ویندوز سرور ۲۰۰۳ SP۱

مایكروسافت Service Pack۱ ویندوز سرور ۲۰۰۳ را با افزایش مسایل امنیتی منتشر كرد و این قدمی است بزرگ در راهی كه مابكروسافت برداشته است.
من همیشه از مقالات برای روشن كردن نقاط ضعف امنیتی ویندوز و شركت مایكروسافت استفاده می كردم ولی این بار می خواهم بر عكس عمل كنم. بعد از انتشار SP۱ برای ویندوز ۲۰۰۳ من ستایشگر مایكروسافت شده ام. بعد از هجده ماه از تست نسخه اول، در حال حاضر SP۱ منتشر شده است با امكانات امنیتی اضافی ! و من اینجا برخی از امكانات مورد علاقه خود را بیان می كنم:
●رویكردی تازه
آنچه كه برای من بسیار جالب و حائز اهمیت است تغییر رویكرد امنیتی و بهبود آن است. مایكروسافت SP۱ را با تغییرات امنیتی قابل قبولی ارائه داده است. اسناد زیادی حاكی از آن است كه مشتریان از عدم وجود امنیت در سرور های خود رنج می برند. آنها همچنین بیان می كنند كه مدیریت به روز رسانی ( Update Management ) بسیار وقت گیر و رنج آور است و از همه مهمتر آنكه باید آنها در انتها تست كنند كه آیا این به روز رسانی ها با سیستم های بحرانی آنها تداخل دارند یا نه !
همین اسناد حكایت از آن دارد كه ره آورد ویندوز سرور امنیت لازم را برای مشتریان ایجاد نمی كند و این وضعیت قابل قبولی برای آنها نمی باشد.
من واقعا متعجب هستم ! نه توجیهی ، نه مراقبتی ، نه سرزنشی، با فروشنده ناز و افاده ای ! آنها خیلی ساده قبول می كنند كه مشكل دارند و حالا برخی اصلاحیه های معقول امنیتی را ارائه داده اند.
●مرورگر IE امن شده است
بعد از مدتها انتظارات امنیتی ، این بار مرورگر IE با كلی مسایل امنیتی ارائه شده است كه فقط نمونه آن را می توان در XP SP۲ دید. این به روز رسانی ها شامل برخی اصلاحیه هایی شامل مدیریت بهتر Add-on ها، پشتیبانی بهتر از Group Policy ها، ممانعت از Pop-up ها و موارد بیشمار دیگر. حداقل این خوبی را دارد كه دیگر سوء استفاده از IE در ویندوز سرور كمتر می شود ولی بهتر آن است كه برای IE امكانات امنیتی بیشتری در نظر بگیریم.
●دیواره آتش
در مقاله های قبلی بیان كردم كه هنوز یك دیواره آتش كاملی برای ویندوز سرور وجود ندارد ولی مانند آنچه كه در XP SP۲ نیز وجود دارد دارای امكانات خوبی است ، همچون XP SP۲ آن هم از حفاظت در boot-time پشتیبانی می كند ، پیكربندی های محلی، بازرسی ورودی های كاربران ، یكپارچگی بهتردر Group Policy ، پشتیبانی دستورات خط فرمان از آن و دیگر خصیصه های امنیتی خوبی كه ارائه داده است. اما هنوز فاقد برخی خصیصه های همچون كنترل ترافیك ورودی و خروجی می باشد ، ولی برای بسیاری از كاربران مبتدی دارای امكانات خوبی است.
●نصب به همراه به روز رسانی امنیتی
یك چیز جالب، این موضوع خیلی معمولی و جالب بود : كاربران شروع به نصب ویندوز می كردند و قبل از اینكه اصلاحیه های امنیتی را دریافت و نصب كنند توسط سیستم های دیگر در شبكه ویروسی می شدند و حتی بودن در پشت یك دیواره آتش نیز كفایت نمی كند. اما دیگر این یك مشكل برای گذشته می باشد. در هنگام نصب SP۱ ویندوز تمامی ارتباطات بیرونی شبكه قطع می گردد تا عمل نصب تا پایان انجام گیرد و تمامی اصلاحیه های امنیتی نیز نصب گردد و پیكربندی نحوه به روز رسانی پایان یابد. همین موضوع دلیل مهمی می باشد كه شما پس از نصب ویندوز ۲۰۰۳ حتما SP۱ را نصب كنید.
●امنیت RPC و DCOM
اگرچه برای امنیت RPC و DCOM تكنولوژی های مختلفی وجود دارد و اكثر آنها می توانند از سوءاستفاده مصون بمانند. متاسفانه دستیابی به این برنامه ها بسیار پیچیده می باشد. تا الان اسنادی كه برای محكم سازی این سرویس ها در دسترس هست بسیار محدود می باشد و بیشتر تكنیك ها هنوز در سطح آزمایشی می باشد. اگر بهترین تلاش را هم به خرج دهید باز هم ناكافی می باشد.
SP۱ خصوصیات زیادی را برای مدیریت كنترل دسترسی به RPC و DCOM به وجود آورده است. به وسیله این خصایص می توان دسترسی های روی DCOM را محدود تر كرد. همچنین یك كلید محدود كردن دسترسی در رجیستری وجود دارد به نام RestrictRemoteClients كه می توان توسط آن دسترسی راه دور و anonymous را روی سرویس RPC مسدود كرد. همچنین دیواره آتش جدید پشتیبانی بهتری را از سرویس RPC می كند كه شامل كنترل هوشمند و جزیی تر روی سرویس RPC می باشد.
●پیشگیری از اجرای داده ها
خصیصه های جدید SP۱ برای ویندوز امكانی را فراهم می آورد تا از امكانات سخت افزاری سود بهتری برد تا از اجرای كد ها در محیطهای غیر اجرایی جلوگیری كند. همین موضوع باعث جلوگیری از اجرای كدهای سرریزی بافر عمومی می گردد.
●ویزاردهای پیكربندی امنیتی
ویزاردهای جدید پیكربندی امنیتی در SP۱ باعث می شود كه بدون داشتن دانش كافی، امنیت خوبی را برای سرور ایجاد كرد. این ویزاردها بر اساس پیشنهاد هایی می باشد كه بر مبنای امنیت بهتر سیستم در نظر گرفته شده است و از طریق فعال و غیر فعال كردن برخی سرویس ها كار را دنبال می كند. حتی اگر از روش های عمومی و یا پیچیده برای محكم سازی استفاده كنید ، SCW به راحتی می تواند روال بندی شود. SCW فایل پیكربندی خود را در یك فایل XML ذخیره می كند و شما می توانید به راحتی با تغییر آن ، نیازهای خود را مرتفع كنید.
●Hot Patching
یكی از خصیصه های مورد علاقه من كه به تازگی در SP۱ ایجاد شده است نصب اصلاحیه ها ، حتی در زمانی كه سرویس مورد نظر در حال استفاده باشد، است. همین امر باعث جلوگیری از دوباره راه اندازی های سیستم پس از نصب اصلاحیه ها می گردد. شما فقط در هنگام به روز رسانی كرنل ویندوز نیاز به راه اندازی دوباره سیستم دارید.
SP۱ علاوه بر داشتن خصوصیات بالا تمامی اشكالاتی كه تا به حا در سرور ۲۰۰۳ وجود داشته است را نیز اصلاح كرده است و پشتیبانی بهتری را نیز از آن می كند و از لحاظ امنیتی نیز استراتژی های جدیدی را در پیش گرفته است و همین موضوعات است كه من را شگفت زده كرده است. به نظر شما چیز دیگری مانده است كه نگفته باشم ؟