Зміцнення Windows для домашніх лабораторних серверів: мінімальні зміни, максимальний ефект

Філософія зміцнення: менше налаштувань, більше результату

Зміцнення домашньої лабораторії зазнає поразки з двох причин: люди або нічого не роблять, або роблять усе підряд. «Усе» зазвичай — це купа перемикачів, скопійованих із контрольного списку для зовсім іншої інфраструктури. Це ламає речі, ніхто не пам’ятає навіщо, і наступні вихідні йдуть на відкат.

«Мінімальні зміни, максимальний ефект» означає:

• Зменшити експозицію: менше відкритих портів, менше сервісів, менше протоколів, менше вхідних правил.
• Зменшити привілеї: адміністратор тільки коли потрібно, окремі облікові записи адміністраторів, жодного «всі — локальні адміністратори».
• Робити атаки гучними: логи мають існувати, їх має бути легко знайти, і повинні бути сповіщення для очевидного.
• Зробити відновлення нудним: резервні копії, що відновлюються, знімки, що мають значення, ключі шифрування, які ви реально можете знайти.
• Не ламати лабораторію: якщо контроль коштує вам більше надійності, ніж знижує ризик, це не контроль — це хобі.

Цитата, яку варто приклеїти над стійкою, приписана Вернеру Фогельсу (CTO Amazon): «Everything fails, all the time.» Формулювання варіюється, але сенс незмінний: проектуйте так, ніби відмова — це нормальний стан.

Також: зміцнення — це не «встановив і забув». Це «встановив, перевірив і тримай невеликим». Якщо ви не можете це перевірити — ви не зміцнили, ви просто щось змінили.

Кілька фактів і історія, що справді мають значення

• Факт 1: Брандмауер Windows увімкнено за замовчуванням з Windows XP SP2 (2004). До цього «персональний брандмауер» був опційним, і зловмисники це помітили.
• Факт 2: SMB1 достатньо старий, щоб орендувати авто, і він спричинив великі хвилі рансомверу в 2017 році. Відключення його досі дає один із найвищих коефіцієнтів окупності змін.
• Факт 3: RDP став улюбленою мішенню не тому, що він злий, а тому, що він скрізь, і люди публікують його в інтернеті. Зручність — сильний наркотик.
• Факт 4: Windows Defender виріс із «базового антишкідливого» в серйозний стек кінцевої точки; сьогодні він часто достатній для лабораторії, якщо увімкнути потрібні функції.
• Факт 5: BitLocker у Windows присутній з ери Vista. Багато домашніх лабораторій досі не шифрують диски даних, зазвичай через «воно ж удома». Але й будинки крадуть.
• Факт 6: Event Tracing for Windows (ETW) — один із найпотужніших механізмів спостереження на платформі, але більшість людей його не торкаються, бо він не блискуча панель.
• Факт 7: Репутація Windows Update сформувалася через ранні примусові перезавантаження й проблеми з драйверами; сучасна Windows дає більше контролю, але ці налаштування потрібно фактично застосувати.
• Факт 8: Storage Spaces і ReFS створювалися, щоб зменшити біль від бит-роту й великих масивів, але налаштування за замовчуванням і реальність залежать від апаратури — особливо для споживчих дисків.
• Факт 9: Credential Guard і віртуалізаційно-орієнтована безпека (VBS) — справжній захисний крок, але вони можуть конфліктувати з певними стеками віртуалізації та драйверами — перевіряйте перед увімкненням.

Жарт №1: Якщо ви відкрили RDP в інтернет — вам не потрібна модель загроз. Інтернет підкаже її сам.

Спочатку базова перевірка: інвентар, оновлення й хто може зайти

Перш ніж торкатися «налаштувань безпеки», зробіть три базові перевірки: що це за машина, що на ній працює і хто має до неї доступ. Ваша мета — вміти відповісти за менше хвилини: Що змінилося?

Виберіть правильне видання Windows для ролі

Якщо ви запускаєте Windows Server — добре. Якщо ви використовуєте Windows 10/11 Pro як «сервер», це теж працює, але будьте чесні щодо обмежень (немає всіх ролей сервера, інші політики оновлень, ліцензійні нюанси). Нижчеподані кроки працюють на обох платформах з місцевими відмінностями функцій.

Зробіть ім’я машини, домен/групу робочих груп і час осмисленими

Зсув часу ламає TLS, Kerberos, логи і ваше терпіння. У домашніх лабораторіях це часто спричинено «вона в робочій групі» плюс роутер, який бреше про NTP. Виправте час раніше; це контроль надійності в костюмі годинника.

Припиніть ділити пароль адміністратора між машинами

Домашні лабораторії часто ростуть як плющ: одна Windows-машина стає трьома, потім вісьмома, і раптом той самий локальний пароль адміністратора використовується скрізь. Це латеральний рух як стиль життя. Використовуйте унікальні паролі і менеджер паролів. Якщо можете — застосуйте Windows LAPS (або Microsoft LAPS) для автоматичної ротації локальних адміністративних паролів у лабораторії з AD.

Віддалений доступ: припиніть трактувати RDP як світло на ґанку

Віддалений доступ — звичайна точка входу для компрометацій домашніх лабораторій. Не тому, що зловмисники генії, а тому, що люди щедрі з портами.

Правило перше: не публікуйте порти керування в інтернет

Якщо ваш роутер пробросив 3389/TCP на Windows-сервер — приберіть це. Якщо ви «змінили порт RDP», теж приберіть. Безпека через затемнення залишається затемненням — лише з додатковими діями.

