عنوان
|
نويسنده
|
مشاهده
|
تعداد
آراء |
امتياز
|
ارزيابی امنيتی سيستم عامل ويندوز |
مديريت شبکه |
20206 |
36 |
3 |
با توجه به جایگاه داده در عصر حاضر و لزوم نگاه جامع به این مقوله مهم ، بر آن شدیم تا محوریت فعالیت های خود را بر روی این موضوع متمرکز نمائیم . از این رو گروه فابک با شعار فناوری اطلاعات برای کسب وکار شکل گرفت و خدمات خود را از طریق سایت www.fabak.ir به مخاطبان محترم عرضه می نماید
 |
ارزيابی امنيتی سيستم عامل ويندوز
ارزيابی امنيتی سيستم عامل ويندوز
سيستم عامل ويندوز،
يکی از ده ها سيستم عامل موجود در جهان است که مديريت منابع سخت افزاری و نرم
افزاری در يک کامپيوتر را برعهده دارد . استفاده از ويندوز بعنوان سيستم عاملی
شبکه ای ، همزمان با عرضه
NT ،
وارد مرحله جديدی گرديد . در ادامه و بدنبال ارائه نسخه های ديگری از
ويندوز ، فصل جديدی از بکارگيری سيستم عامل فوق در
شبکه های کامپيوتری گشوده گرديد . استفاده از سيستم عامل ويندوز ( نسخه های متفاوت ) در
ايران بطرز محسوسی افزايش و هم اينک،
در اکثر شبکه های کامپيوتری
از سيستم عامل فوق، استفاده می
گردد . دامنه استفاده
از ويندوز، از شبکه های کوچک سازمانی تا شبکه های بزرگ را شامل و حتی اکثر مراکز
ASP ، برای ميزبانی وب سايت ها از گزينه فوق
، بهمراه مجموعه
نرم افزارهای مربوطه استفاده می نمايند . با توجه به جايگاه سيستم عامل در
کامپيوتر و نقش آنان در
برپاسازی يک شبکه مقتدر و ايمن
، لازم است با نگاهی دقيق به ارزيابی امکانات امنيتی
آنان پرداخته و پس از شناسائی نقاط آسيب پذير،
در اسرع وقت
نسبت به برطرف نمودن حفره های امنيتی اقدام لازم صورت گيرد . ما عادت کرده ايم اکثر
نرم افزارها را با تنظيمات پيش فرض نصب و در اين راستا از دکمه طلائی
Next ، بدفعات
استفاده نمائيم! بديهی نصب و پيکربندی مناسب يک سيستم عامل شبکه ای با رويکرد فوق،
می تواند اثرات مخربی را در رابطه با حفاظت از اطلاعات در يک سازمان
بدنبال داشته باشد . طراحی و پياده سازی يک سيستم ايمنی مناسب در شبکه های
کامپيوتری ، يکی از مهمترين چالش های موجود در
دنيای گسترده تکنولوژی اطلاعات است . در اين راستا لازم است،
سازمان ها و موسسات در اين رابطه با يک هدفمندی خاص بسمت برپاسازی يک محيط ايمن در
شبکه های کامپيوتری حرکت نموده و قبل از وقوع هرگونه پيشامد ناگوار اطلاعاتی
، پيشگيری های لازم صورت پذيرد .
با توجه به استفاده گسترده از سيستم عامل ويندوز در ايران ، لازم است به بررسی و
ارزيابی امنيتی سيستم عامل فوق پرداخته گردد . شرکت ماکروسافت خود در اين
زمينه تلاش های گسترده ای را آغاز و اخيرا" توجه خاصی را به اين مقوله اختصاص و
پروژه های بزرگی را بمنظور نيل به يک سيستم عامل شبکه ای ايمن با توجه واقعيت های
موجود تعريف و دنبال می نمايد .
