محکم سازی ویندوز

فورا دست به کار شوید !

همانطور که همه می دانیم ، ما برای زنده ماندن صنعت IT خود، نیازمند آنیم که مشکلات امنیتی آن را حل کنیم.  ما باید یاد بگیریم که باید به جنگ چه کسانی برویم .

ما کار بزرگی را در پیش رو داریم البته نباید اینگونه فکر کنیم که ابتدا دانش فنی خود را بالا ببریم و بعد شروع به بالا بردن امنیت شبکه خود کنیم. باید بدون تامل و وقفه همین حالا شروع کنیم. باید همین حالا و در کنار هم فرهنگ امنیت را برای دیگران جا بیندازیم تا تمامی اجزای شبکه ما از امنیت کافی برخوردار باشد ، تمامی سیستم های ما امن شوند و تمامی کارکنان خود را آموزش دهیم.

این مطالب درباره محکم سازی تمامی انواع ویندوز های شرکت مایکروسافت می باشد

بخش اول

این کار ها را همین حالا انجام دهید !

پیشگفتار

ما یک مشکل بزرگ داریم. ما معمولا نمی دانیم که برای امن کردن سیستم های ویندوزی خود به چه چیزهایی نیاز داریم. ما فقط می دانیم که باید یک کارهایی انجام دهیم ولی نمی دانیم که چه کاری ! همانطور که برای جلوگیری از سرقت های خانگی راهی وجود ندارد برای امن کردن 100 درصد سیستم های ویندوزی و یا هر سیستم عامل دیگری راهی وجود ندارد. البته ما نیز در اینجا با طرح سوال های زیادی این مساله را تا حدی تفهیم خواهیم کرد و خواهیم گفت که چگونه سیستم های ویندوزی خود را از انواع حملات محافظت کنیم.

اما به جای محکم سازی خودکار سیستم عامل، به جای امنیت فیزیکی سیستم ها، به جای فرهنگ سازی برای هر کدام از افراد سازمان و قبل از انجام هر کاری ما ابتدا باید برخی مشکلات موجود در سیستم هایمان را اصلاح کنیم. وقتی شبکه ما مورد هجوم قرار گرفت و اطلاعات مهم آن به سرقت رفت نباید کس دیگری را مقصر این امر بدانید.

لطفا دست نگه دارید ، همین الان دست نگاه دارید! شما باید کنترل امنیت اطلاعات خود را در دست بگیرید. منظور من از امنیت اطلاعات، امنیت کامپیوتر های شما نیست! آنها فقط بخشی از امنیت اطلاعات شما می باشد.

شما  به یک برنامه جامع و فراگیری برای هر مکانی که اطلاعات در آن نقش دارد، نیاز دارید. در پردازنده مرکزی (mainframe ) ، در سرور وب لینوکس ، در Active Directory ، در PDA و بله حتی در مغز ها و ذهن های کارمندان، شرکا و مشتریان خود !

ما می دانیم که شما باید چه کاری انجام دهید، بنابراین اجازه بدهید که با هم آن را دنبال کنیم.

اجازه بدهید که مدل امنیت اطلاعات خود را تغییر دهیم. «سیستم های محکم سیستم هایی می باشند که امن هستند» . منظور من هم از سیستم ، کامپیوتر ها ، شبکه و افراد در آن می باشند. به هر حال، چه باید کرد ؟ ابتدا یک اساس نامه بنویسید. مدیران خود را به کار بگیرید. شما باید هر چیزی و هر کسی که در اطلاعات شما دخیل می باشند را محکم کنید.

فراموش نکنید که امن کردن سیستم های اطلاعاتی شما به سادگی نفس کشیدن می باشد اما مطمئنا شما به تنهایی نمی توانید تمامی این موارد را انجام دهید. اما شما می توانید تاثیرات قابل توجهی را روی وضعیت امنیتی شبکه خود با انجام برخی کنترل های امنیتی ، ایجاد کنید.

برای شروع ده مورد از کارهایی که شما باید انجام دهید را آورده ایم که با انجام آنها به طور قطع وضعیت امنیتی بهتری پیدا می کنید.

