Hogyan tartsuk fenn az egészséges hálózati infrastruktúrát Windows rendszerben

  • Konfigurálja és optimalizálja a Windows rendszert (IPv4, hálózati profilok, TCP/IP és DoH) a stabilitás és az ellenőrzés érdekében.
  • Állítsa be a hálózati kártyát (tehermentesítés, RSS, pufferek, tápellátás) és a TCP-vermet a teljesítmény maximalizálása és a késleltetés minimalizálása érdekében.
  • Zónák szerinti tervezés (DMZ, belső, tesztelés) és zéró bizalom alkalmazása AAA-val, modern titkosítással és szegmentálással.
  • Folyamatos tervet kell tartani: javítások, biztonsági mentések, monitorozás és dokumentáció a magas rendelkezésre állás érdekében.
Pablo

14 perc

Hálózati infrastruktúra Windows rendszerben

A Windows rendszerben a hálózatok kezelése ma már nem csak a számítógépek összekapcsolásáról szól: arról is, hogy agilisak, biztonságosak és felkészültek legyenek a jövő kihívásaira. Egészséges hálózati infrastruktúra Csökkenti az állásidőt, megelőzi a problémákat, és lehetővé teszi a teljesítmény maximalizálását mind otthoni, mind vállalati környezetben.

Ebben az útmutatóban megtalálja a legfontosabb Windows-beállításokat, az adapteroptimalizálási technikákat, a magas szintű biztonsági ajánlásokat, egy referenciatervet egy kritikus szolgáltatásokat tartalmazó Windows-infrastruktúrához, valamint egy lépésről lépésre kidolgozott karbantartási tervet. Gyakorlati konfigurációt, teljesítményt, legjobb gyakorlatokat és megerősítést integrálunk. hogy a hálózatod hosszú távon stabil és egészséges maradjon.

Hálózati és internetes beállítások Windows rendszerben: Gyors hozzáférés és állapot

Windows rendszerben a Hálózat és internet panel mindent tartalmaz, amire a csatlakozáshoz, a testreszabáshoz és a diagnosztizáláshoz szüksége lehet. A megnyitásához Két nagyon kényelmes billentyűparancs közül választhat: a Start menüben írja be a beállításokat a Beállítások > Hálózat és internet menüpontba lépéshez, vagy kattintson a jobb gombbal a Hálózat vagy Wi-Fi ikonra a tálcán, és válassza a Hálózati és internetbeállítások lehetőséget.

Ezen a panelen felül láthatod a kapcsolat állapotát, ahol hozzáférhetsz a gyakran használt funkciókhoz, például a Wi-Fi, Ethernet, VPN, adatforgalom vagy hálózati tulajdonságok. Ez a legközvetlenebb út hogy egy pillantással megerősítse, hogy minden megfelelően van-e összekapcsolva.

Hogyan tekintheti meg IP-címét Windows rendszerben

Ha azonosítania kell az IP-címét a helyi hálózaton, a Windows ezt megkönnyíti a felület tulajdonságaiból. Kövesd ezt az utat hogy megkeresse a használatban lévő IPv4-címet.

  1. Nyissa meg a Hálózat és internet menüpontot, és válassza ki a megfelelő felületet: Wi - Fi vezeték nélküli hálózatok esetén (válassza ki azt a hálózatot, amelyhez csatlakozik) vagy Ethernet kábelhez.
  2. A Tulajdonságok részben keresse meg az IPv4-cím sort a hozzárendelt IP-cím megtekintéséhez. Azzal az IP-címmel Képes leszel diagnosztizálni vagy konfigurálni a belső hozzáférést.

Használatvezérlés: adatkorlát beállítása

Ha forgalmi díjas adatforgalmi csomagot használsz (internetmegosztás, 4G/5G vagy korlátozott kapcsolatok), a Windows figyelmeztethet, ha közeledsz a korláthoz, sőt, ha túlléped azt. Határérték beállítása Segít elkerülni a meglepetéseket és optimalizálni a forgalmat.

