چک لیست امنیتی ویندوز سرور چیست؟
برای افزایش امنیت ویندوز سرور (Windows Server) باید ضعفهای امنیتی محیط و اپلیکیشنها شناسایی و سپس رفع شوند. برای این منظور یک فهرست یا اصطلاحاً چکلیست امنیتی تهیه میشود که مدیران شبکه همه بندهای آن را یکبهیک اجرا میکنند. بندهای چکلیست امنیتی ویندوز سرور در واقع تنظیمات یا تمهیداتی هستند است که باید در سیستمعامل اعمال شوند. بندهای چکلیست همیشه و برای همه سازمانها/شرکتها یکسان نیستند، بلکه بسته به وظایف، سیاستها و اولویتهای هر سازمان/شرکت فرق میکنند. با تهیه چکلیست دقیق و سپس اجرای صحیح بندهای آن میتوان امنیت ویندوز سرور و بهتبع آن، امنیت شبکه و سازمان را ارتقا داد. البته ارتقای امنیت ویندوز سرور بهتنهایی کافی نیست و مدیران شبکه برای تأمین امنیت کلاینتها و زیرساخت شبکه نیز باید برنامه جامعی داشته باشند که چنین مواردی خارج از موضوع این مقاله است.
در ادامه این مقاله، نخست خلاصهای از توضیحات و توصیههای مایکروسافت درباره اهمیت امنیت شبکه و قابلیتهای امنیتی ویندوز سرور بازگو میشود. سپس برای آشنایی بیشتر با محتوای چک لیستهای امنیتی ویندوز سرور، نمونهای از آنها به نقل از سایت شرکت Netwrix بیان خواهد شد.
چرا چک لیست امنیتی ویندوز سرور مهم است؟
مایکروسافت میگوید، سطح امنیت یک سازمان بر همه اعضا و زیرمجموعههای آن سازمان تأثیر دارد. نبود یا کمبود امنیت برای سازمانها خطرناک است. گاهی وقوع یک حمله امنیتی همه امور عادی و روزمره شرکت/سازمان را مختل یا متوقف میکند. هرچه شما زودتر متوجه حمله شوید، بهتر میتوانید با آن مقابله کنید و از اثراتش بکاهید. هکرها و مهاجمان سایبری معمولاً کار خود را با تحقیق و جستجو شروع میکنند. آنها ابتدا نقاط ضعف شبکه یا محیط کارتان را پیدا و سپس حمله میکنند. پس از آنکه مهاجم (به طرق مختلف) به محیط نفوذ کرد، با شیوهای موسوم به حرکت تدریجی (lateral movement) به دنبال راههایی میگردد که او را به هدفش نزدیکتر میکند. مثلاً شاید مهاجم بکوشد سطح دسترسی خود را افزایش دهد تا بتواند ظرف مدت کوتاهی (معمولاً ۲۴ تا ۴۸ ساعت پس از اولین نفوذ) کنترل سازمان را به دست بگیرد. هدف شما از تهیه و اجرای چک لیست امنیتی ویندوز، شناسایی هرچه زودتر اینگونه حملات و پاسخ دادن به آنهاست. هرچه مهاجم دیرتر شناسایی شود، خسارت بیشتری میتواند به بار آورد و سختتر میشود او را از شبکه بیرون انداخت.
شما با اجرای بندهای چک لیست امنیتی ویندوز سرور میکوشید زمانی را که مهاجم لازم دارد تا کنترل شبکه را به دست بگیرد، از چند ساعت به چند هفته یا حتی چند ماه افزایش دهید. هرچه این زمان طولانیتر شود، احتمال شناسایی حمله و مهاجم افزایش مییابد فلذا شما برای خنثیکردن حمله زمان بیشتری خواهید داشت. برای این منظور باید جلوی حرکت تدریجی مهاجم را بگیرید و امنیت سیستمهایتان را افزایش دهید. آنگاه با ارتقای علائم هشداردهنده مختلف میتوانید حمله را شناسایی کنید و با حذف موجودیتها (identities) و سیستمهای آسیبدیده، به حمله پاسخ دهید.
بخش بعدی مقاله بر این موضوع تمرکز دارد که چطور میتوان دستیابی مهاجم به مجوزهای بیشتر و گردش آزادانه او در شبکه را برایش دشوار و حملات را زودتر شناسایی کرد.