شرکت ماکروسافت پس از عرضه نسخه های خاصی از ويندوز و با مشاهده اشکالات و نواقص
خصوصا" نواقص امنيتی اقدام به ارائه نرم افزارهای تکميلی بمنظور بهنگام ساری ويندوز
می نمايد . Hotfix,Patch و Service
pack نمونه های متفاوتی در اين زمينه می باشند . با توجه به نقش نرم
افزارهای فوق در صحت عملکرد امنيتی ويندوز
، لازم است در ابتدا به نرم افزارهای
فوق اشاره گردد .
Service Pack و HotFix
Service Pack
، يک بهنگام سازی ادواری در رابطه با سيستم عامل
بمنظور رفع اشکالات و نواقص موجود
است . ماکروسافت برای ويندوز NT 4.0 (
نسخه قبل از ويندوز 2000 با نگرش امکانات شبکه ای ) شش
و برای ويندوز 2000 تاکنون ، سه
Service Pack متفاوت را ارائه
کرده است . بمنظور برطرف نمودن مشکلات
احتمالی در فاصله زمانی بين دو
service pack ،
اقدا م به عرضه
Hotfix می گردد. هر service
Pack ، شامل تمام hotfix های قبلی نسبت به نسخه
service pack قبلی است .
علاوه بر نصب آخرين نسخه های service Pack
، می بايست
اقدام به نصب نسخه های hotfix نيز گردد . معمولا"
hotfix ، با توجه به شيوع و گسترش يک مسئله خاص
(مثلا" يک حمله اينترنتی ) در شبکه
، از طرف
شرکت ماکروسافت، ارائه می گردد . با اينکه شرکت ماکروسافت توصيه کرده است در صورت
بروز مشکل،
اقدام به نصب نسخه های Hotfix گردد،
ولی
پيشنهاد می گردد که بلافاصله پس از نصب آخرين نسخه Service Pack
، اقدام به نصب تمام نسخه های
امنيتی Hotfix مربوطه نيز گردد .
يکی از مهمترين چالش های مديران شبکه
، بهنگام سازی سيستم و نصب آخرين نسخه های
Patch است . ماکروسافت در اين راستا
، يک
برنامه خاص را بمنظور بررسی وضعيت امنيتی Hotfix ها
، ارائه که مديران شبکه را قادر به پيمايش سرويس دهنده های موجود در شبکه
می نمايد ( برنامه
Hfnetchk.exe) . برنامه فوق قادر به تشخيص صحت نصب
تمام نسخه های
Patch در رابطه با ويندوز 2000 و ساير نرم افزارهای سرويس دهنده نظير
IIS ، IE و
SQL است ( وضعيت موجود را تشخيص و
کمبودها را اعلام می نمايد ) . برنامه HFNetChk يک ابزار
خط دستوری بوده که مديران شبکه را قادر به بررسی آخرين وضعيت
Patch ها در رابطه با تمام کامپيوترهای موجود در شبکه از يک محل مرکزی می
نمايد .(
مشاهده جزئيات
برنامه HFNetChk ) .
شرکت ماکروسافت در اين زمينه ،
برنامه جامعی را بمنظور بررسی وضعيت سيستم امنيتی ارائه نموده که برنامه
Hfnetchk.exe نيز بخشی از آن است (
مشاهده جزئيات و دريافت برنامه Microsoft Baseline Security Analyzer ).
پس از معرفی امکانات موجود برای
بهنگام سازی ويندوز و برطرف نمودن مشکلات و مسائل موجود در هر يک از نسخه
های ويند وز، در ادامه به بررسی و ارزيابی سيستم امنيتی ويندوز پرداخته و در اين
راستا پيشنهاداتی مطرح می گردد.