  1. Írja be Hálózati és internetes beállítások.
  2. választ Az adatok felhasználása aktív hálózati állapotban.
  3. Válassza a Limit megadása lehetőséget, adja meg a limit típusát, töltse ki a mezőket, és mentse el. Onnan Automatikus értesítéseket fog kapni.

Repülőgép üzemmód: mikor és hogyan kell bekapcsolni

A repülőgép üzemmód egyszerre letiltja a Wi-Fi-t, a mobilhálózatot, a Bluetooth-t és az NFC-t. Ez hasznos az akkumulátor kímélése vagy bizonyos környezeti követelmények teljesítése érdekében.

  • Kattintson a Hálózat, Hangerő vagy Akkumulátor elemre a tálcán, és Repülőgép üzemmód aktiválása.
  • Vagy lépjen a Hálózat és internet > Repülőgép üzemmód menüpontra, és használja a kapcsolót. Egy érintéssel Ki- vagy bekapcsolod az egész rádiót.

Nyilvános vagy privát hálózat: válassza ki a megfelelő profilt

Amikor először csatlakozik, a Windows 11 alapértelmezés szerint nyilvánosként állítja be a hálózatot. Ez a profil minimalizálja a kitettséget És ez az ajánlott, kivéve, ha megbízható környezetben osztasz meg erőforrásokat.

  • Nyilvános hálózatAz eszköz rejtve marad más eszközök elől; nem fájlok vagy nyomtatók megosztására szolgál.
  • Privát hálózatAz eszköz felfedezhető és engedélyezi a megosztást. Csak akkor használd, ha megbízol a szegmensben lévő felhasználókban és eszközökben.

A profil módosításához lépjen a Hálózati és internetbeállítások menüpontra, válassza a Wi-Fi lehetőséget, majd válassza ki az aktuális hálózatot (vagy Ethernetet, ha kábelt használ), és a Profil típusa alatt jelölje be a Nyilvános vagy a Privát lehetőséget. A profil jelzi az expozíció szintjét és a tűzfal viselkedése.

TCP/IP és DNS beállítások Windows rendszerben

A TCP/IP protokollt használó számítógépek kommunikációjának módja az interneten és egymással is definiálható. A legkényelmesebb és legstrapabíróbb Általában DHCP-vel történik, így a router automatikusan osztja ki az IP-címet és a DNS-t, de mindent manuálisan is beállíthatsz.

  1. A Hálózat és internet részben, Wi-Fi hálózatok esetén írja be a Wi-Fi > Kezelje az ismert hálózatokat és válassza ki a hálózatot; Ethernet esetén válassza ki az aktív kapcsolatot.
  2. En IP-cím hozzárendelése, nyomd meg a Szerkesztés gombot.
  3. Válassza az Automatikus (DHCP) vagy a Kézi lehetőséget. automatikus Hagyd, hogy a router kezelje az IP-címet és a DNS-t; a Manuális beállítással megadhatod az IP-címet, a maszkot, az átjárót és a DNS-kiszolgálókat.

Ha DNS-lekérdezéseket szeretne védeni, a Windows támogatja a HTTPS-en keresztüli DNS-t. Három mód közül választhatszKi (sima szöveg), Be automatikus sablonnal (felderíti a konfigurációt), vagy Be manuális sablonnal (a DoH sablont Ön határozza meg). Engedélyezheti vagy letilthatja a sima szövegre való tartalékot: ha engedélyezve van, a titkosítatlan lekérdezés csak akkor történik meg, ha a HTTPS nem lehetséges; ha le van tiltva, akkor nem lesz lekérdezés, ha a titkosítás sikertelen.

Biztonságos hálózati beállítások Windows rendszerben

Hálózati adapter optimalizálása Windows Serverben

A megfelelő hálózati kártya hangolása jelentősen csökkentheti a szerver terhelését: nagyobb teljesítményt, kisebb késleltetést és jobb CPU-kihasználtságot eredményezhet. Az optimális konfiguráció Ez az adaptertől, a terheléstől, a hardvertől és a céloktól függ.