Використовуйте один із цих шаблонів натомість

• Спочатку VPN (WireGuard, IPsec, OpenVPN). Потім RDP залишається лише в LAN.
• Пересадкова машина (jump box): один загартований хост управління зі строгими allowlist та MFA для доступу до решти.
• Інструменти віддаленого управління з правильними контролями ідентичності (в підприємстві). У домашній лабораторії VPN зазвичай найменш болісний варіант.

Коли RDP необхідне

• Вимагайте Network Level Authentication (NLA).
• Вимкніть перенаправлення буфера обміну й дисків, якщо воно не справді потрібно.
• Жорстко обмежте членство в групі «Remote Desktop Users».
• Блокуйте вхідний RDP звідусіль, крім вашої підмережі управління.
• Увімкніть політики блокування облікового запису та моніторинг невдалих спроб.

Брандмауер Windows: ваш найбільш недовикористаний засіб безпеки

Брандмауер Windows — найпростіший контроль «мінімальна зміна, максимальний ефект» на платформі. Він вже є. Він вже працює. І його часто лишають у сумному стані «увімкнено, але з сотнею випадкових правил дозволу».

Правильна ментальна модель: за замовчуванням забороняти вхідні з’єднання (що Windows загалом і робить), потім дозволяти тільки те, що потрібно, лише звідти, де потрібно. Ваш файловий сервер не має приймати трафік управління з гостьової Wi‑Fi-мережі. Ваш Hyper‑V хост не має приймати випадкові вхідні підключення тому, що якийсь інсталятор захотів.

Не боріться з профілями; використовуйте їх

Профілі Domain/Private/Public існують не просто так. Ваші сервери лабораторії мають бути у профілі Private або Domain, а не Public. Профіль Public — це поза «кав’ярня», і він порушить деякі речі — але в доброму сенсі.

Облікові записи, мінімальні привілеї й кінець «Адмін скрізь»

Права адміністратора множать помилки й можливості для шкідливого ПЗ. Ваша мета — не викорінити використання адміністратора; мета — зробити адміністрування навмисним.

Використовуйте окремі облікові записи адміністраторів

Один щоденний обліковий запис для браузингу, пошти й повсякденних дій. Один обліковий запис адміністратора, який використовується тільки для адміністративних завдань. Так, навіть у домашній лабораторії. Особливо в ній, бо ви, ймовірно, експериментуєте й копіюєте скрипти з форумів, ніби це спорт.

Вимикайте те, що не потрібно

Якщо не використовуєте Remote Registry — відключіть його. Якщо не потрібен WinRM — відключіть або обмежте його. Якщо не потрібен PowerShell remoting — не лишайте його відкритим з звички. Кожен слухаючий сервіс — це зобов’язання підтримувати його.

Локальні політики, що дають великий ефект

• Блокування облікового запису для уповільнення підбору паролів.
• User Account Control на розумному рівні (не відключайте через «надокучливість»).
• Вимкніть гостьовий акаунт і, якщо хочете бути амбіційним, перейменуйте вбудованого Administrator. Перейменування — не захист, але воно зменшує низькоусильний шум.

Defender, SmartScreen, ASR: безкоштовні механізми, які варто використовувати

Для серверів домашньої лабораторії Microsoft Defender Antivirus зазвичай підходить. Перевага не в наявності антивірусу; перевага — у ввімкненні захисних поведінок, які люди часто пропускають, бо їм лінь.

Правила зменшення поверхні атаки (ASR)

Правила ASR можуть зупинити поширені тактики шкідливого ПЗ (Office, що породжує дочірні процеси, крадіжки облікових даних, зловживання скриптами). Почніть у режимі аудиту, подивіться, що б було заблоковано, а потім застосуйте ті правила, що не ламають ваші робочі процеси.

Контрольований доступ до папок

Це може зменшити шкоду від рансомверу на робочих станціях. На серверах це також може порушити легітимні програми, що пишуть у захищені місця. Тестуйте і вирішуйте. «Увімкнено, але ламає» гірше за вимкнено, бо дає хибну впевненість.

SmartScreen і перевірки репутації

Тримайте їх увімкненими, особливо на машинах, з яких завантажують інструменти. Більшість інцидентів у домашніх лабораторіях починаються з «я запустив утиліту з форуму».

Файловий обмін (SMB): зміцніть те, що люблять зловмисники

SMB — серце багатьох домашніх лабораторій: шари, медіа, резервні копії, сховище VM. Це також улюблений маршрут для рансомверу, щоб поширитися й зашифрувати все доступне.

Вимкніть SMB1

Якщо ви не підтримуєте дуже старі пристрої, які не вміють сучасний SMB (і, ймовірно, вам не варто цього робити) — відключіть SMB1. Якщо мусите його тримати, ізолюйте той пристрій і прийміть, що ви запустили музейний експонат.

Підпис і шифрування SMB

Підпис SMB допомагає запобігти підмінам. Шифрування SMB захищає дані в дорозі. Обидва мають витрати на продуктивність, тому застосовуйте їх продумано: шифруйте через ненадійні мережі, підписуйте там, де це важливо, і тестуйте на вашому обладнанні.

Права доступу до шарів vs NTFS-права

Не покладайтесь на права шарів як на основну межу безпеки. Використовуйте ACL NTFS; тримайте права шарів широкими (наприклад «Authenticated Users: Full») лише якщо NTFS суворий. Або навпаки. Але не робіть «Everyone: Full» скрізь і не називайте це лабораторією.

