سيستم عامل ويندوز، يکی از ده ها سيستم عامل موجود در جهان است که مديريت منابع سخت افزاری و نرم افزاری در يک کامپيوتر را برعهده دارد.
استفاده از ويندوز بعنوان سيستم عاملی شبکه ای، همزمان با عرضه NT ، وارد مرحله جديدی گرديد. در ادامه و بدنبال ارائه نسخه های ديگری از ويندوز ، فصل جديدی از بکارگيری سيستم عامل فوق در شبکه های کامپيوتری گشوده گرديد. استفاده از سيستم عامل ويندوز (نسخه های متفاوت) در ايران بطرز محسوسی افزايش يافته و هم اينک، در اکثر شبکه های کامپيوتری از سيستم عامل فوق استفاده می گردد. دامنه استفاده از ويندوز، شبکه های کوچک سازمانی تا شبکه های بزرگ را شامل و حتی اکثر مراکز ASP ، برای ميزبانی وب سايت ها از گزينه فوق ، بهمراه مجموعه نرم افزارهای مربوطه استفاده می نمايند. با توجه به جايگاه سيستم عامل در کامپيوتر و نقش آن در برپاسازی يک شبکه مقتدر و ايمن ، لازم است با نگاهی دقيق به ارزيابی امکانات امنيتی آن پرداخته و پس از شناسائی نقاط آسيب پذير، در اسرع وقت نسبت به برطرف نمودن حفره های امنيتی اقدام لازم صورت گيرد . ما عادت کرده ايم اکثر نرم افزارها را با تنظيمات پيش فرض نصب و در اين راستا از دکمه طلائی Next ، بدفعات استفاده نمائيم! بديهی نصب و پيکربندی مناسب يک سيستم عامل شبکه ای با رويکرد فوق، می تواند اثرات مخربی را در رابطه با حفاظت از اطلاعات در يک سازمان بدنبال داشته باشد. طراحی و پياده سازی يک سيستم ايمنی مناسب در شبکه های کامپيوتری، يکی از مهمترين چالش های موجود در دنيای گسترده تکنولوژی اطلاعات است. در اين راستا لازم است، سازمان ها و موسسات در اين رابطه با يک هدفمندی خاص بسمت برپاسازی يک محيط ايمن در شبکه های کامپيوتری حرکت نموده و قبل از وقوع هرگونه پيشامد ناگوار اطلاعاتی ، پيشگيری های لازم صورت پذيرد .
با توجه به استفاده گسترده از سيستم عامل ويندوز در ايران ، لازم است به بررسی و ارزيابی امنيتی سيستم عامل فوق پرداخته شود. شرکت ماکروسافت خود در اين زمينه تلاش های گسترده ای را آغاز و اخيرا" توجه خاصی را به اين مقوله اختصاص و پروژه های بزرگی را بمنظور نيل به يک سيستم عامل شبکه ای ايمن با توجه واقعيت های موجود تعريف و دنبال می نمايد .
شرکت مايکروسافت پس از عرضه نسخه های خاصی از ويندوز و با مشاهده اشکالات و نواقص (خصوصا" نواقص امنيتی) اقدام به ارائه نرم افزارهای تکميلی بمنظور بهنگام سازی ويندوز می نمايد . Hotfix ,Patch و Service pack نمونه های متفاوتی در اين زمينه می باشند. با توجه به نقش نرم افزارهای فوق در صحت عملکرد امنيتی ويندوز، لازم است در ابتدا به نرم افزارهای فوق اشاره گردد.
Service Pack و HotFix
Service Pack ، يک بهنگام سازی ادواری در رابطه با سيستم عامل بمنظور رفع اشکالات و نواقص موجود است . ماکروسافت برای ويندوز NT4.0 (نسخه قبل از ويندوز 2000 با نگرش امکانات شبکه ای) شش و برای ويندوز 2000 تاکنون ، سه Service Pack متفاوت را ارائه کرده است. بمنظور برطرف نمودن مشکلات احتمالی در فاصله زمانی بين دو service pack، اقدام به عرضه Hotfix می گردد. هر service Pack ، شامل تمام hotfix های قبلی نسبت به نسخه service pack قبلی است .
علاوه بر نصب آخرين نسخه های service Pack ، می بايست اقدام به نصب نسخه های hotfix نيز گردد. معمولا" hotfix ، با توجه به شيوع و گسترش يک مسئله خاص (مثلا" يک حمله اينترنتی) در شبکه، از طرف شرکت مايکروسافت، ارائه می گردد. با اينکه شرکت مايکروسافت توصيه کرده است در صورت بروز مشکل، اقدام به نصب نسخه های Hotfix گردد، ولی پيشنهاد می گردد که بلافاصله پس از نصب آخرين نسخه Service Pack ، اقدام به نصب تمام نسخه های امنيتی Hotfix مربوطه نيز گردد .
