Windows Hardening: এন্টারপ্রাইজ পরিবেশে উইন্ডোজ সার্ভার এবং ক্লায়েন্ট পিসিগুলোকে সাইবার হামলা থেকে সুরক্ষিত রাখতে টপ সিক্রেট কনফিগারেশন টিপস!

হার্ডেনিং-এর মূল দর্শন হলো Defense in Depth — গভীরতায় প্রতিরক্ষা। কোনো একক নিরাপত্তা ব্যবস্থা নিখুঁত নয়, তাই একাধিক স্তরের প্রতিরক্ষা একসাথে কাজ করে যাতে একটি স্তর ব্যর্থ হলেও অন্যগুলো আক্রমণকারীকে থামাতে পারে।

দ্বিতীয় গুরুত্বপূর্ণ নীতি হলো Least Privilege Principle — সর্বনিম্ন বিশেষাধিকার নীতি। প্রতিটি ব্যবহারকারী, প্রসেস বা সার্ভিসকে শুধু সেই পরিমাণ অনুমতি দিতে হবে যা তার কাজের জন্য একেবারে প্রয়োজনীয়। অপ্রয়োজনীয় বিশেষাধিকার আক্রমণকারীর জন্য সুযোগ তৈরি করে।

তৃতীয় নীতি হলো Attack Surface Reduction — যা প্রয়োজন নেই তা বন্ধ করো। প্রতিটি চলমান সার্ভিস, প্রতিটি ইনস্টল করা অ্যাপ্লিকেশন এবং প্রতিটি খোলা পোর্ট একটি সম্ভাব্য দুর্বলতা। হার্ডেনিং প্রক্রিয়ার বড় অংশই হলো অপ্রয়োজনীয় উপাদান নিষ্ক্রিয় করা।

হার্ডেনিং শুরু করার সবচেয়ে ভালো উপায় হলো একটি প্রতিষ্ঠিত বেঞ্চমার্ক অনুসরণ করা। CIS (Center for Internet Security) Benchmarks হলো বিশ্বব্যাপী স্বীকৃত মানদণ্ড যা Windows-এর প্রতিটি সংস্করণের জন্য বিস্তারিত কনফিগারেশন নির্দেশিকা প্রদান করে। Microsoft Security Compliance Toolkit-ও আরেকটি চমৎকার সম্পদ যা Microsoft-এর নিজস্ব নিরাপত্তা বেসলাইন প্রদান করে।

DISA STIG (Security Technical Implementation Guides) মার্কিন প্রতিরক্ষা বিভাগের জন্য ডিজাইন করা হলেও বেসরকারি সংস্থাগুলোও এই কঠোর মানদণ্ড গ্রহণ করতে পারে।

বেঞ্চমার্ক প্রয়োগের জন্য Microsoft-এর LGPO (Local Group Policy Object) সরঞ্জাম এবং PowerShell DSC (Desired State Configuration) ব্যবহার করা যায়।

Account Policies হার্ডেনিংয়ের প্রথম স্তর। Password Policy কনফিগারেশনে সর্বনিম্ন ১৪ অক্ষরের পাসওয়ার্ড দৈর্ঘ্য, জটিলতা প্রয়োজনীয়তা সক্ষম এবং পাসওয়ার্ড ইতিহাস ২৪ পর্যন্ত রাখা উচিত। তবে আধুনিক NIST গাইডলাইন বলছে যে নিয়মিত পাসওয়ার্ড পরিবর্তন বাধ্যতামূলক করার চেয়ে দীর্ঘ এবং অনন্য পাসফ্রেজ ভালো।

Account Lockout Policy-তে ১০টি ব্যর্থ চেষ্টার পর অ্যাকাউন্ট ১৫ মিনিটের জন্য লক করা একটি যুক্তিসঙ্গত ভারসাম্য। খুব আক্রমণাত্মক লকআউট DoS-এর সুযোগ তৈরি করতে পারে।