توصیههای مایکروسافت برای افزایش امنیت ویندوز سرور و کشف حملات و جلوگیری از آنها
ویندوز سرور و بهویژه نسخه ۲۰۱۶ و ۲۰۱۹ قابلیتهای امنیتی بومیای دارند که به تقویت سیستمعامل و کشف فعالیتهای خرابکارانه کمک میکند. در ادامه، برخی از توصیههای مایکروسافت برای ارتقای امنیت ویندوز سرور و استفاده هرچه بهتر از قابلیتهای این سیستمعامل خلاصهوار توضیح داده میشود.
بنیان کارتان را امن بنا کنید
ویندوز سرور پیکربندی امنی دارد. اگر میخواهید همچنان امن بماند، حتماً آن را بهروز نگه دارید، از دادههایتان نسخه پشتیبان بگیرید و تنظیمات امنیتی ویندوز سرور را مبتنی بر توصیههای مایکروسافت و استانداردهای امنیتی سازمان متبوعتان پیکربندی کنید.
از جدیدترین بهروزرسانیهای امنیتی ویندوز سرور غافل نشوید
مایکروسافت مرتباً برای سیستمعاملهای خود از جمله ویندوز کلاینت و ویندوز سرور، آپدیتها و وصلههای جدیدی منتشر میکند. برخی از این آپدیتها امنیتی هستند و ویندوز سرور را در برابر خطرها و ضعفهایی که تازه کشف شدهاند، محافظت میکنند. برخی از بهروزرسانیها نیز به نرمافزار امنیتی ویندوز دیفندر اختصاص دارند تا بدافزارها و جاسوسافزارهای جدید را شناسایی کند.
تنظیمات امنیتی ویندوز سرور را پیکربندی کنید
همه نسخههای ویندوز تنظیمات امنیتی دارند. تنظیمات امنیتی ویندوز به امنتر شدن کامپیوترهایتان کمک میکنند. مایکروسافت بر مبنای توصیههای امنیتی خود، حداقلهای امنیتی موردنیاز شرکتها/سازمانها را منتشر میکند. این توصیهها حاصل تجارب امنیتی در دنیای واقعی است که درنتیجه همکاری با سازمانهای تجاری و دولتی آمریکا به دست آمده است.
در حداقلهای امنیتی ویندوز سرور مواردی همچون تنظیمات پیشنهادی برای ویندوز فایروال، ویندوز دیفندر، و دیگر تنظیمات امنیتی لحاظ میشود.
از اطلاعات و سیستمهایتان بکآپ بگیرید
شما باید در بازههای زمانی منظم از سیستمعامل ویندوز سرور، از جمله از اپلیکیشنها و دادههای ذخیره شده در آن بکآپ بگیرید. این کار آثار حمله باجافزارها به ویندوز سرور را کاهش میدهد. بکآپگیری باید مرتباً انجام شود تا در صورت حمله باجافزارها اطلاعات بهراحتی قابل بازیابی باشند.
اگر میخواهید نسخههای پشتیبان در محل فیزیکی مجموعه خودتان تهیه و ذخیره شوند، میتوانید از راهکارهایی مثل System Center Data Protection Manager استفاده کنید. برای بکآپگیری ابری نیز میتوانید از Microsoft Azure Backup Server بهره ببرید. شرکای مایکروسافت نیز برای بکآپگیری محصولاتی ارائه دادهاند.
مدیریت و پایش با استفاده از Operations Management Suite
راهکار مدیریت آیتی ابری Operations Management Suite که بهاختصار OMS نیز خوانده میشود کمکتان میکند تا زیرساختهای فیزیکی و ابری خود را مدیریت و محافظت کنید. این راهکار بهصورت یک سرویس ابری پیادهسازی شده است و کاربر میتواند مدیریت اپلیکیشنها، خدمات و زیرساختهایتان را با کمترین هزینه اضافی آغاز کند. ضمناً OEM مرتباً با قابلیتهای جدید آپدیت میشود و هزینههای مداوم نگهداری و ارتقا را به طرز چشمگیری کاهش میدهد.