Lehetővé teszi a hálózati terheléscsökkentést, például a TCP, LSO és RSS ellenőrzőösszegeket. Ezek a funkciók leveszik a vállukról a munkát a kártyához és tehermentesítik a CPU-t, bár korlátozott erőforrásokkal rendelkező adaptereken bizonyos letöltések korlátozhatják a fenntartható csúcsot; ha ez a korlát elfogadható, akkor is célszerű engedélyezni őket.

Az RSS a bejövő forgalmat több logikai processzor között osztja el, ami kulcsfontosságú, ha kevesebb a hálózati kártya, mint a processzor. Ellenőrizze az RSS-hírcsatornát (alapértelmezett NUMAStatic), és növeli a várólisták számát, ha az adapter lehetővé teszi a párhuzamosítás javítását.

Ha a vezérlő engedélyezi az erőforrások módosítását, akkor megnöveli a vételi és küldési puffereket. Alacsony értékek Az RX-ben csomagvesztést és alacsonyabb teljesítményt okoznak, különösen nagy vételi adatfolyamok esetén.

A megszakítások moderálását illetően törekedj az egyensúlyra. Kevesebb megszakítás CPU-használatot takarít meg a késleltetés rovására; több megszakítás csökkenti a késleltetést, de CPU-t fogyaszt. Ha a pufferösszevonás elérhető, a megszakítások számának növelése segít, ha a natív megszakításmoderálás nem érhető el.

Mikroszekundum-érzékeny hálózatok: a késleltetés csökkentése

Azokban a környezetekben, ahol a késleltetést mikroszekundumban mérik, célszerű a platformot módosítani. Hatékony trükkök: állítsd a BIOS-t Nagy teljesítményűre és tiltsd le a C-állapotokat (vagy hagyd, hogy az operációs rendszer kezelje az energiafogyasztást), állítsd a rendszer energiagazdálkodási tervét Nagy teljesítményűre (powercfg parancs, ha szükséges), engedélyezd a statikus tehermentesítéseket (UDP/TCP ellenőrzőösszegek és LSO), engedélyezd az RSS-t a többszálú adatfolyamokban, és tiltsd le a megszakításmoderálást, ha az alacsonyabb késleltetés elengedhetetlen (a CPU rovására).

Kezelje a hálózati kártya megszakítási és DPC affinitását úgy, hogy megosszák a gyorsítótárat a csomagokat feldolgozó felhasználói szállal. Ugyanazt a magot használja ISR, DPC és alkalmazások esetén telítheti; intelligensen terjesztheti RSS és affinitás segítségével.

Legyen tisztában az SMI-kkel (rendszerfelügyeleti megszakítások). Ők a legfontosabbak. és akár 100 µs-nál nagyobb jelcsúcsokat is okozhat. Ha a késleltetés kritikus fontosságú, kérjen alacsony késleltetésű vagy minimalizált SMI-vel rendelkező BIOS-t a gyártótól; az operációs rendszer nem tudja ezeket kezelni.

TCP vételi ablak automatikus beállítása

A Windows dinamikusan egyezteti a fogadási ablak méretét kapcsolatonként a teljesítmény maximalizálása érdekében. Régen megjavították (65 535 bájt) és korlátozott átviteli sebesség; az önbeállításnak köszönhetően a verem alkalmazkodik a késleltetéshez és a sávszélességhez.

Referenciaként a kapcsolatonkénti átviteli sebesség a TCP ablak bájtokban mért értéke szorozva 1-gyel, osztva a késleltetéssel. Klasszikus példa1 Gbps sebességnél és 10 ms késleltetéssel egy statikus ablak körülbelül 51 Mbps sebességet eredményezne; megfelelően méretezett automatikus hangolással 1 Gbps sebességű vonal érhető el.

Ha az alkalmazás nem definiál ablakot, a Windows sebesség alapján osztja ki a tárhelyet: 1 Mbps alatt 8 KB, 1 és 100 Mbps között 17 KB, 100 Mbps és 10 Gbps között 64 KB, 10 Gbps vagy több esetén pedig 128 KB. Így használják a linket az alkalmazás megérintése nélkül.

