آخرين به روز رساني :                                                                                                                                     

کارت امنیتی

اخبار

نرم افزار

آموزش

امنيت
شرکت مهندسی مهران رایانه بنیانگذار امنیت اطلاعات در ایران

چك ليست امنيتي ويندوز 2000

ويندوز 2000 شامل تعدادي طرح امنيتي بهبود يافته مي باشدكه اگر به طور شايسته پيكر بندي شود مي تواند سيستم عاملي بسيار امن و قابل اطمينان باشد . در نظر داشته باشيد كه اين معامله اي است بين مراتب امنيتي توسعه يافته و قابليت استفاده از هر سيستم عامل . ريسك پنهان در اين كار را در نظر  بگيريد و نياز هايتان را ارزيابي كنيد 

مايكروسافت يك سيستم امنيتي ، يك تحليلگر امنيتي و تعدادي پيش فرض امنيتي تحت ويندوز 2000 را در اختيار دارد كه مي تواند براي انتخاب سطح امنيتي كه نياز خواهيد داشت به شما كمك كند

در زير يك چك ليست كه ما از تدابير امنيتي سفارش شده تفسير كرده ايم براي مراقبت كردن از ويندوز 2000 وجود دارد . اين يك سند زنده است كه به مرور زمان با انتشار امكانات جديد امنيتي توسط مايكروسافت به روز رساني خواهد شد . ما سعي كرده ايم چك ليستي تهيه كنيم كه تا حدد ممكن كامل باشد  

تهيه امنيت فيزيكي براي ماشينها:

بيشتر شكافتهاي امنيتي در شركتها از داخل اتفاق مي افتد ممكن است خطا كاران از جمله كاربران با قدرتي باشند كه كامپيوترهاي شركت را پيكر بندي مي كنند و مي توانند كارمندان را بد خلق و عصباني كنند ممكن است در محيط شما براي بسياري از ايستگاههاي كاري امنيت فيزيكي مقدور نباشد اما سرور هاي شما نياز دارند كه در يك اتاق بسته با قدرت خبر دهندگي بالا باشند

- بكار گذاشتن دوربين هايي در اتاق سرور

- نگهداري اطلاعات به روي نوار به مدت 30 روز 

- نصب يك قفل براي كيس و قفل نگه داشتن آن و نگه داري كليد در محلي امن در جايي به دور از كامپيوتر (مثلا در يك كمد قفل دار در اتاق سرور)

وروديهاي مهمان را غير فعال كنيد :

ويندوز 2000 به صورت پيش فرض ورود مهمان را غير فعال مي كند ، اما اگر نمي خواهيد براي خود شريك داشته باشيد مي توانيد دوباره چك كنيد كه اكانت هاي ميهمان غير فعال باشد براي اظافه كردن امنيت ، يك رمز عبور پيچيده بدهيد .

تعداد اكانتهاي غير ضروري را محدود كنيد :

تمامي اكنتهاي المثني ، آزمايشي ، همگاني و اكانتهاي با ساختار عمومي را حذف كنيد و اكانتهاي خود را به طور مرتب بازرسي كنيد . اين نوع اكانتها به داشتن رمز عبور ضعيف مشهورند و بسيار قابل دسترسي هستند و در اولويت اول ليست اكانتهاي مورد حمله هكرهاقرار دارند . اين مي تواند مشكل بزرگي براي شركت هاي بزرگتر كه تكيه به IT دارند باشد . تحقيقي كه من در مورد 10 شركت انجام دادم نشان مي دهد كه 3000 از 15000 اشتراك فعال آنها به كارمنداني كه خيلي در شركت حضور ندارند اختصاص داده شده بود . بدتر اينكه ما توانستيم بيش از نيمي از رمز هاي عبور نيمه فعال را بشكنيم

براي مديران شبكه دو اكانت بسازيد :

من مي دانم كه اين بر خلاف اخطار قبلي مي باشد . اما اين يك استثنا است . براي مديران شبكه جهت خواندن ايميلها و ساير وظايف عمومي يك اكانت كاربر عادي بسازيد و يك اكانت جدا با يك پسورد پيچيده تر براي وظايف خاص و ويژه مدير . آيا مدير شما براي داشتن دسترسي مورد نياز حق استفاده از run as را در ويندوز 2000 دارد؟ اين امر از انتشار كد هاي مزاحم و زيان آور در شبكه شما با امكانات ويژه مدير جلوگيري مي كند.