يکی از مهمترين چالش های مديران شبکه ، بهنگام سازی سيستم و نصب آخرين نسخه های Patch است. ماکروسافت در اين راستا، يک برنامه خاص را بمنظور بررسی وضعيت امنيتی Hotfix ها، ارائه كرده که مديران شبکه را قادر به پيمايش سرويس دهنده های موجود در شبکه می نمايد (برنامه Hfnetchk.exe). برنامه فوق قادر به تشخيص صحت نصب تمام نسخه های Patch در رابطه با ويندوز 2000 و ساير نرم افزارهای سرويس دهنده نظير IIS ، IE و SQL است (وضعيت موجود را تشخيص و کمبودها را اعلام می نمايد). برنامه HFNetChk يک ابزار خط دستوری بوده که مديران شبکه را قادر به بررسی آخرين وضعيت Patch ها در رابطه با تمام کامپيوترهای موجود در شبکه از يک محل مرکزی می نمايد. شرکت ماکروسافت در اين زمينه ، برنامه جامعی را بمنظور بررسی وضعيت سيستم امنيتی ارائه نموده که برنامه Hfnetchk.exe نيز بخشی از آن است.
پس از معرفی امکانات موجود برای بهنگام سازی ويندوز و برطرف نمودن مشکلات و مسائل موجود در هر يک از نسخه های ويندوز، در ادامه به بررسی و ارزيابی سيستم امنيتی ويندوز پرداخته و در اين راستا پيشنهاداتی مطرح می گردد.
سنجش امنيت در ويندوز 2000
تاکنون بيش از 400 نقطه آسيب پذير در نسخه های ويندوز 2000 ، NT و برنامه های مرتبط با آنان شناخته شده و نحوه برطرف نمودن آنان مستند شده است. در اين بخش به بررسی برخی از نقاط آسيب پذير اشاره و نحوه برخورد با آنان بيان می گردد. لازم است به اين نکته مهم دقت شود که کاهش برخی از نقاط آسيب پذير در يک شبکه به معنی عرضه يک شبکه ايمن نمی باشد (تلاشی است در جهت ايمن شدن).
* از سيستم فايل NTFS در مقابل FAT استفاده شود. سيستم فايل فوق، امکان کنترل دستيابی به فايل ها را برخلاف FAT فراهم می نمايد .
* اطلاعات و ميدان عمل اتصالات بی هويت (Anonymous users) ، می بايست به حداقل مقدار خود برسد . يک اتصال بی هويت (کاربران ناشناس و گمنام) عضوی از گروه Everyone (گروه از قبل ايجاد شده) خواهد بود. بدين ترتيب آنان قادر به دستيابی به تمام منابعی خواهند بود، که برای گروه Everyone مجاز شناخته شده است. ويندوز NT پس از نصب آخرين نسخه ( Servic Pack ( 6a ، اکثر عملياتی را که يک کاربر گمنام قادر به انجام آنها می باشد، محدود می نمايد. بمنظورر پيشگيری از شمارش اسامی account ها ، توسط کاربران گمنام، از کليد ريجستری زير بهمراه تتنظيمات مربوطه استفاده می شود .
|
Hive: HKEY_LOCAL_MACHINE
Key: System\CurrentControlSet\Control\Lsa
Name: RestrictAnonymous
Type: REG_DWORD
Value: 1 |
* امتياز Access this computer from the network را در رابطه با کاربران عضوء گروه Everyone حذف و آن را با گروه معتبر Users ، جايگزين نمائيد. در ويندوز NT 4.0 ، برای انجام عمليات فوق از مسير زير و در ويندوز 2000 از Group Policy و يا Security Configuration Toolset استفاده می شود.
| User Manager -> Policies -> User Rights |
* امکان دستيابی از راه دور به ريجستری را سلب نمائيد. کليدهای ريجستری متعددی وجود دارد، که اين امکان را به گروه Everyone و بالطبع کاربران ناشناس خواهد داد که از راه دور قادر به ويرايش ريجستری باشند (خواندن و تنظيم مقادير مربوط به مجوزها). در صورتيکه کاربر تاييد نشده ای ، قادر به ويرايش مقادير موجود در ريجستری گردد، امکان تغيير مقادير موجود و بدست آوردن امتيازات با درجه بالا نيز در اختيار وی قرار خواهد گرفت. توصيه می گردد که صرفا" مديران شبکه و سيستم ، دارای امکان دستيابی از راه دور به ريجستری باشند. بمنظور اعمال محدوديت در رابطه با دستيابی از راه دور به ريجستری ، از کليد زير برای تنظيم مجوزهای امنيتی استفاده می شود .
| HKLM\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg |
* Account مربوط به Guest غير فعال گردد.در اين راستا پيشنهاد می گردد، که تمام Account ها (سرويس ها و کاربران) دارای رمز عبورگردند. (صرفنظر از اينکه account فعال و يا غير فعال باشد)
* تاييد اعتبار LanMan را غيرفعال نمائيد. رمز عبورهای LanMan بمنظور سازگاری با نسخه های قبلی ويندوز ( 9X ) مطرح و عملا" رمزهای عبوری مشابه ويندوز 2000 بوده که تماما" به حروف بزرگ تبديل و با استفاده از يک روش خاص رمز شده اند. رمزهای عبور LanMan ، نسبت به ساير رمزهای عبور بمراتب ساده تر کشف و مورد استفاده متجاوزان اطلاعاتی قرار می گيرند. پيشنهاد می گردد رمزهای عبور LanMan غير فعال گردند. بمنظور غير فعال نمودن رمزهای عبور فوق، کليد ريجستری مربوطه، می بايست مطابق زير تغيير تنظيم گردد .