Kerberos Policy-তে টিকিটের জীবনকাল ১০ ঘন্টা এবং পরিষেবা টিকিটের জীবনকাল ৬০০ মিনিট সাধারণত গ্রহণযোগ্য। তবে বিশেষাধিকারপ্রাপ্ত অ্যাকাউন্টের জন্য আরও কম সময় বিবেচনা করা উচিত।

LSA Protection সক্ষম করুন (RunAsPPL=1)। এটি Mimikatz-এর মতো সরঞ্জামকে LSASS মেমরি থেকে শংসাপত্র এক্সট্র্যাক্ট করতে বাধা দেয়।

User Rights Assignment নিয়ন্ত্রণ করে কোন ব্যবহারকারী কী ধরনের সিস্টেম-স্তরের অ্যাকশন করতে পারে। কিছু গুরুত্বপূর্ণ অধিকার যা সাবধানে নিয়ন্ত্রণ করা উচিত:

"Debug programs" অধিকার শুধু প্রয়োজনীয় ডেভেলপারদেরই থাকা উচিত। এই অধিকার থাকলে যেকোনো প্রসেসে কোড ইনজেক্ট করা যায় এবং LSASS মেমরি অ্যাক্সেস করা যায়।

"Act as part of the operating system" — এই অধিকার কাউকেই দেওয়া উচিত নয় ব্যতিক্রমী পরিস্থিতি ছাড়া। এটি SYSTEM-সমতুল্য অ্যাক্সেস প্রদান করে।

"Take ownership of files or other objects" — শুধু প্রশাসকদের জন্য সংরক্ষিত রাখুন।

"Log on as a service" এবং "Log on as a batch job" — শুধু সেই সার্ভিস অ্যাকাউন্টগুলোকে দিন যাদের প্রকৃত প্রয়োজন।

"Deny log on through Remote Desktop Services" তালিকায় Local Administrators গ্রুপ যোগ করুন। এটি Pass-the-Hash এবং অন্যান্য credential theft আক্রমণ থেকে রক্ষা করে।

Group Policy-এর Security Options সেকশনে শত শত গুরুত্বপূর্ণ সেটিংস রয়েছে। কয়েকটি অগ্রাধিকার ভিত্তিক সেটিংস:

"Network security: LAN Manager authentication level" — "Send NTLMv2 response only. Refuse LM & NTLM" সেট করুন। পুরনো LM এবং NTLMv1 হ্যাশ অত্যন্ত দুর্বল এবং সহজেই ক্র্যাক করা যায়।

"Network security: Do not store LAN Manager hash value on next password change" — সক্ষম করুন।

"Microsoft network client: Digitally sign communications (always)" — সক্ষম করুন SMB Relay আক্রমণ প্রতিরোধে।

"User Account Control: Behavior of the elevation prompt for administrators" — "Prompt for credentials on the secure desktop" নির্বাচন করুন।

"Interactive logon: Number of previous logons to cache" — ০ বা ১ এ সেট করুন। ক্যাশড ক্রেডেনশিয়াল অফলাইন আক্রমণের লক্ষ্য হতে পারে।

আধুনিক Windows-এ Microsoft Defender একটি শক্তিশালী নিরাপত্তা প্ল্যাটফর্ম। এর সবচেয়ে গুরুত্বপূর্ণ বৈশিষ্ট্য হলো Attack Surface Reduction (ASR) rules। এই নিয়মগুলো নির্দিষ্ট আচরণ ব্লক করে যা সাধারণত ম্যালওয়্যার দ্বারা ব্যবহৃত হয়।

কিছু গুরুত্বপূর্ণ ASR rules:

• Block Office applications from creating child processes
• Block Office applications from creating executable content
• Block credential stealing from LSASS
• Block executable content from email client and webmail
• Block JavaScript or VBScript from launching downloaded executable content
• Block Win32 API calls from Office macros

এগুলো প্রথমে Audit মোডে চালু করুন এবং ব্যবসায়িক প্রভাব মূল্যায়ন করে তারপর Block মোডে স্থানান্তর করুন।

