Jak udržovat zdravou síťovou infrastrukturu ve Windows

  • Konfigurace a optimalizace systému Windows (IPv4, síťové profily, TCP/IP a DoH) pro zajištění stability a kontroly.
  • Upravte síťovou kartu (offload, RSS, buffery, napájení) a TCP stack pro maximalizaci výkonu a minimalizaci latence.
  • Navrhujte podle zón (DMZ, interní, testovací) a aplikujte Zero Trust s AAA, moderní šifrování a segmentaci.
  • Udržujte plán nepřetržitého provozu: záplaty, zálohy, monitorování a dokumentaci pro vysokou dostupnost.
Pablo

14 minut

Síťová infrastruktura ve Windows

Správa sítě ve Windows dnes nespočívá jen v propojování počítačů: jde o její udržení v flexibilitě, zabezpečení a připravenosti na cokoli, co přijde později. Zdravá síťová infrastruktura Snižuje prostoje, předchází incidentům a umožňuje maximalizovat výkon v domácím i firemním prostředí.

V této příručce najdete klíčová nastavení systému Windows, techniky optimalizace adaptérů, doporučení pro zabezpečení na vysoké úrovni, referenční návrh pro infrastrukturu Windows s kritickými službami a podrobný plán údržby. Integrujeme praktickou konfiguraci, výkon, osvědčené postupy a zabezpečení. aby vaše síť zůstala dlouhodobě stabilní a zdravá.

Nastavení sítě a internetu ve Windows: Rychlý přístup a stav

V systému Windows panel Síť a internet sdružuje vše, co potřebujete k připojení, přizpůsobení a diagnostice. Chcete-li to otevřít Máte dvě velmi praktické zkratky: použijte tlačítko Start a zadejte nastavení pro vstup do Nastavení > Síť a internet nebo klikněte pravým tlačítkem myši na ikonu Síť nebo Wi-Fi na hlavním panelu a vyberte Nastavení sítě a internetu.

V tomto panelu uvidíte v horní části stav připojení s přístupem k často používaným funkcím, jako je Wi-Fi, Ethernet, VPN, využití dat nebo vlastnosti sítě. Je to nejpřímější cesta abyste si na první pohled ověřili, zda je vše správně propojeno.

Jak zobrazit svou IP adresu ve Windows

Pokud potřebujete zjistit svou IP adresu v lokální síti, systém Windows to usnadňuje pomocí vlastností rozhraní. Jdi touto cestou najít používanou IPv4 adresu.

  1. Otevřete Síť a internet a vyberte příslušné rozhraní: Wi-Fi pro bezdrátové sítě (vyberte síť, ke které jste připojeni) nebo Ethernet pro kabel.
  2. Ve vlastnostech vyhledejte řádek Adresa IPv4, kde najdete přiřazenou IP adresu. S tou IP adresou Budete moci diagnostikovat nebo konfigurovat interní přístup.

Řízení využití: nastavení limitu dat

Pokud používáte datový tarif s měřením (tethering, 4G/5G nebo omezená připojení), systém Windows vás může upozornit, když se blížíte limitu, a dokonce i když ho překročíte. Nastavte limit Pomáhá to vyhnout se překvapením a optimalizovat provoz.

  1. Zadejte Konfigurace sítě a internetu.
  2. Vyberte Použití dat v aktivním stavu sítě.
  3. Vyberte Zadat limit, definujte typ limitu, vyplňte pole a uložte. Odtamtud Budete dostávat automatická oznámení.

Režim Letadlo: kdy a jak ho zapnout

Režim Letadlo vypne Wi-Fi, mobilní síť, Bluetooth a NFC najednou. Je to užitečné pro úsporu baterie nebo splnění požadavků v konkrétních prostředích.

  • Klikněte na hlavním panelu na Síť, Hlasitost nebo Baterie a aktivovat režim Letadlo.
  • Nebo přejděte do Síť a internet > Režim Letadlo a použijte přepínač. S nádechem Vypnete nebo zapnete celé rádio.

