آبجی
25th July 2009, 10:39 PM
محکم سازی ویندوز
فورا دست به كار شويد !
همانطور كه همه مي دانيم ، ما براي زنده ماندن صنعت IT خود، نيازمند آنيم كه مشكلات امنيتي آن را حل كنيم. ما بايد ياد بگيريم كه بايد به جنگ چه كساني برويم .
ما كار بزرگي را در پيش رو داريم البته نبايد اينگونه فكر كنيم كه ابتدا دانش فني خود را بالا ببريم و بعد شروع به بالا بردن امنيت شبكه خود كنيم. بايد بدون تامل و وقفه همين حالا شروع كنيم. بايد همين حالا و در كنار هم فرهنگ امنيت را براي ديگران جا بيندازيم تا تمامي اجزاي شبكه ما از امنيت كافي برخوردار باشد ، تمامي سيستم هاي ما امن شوند و تمامي كاركنان خود را آموزش دهيم.
اين سري از مقالات كه از كتاب Hardening Windows System تهيه شده است و درباره محكم سازي تمامي انواع ويندوز هاي شركت مايكروسافت مي باشد .
بخش اول
اين كار ها را همين حالا انجام دهيد !
پيشگفتار
ما يك مشكل بزرگ داريم. ما معمولا نمي دانيم كه براي امن كردن سيستم هاي ويندوزي خود به چه چيزهايي نياز داريم. ما فقط مي دانيم كه بايد يك كارهايي انجام دهيم ولي نمي دانيم كه چه كاري ! همانطور كه براي جلوگيري از سرقت هاي خانگي راهي وجود ندارد براي امن كردن 100 درصد سيستم هاي ويندوزي و يا هر سيستم عامل ديگري راهي وجود ندارد. البته ما نيز در اينجا با طرح سوال هاي زيادي اين مساله را تا حدي تفهيم خواهيم كرد و خواهيم گفت كه چگونه سيستم هاي ويندوزي خود را از انواع حملات محافظت كنيم.
اما به جاي محكم سازي خودكار سيستم عامل، به جاي امنيت فيزيكي سيستم ها، به جاي فرهنگ سازي براي هر كدام از افراد سازمان و قبل از انجام هر كاري ما ابتدا بايد برخي مشكلات موجود در سيستم هايمان را اصلاح كنيم. وقتي شبكه ما مورد هجوم قرار گرفت و اطلاعات مهم آن به سرقت رفت نبايد كس ديگري را مقصر اين امر بدانيد.
لطفا دست نگه داريد ، همين الان دست نگاه داريد! شما بايد كنترل امنيت اطلاعات خود را در دست بگيريد. منظور من از امنيت اطلاعات، امنيت كامپيوتر هاي شما نيست! آنها فقط بخشي از امنيت اطلاعات شما مي باشد.
شما به يك برنامه جامع و فراگيري براي هر مكاني كه اطلاعات در آن نقش دارد، نياز داريد. در پردازنده مركزي (mainframe ) ، در سرور وب لينوكس ، در Active Directory ، در PDA و بله حتي در مغز ها و ذهن هاي كارمندان، شركا و مشتريان خود !
ما مي دانيم كه شما بايد چه كاري انجام دهيد، بنابراين اجازه بدهيد كه با هم آن را دنبال كنيم.
اجازه بدهيد كه مدل امنيت اطلاعات خود را تغيير دهيم. «سيستم هاي محكم سيستم هايي مي باشند كه امن هستند» . منظور من هم از سيستم ، كامپيوتر ها ، شبكه و افراد در آن مي باشند. به هر حال، چه بايد كرد ؟ ابتدا يك اساس نامه بنويسيد. مديران خود را به كار بگيريد. شما بايد هر چيزي و هر كسي كه در اطلاعات شما دخيل مي باشند را محكم كنيد.
فراموش نكنيد كه امن كردن سيستم هاي اطلاعاتي شما به سادگي نفس كشيدن مي باشد اما مطمئنا شما به تنهايي نمي توانيد تمامي اين موارد را انجام دهيد. اما شما مي توانيد تاثيرات قابل توجهي را روي وضعيت امنيتي شبكه خود با انجام برخي كنترل هاي امنيتي ، ايجاد كنيد.
براي شروع ده مورد از كارهايي كه شما بايد انجام دهيد را آورده ايم كه با انجام آنها به طور قطع وضعيت امنيتي بهتري پيدا مي كنيد.
