محکم سازی ویندوز

فورا دست به کار شوید !

همانطور که همه می دانیم ، ما برای زنده ماندن صنعت IT خود، نیازمند آنیم که مشکلات امنیتی آن را حل کنیم.  ما باید یاد بگیریم که باید به جنگ چه کسانی برویم .

ما کار بزرگی را در پیش رو داریم البته نباید اینگونه فکر کنیم که ابتدا دانش فنی خود را بالا ببریم و بعد شروع به بالا بردن امنیت شبکه خود کنیم. باید بدون تامل و وقفه همین حالا شروع کنیم. باید همین حالا و در کنار هم فرهنگ امنیت را برای دیگران جا بیندازیم تا تمامی اجزای شبکه ما از امنیت کافی برخوردار باشد ، تمامی سیستم های ما امن شوند و تمامی کارکنان خود را آموزش دهیم.

این مطالب درباره محکم سازی تمامی انواع ویندوز های شرکت مایکروسافت می باشد

بخش اول

این کار ها را همین حالا انجام دهید !

پیشگفتار

ما یک مشکل بزرگ داریم. ما معمولا نمی دانیم که برای امن کردن سیستم های ویندوزی خود به چه چیزهایی نیاز داریم. ما فقط می دانیم که باید یک کارهایی انجام دهیم ولی نمی دانیم که چه کاری ! همانطور که برای جلوگیری از سرقت های خانگی راهی وجود ندارد برای امن کردن 100 درصد سیستم های ویندوزی و یا هر سیستم عامل دیگری راهی وجود ندارد. البته ما نیز در اینجا با طرح سوال های زیادی این مساله را تا حدی تفهیم خواهیم کرد و خواهیم گفت که چگونه سیستم های ویندوزی خود را از انواع حملات محافظت کنیم.

اما به جای محکم سازی خودکار سیستم عامل، به جای امنیت فیزیکی سیستم ها، به جای فرهنگ سازی برای هر کدام از افراد سازمان و قبل از انجام هر کاری ما ابتدا باید برخی مشکلات موجود در سیستم هایمان را اصلاح کنیم. وقتی شبکه ما مورد هجوم قرار گرفت و اطلاعات مهم آن به سرقت رفت نباید کس دیگری را مقصر این امر بدانید.

لطفا دست نگه دارید ، همین الان دست نگاه دارید! شما باید کنترل امنیت اطلاعات خود را در دست بگیرید. منظور من از امنیت اطلاعات، امنیت کامپیوتر های شما نیست! آنها فقط بخشی از امنیت اطلاعات شما می باشد.

شما  به یک برنامه جامع و فراگیری برای هر مکانی که اطلاعات در آن نقش دارد، نیاز دارید. در پردازنده مرکزی (mainframe ) ، در سرور وب لینوکس ، در Active Directory ، در PDA و بله حتی در مغز ها و ذهن های کارمندان، شرکا و مشتریان خود !

ما می دانیم که شما باید چه کاری انجام دهید، بنابراین اجازه بدهید که با هم آن را دنبال کنیم.

اجازه بدهید که مدل امنیت اطلاعات خود را تغییر دهیم. «سیستم های محکم سیستم هایی می باشند که امن هستند» . منظور من هم از سیستم ، کامپیوتر ها ، شبکه و افراد در آن می باشند. به هر حال، چه باید کرد ؟ ابتدا یک اساس نامه بنویسید. مدیران خود را به کار بگیرید. شما باید هر چیزی و هر کسی که در اطلاعات شما دخیل می باشند را محکم کنید.

فراموش نکنید که امن کردن سیستم های اطلاعاتی شما به سادگی نفس کشیدن می باشد اما مطمئنا شما به تنهایی نمی توانید تمامی این موارد را انجام دهید. اما شما می توانید تاثیرات قابل توجهی را روی وضعیت امنیتی شبکه خود با انجام برخی کنترل های امنیتی ، ایجاد کنید.

برای شروع ده مورد از کارهایی که شما باید انجام دهید را آورده ایم که با انجام آنها به طور قطع وضعیت امنیتی بهتری پیدا می کنید.

سیاست ها ی کلمات عبور خود را قوی تر کنید

یک سیاست کلمات عبور قوی از چند طریق امکان پذیر است. به نظر من یک سیاست کلمات عبور قوی شامل موارد زیر است :

-          اصرار بر تغییر مکرر پسورد ها

-          نیاز به پسورد هایی با طول بلند و مرکب از حروف بزرگ و کوچک، ارقام و کاراکترهای مخصوص

-          عدم اعطای مجوز به پسورد های پوچ

-          چک کردن پسورد ها برای تکراری نبودن آنها

-          جلوگیری از عدم شباهت پسورد ها به نام کاربری (User ID )

-          اجازه ندادن به کلماتی که در واژه نامه ها موجود می باشد.