Veřejná nebo soukromá síť: vyberte správný profil

Při prvním připojení systém Windows 11 ve výchozím nastavení nastaví síť jako veřejnou. Tento profil minimalizuje expozici A je to doporučený způsob, pokud se nechystáte sdílet zdroje v důvěryhodném prostředí.

  • Veřejná síťZařízení zůstává skryté před ostatními zařízeními; není určeno pro sdílení souborů ani tiskáren.
  • Soukromá síťZařízení je zjistitelné a umožňuje sdílení. Používejte ho pouze v případě, že důvěřujete uživatelům a zařízením v daném segmentu.

Chcete-li změnit profil, přejděte do nastavení Síť a internet, vyberte Wi-Fi a vyberte aktuální síť (nebo Ethernet, pokud používáte kabel) a v části Typ profilu zaškrtněte Veřejný nebo Soukromý. Profil udává úroveň expozice a chování firewallu.

Nastavení TCP/IP a DNS ve Windows

TCP/IP definuje, jak počítače komunikují mezi sebou navzájem a s internetem. Nejpohodlnější a nejrobustnější Obvykle se to dělá pomocí DHCP, takže router automaticky přiřazuje IP a DNS, ale můžete také vše nakonfigurovat ručně.

  1. V části Síť a internet zadejte pro sítě Wi-Fi Wi-Fi > Spravujte známé sítě a vyberte síť; v případě Ethernetu vyberte aktivní připojení.
  2. En Přiřazení IP adresy, stiskněte Upravit.
  3. Vyberte Automaticky (DHCP) nebo Ručně. Automaticky Nechte správu IP a DNS na routeru; v režimu Manual (Ručně) můžete definovat IP, masku, bránu a DNS servery.

Pokud chcete chránit dotazy DNS, systém Windows podporuje DNS přes HTTPS. Máte k dispozici tři režimyVypnuto (prostý text), Zapnuto s automatickou šablonou (zjistí konfiguraci) nebo Zapnuto s ruční šablonou (definujete šablonu DoH). Můžete povolit nebo zakázat návrat k prostému textu: pokud je povoleno, nešifrovaný dotaz bude proveden pouze v případě, že HTTPS není možný; pokud je zakázáno, v případě selhání šifrování se dotaz neprovede.

Nastavení zabezpečené sítě ve Windows

Optimalizace síťového adaptéru ve Windows Serveru

Správné ladění síťové karty může mít vliv na zatížení serveru: vyšší výkon, menší latence a lepší využití CPU. Optimální konfigurace Záleží na adaptéru, zátěži, hardwaru a cílech.

Umožňuje odlehčení zátěže sítě, jako jsou kontrolní součty TCP, LSO a RSS. Tyto funkce odlehčují práci ke kartě a ulevit CPU, i když u adaptérů s omezenými zdroji by některá stahování mohla omezit udržitelný vrchol; pokud je tento limit přijatelný, je vhodné je i tak povolit.

RSS distribuuje příchozí provoz mezi více logických procesorů, což je klíčové, když je méně síťových karet než procesorů. Zkontrolujte RSS kanál (výchozí hodnota NUMAStatic) a zvyšuje počet front, pokud to adaptér umožňuje, aby se zlepšila paralelizace.

Pokud řadič umožňuje úpravu zdrojů, zvýší přijímací a odesílací vyrovnávací paměť. Nízké hodnoty V RX způsobují ztrátu paketů a nižší výkon, zejména při vysokých příjmových tocích.

Pokud jde o moderování vyrušování, hledejte rovnováhu. Méně přerušení Šetří CPU na úkor latence; více přerušení snižuje latenci, ale spotřebovává CPU. Pokud je k dispozici slučování vyrovnávacích pamětí, zvýšení počtu přerušení pomáhá, když není k dispozici nativní moderování přerušení.