محافظت از موجودیتهای ممتاز (Privileged identities)
موجودیتهای ممتاز (Privileged identities) حسابها یا اکانتهایی هستند که مجوزهای دسترسی سطح بالایی دارند. مثلاً کاربرانی که عضو گروه Domain Admins، مدیران (Administrators) محلی یا حتی Power Users هستند، موجودیت ممتاز محسوب میشوند. اکانتهایی که برای انجام امور مهمی مثل تهیه بکآپ، خاموش کردن سیستم یا دیگر مجوزهای فهرست شده در گروه User Rights Assignment در کنسول Local Security Policy مجوز مستقیم دارند نیز میتوانند موجودیت ممتاز به حساب آیند.
شما باید از موجودیتهای ممتاز در برابر حملات محافظت کنید. پس اول باید بدانید که موجودیتهای ممتاز چگونه آسیب میبینند تا سپس بتوانید برای محافظت از آنها در برابر مهاجمان برنامهریزی کنید.
موجودیتهای ممتاز چطور آسیب میبینند؟
موجودیتهای ممتاز اغلب وقتی آسیب میبینند که سازمانها برای محافظت از آنها دستورالعملی نداشته باشند. مثلاً اقدامات نسنجیده زیر از جمله مواردی هستند که موجودیتهای ممتاز را به خطر میاندازند:
اعطای مجوزهای بیش از حد نیاز: سطح دسترسی کاربران به شبکه فقط باید به اندازی باشد که بتوانند وظایفشان را انجام دهند و نه بیشتر. اما یکی از رایجترین مشکلات امنیتی در شبکهها این است که به کاربران بیش از آنچه که واقعاً لازم است مجوز دسترسی اعطا میشود. مثلاً ممکن است به کاربری که DNS را مدیریت میکند، مجوز مدیریت اکتیو دایرکتوری هم اعطا شود. معمولاً علت اعطای مجوزهای چندگانه، این است که مدیران شبکه نمیخواهند سطوح مدیریت مختلفی پیکربندی کنند. اما این کار خطرناک است، چون اگر مهاجم به چنین اکانتی دسترسی پیدا کند، همزمان به چند مجوز مهم دست مییابد.
ثبت ورود، همیشه با مجوزهای سطح بالا: یکی دیگر از اشتباههای رایج امنیتی، امکان استفاده کاربران از مجوزهای سطح بالا برای مدت نامحدود است. این اشتباه حتی بین حرفههای آیتی نیز رایج است؛ آنها نیز گاهی با اکانتهای ممتاز در کامپیوترهای دسکتاپ لاگین میکنند و با همان اکانت کارشان را انجام میدهند، وبگردی میکنند، و به ایمیلهای عادیشان سر میزنند.
تحقیق و مهندسی اجتماعی: اکثر تهدیدهای مهم با تحقیق درباره سازمان آغاز میشود و سپس از طریق مهندسی اجتماعی پیش میرود. مثلاً مهاجم میتواند با جعل (فیشینگ) ایمیل به اکانتهای معتبر (و نه الزاماً اکانتهای سطح بالا) نفوذ کند و سپس از این اکانتهای معتبر برای تحقیق بیشتر درباره شبکه و شناسایی اکانتهای ممتاز (با مجوزهای مدیریتی) بهره ببرد.
اکانتهای سطح بالا با مجوزهای سطح بالا: مهاجمان حتی با یک حساب کاربری معمولی بدون مجوزهای سطح بالا نیز میتوانند به اکانتهایی با مجوزهای سطح بالادست پیدا کنند. یکی از رایجترین روشها برای این منظور استفاده از حملات Pass-the-Hash یا Pass-the-Token است. البته مهاجمان برای نفوذ به اکانتهای ممتاز روشهایی دیگری هم دارند، چون پیوسته روشهای جدیدی پیدا میکنند. پس حتماً ترتیبی اتخاذ کنید تا کاربران با اکانتهایی که کمترین سطح دسترسی را دارند در شبکه لاگین کنند. با این کار، توانایی مهاجمان برای دسترسی به موجودیتهای ممتاز کاهش مییابد.
تقویت ویندوز سرور
ویندوز سرور مکانیسمهای امنیتی داخلی و ابزارهای امنیتی قدرتمندی دارد که با پیکربندی آنها سرور امنتر و دسترسی به آن سختتر میشود. ابزارهای ویندوز سرور برای این منظور عبارتاند از:
Control Flow Guard
یکی از ابزارهای امنیتی ویندوز سرور که در نسخه ۲۰۱۶ معرفی شد، Control Flow Guard است. این ابزار، سیستمعامل و اپلیکیشنها را در برابر حملاتی که اساس کارشان ایجاد تغییر در محتوای حافظه است، محافظت میکند.
