محكم سازی ویندوز

ما كار بزرگی را در پیش رو داریم البته نباید اینگونه فكر كنیم كه ابتدا دانش فنی خود را بالا ببریم و بعد شروع به بالا بردن امنیت شبكه خود كنیم

فورا دست به كار شوید !

همانطور كه همه می دانیم ، ما برای زنده ماندن صنعت IT خود، نیازمند آنیم كه مشكلات امنیتی آن را حل كنیم. ما باید یاد بگیریم كه باید به جنگ چه كسانی برویم.

ما كار بزرگی را در پیش رو داریم البته نباید اینگونه فكر كنیم كه ابتدا دانش فنی خود را بالا ببریم و بعد شروع به بالا بردن امنیت شبكه خود كنیم. باید بدون تامل و وقفه همین حالا شروع كنیم. باید همین حالا و در كنار هم فرهنگ امنیت را برای دیگران جا بیندازیم تا تمامی اجزای شبكه ما از امنیت كافی برخوردار باشد ، تمامی سیستم های ما امن شوند و تمامی كاركنان خود را آموزش دهیم.این سری از مقالات كه از كتاب Hardening Windows System تهیه شده است و درباره محكم سازی تمامی انواع ویندوز های شركت مایكروسافت می باشد كه قصد ما بر این است تا قسمت هایی از این كتاب با ارزش را بیان كنیم. امید است كه روشنگر راه بی پایان كسانی باشد كه قدم در این راه نهاده اند.

●بخش اول

این كار ها را همین حالا انجام دهید !

پیشگفتار

ما یك مشكل بزرگ داریم. ما معمولا نمی دانیم كه برای امن كردن سیستم های ویندوزی خود به چه چیزهایی نیاز داریم. ما فقط می دانیم كه باید یك كارهایی انجام دهیم ولی نمی دانیم كه چه كاری ! همانطور كه برای جلوگیری از سرقت های خانگی راهی وجود ندارد برای امن كردن ۱۰۰ درصد سیستم های ویندوزی و یا هر سیستم عامل دیگری راهی وجود ندارد. البته ما نیز در اینجا با طرح سوال های زیادی این مساله را تا حدی تفهیم خواهیم كرد و خواهیم گفت كه چگونه سیستم های ویندوزی خود را از انواع حملات محافظت كنیم.

اما به جای محكم سازی خودكار سیستم عامل، به جای امنیت فیزیكی سیستم ها، به جای فرهنگ سازی برای هر كدام از افراد سازمان و قبل از انجام هر كاری ما ابتدا باید برخی مشكلات موجود در سیستم هایمان را اصلاح كنیم. وقتی شبكه ما مورد هجوم قرار گرفت و اطلاعات مهم آن به سرقت رفت نباید كس دیگری را مقصر این امر بدانید.

لطفا دست نگه دارید ، همین الان دست نگاه دارید! شما باید كنترل امنیت اطلاعات خود را در دست بگیرید. منظور من از امنیت اطلاعات، امنیت كامپیوتر های شما نیست! آنها فقط بخشی از امنیت اطلاعات شما می باشد.

شما به یك برنامه جامع و فراگیری برای هر مكانی كه اطلاعات در آن نقش دارد، نیاز دارید. در پردازنده مركزی (mainframe ) ، در سرور وب لینوكس ، در Active Directory ، در PDA و بله حتی در مغز ها و ذهن های كارمندان، شركا و مشتریان خود !

ما می دانیم كه شما باید چه كاری انجام دهید، بنابراین اجازه بدهید كه با هم آن را دنبال كنیم.

اجازه بدهید كه مدل امنیت اطلاعات خود را تغییر دهیم. «سیستم های محكم سیستم هایی می باشند كه امن هستند» . منظور من هم از سیستم ، كامپیوتر ها ، شبكه و افراد در آن می باشند. به هر حال، چه باید كرد ؟ ابتدا یك اساس نامه بنویسید. مدیران خود را به كار بگیرید. شما باید هر چیزی و هر كسی كه در اطلاعات شما دخیل می باشند را محكم كنید.

فراموش نكنید كه امن كردن سیستم های اطلاعاتی شما به سادگی نفس كشیدن می باشد اما مطمئنا شما به تنهایی نمی توانید تمامی این موارد را انجام دهید. اما شما می توانید تاثیرات قابل توجهی را روی وضعیت امنیتی شبكه خود با انجام برخی كنترل های امنیتی ، ایجاد كنید.