Sítě citlivé na mikrosekundy: snížení latence

Pro prostředí, která měří latenci v mikrosekundách, je vhodné platformu upravit. Účinné triky: nastavte BIOS na Vysoký výkon a zakažte stavy C (nebo povolte OS správu napájení), nastavte plán napájení systému na Vysoký výkon (příkaz powercfg, pokud je to vhodné), povolte statické odlehčení (kontrolní součty UDP/TCP a LSO), povolte RSS ve vícevláknových streamech a zakažte moderování přerušení, pokud je nejdůležitější nižší latence (na úkor CPU).

Spravujte přerušení a afinitu DPC síťové karty tak, aby sdílely mezipaměť s uživatelským vláknem, které zpracovává pakety. Použijte stejné jádro Pro ISR, DPC a aplikaci to dokáže nasytit; inteligentně distribuovat pomocí RSS a afinity.

Buďte si vědomi přerušení správy systému (SMI). Mají nejvyšší prioritu. a může způsobit špičky o délce přes 100 µs. Pokud je latence kritická, požádejte dodavatele o BIOS s nízkou latencí nebo s minimalizovaným SMI; operační systém je nedokáže zpracovat.

Automatické nastavení okna příjmu TCP

Systém Windows dynamicky vyjednává velikost okna příjmu pro každé připojení, aby maximalizoval výkon. Bývalo to opravené (65 535 bajtů) a omezenou propustností; díky samoregulaci se zásobník přizpůsobuje latenci a šířce pásma.

Pro informaci, propustnost na připojení je TCP Window v bajtech vynásobeno 1 děleno latencí. Klasický příkladPři rychlosti 1 Gb/s s latencí 10 ms by statické okno poskytlo přibližně 51 Mb/s; s dobře dimenzovaným automatickým laděním lze dosáhnout linky s rychlostí 1 Gb/s.

Pokud aplikace nedefinuje okno, systém Windows alokuje paměť podle rychlosti: méně než 1 Mb/s používá 8 KB, mezi 1 a 100 Mb/s 17 KB, od 100 Mb/s do 10 Gb/s 64 KB a 10 Gb/s a více 128 KB. Takto se to používá odkaz bez dotyku aplikace.

Dostupné úrovně: Normální (faktor 0x8), Zakázáno (bez škálování), Omezeno (0x4), Vysoce omezeno (0x2) a Experimentální (0xE). Zachycení paketů Zobrazí WindowsScaleFactor s ShiftCount 8, none, 4, 2 nebo 14, obvykle udržují dohodnuté okno 64K na SYN podle datového toku síťové karty.

Úroveň můžete zkontrolovat nebo změnit pomocí PowerShellu nebo netsh. Upravte úroveň podle vašeho scénáře: Normální obvykle vyhovuje téměř všem a Experimentální je určen pro extrémní prostředí.

Zastaralá platforma a parametry filtrování

Platforma pro filtrování systému Windows umožňuje softwaru třetích stran kontrolovat a filtrovat provoz v zásobníku. Je to klíčové pro bezpečnostŠpatně implementované filtry však snižují výkon serveru; ověřte je a optimalizujte.

Starší hodnoty systému Windows Server 2003, jako například TcpWindowSize, NumTcbTablePartitions a MaxHashTableSize, se již nepoužívají. V moderních verzích Jsou ignorovány, i když se nacházejí v HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters.

Údržba sítě: definice, výhody a výzvy

Údržba sítě zahrnuje kontrolu a zajištění dobrého stavu síťového hardwaru, softwaru, konfigurace, výkonu a zabezpečení, identifikaci a řešení závad nebo rizik. Je to nepřetržitý proces což zabraňuje přerušením, posiluje ochranu a zajišťuje kontinuitu podnikání.

Jasné výhody: vylepšená konektivita a spolupráce, větší ochrana před narušením bezpečnosti, úspory díky sdílení zdrojů a zkrácení prostojů, mobilita s bezdrátovými zařízeními a lepší uživatelská zkušenost díky nižší latenci a vyšší dostupnosti. To vše se sčítá pro efektivnější provoz.