شما می توانید با استفاده از Group Policy Object (GPO) موارد ذکر شده در بالا را بر روی دامنه پیش فرض سرور خود اعمال کنید:

شکل 1 – اجرای تغییرات سیاست های کلمات عبور 

سیاست  پسورد های قوی مساله بسیار مهمی می باشد ، زیرا که نفوذگران با حدس زدن پسورد های ضعیف به راحتی می توانند به سیستم های شما نفوذ کنند. اگر پسورد های سیستم ها لو روند، دیگر تمامی سخت گیری ها و اجرا  و وضع دسترسی ها و حتی رمزنگاری دیگر به درد نمی خورد. شاید بتوان به جرات گفت که سیاستهای پسوردی قوی یکی از مهمترین مسایلی است که می تواند از شکسته شدن بسیاری از مسایل امنیتی جلوگیری کند.

من می دانم که ممکن است شما نتوانید این کار را به تنهایی برای تمامی سازمان انجام دهید. ولی شما به سادگی می توانید با تغییر سیاستهای پسوردی در دامنه ویندوز این کار را انجام دهید. همین کارها باعث می شود که بسیاری از کارکنان خود را در برابر حملات بیمه کنید. پس مطمئن باشید و انجام دهید.

البته شما باید قادر باشید و بتوانید سیاسیتهای امنیتی را روی دامنه خود اعمال کنید. یعنی اینکه بتوانید از طریق دامنه ویندوز تغییرات را روی سیاستهای پسوردی طوری اعمال کنید که نتیجه آن روی تمامی نام های کاربری موجود در سرور اعمال گردد، حتی این موضوع باید روی نام های کاربری محلی نیز اعمال گردد. شما می توانید سیاست های پسورد های قوی را به راحتی از طریق ویندوز اعمال کنید. مثلا اگر شما تصمیم دارید که تمامی مدیران سازمان هر 10 روز یک بار پسورد خود را تغییر دهند و یا اینکه از پسورد هایی با 16 کاراکتر استفاده کنند به راحتی می توانید آن را از طریق سیاست های پسوردی ویندوز اعمال کنید. البته این موضوع باید برای هر کسی که به طوری با سرور در تماس است،  برای مثال مسوؤل گرفتن داده های پشتیبان، اعمال کنید.

اگر کمی فکر کنید ، متوجه خواهید شد که چرا داشتن سیاست های پسوردی می تواند مهم باشد. مثلا شما فکر کنید که اگر پسورد های یکی از سرور ها توسط یک مهاجم لو برود چه اتفاقی می افتد.

توجه کنید !

توجه کنید که شما فقط می توانید یک سیاست پسوردی روی دامنه خود داشته باشید. این سیاست های توسط GPO بر روی دامنه سرور اعمال می گردد. اگرچه شما می توانید برای گروههای مختلف، سیاست های مختلفی را اعمال کنید، اما شما نمی توانید از طریق کنترل های تکنیکی آن را اعمال کنید. شما می توانید این کار را از طریق آگاهی دادن به کاربران و مجبور کردن آنها برای استفاده از سیاست های پسوردی سیاست های مد نظر خود را پیاده سازی کنید.

البته تغییر اصلی سیاستهای پسوردی کاری است که باید در آینده انجام گیرد و البته تغییر و ایجاد پسورد های پیچیده برای مدیران سطح بالا، ممکن است همراه با اجازه، تایید و کارهایی از این قبیل همراه باشد. ولی برای اینکه پسورد های پیچیده و در نهایت شبکه امنی داشته باشید باید تمامی این راهها را بپیمایید.

کوتاه کردن زمان نصب ویندوز 98 و ME

    برای کوتاه کردن زمان نصب ویندوز 98 یا ME فایل Setup.exe را با یک یا چند سوئیچ زیر بکار ببرید:

• is/  نصب ویندوز بدون چک سیستم
• in/  نصب ویندوز بدون تنظیمات شبکه
• iw/  نصب ویندوز بدون تایید کپی رایتiw
• iq/  نصب ویندوز بدون چک سالم بودن ساختار دایرکتوری
• id/  نصب ویندوز بدون چک فضای خالی موجود در هارد دیسک

مثلا فرمان setup/is/in/iw/iq/id همه اعمال فوق را با هم انجام می دهد

...و به این ترتیب در وقت فوق العاده مهم مون صرفه جویی می کنیم

فشرده سازی به روشی منحصر به فرد

سیستم عامل : XP

ویندوز XP دو نوع فشرده سازی را در اختیار کاربر قرار می دهد در روش اول که مطمئنا با آن آشنا هستید میتوان با کیلک راست بر روی فایل یا شاخه > انتخاب Send To > انتخاب گزینه Compressed (Zipped) Folder آنرا را فشرده ساخت آنهم با پسوند ZIP اما روش دوم که خیلی جالبتر و در نوع خود بی همتاست به صورت زیر امکان پذیر است :

سیستم فایلی ویندوز XP بایستی حتما NTFS باشد (این سیستم فایلی بعد از دو سیستم آشنای FAT و FAT32 بوجود آمده و از سرعت و امنیت بیشتری در مقایسه با دو سیستم قبلی در نگهداری و ذخیره اطلاعات پشتیبانی می کند)

برای اطلاع از سیستم فایل XP خودتان بر روی درایو حاوی ویندوز XP کلیک راست >انتخاب گزینه Properties > برگه General > در قسمت File system میتوانید نوع سیستم تخصیص داده را ببینید .