Elérhető szintek: Normál (0x8-as faktor), Letiltott (nincs skálázás), Korlátozott (0x4), Szigorúan korlátozott (0x2) és Kísérleti (0xE). Csomagrögzítések A WindowsScaleFactor értékét ShiftCount értékkel jelenítik meg rendre 8, none, 4, 2 vagy 14 értékkel, jellemzően a SYN-en egy 64K-s egyeztetett ablakot fenntartva a NIC bitrátájának megfelelően.

A szintet a PowerShell vagy a netsh használatával ellenőrizheti vagy módosíthatja. Állítsa be a szintet a forgatókönyvedhez igazodva: A Normál általában szinte mindenhez illik, míg a Kísérleti extrém környezetekhez.

Elavult szűrőplatform és paraméterek

A Windows szűrőplatform lehetővé teszi harmadik féltől származó szoftverek számára a veremben lévő forgalom vizsgálatát és szűrését. Ez a biztonság kulcsaA rosszul megvalósított szűrők azonban rontják a szerver teljesítményét; ezért validálni és optimalizálni kell őket.

A régebbi Windows Server 2003 értékek, mint például a TcpWindowSize, a NumTcbTablePartitions és a MaxHashTableSize, már nem használatosak. Modern változatokban A rendszer figyelmen kívül hagyja őket, még akkor is, ha megjelennek a HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters fájlban.

Hálózatkarbantartás: definíció, előnyök és kihívások

A hálózat karbantartása magában foglalja a hálózati hardverek, szoftverek, konfiguráció, teljesítmény és biztonság jó állapotának ellenőrzését és biztosítását, a hibák vagy kockázatok azonosítását és elhárítását. Ez egy folyamatos folyamat amely megakadályozza a megszakításokat, megerősíti a védelmet és biztosítja az üzletmenet folytonosságát.

Egyértelmű előnyök: jobb csatlakozás és együttműködés, nagyobb védelem a behatolásokkal szemben, megtakarítás az erőforrások megosztásával és az állásidő csökkentésével, mobilitás vezeték nélküli eszközökkel, valamint jobb felhasználói élmény az alacsonyabb késleltetés és a nagyobb rendelkezésre állás miatt. Mindez összeadódik a hatékonyabb működés érdekében.

Gyakori kihívások: kompatibilitás frissítések után, növekedés és skálázhatóság, nem minősített karbantartó csapatok, emberi hiba, valamint a régi, nem támogatott hardverek kezelése. Tervezés és képzés enyhítésükhöz elengedhetetlen.

A hálózat eszközöket köt össze adatok és erőforrások megosztására vezetékes vagy vezeték nélküli protokollok segítségével. Az adatok csomagokban érkeznek.A kapcsolók kezelik a hálózaton belüli forgalmat és a hálózatok közötti útválasztókat, hatékony útvonalakat keresve.

A leggyakoribb hálózattípusok tartomány szerint: LAN (irodai vagy épületi), PAN (közeli eszközök), MAN (nagyvárosi terület) és WAN (nagy terület, akár országok). Mindegyik típus Ez különböző követelményeket és kockázatokat von maga után.

A jól elvégzett karbantartás fő előnyei

A technikai szempontokon túl a megbízható karbantartás hatással van a folytonosságra és az eredményekre is. Magas rendelkezésre állás A felülvizsgálatoknak és a megelőzésnek köszönhetően kevesebb az incidens, optimalizált a hardver és a szoftver, valamint javul a szabályozási megfelelés az ellenőrzések és auditok révén.

Lépésről lépésre terv a hálózat karbantartására

1) Előkészítés: kiértékeli az architektúrát és az aktuális állapotot, áttekinti a diagramokat és a legutóbbi változtatásokat, valamint ellenőrzi, hogy az összes dokumentáció (topológiák, konfigurációk, szállítói adatok) naprakész-e.

2) BiztonságEllenőrzi a tűzfalakat és az IPS-t, frissíti a víruskereső és kártevőirtó programokat, és javításokat alkalmaz egy olyan felügyeleti rendszer segítségével, amely automatizálja és ellenőrzi a folyamatot. Emellett sebezhetőségeket és hibás konfigurációkat is keres.

3) Hardver és szoftverFigyelemmel kíséri a szerverek és útválasztók állapotát (memória, CPU, lemez, hibák), és ellenőrzi a kapcsolók és hozzáférési pontok helyes konfigurációját az optimális működés érdekében.