Běžné problémy: kompatibilita po aktualizacích, růst a škálovatelnost, necertifikované týmy údržby, lidské chyby a správa starého, nepodporovaného hardwaru. Plánování a školení je nezbytné je zmírnit.

Síť propojuje zařízení za účelem sdílení dat a zdrojů pomocí protokolů přes kabelová nebo bezdrátová média. Data přicházejí v paketech.Přepínače spravují provoz v síti a routery mezi sítěmi a hledají efektivní trasy.

Nejběžnější typy sítí podle rozsahu: LAN (kancelář nebo budova), PAN (zařízení v blízkosti), MAN (městská oblast) a WAN (velká oblast, dokonce i země). Každý typ To s sebou nese různé požadavky a rizika.

Klíčové výhody dobře provedené údržby

Kromě technických aspektů má důkladná údržba vliv na kontinuitu a výsledky. Vysoká dostupnost Díky kontrolám a prevenci dochází k menšímu počtu incidentů, optimalizovanému hardwaru a softwaru a ke zlepšení dodržování předpisů prostřednictvím kontrol a auditů.

Podrobný plán údržby sítě

1) Příprava: vyhodnocuje architekturu a aktuální stav, kontroluje diagramy a nedávné změny a kontroluje, zda je veškerá dokumentace (topologie, konfigurace, data dodavatelů) aktuální.

2) BezpečnostAudituje firewally a IPS, aktualizuje antivirový a antimalwarový software a aplikuje záplaty pomocí systému správy, který automatizuje a ověřuje celý proces. Také vyhledává zranitelnosti a nesprávné konfigurace.

3) Hardware a softwareMonitoruje stav serverů a routerů (paměť, CPU, disk, chyby) a ověřuje správnou konfiguraci přepínačů a přístupových bodů pro optimální provoz.

4) VýkonAnalyzuje šířku pásma a vzorce provozu, aby detekoval úzká hrdla, a monitoruje latenci v rámci přijatelných prahových hodnot, v případě potřeby ji upravuje.

5) Zálohy a obnovaOvěřte, zda jsou zálohy úplné a aktuální, zkontrolujte plán obnovy po havárii, přizpůsobte jej novým systémům nebo změnám a poraďte se s odborníkem. Průvodce opravou systému po viru.

6) Dokumentace: aktualizuje dokumenty se všemi provedenými změnami (konfigurace, záplaty) a zaznamenává incidenty s jejich příčinou, řešením a získanými poznatky.

Podpora třetích stran: typické služby

Specializovaný poskytovatel údržby (TPM) od třetí strany může posílit vaši strategii hardwaru a dostupnosti. Jeho služby Obvykle zahrnují opravy, nepřetržitou podporu, globální pokrytí, kvalitní repasované náhradní díly a odborné znalosti pro více značek.

Služba popis
Opravná údržba Certifikovaní technici diagnostikují a opravují závady nebo ohrožené komponenty.
24/7 podpora Vzdálená a přímo na místě pomoc kdykoli pro minimalizaci prostojů.
Celosvětový dosah Přítomnost v mnoha zemích pro poskytování služeb kdekoli se vaše společnost nachází.
Vysoce kvalitní náhradní díly (SpaaS) Repasované díly, které snižují náklady a podporují oběhové hospodářství.
Zážitek s více značkami Podpora pro různé výrobce a modely, a to i ty, které nejsou uvedeny v katalogu.

Detekce a reakce: Od EDR k XDR

Úplná prevence není možná a reakce je zásadní. EDR poskytuje přehled a odezvu koncových bodů, ale obvykle vynechává síťová zařízení, úložiště, tiskárny, BYOD, cloud nebo IoT a na úrovni operačního systému nevidí vektory, jako je e-mail.

Aby se tyto mezery zaplnily, objevují se řešení specifická pro danou oblast a XDR si integrovaným způsobem klade za cíl sjednotit detekci a reakci napříč koncovými body, sítí a cloudem. Koncept stále dozráváProbíhá debata o příjmu protokolů, analýze hrozeb, analytice a automatizaci.