برای شروع ده مورد از كارهایی كه شما باید انجام دهید را آورده ایم كه با انجام آنها به طور قطع وضعیت امنیتی بهتری پیدا می كنید.

سیاست ها كلمات عبور خود را قوی تر كنید

یك سیاست كلمات عبور قوی از چند طریق امكان پذیر است. به نظر من یك سیاست كلمات عبور قوی شامل موارد زیر است :

▪اصرار بر تغییر مكرر پسورد ها

▪نیاز به پسورد هایی با طول بلند و مركب از حروف بزرگ و كوچك، ارقام و كاراكترهای مخصوص

▪عدم اعطای مجوز به پسورد های پوچ

▪چك كردن پسورد ها برای تكراری نبودن آنها

▪جلوگیری از عدم شباهت پسورد ها به نام كاربری (User ID )

▪اجازده ندادن به كلماتی كه در واژه نامه ها موجود می باشد.

شما می توانید با استفاده از Group Policy Object (GPO) موارد ذكر شده در بالا را بر روی دامنه پیش فرض سرور خود اعمال كنید:

من می دانم كه ممكن شما نمی توانید این كار را به تنهایی برای تمامی سازمان انجام دهید. ولی شما به سادگی می توانید با تغییر سیاستهای پسوردی در دامنه ویندوز این كار را انجام دهید. همین كارها باعث می شود كه بسیاری از كاركنان خود را در برابر حملات بیمه كنید. پس مطمئن باشید و انجام دهید.

البته شما باید قادر باشید و بتوانید سیاسیتهای امنیتی را روی دامنه خود اعمال كنید. یعنی اینكه بتوانید از طریق دامنه ویندوز تغییرات را روی سیاستهای پسوردی طوری اعمال كنید كه نتیجه آن روی تمامی نام های كاربری موجود در سرور اعمال گردد، حتی این موضوع باید روی نام های كاربری محلی نیز اعمال گردد. شما می توانید سیاست های پسورد های قوی را به راحتی از طریق ویندوز اعمال كنید. مثلا اگر شما تصمیم دارید كه تمامی مدیران سازمان هر ۱۰ روز یك بار پسورد خود را تغییر دهند و یا اینكه از پسورد هایی با ۱۶ كاراكتر استفاده كنند به راحتی می توانید آن را از طریق سیاست های پسوردی ویندوز اعمال كنید. البته این موضوع باید برای هر كسی كه به طوری با سرور در تماس است، برای مثال مسوؤل گرفتن داده های پشتیبان، اعمال كنید.

اگر كمی فكر كنید ، متوجه خواهید شد كه چرا داشتن سیاست های پسوردی می تواند مهم باشد. مثلا شما فكر كنید كه اگر پسورد های یكی از سرور ها توسط یك مهاجم لو برود چه اتفاقی می افتد.

توجه كنید !

توجه كنید كه شما فقط می توانید یك سیاست پسوردی روی دامنه خود داشته باشید. این سیاست های توط GPO بر روی دامنه سرور اعمال می گردد. اگرچه شما می توانید برای گروههای مختلف، سیاست های مختلفی را اعمال كنید، اما شما نمی توانید از طریق كنترل های تكنیكی آن را اعمال كنید. شما می توانید این كار را از طریق آگاهی دادن به كاربران و مجبور كردن آن برای استفاده از سیاست های پسوردی سیاست های مد نظر خود را پیاده سازی كنید.

البته تغییر اصلی سیاستهای پسوردی كاری است كه باید در آینده انجام گیرد و البته تغییر و ایجاد پسورد های پیچیده برای مدیران سطح بالا، ممكن است همراه با اجازه، تایید و كارهایی از این قبیل همراه باشد. ولی برای اینكه پسورد های پیچیده و در نهایت شبكه امنی داشته باشید باید تمامی این راهها را بپیمایید.

مترجم : امیر حسین شریفی

منبع : Hardening Windows Systems

ناشر : مهندسی شبكه همكاران سیستم

---

• بعدى
• 2
• 1
• قبلى

شما در حال مطالعه صفحه 1 از یک مقاله 2 صفحه ای هستید. لطفا صفحات دیگر این مقاله را نیز مطالعه فرمایید.