4) TeljesítményElemzi a sávszélességet és a forgalmi mintákat a szűk keresztmetszetek észlelése érdekében, és az elfogadható küszöbértékeken belül figyeli a késleltetést, szükség esetén módosítva azt.

5) Biztonsági mentések és helyreállításEllenőrizze a biztonsági mentések teljességét és naprakészségét, tekintse át a katasztrófa utáni helyreállítási tervet, igazítsa azt az új rendszerekhez vagy változásokhoz, és konzultáljon egy szakemberrel. Útmutató a rendszer helyreállításához vírusfertőzés után.

6) Dokumentáció: frissíti a dokumentumokat az összes végrehajtott módosítással (konfigurációk, javítások), és rögzíti az incidenseket azok okával, megoldásával és a levont tanulságokkal együtt.

Harmadik féltől származó támogatás: tipikus szolgáltatások

Egy speciális, külső karbantartási (TPM) szolgáltató igénybevétele megerősítheti a hardver- és rendelkezésre állási stratégiáját. A szolgáltatásai Jellemzően korrekciós javítást, 24 órás támogatást, globális lefedettséget, minőségi felújított alkatrészeket és több márkára kiterjedő szakértelmet tartalmaznak.

szolgáltatás leírás
Javító karbantartás Minősített szerelők diagnosztizálják és javítják a hibákat vagy a veszélyeztetett alkatrészeket.
24/7 támogatás Távoli és helyszíni segítségnyújtás bármikor a leállások minimalizálása érdekében.
Globális elérés Jelenlét számos országban, hogy szolgáltatást nyújthasson vállalata bármely részén.
Kiváló minőségű alkatrészek (SpaaS) Felújított alkatrészek, amelyek csökkentik a költségeket és előmozdítják a körforgásos gazdaságot.
Többmárkás élmény Különböző gyártók és modellek támogatása, még azoké is, amelyek nem szerepelnek a katalógusban.

Észlelés és reagálás: EDR-től XDR-ig

A teljes megelőzés nem lehetséges, a reagálás kritikus fontosságú. Az EDR láthatóságot biztosít és a végponti válaszokat, de általában kihagyja a hálózati eszközöket, a tárolóeszközöket, a nyomtatókat, a BYOD-t, a felhőt vagy az IoT-t, és nem látja az olyan vektorokat, mint az e-mail az operációs rendszer rétegében.

Ezen hiányosságok pótlására domain-specifikus megoldások jelennek meg, és az XDR integrált módon kívánja egységesíteni az észlelést és a reagálást a végpontok, a hálózat és a felhő között. A koncepció még érlelődikVita folyik a naplóbetöltésről, a fenyegetésfelderítésről, az elemzésről és az automatizálásról.

Az XDR bevezetése hosszú távú stratégiát igényel, a megfelelő szolgáltatók kiválasztását, és a legelterjedtebbekkel (általában EDR) való kezdést, mielőtt a lefedettséget kiterjesztenék a hálózatra és a felhőre. gépi tanulás Már most is kiegészíti az aláírás nélküli észlelést, és felgyorsíthatja a nyomozásokat.

Referenciaterv: Biztonságos Windows infrastruktúra vállalatok számára

Képzeld el, hogy szükséged van egy levelezőrendszerre, egy nyilvános weboldalra, felhasználói fájltárolóra, éles és teszt adatbázisokra (amelyek nem érhetők el az interneten), valamint két alkalmazásra (kliens-szerver és webes) éles és teszt környezetekkel. Zónázott kialakítás A redundancia és a szegmentáció képezi az alapot.