Controlled Folder Access হলো আরেকটি গুরুত্বপূর্ণ বৈশিষ্ট্য যা র‍্যানসমওয়্যার থেকে নথি ফোল্ডার রক্ষা করে। শুধু অনুমোদিত অ্যাপ্লিকেশনই সুরক্ষিত ফোল্ডারে লিখতে পারে।

Tamper Protection সক্ষম করুন যাতে ম্যালওয়্যার Defender-এর সেটিংস পরিবর্তন করতে না পারে।

AppLocker এবং Windows Defender Application Control (WDAC) হলো অ্যাপ্লিকেশন শ্বেততালিকা সরঞ্জাম। এই পদ্ধতিতে শুধু পূর্বনির্ধারিত অনুমোদিত অ্যাপ্লিকেশনই চলতে পারে; অন্য সব ব্লক করা হয়।

AppLocker-এর সাথে পাঁচটি ক্যাটাগরিতে নিয়ম তৈরি করা যায়: Executable, Windows Installer, Script, Packaged App, এবং DLL। বিশেষ করে Script rules গুরুত্বপূর্ণ কারণ অনেক ফাইললেস ম্যালওয়্যার PowerShell, JavaScript বা VBScript ব্যবহার করে।

WDAC হলো AppLocker-এর আরও আধুনিক এবং কঠোর উত্তরসূরী। এটি কোড ইন্টেগ্রিটি পলিসি ব্যবহার করে এবং কার্নেল-স্তরে প্রয়োগ করা হয়।

SMB Hardening অত্যন্ত গুরুত্বপূর্ণ। SMBv1 সম্পূর্ণরূপে নিষ্ক্রিয় করুন — এই প্রোটোকল EternalBlue এবং WannaCry-এর মতো বিশাল আক্রমণের কেন্দ্রবিন্দু ছিল।

Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
Set-SmbServerConfiguration -EnableSMB2Protocol $true
Set-SmbServerConfiguration -EncryptData $true

LLMNR (Link-Local Multicast Name Resolution) এবং NBT-NS (NetBIOS over TCP/IP Name Service) নিষ্ক্রিয় করুন। Responder-এর মতো সরঞ্জাম এই প্রোটোকল ব্যবহার করে credential হার্ভেস্টিং পরিচালনা করে।

Windows Firewall সঠিকভাবে কনফিগার করুন। ডিফল্ট ইনবাউন্ড পলিসি "Block all" সেট করুন এবং শুধু প্রয়োজনীয় পোর্ট খুলুন। Outbound কানেকশনও পর্যবেক্ষণ করুন; অপ্রয়োজনীয় outbound ট্রাফিক ব্লক করে data exfiltration প্রতিরোধ করা যায়।

RDP নিরাপত্তা: Network Level Authentication (NLA) বাধ্যতামূলক করুন, Restricted Admin মোড সক্ষম করুন, এবং একটি VPN বা Bastion Host-এর মাধ্যমে RDP সীমাবদ্ধ করুন।

Windows-এ অনেকগুলো সার্ভিস ডিফল্টভাবে চলে যা সাধারণ এন্টারপ্রাইজ ব্যবহারে অপ্রয়োজনীয়। কিছু সার্ভিস বিবেচনা করার মতো:

• Remote Registry — নিষ্ক্রিয় করুন যদি না বিশেষভাবে প্রয়োজন হয়
• Print Spooler — যদি প্রিন্টিং প্রয়োজন না হয় তবে নিষ্ক্রিয় করুন (PrintNightmare-এর মতো দুর্বলতার ইতিহাস রয়েছে)
• Server (lanmanserver) — যদি SMB share প্রয়োজন না হয়
• WebClient — যদি WebDAV প্রয়োজন না হয়
• Xbox-related services — সার্ভারে অপ্রয়োজনীয়