نام اكانت مدير را عوض كنيد :

بسياري از هكرها معتقدند كه اين نمي تواند آنها را از انجام كارشان باز دارد . زيرا آنها از SID براي پيدا كردن نام اكانت استفاده خواهند كرد . ديدگاه ما اين است كه چرا كار را براي آنها راحت كنيم ؟ عوض كردن نام مدير شبكه بعضي از هكرهاي تازه كار را باز خواهد داشت و مزاحم بسياري از تصميمات آنها خواهد شد . به خاطر داشته باشيد كه هكر ها از قابليتها و محور هاي يك اكانت آگاه نيستند . بنابراين آنها سعي مي كنند يك اكانت محلي را هك كنند . آنها راه را پيدا مي كنند و سپس سعي مي كنند كه ساير اكانتها را هك  كنند . اگر شما نام اكانت را عوض مي كنيد سعي نكنيد از نام Admin در آن استفاده كنيد .

به ساختن يك اكانت مصنوعي براي مدير شبكه توجه كنيد :

استراتژي ديگر ساختن يك اكانت محلي با نام Administrator است . اين اكانت هيچگونه امتيازي ندهيد و اكانت ميهمان را در آن غير فعال كنيد و يك رمز عبور پيچيده براي آن قرار دهيد اين امر باعث مي شود هكر براي مدتي دست به سر شود . اگر شما يك اكانت مدير مصنوعي بسازيد بازرسيها فعال مي شوند و همچنين شما خواهيد دانست كه چه موقعي آسيب رساني شروع شده است .

گروه Every one را بنا به صلاحيت آن كاربر مشخص كنيد :

Every one در متون امنيتي ويندوز 2000 به كسي گفته مي شود كه از شبكه شما استفاده مي كند و مي تواند به داده ها دسترسي داشته باشد . هرگز اجازه ندهيد گروه Every one  به فايلهاي Share در روي شبكه شما دسترسي داشته باشد و به جاي آن از Authentieated usere استفاده كنيد . اين امر براي چاپگرها كه به طور پيش فرض گروه Every one به آنها اختصاص داده شده است خيلي مهمتر است .

استفاده از كلمه رمز مناسب :

براي امنيت شبكه شما ، سياست داشتن يك رمز عبور خوب امري ضروري است . اما اغلب مورد چشم پوشي قرار مي گيرد . در كمپانيهاي بزرگ مديران تنبل در مورد ساختن اكانتهايي كه از متغيري با نام شركت ، نام كامپيوتر و يا مشابه اينها تشكيل مي شود مورد آزمايش سختي قرار مي گيرند . بدتر از همه اينكه پسورد اكانت كاربران جديد از كلماتي مانند welcome , Telemin ,.. تشكيل شده است كه هرگز نيز عوض نشده اند . از يك رمز عبور پيچيده استفاده كنيد كه هر 60 تا 90 روز عوض شود . 

استفاده از رمز عبور برای Screen Server:

اين يك مرحله امنيتی پايه ای ديگر است . مطمئن باشيد كه تمام ايستگاههاي كاري شما و سرورهاي شما داراي اين قابليت هستند كه از يك تهديد داخلي به وسيله مزيتي كه در داخل قفل مانيتور وجود دارد جلوگيري كنند . براي اينكه نتيجه بهتري بگيريد از داخل Screen Server ، محافظ صفحه خالي را انتخاب كنيد . از OpenGL و ساير برنامه هاي قوي گرافيكي بپرهيزيد چون اينها با چرخه CPU كار مي كنند مطئن شويد كه تنظيمات ، مناسب كار شماست . اگر مي توانيد كاربرتان را به قفل كردن كامپيوترهايشان به طور دستي هنگامي ميز كارشان را ترك كي كنند عادت دهيد . شما مي توانيد با استفاده از سياست گروه بندي از تغيير دادن اين تنظيمات توسط كاربران جلوگيري كنيد .