Сховище й надійність: зробіть корупцію й рансомвер менш захопливими

Зміцнення сховища — це місце, де SRE зустрічає реальність: диски ламаються, контролери брешуть, пам’ять міняє біти, а люди видаляють не ту папку. Безпека — це не лише зупинити атакувальника; це запобігти втраті й пришвидшити відновлення.

Шифруйте те, що важливо

BitLocker на логічних томах даних — простий виграш. Він захищає дані в стані спокою, якщо сервер або диски «пішли гуляти». Також зменшує жаль від «я продав старі диски».

Знімки й резервні копії — різні речі

Знімки — швидка кнопка скасування. Резервні копії — машина часу, що переживе смерть сервера, корупцію масиву або рансомвер, який шифрує живі дані. У Windows-лабораторії ви можете використовувати Windows Server Backup, Veeam або інструменти на основі образів. Бренд менш важливий за поведінку:

• Мислення 3-2-1: три копії, два типи носія, одна поза сайтом/офлайн.
• Тестуйте відновлення, а не лише «завдання успішне».
• Захищайте резервні копії від тих самих облікових даних, що й сервер.

Вибір файлової системи

NTFS — підходить. ReFS може бути відмінним у правильній конфігурації (особливо зі Storage Spaces), але не думайте, що це магія. Якщо ви використовуєте ReFS, розумійте, які функції застосовуєте і як робите резервні копії. Деякі інструменти резервного копіювання поводяться з ReFS інакше.

Знайте режими відмов RAID/Spaces

Міри відповідають за захист від відмов диска. Вони не захищають від безшумної корупції, випадкового видалення, шкідливого ПЗ або «контролер записав нісенітницю на всі диски одночасно». Використовуйте RAID/дзеркала для доступності, резервні копії — для виживання.

Логування та аудит: майбутній ви хоче мати чеки

Логи — це як ви діагностуєте несподівані проблеми. У домашніх лабораторіях логи часто залишаються з розміром за замовчуванням, постійно перезаписуються і ніколи не централізуються. Потім щось дивне трапляється, і ви здогадуєтесь.

Що логувати

• Журнал безпеки: успішні/невдалі логони, використання привілеїв, зміни облікових записів.
• Системний журнал: падіння сервісів, проблеми з драйверами, помилки дисків.
• Операційні логи Windows Defender: виявлення, виключення, події порушення захисту.
• Операційні логи Планувальника завдань: сюрпризні задачі та невдалі завдання.

Централізуйте помірно

Вам не потрібен повний SIEM. Але потрібна збереженість: пересилайте Windows Event Logs на іншу машину (навіть невелику ВМ), щоб «сервер помер» не видалив докази.

Оновлення без хаосу: передбачуване патчення в домашній лабораторії

Патчення — це місце, де безпека й доступність домовляються про перемир’я. Домашні лабораторії часто обирають один бік (ніколи не патчити або патчити щоразу, як нагадає система) і потім дивуються наслідкам.

Робіть так:

• Визначте вікна обслуговування. Навіть якщо це «неділя 02:00–04:00».
• Керуйте перезавантаженнями: налаштуйте активні години і політики перезапуску.
• Поступове патчення: спершу патчайте менш критичну машину, потім решту.
• Зробіть знімок/резервну копію перед великими оновленнями, якщо можете.

Жарт №2: «Підпатчую пізніше» — так ви закінчуєте з експонатами музею, тільки експонати — уразливості.

Практичні завдання (команди, вивід, рішення): практичне ядро

Це навмисно практично. Кожне завдання має: команду, приклад виводу, що це означає і яке рішення слід прийняти. Виконуйте їх у піднятому PowerShell, якщо не зазначено інакше.

Завдання 1: Підтвердіть видання й збірку Windows (щоб знати, які функції доступні)

cr0x@server:~$ powershell -NoProfile -Command "(Get-ComputerInfo | Select-Object WindowsProductName, WindowsVersion, OsBuildNumber | Format-List | Out-String | Trim())"
WindowsProductName : Windows Server 2022 Standard
WindowsVersion     : 21H2
OsBuildNumber      : 20348

Значення: Підтверджує, серверна це ОС чи клієнтська, сімейство версії, збірка. Базові політики безпеки й наявність функцій залежать від цього.

Рішення: Якщо ви на версії, що не підтримується — зупиніться і сплануйте оновлення. Зміцнювати мертву ОС — це мистецтво продуктивності.

Завдання 2: Подивіться, хто є локальним адміністратором (тут ховається «повзучий» привілей)

cr0x@server:~$ powershell -NoProfile -Command "Get-LocalGroupMember -Group 'Administrators' | Select-Object Name, ObjectClass | Format-Table -AutoSize"
Name                          ObjectClass
----                          ----------
LAB\svc-backup                User
LAB\Domain Admins             Group
NT AUTHORITY\SYSTEM           User
BUILTIN\Administrators        Group

Значення: Усе, що в Administrators, може встановлювати драйвери, читати секрети й зіпсувати ваші вихідні вихідні дні.

Рішення: Видаліть сервісні облікові записи, якщо це не абсолютно необхідно. Розділіть щоденне користування й адміністрування. Якщо «Domain Admins» у локальних Administrators на кожній машині — ви побудували майданчик для латерального руху.