اگر در این قسمت عبارت NTFS به چشم میخورد می توانید به مرحله ۲ عزیمت فرمایید و گرنه باید نوع سیستم فایلی را به NTFS تبدیل کنید آنهم با استفاده از فرمان زیر که باید آنرا در خط فرمان داس وارد کنیدconvert drive: /fs:ntfs که به جای عبارت drive نام درایو حاوی XP را بگذارید به نکته های زیر توجه کنید

الف) نکته فوق العاده مهم ) توجه داشته باشید که محتوای درایو با سیستم NTFS هرگز به کمک سیستم عاملی که بر پایه یکی از دو سیستم FAT یا FAT32 استوار است قابل دسترسی نخواهد بود.

ب) در هنگام نصب ویندوز XP نیز در مورد تبدیل سیستم فایلی به NTFS از شما سوال می شود که میتوانید با آن موافقت کنید همچنین فرایند تبدیل را می توانید به کمک برنامه سودمند Partition Magic به آسانی انجام دهید.

ج) به شخصه هنوز برنامه ای ندیده ام که با این سیستم مشکل داشته باشد مگر اینکه اصلا با نصب در ویندوز XP سازگاری نداشته باشد.

د) فرایند تبدیل حدود ۱۵ تا ۴۵ دقیقه بسته به حجم درایو طول خواهد کشید.
ه) فرمان بالا اطلاعات را پاک نخواهد کرد و طبیعتا نبایستی آسیبی به ویندوز برساند اما به پیامهای داده شده در حین کار حتما توجه کنید.

و) فرمان بالا بر روی هر درایوی قابل اجراست چه ویندوز روی آن باشد چه نباشد.
ز) اگر خدای نکرده زمانی از این تبدیل پشیمان شدید می توانید با استفاده از برنامه Partition Magic به حالت اولیه بازگردید.

۲) اگر می خواهید یک درایو با سیستم فایلی NTFS را فشرده کنید بر روی آن کلیک راست > Properties > برگه General > انتخاب گزینه Compress drive to save disk space و اگر میخواهید فایل یا شاخه ای در درایو با سیستم فایلی NTFS را فشرده کنید بر روی آن کلیک راست > Properties > برگه General > دکمه Advanced > انتخاب گزینه Compress contents to save disk space

تذکر ۱) ویندوز پس از انتخاب فایل فشرده شده به سرعت آن را از حالت فشرده در می آورد و پس از بستن دوباره به سرعت آن را فشرده میکند بدون اینکه شما چیزی مشاهده کنید.
تذکر ۲) فشرده سازی می تواند تا حدی باعث کندی واکنش پذیری سیستم شود.
تذکر ۳) به کمک فشرده سازی می توانید تقریبا فضای اشغال شده را به نصف کاهش دهید.
تذکر ۴) فایلها شاخه ها و درایوهای فشرده شده به رنگ متفاوت نمایش داده می شوند.
تذکر ۵) عمل unzip هم به راحتی و برعکس روش گفته شده در بالا امکان پذیر است

صلوات

بازگردان فایلهای معیوب سیستم

چون خیلی از کاربران از ویندوز 98 در کنار XP استفاده می کنند ابتدا :

 در ویندوز 98 : کافی است در Run تایپ کنید sfc و Enter را بزنید. بعد در صفحه ای که باز میشود روی دکمه Start کلیک کرده و منتظر بمانید تا برنامه فایلها را چک کند. هر جا که فایل معیوبی پیدا شد برنامه از شما میخواهد تا CD ویندوز را در CD-Rom قرار دهید تا فایل معیوب را جایگزین فایل سالم کند. و در نهایت هم با یک Restart کار تمام میشود.

در ویندوز XP : خیلی ها فکر میکنند که دستور sfc در ویندوز XP وجود ندارد و مجبورند از برنامه Dr.Watson استفاده کنند. در صورتی که باید بگم این دستور در ویندوز XP هم وجود دارد اما نحوه اجرای آن با قبلی فرق میکند. برای این کار ابتدا در قسمت Run تایپ کنید cmd و Enter را بزنید تا وارد محیط Command Prompt شوید. بعد در آنجا وارد زیر شاخه زیر شوید :

C:\Windows\System32>

حالا در این قسمت تایپ کنید : sfc /scannow و بعد Enter را بزنید. در این لحظه از شما درخواست میشود که CD ویندوز XP را درون درایو قرار دهید و بعد دکمه Retry را فشار دهید. بعد برنامه تمام فایلهای سیستمی شما را چک میکند و به طور اتوماتیک فایلهای معیوب را تعویض میکند