از فرمت NTFS براي تمام پپارتيشن ها استفاده كنيد :

فرمتهاي FAT و FAT32 سيستمهاي امنيتي فايل را پشتيباني نمي كنند و يك دروازه بزرگ به سيستم شما بر روي هكر ها مي گشايند . مطمئن شويد كه تمام پارتيشن هاي روي سيستم شما NTFS هستند .

هميشه نرم افزار ضد ويروس را اجرا كنيد :

اين كار نيز از پايه هاي اساسي امنيت مي باشد . ام شما تعجب خواهيد كرد اگر بدانيد چند كمپاني از AntiVirus استفاده نمي كنند و يا از نسخه هايي استفاده مي كنند كه به روز نشده اند . امروزه AntiVirus ها علاوه بر چك كردن ويروسهاي شناخته شده اسكنهاي بسياري را در مورد انواع ديگر كدهاي مزاحم انجام مي دهند .

نوارهاي پشتيبان خود را ايمن كنيد :

اين حيرت آور است كه بدانيم چند شركت از ابزارهاي بسيار خوب امنيتي استفاده مي كنند اما ديگر نوارهاي پشتيبان كه شامل همان داده ها و اطلاعات مي باشد را پنهان و قفل نمي كنند . اين همچنين ايده خوبي است كه ديسكت هاي ضروري خود را قفل كنيد و آنها را در جايي دور از سرور نگهداري كنيد .

مقياسهاي امنيتي سطح مياني :

از ابزار آلات پيكربندي سيتم كه متضمن نظم ساختار Windows 2000 ميباشد استفاده كنيد :

مايكروسافت يك ابزار پيكربندي امنيتي را ميسر ساخته كه با MMc به شما اجازه مي دهد تا به راحتي پايه و اساس شبكه تان را در سطحي كه مناسب با نيازهايتان است پيكربندي كنيد . اين الگوهاي MMc شامل ليستس طولاني از عناصر قابل پيكربندي (بسياري از آن چيزهايي كه در اين چك ليست به آن پرداخته شده) و همچنين ابزار تحليلگر امنيتي سودمند مي باشد . اگر ايستگاه كاري شما قسمتي از Domain نيست ، شما هنوز مي توانيد اين سياست را بوسيله فايل Poledid.exe از سي دي Win2000Server اعمال كنيد .

اجازه ندهيد در محيط شما مودمهايي يافت شود كه شناخته نشده اند :

يكي از آسانترين هكهاي دنيا ، پيدا كردن پسوند شماره تلفن يك كمپاني و حدود پسورد آن و ارتباط با مودمي است كه به طور اتفاقي دسترسي به آن پيدا شده است . اگر شما يك سيستم تلفن ديجيتال داريد ، يك ليست از تمام خطوط آنالوگي كه وارد محل كار شما مي شوند بگيريد و دريابيد كه به كجا مي روند . هر كامپيوتري كه دچار اشكال در مودم شده يك خطر امنيتي است . مطمئن شويد آنها به طور صحيح پيكربندي شده اند و به طور مرتب بررسي مي شوند .