Завдання 3: Перевірте вхідні слухачі портів (докажіть, що відкрито)

cr0x@server:~$ powershell -NoProfile -Command "Get-NetTCPConnection -State Listen | Select-Object LocalAddress,LocalPort,OwningProcess | Sort-Object LocalPort | Format-Table -AutoSize | Select-Object -First 10"
LocalAddress LocalPort OwningProcess
------------ --------- -------------
0.0.0.0      135       1020
0.0.0.0      445       4
0.0.0.0      3389      1180
0.0.0.0      5985      772
127.0.0.1    47001     732

Значення: Показує слухачі. 445 — SMB, 3389 — RDP, 5985 — WinRM по HTTP.

Рішення: Якщо WinRM не потрібен — відключіть або принаймні зафільтруйте його на підмережу управління. Якщо RDP увімкнено — жорстко обмежте. Якщо бачите несподівані порти — знайдіть процес-власника далі.

Завдання 4: Зіставте порт з процесом (знайдіть винуватця)

cr0x@server:~$ powershell -NoProfile -Command "$p=(Get-NetTCPConnection -LocalPort 5985 -State Listen).OwningProcess; Get-Process -Id $p | Select-Object Id,ProcessName,Path | Format-List"
Id   : 772
ProcessName : svchost
Path : C:\Windows\System32\svchost.exe

Значення: WinRM зазвичай працює під svchost. Це очікувано; питання — чи ви мали цього намір.

Рішення: Якщо використовуєте PowerShell Remoting — тримайте його, але переводьте на HTTPS (5986) і робіть allowlist IP-адрес. Інакше відключіть WinRM.

Завдання 5: Підтвердіть профілі брандмауера та поведінку за замовчуванням для вхідного трафіку

cr0x@server:~$ powershell -NoProfile -Command "Get-NetFirewallProfile | Select-Object Name,Enabled,DefaultInboundAction,DefaultOutboundAction | Format-Table -AutoSize"
Name    Enabled DefaultInboundAction DefaultOutboundAction
----    ------- -------------------- ---------------------
Domain  True    Block                Allow
Private True    Block                Allow
Public  True    Block                Allow

Значення: За замовчуванням вхідні блокуються — це те, що вам потрібно. Вихідні дозволені — типовий для Windows.

Рішення: Переконайтеся, що сервер у потрібному профілі (Private/Domain). Якщо він у Public — виправте категорію мережі. Не «виправляйте» це відключенням брандмауера.

Завдання 6: Аудитуйте існуючі дозволи для ризикових сервісів

cr0x@server:~$ powershell -NoProfile -Command "Get-NetFirewallRule -Enabled True -Direction Inbound -Action Allow | Select-Object DisplayName,Profile,Enabled | Sort-Object DisplayName | Select-Object -First 12 | Format-Table -AutoSize"
DisplayName                                  Profile         Enabled
-----------                                  -------         -------
File and Printer Sharing (SMB-In)            Domain,Private  True
Remote Desktop - User Mode (TCP-In)          Domain,Private  True
Windows Remote Management (HTTP-In)          Domain,Private  True
Hyper-V Replica HTTP Listener (TCP-In)       Domain,Private  True

Значення: Ці правила показують, що Windows прийматиме вхідні з’єднання.

Рішення: Вимкніть те, чого не використовуєте. Для того, що використовуєте, звужуйте область: обмежуйте вхідні адреси вашою підмережею управління.

Завдання 7: Обмежте область брандмауера для RDP до підмережі управління

cr0x@server:~$ powershell -NoProfile -Command "Set-NetFirewallRule -DisplayGroup 'Remote Desktop' -RemoteAddress 192.168.10.0/24"

Значення: Обмежує вхідний RDP до цієї підмережі. Це один з найчистіших виграшів у зміцненні.

Рішення: Виберіть підмережу, що містить лише машини адміністраторів/клієнтів VPN. Якщо не можете визначити — це підказка створити VLAN управління.

Завдання 8: Перевірте, чи вимагано NLA для RDP

cr0x@server:~$ powershell -NoProfile -Command "(Get-ItemProperty 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -Name UserAuthentication).UserAuthentication"
1

Значення: Значення 1 означає, що NLA вимагатиметься (добре). 0 — не вимагатиметься (менш добре).

Рішення: Якщо 0 — увімкніть NLA, хіба що у вас є легасі-клієнт, який не підтримує його. Легасі-клієнти — не найкраща причина опускати планку.

Завдання 9: Підтвердіть стан SMB1 (і видаліть, якщо є)

cr0x@server:~$ powershell -NoProfile -Command "Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol | Select-Object FeatureName,State | Format-Table -AutoSize"
FeatureName  State
-----------  -----
SMB1Protocol Disabled

Значення: Disabled — це те, що вам потрібно.

Рішення: Якщо Enabled — відключіть. Якщо щось зламається, то «те щось» — це проблема сумісності, яку потрібно ізолювати, а не причина тримати SMB1 скрізь.

Завдання 10: Перевірте конфігурацію SMB-сервера (підпис, можливість шифрування)

cr0x@server:~$ powershell -NoProfile -Command "Get-SmbServerConfiguration | Select-Object EnableSMB1Protocol,EnableSMB2Protocol,RequireSecuritySignature,EncryptData | Format-List"
EnableSMB1Protocol        : False
EnableSMB2Protocol        : True
RequireSecuritySignature  : True
EncryptData               : False

Значення: SMB2 увімкнено. Підпис вимагатиметься (добре). Шифрування вимкнено (нормально в довіреній LAN, подумайте про нього в ненадійних сегментах).