سنجش امنيت در ويندوز 2000
تاکنون بيش از
400 نقطه آسيب پذير در نسخه های ويندوز 2000
، NT
و برنامه های مرتبط با آنان
شناخته شده و نحوه برطرف نمودن آنان مستند شده است . در اين بخش
به بررسی برخی از نقاط آسيب پذير اشاره و نحوه برخورد با آنان بيان می گردد. لازم است به اين نکته مهم دقت شود که کاهش
برخی از نقاط آسيب پذير در يک شبکه به معنی عرضه يک شبکه ايمن نمی باشد ( تلاشی است
در جهت ايمن شدن ) .
-
از سيستم فايل
NTFS در مقابل FAT استفاده شود . سيستم فايل
فوق ، امکان کنترل دستيابی به فايل ها را برخلاف FAT
فراهم می نمايد .
-
اطلاعات و ميدان عمل
اتصالات بی
هويت (Anonymous users)
، می بايست به حداقل مقدار خود برسد . يک اتصال بی هويت ( کاربران
ناشناس و گمنام )
عضوی از گروه Everyone ( گروه از قبل
ايجاد شده ) خواهد بود . بدين ترتيب آنان قادر به دستيابی تمام منابعی
خواهند بود ، که برای گروه Everyone مجاز
شناخته شده است . ويندوز NT پس از نصب آخرين نسخه
(
Servic Pack ( 6a
، اکثر عملياتی را که يک کاربر گمنام
قادر به انجام آنها می باشد ، محدود می
نمايد . بمنظورر پيشگيری از شمارش اسامی account
ها ، توسط کاربران گمنام
، از کليد ريجستری زير بهمراه تتنظيمات
مربوطه استفاده می شود .
Hive: HKEY_LOCAL_MACHINE
Key: System\CurrentControlSet\Control\Lsa
Name: RestrictAnonymous
Type: REG_DWORD
Value: 1 |
-
امتياز Access this
computer from the network را در رابطه با کاربران عضوء گروه
Everyone حذف و آن را با گروه معتبر
Users ، جايگزين نمائيد . در ويندوز
NT 4.0 ، برای انجام عمليات فوق از
مسير زير و در ويندوز
2000 از Group Policy و يا
Security Configuration Toolset استفاده می
شود.
User Manager -> Policies -> User Rights |
HKLM\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg |
-
Account مربوط به Guest غير فعال
گردد.در اين راستا پيشنهاد می گردد، که تمام Account
ها ( سرويس ها و کاربران ) دارای رمز عبورگردند .( صرفنظر از اينکه account فعال و يا غير فعال باشد
) .
-
تاييد اعتبار
LanMan را غير فعال نمائيد . رمز عبورهای LanMan
بمنظور سازگاری با نسخه های قبلی ويندوز ( 9X )
مطرح و عملا" رمزهای عبوری مشابه ويندوز 2000 بوده که تماما" به حروف بزرگ تبديل و
با استفاده از يک روش خاص رمز شده اند .رمزهای
عبور LanMan ،
نسبت به ساير رمزهای عبور بمراتب ساده تر کشف و مورد استفاده متجاوزان اطلاعاتی
قرار می گيرند . پيشنهاد می گردد،
رمزهای عبور LanMan غير فعال گردند . بمنظور غير فعال
نمودن رمزهای عبور
فوق ، کليد ريجستری مربوطه
، می بايست مطابق زير تغيير تنظيم گردد .
Hive: HKEY_LOCAL_MACHINE
Key: System\CurrentControlSet\Control\Lsa
Name: LMCompatibilityLevel
Type: REG_DWORD
Value: 5 |
-
پورت های
135,137,138 و 139 در محدوده روتر و يا
فايروال را غير فعال نمائيد (Colse) . برای شبکه های
مبتنی بر ويندوز 2000
، می بايست پورت 445 نيز بلاک گردد . پورت های فوق،
برای
شبکه های داخلی
لازم بوده ولی برای شبکه های خارجی مورد نياز نخواهند بود . با بلاک
نمودن پورت های فوق
، از تعداد حملات متجاوزان اطلاعاتی در شبکه های مبتنی
بر ويندوز NT 4.0 و 2000 بنحو چشمگيری کاسته خواهد شد
. در اين راستا لازم است
، پروتکل های غير ضروری ( نظير NetBeui
و IPX) نيز غير فعال گردند .