سرويسهاي غير روري را خاموش كنيد :

Win2000 مجهز به سرويسهاي رايانه اي ، IIS ، RAS است كه مي توانند حفره هايي را در سيستم عامل شما باز كنند . فعال كردن سرويسهاي رايانه اي براي اجازه دادن به كنترل از راه دور توابع براي مديريت سرورها معمولا راحت است اما بايد مطمئن شويد كه به طور صحيح پيكربندي شده است . همچنين چندين برنامه مزاحم وجود دارند كه مي توانند بي سروصدا و بدون اينكه كسي بفهمد اجرا شوند . مواظب تمام سرويسهايي كه روي سرور شما اجرا مي شوند باشيد و آنها را به صورت دوره اي بازرسي كنيد .

پرتهاي غير ضروري و غير لازم را ببنديد :

اين يك قضاوت پايه اي است بين نيازهايتان و ريسكهايتان . ايستگاههاي كاري در پشت FireWall به صورت عادي در معرض ريسك نيستند . اما هرگز مپنداريد كه سرورهاي شما نيز امن هستند . هكرها معمولا اول با يك درگاه پوينده درگير مي شوند . شما مي توانيد با باز كردن فايلي كه در محل %System Root%\drivers\etc\services وجود دارد ليستس به دست آوريد و بفهميد كه چند پرت باز روي سيستم محلي تان وجود دارد . شما نيز مي توانيد پرت هايتان را از طريق قسمت Properties در Tcp/Ip پيكربندي كنيد . براي اين كار مراحل زير را دنبال كنيد :

Control Panel > Network and Dialup Connection > Local Area Connection > Internet Protocol (Tcp/Ip) > Properties > Advanced > Options > Tcp/Ip Filtering

براي اتصالات Tcp و ICMP چك باكسهاي پروتكلهاي IP وUDP را به طور اختصاصي پيكربندي كنيد و ليستهاي خالي را بيرون بريزيد . در اينجا يك ليست از پرتهاي پيش فرض ، براي كنترل كننده هاي Domain Win2000 مي تواند پيدا شود .

بررسيها را فعال کنيد :

پايه ای ترين کار برای پيدا کردن ورودی های غير مجاز در Win2000 ، فعال کردن بازرسيهاست . اين بازرسيها در صورت تغيير در سياست گذاری اکانت شما ، سعی در هک کردن رمز شما و يا دسترسی بدون اجازه به فايل به شما هشدار خواهد داد . بسياری از کاربران نا آگاه اجازه باز شدن انواعی از دربهای ناشناخته شده را بر روی کامپيوترشان می دهند که اين رِسکها اغلب بعد از اينکه يک شکافت امنيتی خطير اتفاق می افتد ، کشف می شوند .

تنظيم دستورات ايمنی بر روی رويداد ورود :

اکثر فايل های ورود به صورت پيش فرض حفاظت شده نيستند . بنابراين بايد دستورات روی فايلهای ورود ، فقط برای دسترسی مدير و اکانتهای سيستم ، تنظيم شود .

تمامی اسناد و مدارک حساس را روی سرويس دهنده فايل ذخيره کنيد :

هر چند که بيشتر ايستگاههای جديد با درايوهای نسبتا بزرگ وارد شبکه می شوند ، شما بايد نحوه ذخيره سازی دادههای همه کاربران را روی يک سرور امنيتی ، جايی که دادهها پشتيبان گيری می شوند ، در نظر بگيريد . پارامترهای شاخه My Ducument را طوری اصلاح کنيد که هميشه به کاربران روی سرور ايمن شده اشاره کند . برای کاربران کامپيوتر های کيفی برای همزمان کردن پيشرفت حجم شاخه Make Avalable offline را فعال کنيد .

از به نمايش در آمدن نام آخرين کاربر وارد شده به سيستم جلوگيری کنيد :

هنگاميکه شما دکمه های ALT , CTRL , DEL را فشار می دهيد يک ديالوگ باکس برای ورود به شبکه باز می شود که در آن نام آخرين شخصی که با اين کامپيوتر Login کرده است ظاهر می شود و اين کار را برای کشف User Name  آسان می کند و می تواند توسط يک رمز عبور حدسی مورد حمله قرار بگيرد . اين را می توان با استفاده از الگوهای امنيتی تهيه شده در سی دی نصب يا از طريق تنظيمات گروهی ، غير فعال کرد .