Рішення: Якщо ваші шари проходять через Wi‑Fi, якому ви не повністю довіряєте (гостьова мережа, VLAN IoT) — розгляньте шифрування SMB на рівні шару або сегментацію мережі.

Завдання 11: Увімкніть перевірку стану Tamper Protection Defender

cr0x@server:~$ powershell -NoProfile -Command "Get-MpComputerStatus | Select-Object AMServiceEnabled,AntispywareEnabled,AntivirusEnabled,IsTamperProtected | Format-List"
AMServiceEnabled   : True
AntispywareEnabled : True
AntivirusEnabled   : True
IsTamperProtected  : True

Значення: Tamper protection ускладнює зловмисникам відключити Defender.

Рішення: Якщо Tamper Protection вимкнено — увімкніть, хіба що у вас є інструмент управління, що легітимно потребує змін налаштувань Defender.

Завдання 12: Перегляньте виключення Defender (виключення — там, куди йде безпека на спочинок)

cr0x@server:~$ powershell -NoProfile -Command "Get-MpPreference | Select-Object -ExpandProperty ExclusionPath"
C:\HyperV\VMs
C:\Backups\Staging

Значення: Виключення сховищ віртуальних машин може бути виправданим з точки зору продуктивності; широкі виключення можуть приховувати шкідливе ПЗ.

Рішення: Тримайте виключення вузькими й обґрунтованими. Якщо ви виключили C:\ або профілі користувачів — відкатуйте це негайно і вирішіть проблему продуктивності іншим шляхом.

Завдання 13: Подивіться час останнього запуску (виявляйте несподівані перезавантаження)

cr0x@server:~$ powershell -NoProfile -Command "(Get-CimInstance Win32_OperatingSystem).LastBootUpTime"
Monday, February 05, 2026 3:12:44 AM

Значення: Якщо цей час не відповідає плановому обслуговуванню — у вас було непланове перезавантаження.

Рішення: Досліджуйте Windows Update і події живлення. Несподівані перезавантаження — інцидент надійності, навіть удома.

Завдання 14: Перевірте індикатори очікування перезавантаження через оновлення

cr0x@server:~$ powershell -NoProfile -Command "Test-Path 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Component Based Servicing\RebootPending'"
True

Значення: True вказує на очікування перезавантаження, зазвичай через оновлення або обслуговування компонентів.

Рішення: Заплануйте перезавантаження в межах вашого вікна обслуговування. Не дозволяйте йому статися, коли Windows відчуває натхнення.

Завдання 15: Швидко оцініть стан дисків (не чекайте до кліку долі)

cr0x@server:~$ powershell -NoProfile -Command "Get-PhysicalDisk | Select-Object FriendlyName,MediaType,HealthStatus,OperationalStatus,Size | Format-Table -AutoSize"
FriendlyName     MediaType HealthStatus OperationalStatus Size
------------     --------- ------------ ----------------- ----
Samsung SSD 870  SSD       Healthy      OK                1.81 TB
WDC WD80EFZZ     HDD       Warning      OK                7.28 TB

Значення: «Warning» у HealthStatus — раннє попередження. У лабораторії ви схильні ігнорувати натяки, поки вони не стануть сигналами.

Рішення: Запустіть SMART/діагностику вендора й плануйте заміну. Якщо диск в дзеркалі/масиві — перевірте відновлення стійкості та поведінку відновлення зараз, а не пізніше.

Завдання 16: Підтвердіть стан BitLocker на томах даних

cr0x@server:~$ powershell -NoProfile -Command "Get-BitLockerVolume | Select-Object MountPoint,VolumeStatus,ProtectionStatus,EncryptionPercentage | Format-Table -AutoSize"
MountPoint VolumeStatus    ProtectionStatus EncryptionPercentage
---------- ------------    ---------------- --------------------
C:         FullyEncrypted  On               100
D:         FullyEncrypted  On               100

Значення: FullyEncrypted + Protection On — це те, що ви хочете бачити.

Рішення: Якщо Protection вимкнено або том не зашифрований — визначте, який ризик ви приймаєте. Принаймні шифруйте портативні чи легко знімаємі носії.

Завдання 17: Перевірте критичні сигнали журналу подій щодо дисків і незапланованих вимкнень

cr0x@server:~$ powershell -NoProfile -Command "Get-WinEvent -FilterHashtable @{LogName='System'; Id=7,51,55,41,6008; StartTime=(Get-Date).AddDays(-7)} | Select-Object TimeCreated,Id,LevelDisplayName,Message | Format-Table -Wrap"
TimeCreated           Id LevelDisplayName Message
-----------           -- ---------------- -------
2/3/2026 1:22:10 AM   7 Error            The device, \Device\Harddisk2\DR2, has a bad block.
2/5/2026 3:12:50 AM  41 Critical         The system has rebooted without cleanly shutting down first.

Значення: ID 7/51/55 — сигнали про проблеми з диском. ID 41/6008 — означають некрасиво завершені вимкнення.

Рішення: Помилки диска: розслідуйте негайно, бо проблеми зі сховищем часто ескалюють. Незаплановане вимкнення: перевірте живлення, UPS, драйвери й історію оновлень.