Windows Defender
ویندوز دیفندر (Windows Defender) از زمان انتشار Windows 8 جزو این سیستمعامل بوده است و هنوز هم هست. این نرمافزار امنیتی بومی، تجهیزات ویندوزی را در برابر ویروسها، بدافزارها، جاسوسافزارها و دیگر تهدیدهای امنیتی محافظت میکند. ویندوز دیفندر برای اجرا روی ویندوز سرور بهینه شده است و به طور پیشفرض در ویندوز سرور ۲۰۱۶ و ویندوز سرور ۲۰۱۹ فعال است. میتوانید ویندوز دینفدر را با استفاده از Group Policy، پاورشل، Windows Management Instrumentation (WMI) یا از رابط کاربری خود ویندوز دیفندر پیکربندی کنید.
DeviceGuard
با استفاده از Device Guard میتوان مشخص کرد که کدام کدها (از جمله کدهای user mode و kernel mode) اجازه دارند روی سرور اجرا شوند. با تعریف سیاستی جهت یکپارچهسازی کد (code integrity policy) میتوانید کدهای مد کرنل و مد کاربر خاصی تعریف کنید که فقط آنها روی سیستم اجرا شوند. این سیاست، جلوی اجرای کدهای مخرب را میگیرد.
Secure Boot
بوت امن یا Secure Boot یکی از استانداردهای صنعت کامپیوترهای شخصی است که کمک میکند دستگاه شما فقط نرمافزاری را که صلاحیت آن توسط شرکت سازنده دستگاه تأیید شده است، بوت کند. بوت امن با بلوکه کردن نرمافزارهای تأییدنشده (فاقد امضا) به ایمن ماندن تجهیزات کامپیوتری در برابر حمله روت کیتها و دیگر حملات بدافزاری سطح پایین (نزدیک به سطح سختافزار)، کمک میکند. وقتی یک دستگاه کامپیوتری روشن میشود، سختافزار آن (firmware)، امضای همه قطعات نرمافزار بوت را بررسی میکند تا از اعتبارشان اطمینان یابد. اگر همه امضاهای نرمافزار تأیید شدند، سختافزار، سیستمعامل را استارت میزند. اطمینان حاصل کنید که Secure Boot در سفت افزار دستگاهتان فعال شده باشد.
Operating Management Suite
میتوانید با استفاده از Operating Management Suite (بهاختصار، OMS)، تهدیدها و نیز دستگاههایی را که نرمافزارها و ضدویروسهایشان آپدیت نشده است شناسایی کنید.
ارتقای سازوکارهای تشخیص خطر
تشخیص خطر یکی از بخشهای ضروری امنیت ویندوز سرور است. هرچه خطرها را زودتر شناسایی کنید، راحتتر و پیش از آنکه مهاجم کنترل کامل شبکه را به دست گیرد، میتوانید به آن پاسخ دهید. مایکروسافت برای این منظور ابزارها و قابلیتی در ویندوز سرور فراهم آورده است که Windows Defender Advanced Thread Protection (بهاختصار ATP) نام دارد. ویندوز سرور همیشه اطلاعات مهم امنیتی را در بخش ثبت رویدادها (events log) ذخیره میکند. ویندوز سرور با ثبت این اطلاعات کمکتان میکند تا بر فعالیتهای مشکوک در سرور متمرکز شوید؛ فعالیتهای مشکوکی همچون:
متصل شدن یک وسیله USB به یک سرور
ریست کردن پسوردی که انتظارش را نداشتید
قفل کردن یک حساب کاربری
دسترسی راه دور به پایگاهدادههای SAM (مخفف Security Account Manager)
تقویت محیطهای Hyper-V