برای تعمييرات و به روز رسانی ، سری به سايت مايکروسافت بزنيد :

هيچ کس نمي تواند 30ميليون خط کد بنويسد و در اولين بار به خوبی کار کند . بنابر اين به روز رسانی بسته های سرويس و تعويرات سزيع می تواند بسيار راه درازی را برای پر کردن چاله های امنيتی طی کند . مساله اين است که تعمييرات سريع و بسته های سرويس در حالت آزمايشی به طور کامل برگشت پذير نيستند . شما بايد هميشه آنها را از لحاظ کاربرد تست کنيد و فبل از گسترش دادن آنها ، هيچ اقدامی نکنيد .

تنظيمات امنيتی پيشرفته :

گذاشتن امکاناتی روی رمزها :

اين برای کاربران کامپيوتر های کيفی بايد اجباری باشد اما در تجهيزات سرورها و ايستگاهها کمياب است . زيرا به شما اجازه نمی دهد از راه دور يک ماشين را Logon يا Reboot کنيد و سيستم عامل را دوباره را اندازی کنيد . به ياد داشته باشيد که يک مزاحم کسی است که می تواند CPU کامپيوتر شما را باز کند . می تواند سوئيچهای سخت افزاری را برای از کار انداختن قدرتهایی که روی رمز تنظيم کند . همچنين می تواند يک سيستم عامل ديگر را نصب و راه اندازی کند تا تمام تنظيمات امنيتی شما را قطع کند . اگر اين نگرانی شرکت شماست به قفل کردن کيس بيانديشيد (اگر مدل آن اين اجازه را می ددهد) يا از هاردهای قابل برداشتی که هر شب قفل می شوند استفاده کنيد .

Direct Drow را از کار بياندازيد :

اين از دسترسی مستقيم به سخت افزار نمايش و حافظه که به استانداردهای امنِتی پايه ای C2 نياز دارد ، جلوگيری می کند . غير فعال کردن Direct Drow ممکن است بغضی برنامه هايی که به Direct X نياز دارند صدمه برساند (مانند بازيها) . اما بيشتر نرم افزارهای کاربردی شغلی ساده هستند . برای از کار انداختن آن رجيستری را ويرايش کنيد :

Khlm\System\Current Control\Control\Graphics Drivers\Dc

و مقدار آن را به صفر تبديل کنيد .

فايلها و فولدرهای به صورت پيش فرض همگانی شده را غير فعال نماييد:

ويندوز NT و 2000 با هر بار نصب فايلهای Share مخفی را برای استفاده بوسيله اکانت سيستم ، باز می کند (شما می توانيد تمام فولدرهای Share را روی کامپيوترتان با فرمان Net Share در خط فرمان Dos ببينيد)

1- در سرور ، سرويسی که قابليت همگانی سازی فولدرها را در کامپيوتر شما ايجاد می کند متوقف و يا غير فعال کنيد . (به هر حال شما هنوز قادر خواهيد بود به فولدرهای Share شده روی کامپيوترهای ديگر دسترسی داشته باشيد) برای اينکار سرويسهای سرور را از طريق

Control Panel > Administration < Services

غير فعال کنيد

2- راه ديگر از طريق رجيستری است :

Hkey Local \ Machine \ System \ Current Control Set \ Services \ lan man \ Server \ Prameter

فضايی را که برای فايلهای زايد در نظر گرفته می شود را غير فعال کنيد :

مقدارreg-dword  در auto share server را برابر صفر و برای ايستگاههای کاری در auto share wksرا برابر صفر قرار دهيد . توجه داشته باشيد که غير فعال کردن اين share ها به اندازه زيادی امنيت فراهم می کند اما ممکن است باعث مشکلاتی با نرم افزارهای کاربردی شود . لذا قبل از اينکه اينها را در تجهيزات حاصل اعمال کنيد تغييرات را در آزمايشگاه آزمايش کنيد .