Завдання 18: Перевірте Планувальник завдань на «загадкові роботи»

cr0x@server:~$ powershell -NoProfile -Command "Get-ScheduledTask | Where-Object {$_.State -ne 'Disabled'} | Select-Object TaskName,TaskPath,State | Sort-Object TaskPath,TaskName | Select-Object -First 12 | Format-Table -AutoSize"
TaskName                         TaskPath                          State
--------                         --------                          -----
MicrosoftEdgeUpdateTaskMachineUA \                               Ready
ScheduledDefrag                  \Microsoft\Windows\Defrag\        Ready
CleanupTemporaryState            \Microsoft\Windows\AppxDeployment\ Ready

Значення: Завдання можуть бути нешкідливими або причиною нічних піків CPU.

Рішення: На серверах відключайте споживчі оновлювальні задачі, які не потрібні. Залишайте завдання обслуговування ОС, якщо розумієте наслідки.

Плейбук швидкої діагностики: що перевіряти першим/другим/третім

Це чекліст «повільно / впало / дивно», який дозволяє швидше дійти до кореня проблеми, ніж випадкові кліки.

Перше: з’ясуйте, чи це вузьке місце ресурсів або збій сервісу

• Це один сервіс чи все одразу? Якщо лише SMB повільний, не починайте з налаштування CPU.
• Чи доступна машина? Ping не доказ здоров’я, але дешевий сигнал.
• Перевірте uptime/останній запуск, щоб виявити перезавантаження і події оновлення.

Друге: визначте обмежувальний ресурс (CPU, пам’ять, диск, мережа)

• CPU завантажений? Шукайте одиночний процес (резервне копіювання, скан антивірусу, індексація, дедуплікація, перекодування).
• Тиск на пам’ять? Перевірте commit, сторінкові помилки і чи відбувається свопінг.
• Затримки диска? Це тихий вбивця. «Здоровий» CPU з 50ms записів на диск — ще поганий день.
• Мережа? Подивіться на швидкості лінків, повторні передачі або чи порт комутатора поводиться дивно.

Третє: перевірте типових винуватців (за порядком сорому)

1. Оновлення: очікуване перезавантаження, застряглий стек обслуговування, несподіване перезавантаження.
2. Проблеми зі сховищем: event ID 7/51/55, «Warning» у фізичних дисках, скидання контролера.
3. DNS: неправильні форвардери або плутанина split-horizon викликає «все повільно».
4. Права/автентифікація: прострочені паролі, зламані довіри, зсув часу, що викликає помилки Kerberos.
5. Неправильно застосовані заходи безпеки: брандмауер занадто широкий або занадто вузький; ASR блокує ваші скрипти.

Швидкі команди для триажу

cr0x@server:~$ powershell -NoProfile -Command "Get-Date; (Get-CimInstance Win32_OperatingSystem).LastBootUpTime; Get-Process | Sort-Object CPU -Descending | Select-Object -First 5 Name,Id,CPU"
Tuesday, February 05, 2026 10:44:11 AM
Monday, February 05, 2026 3:12:44 AM

Name      Id   CPU
----      --   ---
MsMpEng   412  833.4
Veeam     2212 402.1
System    4    250.8

Рішення: Якщо Defender або резервне копіювання домінує CPU в робочий час (або під час перегляду фільмів) — заплануйте його. Якщо високий процес System — підозрюйте драйвери, сховище або мережу.

Поширені помилки: симптом → корінна причина → виправлення

1) «Спроби брутфорсу RDP у журналі безпеки» → RDP відкрито → усуньте експозицію

Симптом: Сотні невдалих входів, дивні імена користувачів, сплески подій 4625.

Корінна причина: RDP (або проброшений порт керування) доступний з інтернету.

Виправлення: Приберіть порт-форварди. Покладіть RDP за VPN. Звужуйте брандмауер до підмережі управління. Додайте політику блокування облікового запису і MFA, де можливо.

2) «Файловий шар повільний і інколи зависає» → затримка диска або наклад від підпису/шифрування SMB → виміряйте й налаштуйте

Симптом: Копіювання дрібних файлів повзає; Провідник зависає; сервер в іншому вигляді здається нормальним.

Корінна причина: Висока затримка диска (SSD/HDD з проблемами, поведінка SMR-диска, контролер) або навантаження CPU від підпису/шифрування на слабкому обладнанні.

Виправлення: Перевірте системний журнал на помилки диска і виміряйте затримки (лічильники PerfMon). Якщо підпис/шифрування потрібні — оновіть обладнання або сегментуйте трафік, щоб шифрувати тільки там, де потрібно.

3) «Резервні копії успішні, але відновлення не працює» → ви ніколи не тестували відновлення → впровадьте відпрацювання відновлення

Симптом: Під час інциденту ви виявляєте, що ланцюг резервних копій неповний або змінилися облікові дані.

Корінна причина: «Завдання виконано» вважали доказом відновлюваності.

Виправлення: Заплануйте тестові відновлення щомісяця. Відновлюйте в ізольоване місце і перевіряйте цілісність файлів. Документуйте кроки.

4) «Windows Update перезавантажує, коли йому заманеться» → політики перезапуску не налаштовані → визначте вікно обслуговування

Симптом: Сервіси падають вночі чи вдень; uptime скидається несподівано.

Корінна причина: Поведінка оновлень за замовчуванням плюс очікуване перезавантаження і невірні активні години.

Виправлення: Налаштуйте активні години, політики перезапуску через GPO/локальні політики і моніторте індикатор очікування перезавантаження.