-
بر روی فولدرها و فايل های سيستمی ويندوز نيز می بايست لايه های امنيتی مناسبی ايجاد
گردد. در اين راستا لازم است بر روی فولدرهای حياتی سيستم نظير
WINNT و System32 و
کليدهای ريجستری HKLM\Software\Microsoft\Windows\Run و
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\AEDebug امکان استفاده از گروه
Everyone سلب و به گروه معتبر
Users ( شامل ليست کاربران مجاز ) اختصاص يابد .
-
در رابطه با منابع اشتراکی در شبکه
، می بايست محدوديت های لازم اعمال گردد. زمانيکه منبعی در شبکه به اشتراک
گذاشته می شود، کنترل دستيابی
بصورت پيش فرض گروه Everyone با
امتيازFull control
خواهد بود . در اين راستا پيشنهاد می گردد ،
امکان استفاده از منابع اشتراکی
، صرفا" در اختيار کاربرانی قرار گيرد
که نيازمند دستيابی به منابع فوق، می
باشند .
-
تمام سرويس های غير ضروری نظير
Telnet,FTP,WEB را غير فعال نمائيد. از
صحت محل
استقرار سرويس ها بر روی شبکه اطمينان حاصل نمائيد . مثلا" سرويس دهنده
RAS و WEB نبايد بر روی يک
کنترل کننده Domain
، نصب گردند .
-
امکان مميزی
(auditing) در شبکه را فعال نمائيد
. در ساده ترين حالت مميزی مربوط به ورود و خروج از شبکه ،
دستيابی به
امتيازات کاربران و رويدادهای سيستمی نظير غير فعال نمودن سيستم
(Shutdown) است .
-
اعتماد (Trust)
موجود بين حوزه ها (Domian)
را بررسی
و در صورت امکان، موارد غير ضروری را حذف
نمائيد .
برنامه های ماکروسافت
وجود نقاط آسيب پذير در برنامه هائی نظير outlook,Microsoft
Exchange,SQL Server و IIS
، بستر مناسب
برای متجاوران اطلاعاتی
بمنظور نفوذ در شبکه را ايجاد می نمايد . بنابراين لازم است
که از آخرين Service Pack و
Patch مربوط به هر يک از برنامه ها استفاده گردد . شرکت
ماکروسافت،
بمنظور بهبود امنيت برنامه ها ، ابزارهای
متعددی را ارائه نموده است .
ليست برخی از اين برنامه ها در جدول زير نشان داده شده است .
توضيحات
|
برنامه |
به مديران سرويس
دهنده وب امکان اعمال محدوديت در رابطه با پاسخ به درخواست های
معتبر را خواهد داد .
جزئيات
بيشتر |
URL Scan Security Tool |
ابزاری برای ايمن سازی سرويس دهنده وب
IIS ،
نسخه های چهار و پنج .
جزئيات بيشتر |
IIS Lockdown Tool |
يک نسخه جديد از برنامه بهنگام سازی
Outlook بمنظور حفاظت در مقابل انواع
حملات اينترنتی مبتنی بر نامه های الکترونيکی .
جزئيات بيشتر |
Improved Outlook E-mail Security
Update |
ابزاری بمنظور بررسی آخرين نسخه های
Patch نصب شده در رابطه با سيستم عامل
و برخی از برنامه ها نظير IIS, IE و
SQL .
جزئيات بيشتر |
HFNetChk Security Tool |
ابزاری بمنظور بررسی صحت عملکرد امنيتی
سرويس گيرندگان .
جزئيات
بيشتر |
Microsoft Personal Security
Advisor |
برنامه ای جامع برای بررسی وضعيت امنيتی يک
کامپيوتر .
جزئيات
بيشتر |
Microsoft Baseline Security Analyzer |