بسیاری از سازمانها بسیار به مراکز داده مجازی متکی هستند. مراکز داده مجازی نیز باید مانند زیرساختهای فیزیکی بهخوبی محافظت شوند. هایپروایزر یا مجازیسازی بومی ویندوز موسوم به Hyper-V نیز از این قاعده مستثنی نیست. ویندوز سروری که در ماشین مجازی اجرا میشود باید درست مانند زمانی که در سرور فیزیکی اجرا میشود، ازنظر امنیتی تقویت شود. محیطهای مجازی چندین ماشین مجازی دارند که هاست فیزیکی آنها مشترک است؛ لذا همهاست فیزیکی و هم ماشینهای مجازیای که روی آن هاست اجرا میشوند باید محافظت شوند، زیرا اگر مهاجم به یک هاست نفوذ کند، میتواند به چندین ماشین مجازی آسیب بزند و جریان کار و خدمات شبکه را بیشتر مختل کند. برای افزایش امنیت ویندوز سرور در محیطهای مجازی میتوانید از همان روشهای امنسازی ویندوز سرور در محیطهای فیزیکی بهره ببرید. ویندوز سرور ۲۰۱۶ و ۲۰۱۹ برای تقویت محیطهای Hyper-V سه قابلیت ویژه دارد:
Shielded Virtual Machine و Guarded fabric: چون وضعیت و حافظه ماشینهای مجازی در یک فایل ذخیره میشود، بعید نیست که این فایل از طریق سیستم ذخیرهسازی، از شبکه یا حین بکآپگیری مورد حمله واقع شود. امروزه همه ماشینهای مجازی و از جمله Hyper-V در معرض این ضعف هستند. مهاجم میتواند فایل ماشین مجازی را مستقیماً دستکاری یا فایلهای ماشین مجازی را در محیط دیگری کپی کند. ماشین مجازی محافظت شده (shielded virtual machine) میتواند از چنین حملاتی جلوگیری کند. قابلیت بعدی یعنی Guard fabric سه جزء دارد: Host Guardian Service،یک یا چند هاست محافظت شده (guarded host)، و ماشینهای مجازی محافظت شده (Shielded virtual machine).
Virtual machine Trusted Platform Module (TPM): ویندوز سرور ۲۰۱۶ و ویندوز سرور ۲۰۱۹ از TPM در ماشینهای مجازی پشتیبانی میکنند. این ماژول به شما اجازه میدهد فناوریهای امنیتی پیشرفتهای مانند BitLocker Drive Encryption را در ماشینهای مجازی به کار بگیرید.
Software-Defined Networking – Micro-segmentation firewall: ویندوز سرور ۲۰۱۶ و ویندوز سرور ۲۰۱۹ از شبکهسازی نرمافزار محور یا SDN (مخفف Software-Defined Networking) پشتیبانی میکند. شبکهسازی نرمافزار محور روشی برای پیکربندی و مدیریت متمرکز تجهیزات شبکه مجازی (مثل Hyper-V Virtual Switch) است. شبکه نرمافزار محور اجازه میدهد شبکه مجازی مرکز داده و نحوه تعامل آن با شبکه فیزیکیتان را بهصورت پویا مدیریت کنید. یکی از فناوریهای SDN، فایروال مرکز داده (Datacenter Firewall) است. این فناوری، مدیریت متمرکز سیاستهای فایروال را امکانپذیر و به محافظت از ماشینهای مجازی در برابر ترافیک نامطلوب اینترنت و شبکههای اینترانت شما کمک میکند. در چک لیست امنیتی ویندوز سرور چه مواردی درج میشود
چک لیست امنیتی ویندوز سرور حاوی بندهایی است که نشان میدهد هر یک از بخشهای خاص ویندوز سرور چگونه باید تنظیم شود تا سیستمعامل و به تبع آن، شبکه در برابر حملات احتمالی مقاومت بیشتری داشته باشد. بندهای چک لیست امنیتی ویندوز سرور بسته به شرایط، نیازها و اولویتهای هر سازمان ممکن است متفاوت باشد. چک لیست امنیتی معمولاً به چند حوزه خاص میپردازد که هر حوزه شامل بندهایی است. برای آشنایی با محتوای چک لیستهای امنیتی ویندوز سرور یک نمونه از آن در ادامه بیان شده است.
پیشنهاد مطالعه چکلیست نگهداری سرور؛ پادکست؛ ویدئو
نمونهای از یک چک لیست امنیتی ویندوز سرور
امنیت سازمانی
برای هر سرور رکوردی از موجودیهای آن داشته باشید. این رکورد، حداقلهای پیکربندی را به شکل مستند مشخص و هر تغییر در سرور را ثبت میکند.