هنگامی که هر يک از نرم افزارهای کاربردی يا سيستم سقوط کنند و باعث ظاهر شدن صفحه مشهور آبی رنگ شود يک فايل Dump می تواند به عنوان يک ابزار عيب يابی مورد استفاده قرار بگيرد . بهر حال آنها می توانند با استفاده از اطلاعات حساس مانند کلمه های رمز نرم افزار کاربردی ، وسيله ای را برای يک هکر فراهم آورند تا شما را هک کند . شما می توانيد اين فايلهای dump را غير فعال کنيد .

برای اينکار مراحل زير را دنبال کنيد :

Control Panel > System Properties > advanced > startup and Recovery گزينه none را انتخاب کنيد .

اگر شما به عيب يابی سقوطهای بدون توضيح در روز های بعد احتياج پيدا کرديد می توانيد دوباره اين انتخاب را فعال کنيد تا اينکه مشکل حل شود اما مطمئن شويد که دوباره آن را غير فعال کنيد  و کليه فايلهای dump را پاک کنيد

Temp فولدری که در شاخه ويندوز است را مخفی کنيد :

نرم افزارهای کاربردی از يک فولدر به نام Temp استفاده می کنند که کپيهايی از فايلهايشان را بهنگام Up to date کردن و يا اصلاح کردن ، ذخيره می کنند . اما آنها هميشه ، هنگام بستن برنامه اين فولدر را پاک نمی کنند . مخفی سازی فولدر Temp يک لايه وسيع از امنيت را برای فايلهای شما فراهم می کند .

رجيستری سيستم را قفل کنيد :

در ويندوز 2000 فقط مدير و جانشين او حق دسترسی به رجيستری را دارند . به هر حال کار از محکم کاری عيب نمی کند برای محدود کردن دستيابی شبکه به رجيستری مراحلی را که در قسمت Technet article وجود دارد دنبال کنيد .

صفحات باز شده در حافظه را بهنگام Shut down پاک کنيد :

فايل صفحه يک فايل جانشين موقت ويندوز 2000 است که در مديريت حافظه و بهبود بخشيدن به اجرای کار استفاده می شود . بهر حال ممکن است بعضی از برنامه ها به صورت رمزهای غير پنهان در حافظه ذخيره شوند و آنجا ممکن است که بعضی از داده های حساس پنهان شده باشند . شما می توانيد بوسيله رجيستری فايلهای صفحه را به هنگام shut down پاک کنيد .

توانايی بالا آمدن سيستم از فلاپی يا سی دی رام را غير فعال کنيد :

اگر شما به يک امنيت فوق العاده نياز داريد ، فلاپی و سی دی رام را به کلی Remove کنيد

سی دی رام را از حالت Auto Run خارج کنيد :

يکی از راههای آسان هکر ها برای دسترسی به کامپيوتر های يک شرکت از طريق سی دی رام است شما می توانيد برای از کار انداختن Auto Run رجيستری را ويرايش کنيد :

Hkey-Local-Machine \ System \ Current Control Set \ Services

و مقدار متغير auto run را صفر قرار دهيد .

Posix و  OS/2 را کلا حذف کنيد :

اگر از اين زير سيستم ها استفاده نمی کنيد آنها را Remove کنيد تا کارايی سيستم و همچنين امنيت بالا رود برای پاک کردن Posix و  OS/2 :

1- فهرست Winnt \ System 32 \ OS2 و تمامی زير فهرستهای آن را پاک کنيد

2- از رجيستری برای Remove کردن استفاده کنيد

برای مشاهده تغييرات کامپيوتر را دوباره راه اندازی کنيد . شما ممکن است بخواهيد ديسک تعمييرات ضروری خود را برای انعکاس اين تغييرات به روز کنيد .

برگشت

 
 

 

copyright By Mehran Rayaneh ,All rights reserved (2002)