Hive: HKEY_LOCAL_MACHINE
Key: System\CurrentControlSet\Control\Lsa
Name: LMCompatibilityLevel
Type: REG_DWORD
Value: 5 |
* پورت های 135,137,138 و 139 در محدوده روتر و يا فايروال را غير فعال نمائيد (Colse). برای شبکه های مبتنی بر ويندوز 2000 ، می بايست پورت 445 نيز بلاک گردد. پورت های فوق، برای شبکه های داخلی لازم بوده ولی برای شبکه های خارجی مورد نياز نخواهند بود. با بلاک نمودن پورت های فوق، از تعداد حملات متجاوزان اطلاعاتی در شبکه های مبتنی بر ويندوز NT 4.0 و 2000 بنحو چشمگيری کاسته خواهد شد. در اين راستا لازم است، پروتکل های غيرضروری (نظير NetBeui و IPX) نيز غير فعال گردند .
* بر روی فولدرها و فايل های سيستمی ويندوز نيز می بايست لايه های امنيتی مناسبی ايجاد گردد. در اين راستا لازم است بر روی فولدرهای حياتی سيستم نظير WINNT و System32 و کليدهای ريجستری HKLM\Software\Microsoft\Windows\Run و HKLM\Software\Microsoft\WindowsNT\CurrentVersion\AEDebug امکان استفاده از گروه Everyone سلب و به گروه معتبر Users (شامل ليست کاربران مجاز) اختصاص يابد .
* در رابطه با منابع اشتراکی در شبکه، می بايست محدوديت های لازم اعمال گردد. زمانيکه منبعی در شبکه به اشتراک گذاشته می شود، کنترل دستيابی بصورت پيش فرض گروه Everyone با امتياز Full control خواهد بود. در اين راستا پيشنهاد می گردد ، امکان استفاده از منابع اشتراکی ، صرفا" در اختيار کاربرانی قرار گيرد که نيازمند دستيابی به منابع فوق، می باشند.
* تمام سرويس های غير ضروری نظير Telnet,FTP,WEB را غير فعال نمائيد. از صحت محل استقرار سرويس ها بر روی شبکه اطمينان حاصل نمائيد. مثلا" سرويس دهنده RAS و WEB نبايد بر روی يک کنترل کننده Domain ، نصب گردند .
* امکان مميزی (auditing) در شبکه را فعال نمائيد. در ساده ترين حالت مميزی مربوط به ورود و خروج از شبکه ، دستيابی به امتيازات کاربران و رويدادهای سيستمی نظير غير فعال نمودن سيستم (Shutdown) است.
* اعتماد (Trust) موجود بين حوزه ها (Domian) را بررسی و در صورت امکان، موارد غير ضروری را حذف نمائيد .
برنامه های مايکروسافت
وجود نقاط آسيب پذير در برنامه هائی نظير outlook,Microsoft Exchange,SQL Server و IIS ، بستر مناسب برای متجاوزان اطلاعاتی بمنظور نفوذ در شبکه را ايجاد می نمايد. بنابراين لازم است که از آخرين Service Pack و Patch مربوط به هر يک از برنامه ها استفاده گردد. شرکت ماکروسافت، بمنظور بهبود امنيت برنامه ها، ابزارهای متعددی را ارائه نموده است. ليست برخی از اين برنامه ها در جدول زير نشان داده شده است .
|
توضيحات |
برنامه |
|
به مديران سرويس دهنده وب امکان اعمال محدوديت در رابطه با پاسخ به درخواست های معتبر را خواهد داد |
URL Scan Security Tool |
|
ابزاری برای ايمن سازی سرويس دهنده وب IIS ، نسخه های چهار و پنج . |
IIS Lockdown Tool |
|
يک نسخه جديد از برنامه بهنگام سازی Outlook بمنظور حفاظت در مقابل انواع حملات اينترنتی مبتنی بر نامه های الکترونيکی . |
Improved Outlook E-mail Security Update |
|
ابزاری بمنظور بررسی آخرين نسخه های Patch نصب شده در رابطه با سيستم عامل و برخی از برنامه ها نظير IIS, IE و SQL . |
HFNetChk Security Tool |
|
ابزاری بمنظور بررسی صحت عملکرد امنيتی سرويس گيرندگان . |
Microsoft Personal Security Advisor |
|
برنامه ای جامع برای بررسی وضعيت امنيتی يک کامپيوتر . |
Microsoft Baseline Security Analyzer |
منبع : سايت سخاروش
Information
Mobile
CD Audio