Zavedení XDR vyžaduje dlouhodobou strategii, výběr správných poskytovatelů a zahájení u těch nejzavedenějších (obvykle EDR) před rozšířením pokrytí na síť a cloud. strojové učení Již nyní doplňuje detekci bez podpisu a může urychlit vyšetřování.

Referenční návrh: Bezpečná infrastruktura Windows pro podniky

Představte si, že potřebujete poštovní systém, veřejný web, úložiště uživatelských souborů, produkční a testovací databáze (nepřístupné k internetu) a dvě aplikace (klient-server a webovou) s produkčním a testovacím prostředím. Zónovaný design Redundance a segmentace jsou základem.

  • Zóny a síťInternet, DMZ (zveřejněné služby), interní produkční síť, interní testovací/laboratorní síť, síť pro správu a záložní síť. Segmentace do VLAN, použití ACL mezi segmenty a ochrana toků pomocí perimetrického firewallu a interního firewallu a také WAF před veřejnými webovými aplikacemi.
  • Identita a základy2 řadiče domény (AD DS) na lokalitu s integrovaným DNS a redundantním DHCP (nebo rezervacemi v jádru). Synchronizuje čas a používá skupinové zásady pro posílení zabezpečení. Identita Je to vrstva, která nese zbytek.
  • pošta2 poštovní servery (Exchange) v DAG v interní síti a 1-2 Edge Transport v DMZ pro zabezpečené předávání nebo cloudová služba se zabezpečenými konektory. Filtrovat spam a malware na perimetru a pro přenos používá TLS.
  • Veřejné webové stránky2 servery IIS v DMZ za load balancerem a WAF, s TLS 1.2 nebo vyšším a robustními šiframi. Bez přímého přístupu do interních databází; veškerá vystavená logika musí být bezstavová a nasazená prostřednictvím CI/CD.
  • Ukládání souborů2 clusterované souborové servery (SOFS/DFS-R) s kvótami, deduplikací a záložními síťovými kopiemi. Ovládání oprávnění s ACL a označováním citlivých dat.
  • DatabázeProdukce se 2 uzly SQL Serveru v Always On AG a testování na 1–2 samostatných a izolovaných instancích v laboratorní VLAN. Žádné odkazy z internetu nebo DMZ do těchto databází.
  • Interní aplikace2 servery pro interní webovou aplikaci a 2 pro klient-server aplikaci (fondy na produkt a na test), všechny připojené ke svým databázím přes VLAN a omezené porty. Omezuje provoz na minimum (port a zdroj/cíl).
  • Řízení a bezpečnost2 servery AAA/RADIUS (NPS) pro administraci a Wi-Fi, SIEM pro logování, IDS/IPS, WSUS a monitorovací platforma. Zálohy na samostatné síti s testováním uchovávání a pravidelné obnovy.
  • Další ovládací prvkyVPN s MFA pro vzdálenou správu, jump servery, posílení služeb a segmentaci East-West s mikrosegmentací, kde je to vhodné. Cíl Jde o omezení bočního pohybu a zvládání incidentů.

Nejlepší postupy pro zabezpečení infrastruktury (model Zero Trust)

Bezpečná architektura přidává perimetrické a interní vrstvy se segmentací podle funkce. Nulová důvěra Předpokládá, že žádný požadavek není od samého začátku důvěryhodný, a vyžaduje ověření každého přístupu pomocí konzistentních zásad.

Integrita a konfigurace: ověřuje hashe operačního systému a firmwaru před a po aktualizaci. Příklad: verify /sha512 <PATH:filename>Implementujte kontrolu změn, porovnejte s nedávnými kopiemi a odstraňte nepotřebné soubory nebo staré verze pomocí delete <PATH:filename>. Zajišťuje vytrvalost změn s copy running-config startup-config na síťovém zařízení.

aktualizaceUdržujte stabilní a podporované verze softwaru a firmwaru a plánujte upgrady hardwaru po vypršení podpory od výrobce. Bez záplat jak je známo, riziko prudce roste.