سياست ها كلمات عبور خود را قوي تر كنيد
يك سياست كلمات عبور قوي از چند طريق امكان پذير است. به نظر من يك سياست كلمات عبور قوي شامل موارد زير است :
-اصرار بر تغيير مكرر پسورد ها
-نياز به پسورد هايي با طول بلند و مركب از حروف بزرگ و كوچك، ارقام و كاراكترهاي مخصوص
-عدم اعطاي مجوز به پسورد هاي پوچ
-چك كردن پسورد ها براي تكراري نبودن آنها
-جلوگيري از عدم شباهت پسورد ها به نام كاربري (User ID )
-اجازده ندادن به كلماتي كه در واژه نامه ها موجود مي باشد.
اجراي تغييرات سياست هاي كلمات عبور توسط
سياست هاي پسورد هاي قوي مساله بسيار مهمي مي باشد ، زيرا كه نفوذگران با حدس زدن پسورد هاي ضعيف به راحتي مي توانند به سيستم هاي شما نفوذ كنند. اگر پسورد هاي سيستم ها لو روند، ديگر تمامي سخت گيري ها و اجرا و وضع دسترسي ها و حتي رمزنگاري ديگر به درد نمي خورد. شايد بتوان به جرات گفت كه سياستهاي پسوردي قوي يكي از مهمترين مسايلي است كه مي تواند از شكسته شدن بسياري از مسايل امنيتي جلوگيري كند.
من مي دانم كه ممكن شما نمي توانيد اين كار را به تنهايي براي تمامي سازمان انجام دهيد. ولي شما به سادگي مي توانيد با تغيير سياستهاي پسوردي در دامنه ويندوز اين كار را انجام دهيد. همين كارها باعث مي شود كه بسياري از كاركنان خود را در برابر حملات بيمه كنيد. پس مطمئن باشيد و انجام دهيد.
البته شما بايد قادر باشيد و بتوانيد سياسيتهاي امنيتي را روي دامنه خود اعمال كنيد. يعني اينكه بتوانيد از طريق دامنه ويندوز تغييرات را روي سياستهاي پسوردي طوري اعمال كنيد كه نتيجه آن روي تمامي نام هاي كاربري موجود در سرور اعمال گردد، حتي اين موضوع بايد روي نام هاي كاربري محلي نيز اعمال گردد. شما مي توانيد سياست هاي پسورد هاي قوي را به راحتي از طريق ويندوز اعمال كنيد. مثلا اگر شما تصميم داريد كه تمامي مديران سازمان هر 10 روز يك بار پسورد خود را تغيير دهند و يا اينكه از پسورد هايي با 16 كاراكتر استفاده كنند به راحتي مي توانيد آن را از طريق سياست هاي پسوردي ويندوز اعمال كنيد. البته اين موضوع بايد براي هر كسي كه به طوري با سرور در تماس است، براي مثال مسوؤل گرفتن داده هاي پشتيبان، اعمال كنيد.
اگر كمي فكر كنيد ، متوجه خواهيد شد كه چرا داشتن سياست هاي پسوردي مي تواند مهم باشد. مثلا شما فكر كنيد كه اگر پسورد هاي يكي از سرور ها توسط يك مهاجم لو برود چه اتفاقي مي افتد.
توجه كنيد !
توجه كنيد كه شما فقط مي توانيد يك سياست پسوردي روي دامنه خود داشته باشيد. اين سياست هاي توط GPO بر روي دامنه سرور اعمال مي گردد. اگرچه شما مي توانيد براي گروههاي مختلف، سياست هاي مختلفي را اعمال كنيد، اما شما نمي توانيد از طريق كنترل هاي تكنيكي آن را اعمال كنيد. شما مي توانيد اين كار را از طريق آگاهي دادن به كاربران و مجبور كردن آن براي استفاده از سياست هاي پسوردي سياست هاي مد نظر خود را پياده سازي كنيد.
البته تغيير اصلي سياستهاي پسوردي كاري است كه بايد در آينده انجام گيرد و البته تغيير و ايجاد پسورد هاي پيچيده براي مديران سطح بالا، ممكن است همراه با اجازه، تاييد و كارهايي از اين قبيل همراه باشد. ولي براي اينكه پسورد هاي پيچيده و در نهايت شبكه امني داشته باشيد بايد تمامي اين راهها را بپيماييد.{happy}
فورا دست به كار شويد !