سیاست ها ی کلمات عبور خود را قوی تر کنید

یک سیاست کلمات عبور قوی از چند طریق امکان پذیر است. به نظر من یک سیاست کلمات عبور قوی شامل موارد زیر است :

-          اصرار بر تغییر مکرر پسورد ها

-          نیاز به پسورد هایی با طول بلند و مرکب از حروف بزرگ و کوچک، ارقام و کاراکترهای مخصوص

-          عدم اعطای مجوز به پسورد های پوچ

-          چک کردن پسورد ها برای تکراری نبودن آنها

-          جلوگیری از عدم شباهت پسورد ها به نام کاربری (User ID )

-          اجازه ندادن به کلماتی که در واژه نامه ها موجود می باشد.

شما می توانید با استفاده از Group Policy Object (GPO) موارد ذکر شده در بالا را بر روی دامنه پیش فرض سرور خود اعمال کنید:

شکل 1 – اجرای تغییرات سیاست های کلمات عبور 

سیاست  پسورد های قوی مساله بسیار مهمی می باشد ، زیرا که نفوذگران با حدس زدن پسورد های ضعیف به راحتی می توانند به سیستم های شما نفوذ کنند. اگر پسورد های سیستم ها لو روند، دیگر تمامی سخت گیری ها و اجرا  و وضع دسترسی ها و حتی رمزنگاری دیگر به درد نمی خورد. شاید بتوان به جرات گفت که سیاستهای پسوردی قوی یکی از مهمترین مسایلی است که می تواند از شکسته شدن بسیاری از مسایل امنیتی جلوگیری کند.

من می دانم که ممکن است شما نتوانید این کار را به تنهایی برای تمامی سازمان انجام دهید. ولی شما به سادگی می توانید با تغییر سیاستهای پسوردی در دامنه ویندوز این کار را انجام دهید. همین کارها باعث می شود که بسیاری از کارکنان خود را در برابر حملات بیمه کنید. پس مطمئن باشید و انجام دهید.

البته شما باید قادر باشید و بتوانید سیاسیتهای امنیتی را روی دامنه خود اعمال کنید. یعنی اینکه بتوانید از طریق دامنه ویندوز تغییرات را روی سیاستهای پسوردی طوری اعمال کنید که نتیجه آن روی تمامی نام های کاربری موجود در سرور اعمال گردد، حتی این موضوع باید روی نام های کاربری محلی نیز اعمال گردد. شما می توانید سیاست های پسورد های قوی را به راحتی از طریق ویندوز اعمال کنید. مثلا اگر شما تصمیم دارید که تمامی مدیران سازمان هر 10 روز یک بار پسورد خود را تغییر دهند و یا اینکه از پسورد هایی با 16 کاراکتر استفاده کنند به راحتی می توانید آن را از طریق سیاست های پسوردی ویندوز اعمال کنید. البته این موضوع باید برای هر کسی که به طوری با سرور در تماس است،  برای مثال مسوؤل گرفتن داده های پشتیبان، اعمال کنید.

اگر کمی فکر کنید ، متوجه خواهید شد که چرا داشتن سیاست های پسوردی می تواند مهم باشد. مثلا شما فکر کنید که اگر پسورد های یکی از سرور ها توسط یک مهاجم لو برود چه اتفاقی می افتد.

توجه کنید !

توجه کنید که شما فقط می توانید یک سیاست پسوردی روی دامنه خود داشته باشید. این سیاست های توسط GPO بر روی دامنه سرور اعمال می گردد. اگرچه شما می توانید برای گروههای مختلف، سیاست های مختلفی را اعمال کنید، اما شما نمی توانید از طریق کنترل های تکنیکی آن را اعمال کنید. شما می توانید این کار را از طریق آگاهی دادن به کاربران و مجبور کردن آنها برای استفاده از سیاست های پسوردی سیاست های مد نظر خود را پیاده سازی کنید.

البته تغییر اصلی سیاستهای پسوردی کاری است که باید در آینده انجام گیرد و البته تغییر و ایجاد پسورد های پیچیده برای مدیران سطح بالا، ممکن است همراه با اجازه، تایید و کارهایی از این قبیل همراه باشد. ولی برای اینکه پسورد های پیچیده و در نهایت شبکه امنی داشته باشید باید تمامی این راهها را بپیمایید.