5) «Defender вимкнено або виключення величезні» → латка для продуктивності → налаштуйте правильно

Симптом: Високий CPU під час сканів; хтось вимкнув AV або виключив цілі томи.

Корінна причина: Намагалися вирішити продуктивність без розуміння шаблонів навантаження.

Виправлення: Плануйте сканування, виключайте лише необхідні папки з VM-образами (і лише за потреби), тримайте Tamper Protection увімкненим. Розгляньте переміщення «гарячого» вводу-виводу на швидше сховище замість послаблення безпеки.

6) «Не можу отримати доступ до шару після зміцнення» → область брандмауера занадто вузька → відрегулюйте allowlist

Симптом: SMB працює з однієї машини, але не з інших.

Корінна причина: Вхідне правило брандмауера обмежено неправильною підмережею або профілем.

Виправлення: Перевірте профіль мережі, потім правильно вкажіть RemoteAddress. Звужуйте правило; не повертайтесь до «Any».

7) «Проблеми автентифікації після перестановки обладнання» → зсув часу → виправте NTP

Симптом: Помилки Kerberos, проблеми з сертифікатами, дивні запити на логін.

Корінна причина: Зсув часу через погані NTP-джерела, нестабільний час у VM або поведінка хоста при сні/гібернації.

Виправлення: Налаштуйте надійне джерело часу, переконайтеся, що доменна ієрархія коректна, і не дозволяйте серверам спати/гібернувати.

Чеклісти / покроковий план

Фаза 1 (30–60 хв): набір «зупинити кровотечу»

1. Приберіть інтернет-перенаправлення портів для RDP/SMB/WinRM. Підтвердіть зовні вашої мережі.
2. Обмежте область RDP у брандмауері до підмережі управління (або вимкніть RDP, якщо він не потрібен).
3. Вимкніть SMB1.
4. Переконайтеся, що брандмауер Windows увімкнено для всіх профілів і сервер у потрібному профілі (Private/Domain).
5. Підтвердіть, що Defender запущено й Tamper Protection увімкнено.
6. Перевірте групу локальних Administrators і видаліть непотрібні облікові записи/групи.

Фаза 2 (1–2 години): зробіть відновлення реальним

1. Увімкніть BitLocker для томів даних і збережіть ключі відновлення десь не на сервері.
2. Налаштуйте графік резервного копіювання з принаймні однією офлайн/поза-сайтом копією.
3. Запустіть тестове відновлення представницької папки або VM.
4. Збільште розміри журналів подій (Security/System), щоб не перезаписувати докази за день.
5. Визначте вікно обслуговування і політику оновлень/перезапусків.

Фаза 3 (півдня, опціонально): зміцнюємо як слід

1. Сегментуйте мережу: VLAN управління, VLAN серверів, VLAN для гостей/IoT.
2. Впровадьте пересилання журналів подій на колекторну ВМ.
3. Увімкніть правила ASR у режимі аудиту, перегляньте результати і потім застосуйте безпечні.
4. Перенесіть критичні сервіси у ВМ з знімками й визначеними точками відновлення.
5. Документуйте команди «швидкої діагностики» й зберігайте разом із нотатками лабораторії.

Три корпоративні міні-історії (анонімізовані, правдоподібні й болісно знайомі)

Міні-історія 1: Інцидент через неправильне припущення

Невелика команда інфраструктури обслуговувала кластер файлових серверів для відділу, який наполягав, що «нічого не публічне». Вони мали пристойний периметр брандмауера і вірили в це. Вони думали, що віддалений доступ лише через корпоративний VPN.

Потім підряднику потрібно було завантажити великий набір даних «лише на тиждень». Хтось попросив порт-форвард для SMB «для зручності», і хтось інший погодив, бо заявка виглядала рутинною. Ніхто не оновив діаграму. Ніхто не додав обмеження за часом. Порт-форвард жив вічно, тихо, як погана звичка.

Місяці потому сплески невдалих автентифікацій. SOC помітив шум по 445 і 3389 на публічній IP, потім вдалий вхід під повторно використаним обліковим записом. Зловмиснику не потрібен був 0-day; йому вистачило терпіння. Він опинився на файловому сервері, зібрав облікові дані і використав SMB для переліку шарів. Рансомвер не мусив бути хитрим — просто швидким.

Неправильне припущення команди було не в «SMB небезпечний». Неправильне припущення — «наші мережеві шляхи відповідають нашій ментальній моделі». Насправді мережі дрейфують. Тікети стають постійними. Тимчасові винятки стають архітектурою.

Виправлення було непомпезне: ніяких порт-форвардів для управління або шарингу, VPN обов’язковий, брандмауерна сегментація скрізь і щотижневий аудит «відкритих служб». Це не робило людей героями — отож, мабуть, правильно.

Міні-історія 2: Оптимізація, що обернулася проти

Організація з флотом хостів віртуалізації Windows вирішила оптимізувати продуктивність. Антивірус звинувачували в періодичних IO-спайках під навантаженням. Замість тонкого налаштування вони додали широкі виключення Defender для шляхів з VM-образами — потім стали сміливішими і виключили цілі томи, «щоб усунути вплив». Спочатку це спрацювало. Бенчмарки покращилися. Графіки стали спокійніші.

Потім розробник завантажив «утиліту» в спільну теку інструментів на одному хості. Вона була упакована з шкідником, який розгорнув payload у виключений шлях. Defender його не перевірив, бо його попросили не перевіряти. Шкідник отримав стійкість і використав легітимні адмінські інструменти для поширення. Інцидент варився довго.