প্রতিটি অপ্রয়োজনীয় সার্ভিস নিষ্ক্রিয় করার আগে নির্ভরতা পরীক্ষা করুন।

কেবল লগ সক্ষম থাকাই যথেষ্ট নয়; সঠিক ইভেন্টগুলো ক্যাপচার করা গুরুত্বপূর্ণ। Advanced Audit Policy Configuration ব্যবহার করুন (যা legacy Audit Policy-এর চেয়ে বেশি দানাদার নিয়ন্ত্রণ দেয়)।

গুরুত্বপূর্ণ Audit ক্যাটাগরি:

• Account Logon: Success এবং Failure
• Logon/Logoff: Success এবং Failure
• Account Management: Success এবং Failure
• Privilege Use: Success এবং Failure (Sensitive)
• Process Creation: Success (Command Line Auditing সহ)
• Object Access: শুধু সংবেদনশীল রিসোর্সের জন্য

Process Creation Auditing-এ Command Line অন্তর্ভুক্ত করতে ভুলবেন না — এটি ম্যালওয়্যার বিশ্লেষণের জন্য অমূল্য তথ্য প্রদান করে।

লগ সেন্ট্রালাইজেশন অপরিহার্য। Windows Event Forwarding (WEF) ব্যবহার করে আক্রান্ত হোস্ট থেকে দ্রুত নিরাপদ সংগ্রহকারীতে লগ স্থানান্তর করুন।

একটি এন্টারপ্রাইজে শত শত Windows ক্লায়েন্ট থাকলে প্রতিটি মেশিন ম্যানুয়ালি হার্ডেন করা অবাস্তব। তাই একটি "Golden Image" তৈরি করা হয় — একটি পূর্ব-হার্ডেনড টেমপ্লেট যা নতুন সিস্টেম স্থাপনের ভিত্তি হয়।

প্রক্রিয়াটি সাধারণত এভাবে চলে: একটি নতুন Windows ইনস্টল করুন, সমস্ত প্যাচ প্রয়োগ করুন, CIS Benchmark-অনুসারে GPO প্রয়োগ করুন, অপ্রয়োজনীয় ফিচার অপসারণ করুন, প্রয়োজনীয় সফটওয়্যার ইনস্টল করুন, এবং sysprep দিয়ে সাধারণীকরণ করুন। তারপর এই ইমেজ MDT, SCCM বা MEM Intune-এর মাধ্যমে স্থাপন করুন।

Golden Image নিয়মিত আপডেট করতে হবে — সাধারণত মাসিক ভিত্তিতে — যাতে নতুন প্যাচ এবং কনফিগারেশন পরিবর্তন অন্তর্ভুক্ত থাকে।

হার্ডেনিং একটি চলমান প্রক্রিয়া; এটি কখনো "সম্পন্ন" হয় না।

ধাপে ধাপে প্রয়োগ করুন। হঠাৎ সমস্ত হার্ডেনিং প্রয়োগ ব্যবসায়িক বিঘ্ন সৃষ্টি করতে পারে।

Pilot Group ব্যবহার করুন। ছোট গ্রুপে পরীক্ষা করুন, ফিডব্যাক সংগ্রহ করুন, এবং তারপর বিস্তৃত স্থাপনে যান।

নিয়মিত নিরীক্ষা করুন। SCA (Security Configuration Assessment) সরঞ্জাম যেমন Microsoft Secure Score, OpenSCAP, বা Nessus Compliance Scans দিয়ে বর্তমান অবস্থা বনাম বেসলাইন তুলনা করুন।

পরিবর্তন ব্যবস্থাপনা প্রক্রিয়া অনুসরণ করুন। প্রতিটি হার্ডেনিং পরিবর্তন নথিভুক্ত এবং অনুমোদিত হওয়া উচিত।

ব্যাকআপ পরিকল্পনা রাখুন। কোনো কনফিগারেশন পরিবর্তন সমস্যা সৃষ্টি করলে দ্রুত পূর্বাবস্থায় ফেরার ব্যবস্থা থাকতে হবে।