AAA centralizovanáNakonfigurujte dva servery AAA pro vysokou dostupnost a použijte robustní předsdílené klíče. Příklad: aaa group server radius <GROUP_NAME> + server-private <IP_ADDRESS_1> key <KEY_1> y server-private <IP_ADDRESS_2> key <KEY_2>. Centralizovat Zjednodušuje to a zajišťuje sledovatelnost.

Účty a hesla: odstraňuje výchozí a sdílené účty, vytváří jedinečné uživatele a používá zabezpečené hashování pro ukládání, například username <NAME> algorithm-type sha256 secret <PASSWORD>. silná hesla 15+ znaků s velkými písmeny, malými písmeny, číslicemi a symboly, jedinečných pro každé zařízení a roli a měněných, pokud se objeví náznaky kompromitace.

Bezpečná vzdálená správa: zakáže Telnet a HTTP, migruje SNMP na v3 (příklad: no snmp-server community y no snmp-server host), síla SSH v2 (ip ssh version 2) a HTTPS (ip http secure-server). Robustní klíče s crypto key generate rsa modulus 3072 a schválené šifrovací sady.

Omezuje přístup ke službám: omezuje původy například pomocí ACL access-list 10 permit 192.168.1.0 0.0.0.255 a aplikujte to na řádky VTY pomocí access-class 10 in. Zmenšete plochu povrchu k těm podstatným.

Relace a nečinnost: konfigurace časových limitů (ip ssh time-out 300 y exec-timeout 5 0) a povoluje keep-alive protokolu TCP (service tcp-keepalives-in y service tcp-keepalives-out). Vyhněte se osiřelým relacím a únosy.

Řetězy bloků: zabraňuje odchozím připojením z administrátorských relací s transport output none na tratích VTY. Omezuje pohyby od manažerských týmů.

Trasy a rozhraní: zakáže směrování zdroje (no ip source-route), aktivuje uRPF (ip verify unicast source reachable-via rx) a ověřuje směrování: OSPF s area 0 authentication message-digest a BGP s neighbor <IP_ADDRESS> password <PASSWORD>. Vyhněte se falešným trasám a napodobování identity.

Zabezpečená vrstva 2: zakáže dynamické trunkingové připojení konfigurací switchport mode access y switchport nonegotiate když není vyžadován trunk. Použijte zabezpečení portů (switchport port-security, maximum 2, violation shutdown), vypíná nepoužívané porty (interface range ... + shutdown) a zakázat CDP tam, kde to není potřeba (no cdp enable). Kontrolujte, kdo vstupuje pro každý port.

Reklamní banneryPřidejte právní upozornění před přihlášením pomocí banner login a zprávy MOTD, například: banner login # Acceso solo a usuarios autorizados. Actividad monitorizada. #. Uložit změny s write memory a ověřte si s právním týmem soulad s právními předpisy.

Monitorování a auditZaznamenává přístupy (úspěšné i neúspěšné) a pravidelně kontroluje protokoly a hledá anomální vzorce. SIEM Pomůže vám to propojit události v reálném čase.

Stručný glosář

AAAAutentizace, autorizace a účtování pro kontrolu toho, kdo má přístup, co mohou dělat a co se zaznamenává.

Nulová důvěra: model, který ověřuje každý přístup za předpokladu, že mohou existovat hrozby uvnitř i vně sítě.

URPF: ověření, že zdrojová trasa je dosažitelná, užitečné proti falšování IP adres. Filtrovat provoz není legitimní na hraně.

Díky vyvážené kombinaci ladění systému Windows, optimalizace adaptérů, vrstveného zabezpečení, inteligentní segmentace, redundantního návrhu služeb systému Windows a disciplinovaného programu údržby... Vaše síťová infrastruktura zůstává stabilní, rychlá a bezpečná, připraveni škálovat se a reagovat na incidenty bez ztráty dynamiky.

Windows 11 pomalý
Související článek:
Jak zabránit tomu, aby Windows 11 byl stále pomalejší