همانطور كه همه مي دانيم ، ما براي زنده ماندن صنعت IT خود، نيازمند آنيم كه مشكلات امنيتي آن را حل كنيم. ما بايد ياد بگيريم كه بايد به جنگ چه كساني برويم .
ما كار بزرگي را در پيش رو داريم البته نبايد اينگونه فكر كنيم كه ابتدا دانش فني خود را بالا ببريم و بعد شروع به بالا بردن امنيت شبكه خود كنيم. بايد بدون تامل و وقفه همين حالا شروع كنيم. بايد همين حالا و در كنار هم فرهنگ امنيت را براي ديگران جا بيندازيم تا تمامي اجزاي شبكه ما از امنيت كافي برخوردار باشد ، تمامي سيستم هاي ما امن شوند و تمامي كاركنان خود را آموزش دهيم.
اين سري از مقالات كه از كتاب Hardening Windows System تهيه شده است و درباره محكم سازي تمامي انواع ويندوز هاي شركت مايكروسافت مي باشد .
بخش اول
اين كار ها را همين حالا انجام دهيد !
پيشگفتار
ما يك مشكل بزرگ داريم. ما معمولا نمي دانيم كه براي امن كردن سيستم هاي ويندوزي خود به چه چيزهايي نياز داريم. ما فقط مي دانيم كه بايد يك كارهايي انجام دهيم ولي نمي دانيم كه چه كاري ! همانطور كه براي جلوگيري از سرقت هاي خانگي راهي وجود ندارد براي امن كردن 100 درصد سيستم هاي ويندوزي و يا هر سيستم عامل ديگري راهي وجود ندارد. البته ما نيز در اينجا با طرح سوال هاي زيادي اين مساله را تا حدي تفهيم خواهيم كرد و خواهيم گفت كه چگونه سيستم هاي ويندوزي خود را از انواع حملات محافظت كنيم.
اما به جاي محكم سازي خودكار سيستم عامل، به جاي امنيت فيزيكي سيستم ها، به جاي فرهنگ سازي براي هر كدام از افراد سازمان و قبل از انجام هر كاري ما ابتدا بايد برخي مشكلات موجود در سيستم هايمان را اصلاح كنيم. وقتي شبكه ما مورد هجوم قرار گرفت و اطلاعات مهم آن به سرقت رفت نبايد كس ديگري را مقصر اين امر بدانيد.
لطفا دست نگه داريد ، همين الان دست نگاه داريد! شما بايد كنترل امنيت اطلاعات خود را در دست بگيريد. منظور من از امنيت اطلاعات، امنيت كامپيوتر هاي شما نيست! آنها فقط بخشي از امنيت اطلاعات شما مي باشد.
شما به يك برنامه جامع و فراگيري براي هر مكاني كه اطلاعات در آن نقش دارد، نياز داريد. در پردازنده مركزي (mainframe ) ، در سرور وب لينوكس ، در Active Directory ، در PDA و بله حتي در مغز ها و ذهن هاي كارمندان، شركا و مشتريان خود !
ما مي دانيم كه شما بايد چه كاري انجام دهيد، بنابراين اجازه بدهيد كه با هم آن را دنبال كنيم.
اجازه بدهيد كه مدل امنيت اطلاعات خود را تغيير دهيم. «سيستم هاي محكم سيستم هايي مي باشند كه امن هستند» . منظور من هم از سيستم ، كامپيوتر ها ، شبكه و افراد در آن مي باشند. به هر حال، چه بايد كرد ؟ ابتدا يك اساس نامه بنويسيد. مديران خود را به كار بگيريد. شما بايد هر چيزي و هر كسي كه در اطلاعات شما دخيل مي باشند را محكم كنيد.
فراموش نكنيد كه امن كردن سيستم هاي اطلاعاتي شما به سادگي نفس كشيدن مي باشد اما مطمئنا شما به تنهايي نمي توانيد تمامي اين موارد را انجام دهيد. اما شما مي توانيد تاثيرات قابل توجهي را روي وضعيت امنيتي شبكه خود با انجام برخي كنترل هاي امنيتي ، ايجاد كنيد.
براي شروع ده مورد از كارهايي كه شما بايد انجام دهيد را آورده ايم كه با انجام آنها به طور قطع وضعيت امنيتي بهتري پيدا مي كنيد.