  • Zónák és hálózatInternet, DMZ (kitett szolgáltatások), belső éles hálózat, belső teszt-/laboratóriumi hálózat, felügyeleti hálózat és tartalék hálózat. VLAN-okra szegmentálás, ACL-ek alkalmazása a szegmensek között, és a folyamatok védelme periméteres és belső tűzfallal, valamint egy WAF-fal a nyilvános webes alkalmazások előtt.
  • Identitás és alapok2 tartományvezérlő (AD DS) telephelyenként, integrált DNS-sel és redundáns DHCP-vel (vagy fenntartásokkal a magban). Szinkronizálja az időt és csoportházirendeket alkalmaz a védelmek megerősítésére. Az identitás Ez az a réteg, ami a többit tartja.
  • Correo2 postafiók-kiszolgáló (Exchange) DAG-ban a belső hálózaton és 1-2 Edge Transport DMZ-ben biztonságos továbbításhoz, vagy egy felhőszolgáltatás biztonságos csatlakozókkal. Spam szűrése és a kártevőket a peremhálózaton, és TLS-t alkalmaz a szállításhoz.
  • Nyilvános weboldal2 IIS-kiszolgáló demilitarizált zónában (DMZ) terheléselosztó és WAF mögött, TLS 1.2 vagy újabb titkosítással és robusztus titkosítással. Nincs közvetlen hozzáférés belső adatbázisokhoz; minden elérhető logikának állapotmentesnek kell lennie, és CI/CD-n keresztül kell telepíteni.
  • Fájlok tárolása2 fürtözött fájlszerver (SOFS/DFS-R) kvótákkal, deduplikációval és hálózati biztonsági mentésekkel. Engedélyek vezérlése ACL-ekkel és érzékeny adatok címkézésével.
  • AdatbázisokÉles környezetben 2 SQL Server csomóponttal Always On AG környezetben, és tesztelés 1-2 különálló és izolált példányon egy laboratóriumi VLAN-ban. Nincsenek linkek az internetről vagy a DMZ-ről ezekbe az adatbázisokba.
  • Belső alkalmazások2 szerver a belső webalkalmazáshoz és 2 a kliens-szerver alkalmazáshoz (készletek termékenként és tesztenként), mindegyik VLAN-on és korlátozott portokon keresztül csatlakozik az adatbázisaihoz. Korlátozások minimálisra csökkenteni a forgalmat (kikötő és származási/célállomás).
  • Menedzsment és biztonság2 AAA/RADIUS (NPS) szerver adminisztrátoroknak és Wi-Fi-nek, SIEM naplóknak, IDS/IPS, WSUS és monitoring platform. A mentések külön hálózaton, megőrző és időszakos helyreállítási teszteléssel.
  • További kezelőszervekVPN MFA-val távoli adminisztrációhoz, ugrószerverekhez, szolgáltatáserősítéshez és kelet-nyugati szegmentáláshoz, adott esetben mikroszegmentálással. A cél Az oldalirányú mozgás korlátozásáról és az incidensek megfékezéséről szól.

Infrastruktúra-biztonsági ajánlott eljárások (Zero Trust modell)

A biztonságos architektúra perifériális és belső rétegeket ad hozzá funkció szerinti szegmentálással. Nulla bizalom Feltételezi, hogy egyetlen kérés sem megbízható eleve, és minden hozzáférést következetes szabályzatokkal kell ellenőrizni.

Integritás és konfiguráció: ellenőrzi az operációs rendszer és a firmware hash-eit a frissítés előtt és után. Példa: verify /sha512 <PATH:filename>Változáskezelés bevezetése, összehasonlítás a legutóbbi másolatokkal, és felesleges fájlok vagy régi verziók eltávolítása a delete <PATH:filename>. Biztosítja a tartósságot a változásokról copy running-config startup-config hálózati berendezéseken.

FrissítésekStabil és támogatott szoftver- és firmware-verziók fenntartása, hardverfrissítések tervezése a gyártói támogatás lejárta esetén. Foltok nélkül mint ismeretes, a kockázat az egekbe szökik.

AAA központosítottKonfiguráljon két AAA szervert a magas rendelkezésre állás érdekében, és használjon robusztus, előre megosztott kulcsokat. Példa: aaa group server radius <GROUP_NAME> + server-private <IP_ADDRESS_1> key <KEY_1> y server-private <IP_ADDRESS_2> key <KEY_2>. Központosítani Leegyszerűsíti és nyomon követhetőséget biztosít.