Коли він вибухнув, це не було кіношною зломом. Це була брудна операційна невдача: VMs зашифровані, знімки видалені там, де були відповідні права, резервні копії, доступні з компрометованого хоста, теж під прицілом. Команда оптимізувала той єдиний контроль, що ускладнив початкове проникнення.

Постмортем дав чіткий урок: налаштування продуктивності — реальна річ, але виключення без документування — борг. Якщо треба виключити — робіть це вузько, документуйте і перевіряйте. Краще запланувати сканування, оптимізувати IO і інвестувати в швидше сховище для «гарячого шляху». «Виключити весь диск» — не оптимізація; це капітуляція з Excel-таблицею.

Міні-історія 3: Нудна, але правильна звичка, що врятувала день

Інша команда обслуговувала Windows-сторедж для бізнес-додатку. Сервер не був крутим і не був особливо швидким. Але команда мала одну звичку: щомісяця вони практикували відновлення. Не теоретичне — реальне відновлення в ізольоване місце і перевірка, що відновлені дані працюють.

Вони також пересилали логи подій Windows до центрального колектора і тримали Security та System логи достатньо великими, щоб вистачало хоча б на кілька тижнів. Знову: нудно. Ніхто за це не отримав підвищення. Але це дозволяло швидко відповісти на питання: коли почалося, що змінилося, який обліковий запис це зробив і що система казала в той час.

Якось контролер сховища почав періодично скидати диск. ОС логувала транзитні IO-помилки, потім відновлювалася. Користувачі казали «інколи повільно». Це те, що часто ігнорують, доки не стане катастрофою.

Завдяки централізованим логам патерн був очевидний. Завдяки регулярним відновленням команда не побоялася діяти. Вони замінили диск, перебудували масив і запланували заміну контролера. Ніякої драми, без героїв, без втрати даних. Бізнес майже не помітив.

Мораль: не треба генія, щоб керувати надійними системами. Потрібні звички, що перетворюють катастрофи на рутину.

Часті питання

1) Чи мені використовувати Windows Server чи Windows 11 Pro для домашнього серверу?

Якщо вам потрібні серверні ролі (AD DS, DHCP, розширені файлові послуги) — використовуйте Windows Server. Якщо це переважно додатки й шари — Windows 11 Pro теж може підійти. У будь-якому разі зміцнюйте базові речі: експозицію, привілеї, логування, резервні копії.

2) Чи достатньо змінити порт RDP замість VPN?

Ні. Це зменшує шум, але не ризик. Використовуйте VPN і тримайте RDP лише в LAN. Якщо ви щось відкриваєте — ви фактично обираєте постійне сканування.

3) Чи вимкнення SMB1 поламає щось?

Може зламати дуже старі NAS-пристрої, принтери й медіаплеєри. Це проблема сумісності, яку слід ізолювати, а не поширювати по всьому середовищу.

4) Чи справді потрібен BitLocker на сервері, що ніколи не виноситься з дому?

Якщо дані важливі — так. Крадіжка, помилки утилізації й «позичив диск другу» трапляються. Шифрування дешево у порівнянні з жалем.

5) Яка найпростіша безпечна схема віддаленого адміністрування для домашньої лабораторії?

VPN до вашої домашньої мережі, далі RDP/SSH/інше управління, наче ви локально. Розмістіть доступ адміністрування на виділеному VLAN управління, якщо можете.

6) Як зміцнювати без ламання медіа- або ігрових серверів?

Почніть зі звуження правил брандмауера замість відключення функцій. Дозволяйте лише потрібні порти й тільки з довірених мереж. Тримайте профіль «Public» закритим. Тестуйте по одному зміненню.

7) Чи варто вмикати правила ASR на серверах?

Так, але почніть у режимі аудиту. Деякі правила можуть ламати легітимну автоматизацію. Використовуйте період аудиту, щоб вивчити, що сервер робить, а потім застосуйте вибірково.

8) Які логи зберігати, якщо я не хочу запускати SIEM?

Тримайте Security/System/операційні логи Defender локально з більшим розміром і пересилайте принаймні Security та System на іншу машину. Централізація — страховка проти «сервер загинув і зникли логи».

9) Чи потрібно вимикати WinRM?

Якщо ви не використовуєте PowerShell Remoting або інструменти управління, що залежать від нього — так, вимкніть. Якщо використовуєте — обмежте HTTPS і пропишіть allowlist IP управління.

10) Який найшвидший спосіб визначити, повільно через диск чи мережу?

Спочатку перевірте події System, пов’язані з диском (ID 7/51/55), потім подивіться швидкості лінків і повторні передачі. Затримка диска часто маскується під повільну мережу, бо все чекає на IO.

Наступні кроки: нудна перемога

Якщо цього тижня ви нічого іншого не зробите — зробіть ці п’ять речей: приберіть публічну експозицію портів управління, звужуйте RDP до підмережі управління або вимкніть його, вимкніть SMB1, переконайтеся, що Defender і Tamper Protection увімкнені, і проведіть реальний тест відновлення. Це не програма відповідності — це просто вибір жити у світі, де відмови трапляються, і ви до них готові.

Потім оберіть одну «дорослу» звичку: щомісячні відновлення, щотижневі перевірки відкритих служб або централізовані логи. Вам не потрібно бути параноїком. Потрібно бути передбачуваним. Зловмисники й поломки дисків ненавидять передбачувані засоби захисту.