়া উচিত নয় (যেখানে এটি এখনও বিদ্যমান)।ব্যবহারকারীদের অবাধ অ্যাক্সেস থাকলে এটি তথ্য ফাঁসের একটি উৎস হতে পারে। বেশিরভাগ ক্ষেত্রে, গ্রুপ পলিসির মাধ্যমে এটি সীমিত করা অথবা রেকর্ডারের পরিবর্তে সাধারণ কার্ড রিডার ব্যবহার করাই যথেষ্ট।

টেলিমেট্রি, কো-পাইলট এবং ওয়েব সার্চ: তথ্য ফাঁস হ্রাস

উইন্ডোজ ১০ এবং ১১-এ এমন একাধিক বৈশিষ্ট্য রয়েছে যা মাইক্রোসফট পরিষেবাগুলোর সাথে তথ্য আদান-প্রদান করে।এরর টেলিমেট্রি, অ্যাপ ইনভেন্টরি, স্টার্ট মেনু থেকে ওয়েব সার্চ কোয়েরি, ওয়ানড্রাইভ ইন্টিগ্রেশন, বিং চ্যাট সহ কোপাইলট, ইত্যাদি। নিরাপত্তা এবং গোপনীয়তার দৃষ্টিকোণ থেকে, কী কী চালু রাখা হয়েছে তা সতর্কতার সাথে মূল্যায়ন করার পরামর্শ দেওয়া হয়।

কর্পোরেট পরিবেশে যুক্তিসঙ্গত উত্তম অনুশীলন:

• পুনঃনির্দেশ করুন ত্রুটি এবং রোগনির্ণয় সংক্রান্ত তথ্য নির্দিষ্ট কোনো চুক্তি স্বাক্ষরিত না হলে, মাইক্রোসফটে পাঠানোর পরিবর্তে একটি কর্পোরেট রিপোর্টিং সার্ভারে পাঠানো হয়।
• নিষ্ক্রিয় করুন সমন্বিত ওয়েব অনুসন্ধান সংবেদনশীল শব্দ অপ্রয়োজনীয়ভাবে ক্লাউডে পাঠানো প্রতিরোধ করতে স্টার্ট মেনুতে এটি ব্যবহার করুন।
• ব্যবহার অবরুদ্ধ বা স্থগিত করুন উইন্ডোজ কপাইলট কর্পোরেট পরিবেশে, একটি সুচিন্তিত ও ঝুঁকি-ভিত্তিক সিদ্ধান্ত না নেওয়া পর্যন্ত, অনুমতি সাপেক্ষে বিং চ্যাট এন্টারপ্রাইজ (Bing Chat Enterprise) সহ কনফিগারেশনগুলোকে অগ্রাধিকার দিন।
• এড়িয়ে চলুন ব্যক্তিগত মাইক্রোসফট অ্যাকাউন্টকে ডোমেইন অ্যাকাউন্টের সাথে সংযুক্ত করা যাতে কর্পোরেট সেটিংস এবং ফাইলগুলো অনিয়ন্ত্রিত ডিভাইসের সাথে সিঙ্ক্রোনাইজ না হয়।

নিরাপত্তা জোরদারকরণের সূক্ষ্ম সমন্বয়: নিরাপত্তা নীতিমালা, নিরীক্ষা এবং ব্যবহারকারীর অভিজ্ঞতা

থার্ড-পার্টি টুল দিয়ে উইন্ডোজ ১১-কে আরও শক্তিশালী করার আসল চমকটা লুকিয়ে আছে এর খুঁটিনাটি বিষয়গুলোর মধ্যে।ব্লকিং পলিসি, অডিটিং, পাওয়ার ম্যানেজমেন্ট, ইউআই… এই সব ছোট ছোট বিষয়, যেগুলো সঠিকভাবে সমন্বয় করা হলে ত্রুটি দূর করে এবং ঘটনা শনাক্তকরণ উন্নত করে।

কিছু উদাহরণ:

• সেট আপ করুন যুক্তিসঙ্গত অ্যাকাউন্ট ব্লক করার নীতি বৈধ ব্যবহারকারীদের ব্লক না করে ব্রুট ফোর্স আক্রমণ বন্ধ করার জন্য একদিন পরপর এই পদ্ধতি ব্যবহার করা হয় (উদাহরণস্বরূপ, ৫ বার ব্যর্থ চেষ্টার পর ১৫ মিনিট পরে পুনরায় চেষ্টা করা)।
• অক্ষম করা সমন্বিত অতিথি অ্যাকাউন্ট সহ লগইন এবং তাদের নাম পরিবর্তন করুন, যদি সামঞ্জস্যতার প্রয়োজনীয়তার কারণে সেগুলোকে সম্পূর্ণরূপে অপসারণ করা সম্ভব না হয়।
• অ্যাকউন্ট নিষ্ক্রিয় অ-প্রশাসনিক অ্যাকাউন্টগুলির জন্য সুরক্ষিত মোডএর ফলে একজন সাধারণ ব্যবহারকারীর পক্ষে সেফ মোডে বুট করে নিয়ন্ত্রণগুলো এড়িয়ে যাওয়া কঠিন হয়ে পড়ে।
• সক্ষম করা একটি যুক্তিসঙ্গত সময় ধরে নিষ্ক্রিয় থাকার পর সেশনটি স্বয়ংক্রিয়ভাবে লক হয়ে যাবে। (১০-১৫ মিনিট) এবং লক স্ক্রিনে প্রদর্শিত সংবেদনশীল তথ্যের পরিমাণ সীমিত করুন।
• সাধারণ ব্যবহারকারীদের প্রতিরোধ করুন নিয়ন্ত্রণ ছাড়াই regedit, cmd বা PowerShell খোলা যায়।সুস্পষ্টভাবে ন্যায্য প্রতিপন্ন না হলে।
• জোর করে a পাসওয়ার্ডের জটিলতা এবং দৈর্ঘ্যের ন্যূনতম স্তরকখন সেগুলোকে একক উপাদান হিসেবে অথবা এমএফএ-এর মধ্যে ব্যবহার করা হয়, তার মধ্যে পার্থক্য করা।
• অক্ষম করা হাইবারনেশন এবং হাইব্রিড সাসপেনশন অত্যন্ত সংবেদনশীল সরঞ্জামগুলিতে, মেমোরি বা হাইবারনেশন ফাইলে থাকা কী-গুলোর ঝুঁকি হ্রাস করে।

এর পাশাপাশি, একটি সুচিন্তিত নিরীক্ষা নীতি প্রণয়ন করতে হবে।কোন ইভেন্টগুলো লগ করতে হবে, কতদিন ধরে সেগুলো রাখতে হবে, কোথায় সেগুলোকে কেন্দ্রীভূত করতে হবে (SIEM, লগ সার্ভার), এবং কীভাবে সেগুলোর মধ্যে সম্পর্ক স্থাপন করতে হবে। প্রচুর পরিমাণে লগ তৈরি করা সত্ত্বেও উইন্ডোজ অকেজো, যদি কেউ সেগুলো পর্যালোচনা না করে অথবা ফরেনসিক তদন্তে সেগুলো ব্যবহার করা না যায়।

অবশেষে, ব্যবহারকারীর অভিজ্ঞতা যতটা মনে হয় তার চেয়েও বেশি গুরুত্বপূর্ণ।যদি হার্ডেনিং ওয়ার্কস্টেশনকে অসহনীয় করে তোলে, তবে ব্যবহারকারীরা বিকল্প খুঁজবে (ব্যক্তিগত ইউএসবি ড্রাইভ, অননুমোদিত ক্লাউড স্টোরেজ, মোবাইল ডিভাইস ইত্যাদি)। ছোট পরিসরের জন্য হার্ডেন সিস্টেম সিকিউরিটি বা অ্যাপকন্ট্রোল ম্যানেজারের মতো ভালো ইন্টারফেসযুক্ত থার্ড-পার্টি টুল, অথবা সুসংহত এন্টারপ্রাইজ সলিউশন, নিরাপত্তা ও ব্যবহারযোগ্যতার মধ্যে একটি যুক্তিসঙ্গত ভারসাম্য অর্জনে সহায়তা করে।

থার্ড-পার্টি টুলের সাহায্যে উইন্ডোজ ১১-এ একটি কঠোর সুরক্ষা ব্যবস্থা গ্রহণ করুন। এর অর্থ হলো, নিরাপত্তা কোনো এককালীন যাচাই নয়, বরং এটি পলিসি ডিজাইন, ইমপ্যাক্ট টেস্টিং, নিয়ন্ত্রিত ডেপ্লয়মেন্ট এবং নিরন্তর পর্যবেক্ষণের একটি চলমান প্রক্রিয়া; উইন্ডোজের নিজস্ব সক্ষমতা (ডিফেন্ডার, বিটলকার, অ্যাপলকার, এক্সপ্লয়েট গার্ড, অ্যাপ্লিকেশন গার্ড, স্যান্ডবক্স, ক্রেডেনশিয়াল গার্ড…) অটোমেশন প্ল্যাটফর্ম, কমপ্লায়েন্স স্ক্যানার এবং বিশেষায়িত ইউটিলিটিগুলোর সাথে সমন্বয় করে, দৈনন্দিন উৎপাদনশীলতার কোনো ক্ষতি না করেই সার্ভার এবং ব্যবহারকারীর কম্পিউটার উভয়কেই ম্যালওয়্যার, ভুল কনফিগারেশন এবং অনুপ্রবেশের বিরুদ্ধে অনেক বেশি প্রতিরোধী সিস্টেমে রূপান্তরিত করা সম্পূর্ণ সম্ভব।