Fiókok és jelszavak: eltávolítja az alapértelmezett és megosztott fiókokat, egyedi felhasználókat hoz létre, és biztonságos hashelést használ a tároláshoz, például username <NAME> algorithm-type sha256 secret <PASSWORD>. erős jelszavak 15+ karakter, beleértve a nagybetűket, kisbetűket, számokat és szimbólumokat, eszközönként és szerepkörönként egyedi, és módosul, ha veszélyre utaló jelek vannak.

Biztonságos távoli adminisztráció: letiltja a Telnet és a HTTP protokollt, az SNMP-t v3-ra migrálja (példa: no snmp-server community y no snmp-server host), SSH v2 erő (ip ssh version 2) és HTTPS (ip http secure-server). Robusztus billentyűk a crypto key generate rsa modulus 3072 és jóváhagyott titkosítócsomagok.

Korlátozza a szolgáltatásokhoz való hozzáférést: például az ACL-ekkel korlátozza az eredetet access-list 10 permit 192.168.1.0 0.0.0.255 és alkalmazza a VTY vonalakra access-class 10 in. Csökkentse a felületet a lényegre.

Munkamenetek és inaktivitás: időtúllépések konfigurálása (ip ssh time-out 300 y exec-timeout 5 0) és lehetővé teszi a TCP életben tartását (service tcp-keepalives-in y service tcp-keepalives-out). Árva munkamenetek elkerülése és emberrablások.

Blokkláncolás: megakadályozza a kimenő kapcsolatokat az adminisztratív munkamenetekből a következővel: transport output none a VTY vonalakon. Korlátozza a mozgásokat a vezetői csapatoktól.

Útvonalak és interfészek: letiltja a forrásirányítást (no ip source-route), aktiválja az uRPF-et (ip verify unicast source reachable-via rx) és hitelesíti az útvonalválasztást: OSPF a következővel: area 0 authentication message-digest és BGP-vel neighbor <IP_ADDRESS> password <PASSWORD>. Kerüld a hamis útvonalakat és a megszemélyesítések.

2. biztonságos réteg: letiltja a dinamikus trunkinget a konfigurálással switchport mode access y switchport nonegotiate amikor nincs szükség törzsre. Alkalmazzon portbiztonságot (switchport port-security, maximum 2, violation shutdown), kikapcsolja a nem használt portokat (interface range ... + shutdown) és tiltsa le a CDP-t, ahol nincs rá szükség (no cdp enable). Irányítsd, ki lép be minden egyes kikötőhöz.

Hirdetési bannerekJogi nyilatkozatok hozzáadása bejelentkezés előtt banner login és MOTD üzenetek, például: banner login # Acceso solo a usuarios autorizados. Actividad monitorizada. #. Változtatások mentése a write memory és jogi csapatával együtt ellenőrizze a jogszabályoknak való megfelelést.

Monitoring és auditálásRögzíti a hozzáféréseket (sikeres és sikertelen), és rendszeresen áttekinti a naplókat, rendellenes mintákat keresve. Egy SIEM Segíteni fog abban, hogy valós időben korrelálhasd az eseményeket.

Gyors szószedet

AAAHitelesítés, engedélyezés és elszámolás annak szabályozására, hogy ki férhet hozzá, mit tehet, és mi kerül rögzítésre.

Nulla bizalom: olyan modell, amely minden hozzáférést ellenőriz, feltételezve, hogy a hálózaton belül és kívül is lehetnek fenyegetések.

URPF: annak ellenőrzése, hogy a forrás útvonal elérhető-e, hasznos az IP-hamisítás ellen. Forgalom szűrése nem legitim a határon.

A Windows finomhangolás, az adapteroptimalizálás, a rétegzett biztonsági vezérlők, az intelligens szegmentálás, a redundáns Windows-szolgáltatások kialakítása és a fegyelmezett karbantartási program kiegyensúlyozott kombinációjával... Hálózati infrastruktúrája stabil, gyors és biztonságos marad, felkészülve a skálázásra és az incidensekre való reagálásra a lendületvesztés nélkül.

Windows 11 lassú
Kapcsolódó cikk:
Hogyan lehet megakadályozni, hogy a Windows 11 egyre lassabb legyen