سياست ها كلمات عبور خود را قوي تر كنيد
يك سياست كلمات عبور قوي از چند طريق امكان پذير است. به نظر من يك سياست كلمات عبور قوي شامل موارد زير است :
-اصرار بر تغيير مكرر پسورد ها
-نياز به پسورد هايي با طول بلند و مركب از حروف بزرگ و كوچك، ارقام و كاراكترهاي مخصوص
-عدم اعطاي مجوز به پسورد هاي پوچ
-چك كردن پسورد ها براي تكراري نبودن آنها
-جلوگيري از عدم شباهت پسورد ها به نام كاربري (User ID )
-اجازده ندادن به كلماتي كه در واژه نامه ها موجود مي باشد.
اجراي تغييرات سياست هاي كلمات عبور توسط
سياست هاي پسورد هاي قوي مساله بسيار مهمي مي باشد ، زيرا كه نفوذگران با حدس زدن پسورد هاي ضعيف به راحتي مي توانند به سيستم هاي شما نفوذ كنند. اگر پسورد هاي سيستم ها لو روند، ديگر تمامي سخت گيري ها و اجرا و وضع دسترسي ها و حتي رمزنگاري ديگر به درد نمي خورد. شايد بتوان به جرات گفت كه سياستهاي پسوردي قوي يكي از مهمترين مسايلي است كه مي تواند از شكسته شدن بسياري از مسايل امنيتي جلوگيري كند.
من مي دانم كه ممكن شما نمي توانيد اين كار را به تنهايي براي تمامي سازمان انجام دهيد. ولي شما به سادگي مي توانيد با تغيير سياستهاي پسوردي در دامنه ويندوز اين كار را انجام دهيد. همين كارها باعث مي شود كه بسياري از كاركنان خود را در برابر حملات بيمه كنيد. پس مطمئن باشيد و انجام دهيد.
البته شما بايد قادر باشيد و بتوانيد سياسيتهاي امنيتي را روي دامنه خود اعمال كنيد. يعني اينكه بتوانيد از طريق دامنه ويندوز تغييرات را روي سياستهاي پسوردي طوري اعمال كنيد كه نتيجه آن روي تمامي نام هاي كاربري موجود در سرور اعمال گردد، حتي اين موضوع بايد روي نام هاي كاربري محلي نيز اعمال گردد. شما مي توانيد سياست هاي پسورد هاي قوي را به راحتي از طريق ويندوز اعمال كنيد. مثلا اگر شما تصميم داريد كه تمامي مديران سازمان هر 10 روز يك بار پسورد خود را تغيير دهند و يا اينكه از پسورد هايي با 16 كاراكتر استفاده كنند به راحتي مي توانيد آن را از طريق سياست هاي پسوردي ويندوز اعمال كنيد. البته اين موضوع بايد براي هر كسي كه به طوري با سرور در تماس است، براي مثال مسوؤل گرفتن داده هاي پشتيبان، اعمال كنيد.
اگر كمي فكر كنيد ، متوجه خواهيد شد كه چرا داشتن سياست هاي پسوردي مي تواند مهم باشد. مثلا شما فكر كنيد كه اگر پسورد هاي يكي از سرور ها توسط يك مهاجم لو برود چه اتفاقي مي افتد.
توجه كنيد !
توجه كنيد كه شما فقط مي توانيد يك سياست پسوردي روي دامنه خود داشته باشيد. اين سياست هاي توط GPO بر روي دامنه سرور اعمال مي گردد. اگرچه شما مي توانيد براي گروههاي مختلف، سياست هاي مختلفي را اعمال كنيد، اما شما نمي توانيد از طريق كنترل هاي تكنيكي آن را اعمال كنيد. شما مي توانيد اين كار را از طريق آگاهي دادن به كاربران و مجبور كردن آن براي استفاده از سياست هاي پسوردي سياست هاي مد نظر خود را پياده سازي كنيد.
البته تغيير اصلي سياستهاي پسوردي كاري است كه بايد در آينده انجام گيرد و البته تغيير و ايجاد پسورد هاي پيچيده براي مديران سطح بالا، ممكن است همراه با اجازه، تاييد و كارهايي از اين قبيل همراه باشد. ولي براي اينكه پسورد هاي پيچيده و در نهايت شبكه امني داشته باشيد بايد تمامي اين راهها را بپيماييد.{happy}