پیش از اعمال هر تغییری در سختافزار یا نرمافزار سرور، آن تغییر را کاملاً بیازمایید و ارزشیابی کنید.
مرتباً ریسکها را برآورد کنید. برای بهروزرسانی برنامه مدیریت ریسک، از نتایج این برآورد بهره ببرید. فهرستی اولویتبندی شده از همه سرورها داشته باشید تا اطمینان یابید که ضعفهای امنیتی طبق برنامه زمانی ترمیم میشوند.
همه سرور را در سطح بازبینی یکسان نگه دارید.
آمادهسازی ویندوز سرور
تا زمانی که سیستمعامل نصب و تقویت شود، کامپیوترهای تازه نصب شده را از ترافیک شبکه متخاصم
(hostile network traffic) محافظت کنید. همه سرورهای جدید در شبکه DMZ را که به اینترنت وصل نیستند، تقویت کنید.
برای بایوس/سفت افزار پسورد تعیین کنید تا از تغییرات غیرمجاز در تنظیمات استارتآپ سرور جلوگیری شود.
لاگین کردن خودکار با اکانت مدیریتی در کنسول بازیابی (ریکاوری) را غیرفعال کنید.
ترتیب بوت دستگاهها را طوری تنظیم کنید که به طور غیرمجاز و خودکار از رسانههای دیگر بوت نشوند.
نکات امنیتی در نصب ویندوز سرور
مراقب باشید سیستم طی فرایند نصب خاموش نشود.
برای پیکربندی سیستم بر اساس یک نقش (role) خاص، از Security Configuration Wizard استفاده کنید.
مراقب باشید همه وصلههای مناسب، ترمیمهای فوری و سرویس پکها بهدرستی اعمال شوند. وصلههای امنیتی، ضعفهای شناختهشدهای را که مهاجمان برای نفوذ به سیستم ممکن است از آنها بهره ببرند، ترمیم میکنند. پس از نصب ویندوز سرور، بلافاصله آن را بهوسیله WSUS یا SCCM با جدیدترین وصلهها آپدیت کنید.
قابلیت اعلام خودکار انتشار وصلههای جدید را فعال کنید. هرگاه وصلهای منتشر شد، آن وصله باید فوراً با استفاده از WSUS یا SCCM تحلیل، تست و نصب شود.
تقویت امنیت حساب کاربری در ویندوز سرور
مطمئن از استاندارد بودن و قوی بودن پسوردهای مدیریتی و سیستمیتان اطمینان حاصل کنید. مخصوصاً مراقب باشید که در پسورد اکانتهای ممتاز (اکانتهایی که سطح دسترسی بالایی دارند)، از کلمات معنادار یا لغتنامهای استفاده نشود. هر پسورد باید دستکم ۱۵ کاراکتر داشته و ترکیبی از حرف، عدد، علائم خاص و کاراکترهای نامرئی (مثل CTRL) باشد. همه پسوردها را هر ۹۰ روز یکبار عوض کنید.
سیاستهای گروهی (Group Policy) جهت مسدودسازی اکانتها را طبق بهترین شیوههای پیشنهادشده تنظیم کنید.
اجازه ندهید کاربران، اکانت مایکروسافتی ایجاد کنند و با آن در کامپیوترها لاگین کنند.
اکانت میهمان (Guest account) را غیرفعال کنید.
نباید اجازه دهید به کاربران ناشناس، مجوز Everyone اعطا شود.
برای شمارش اکانتها و دادههای به اشتراک نهاده شده SAM بهصورت ناشناس، مجوز صادر نکنید.
ترجمه SID/Name بهصورت ناشناس را غیرفعال کنید.
حسابهای کاربری بلااستفاده را فوراً غیرفعال یا حذف کنید.
پیکربندی امنیت شبکه
دیواره آتش (فایروال) ویندوز را در همه پروفایلها (دامنهها، خصوصی، عمومی) فعال و طوری پیکربندی کنید که به طور پیشفرض ترافیک ورودی را بلوکه کند.
مسدودسازی پورت را در سطح تنظیمات شبکه فعال کنید. دریابید که کدام پورتها باید باز باشند. دسترسی به تمام دیگر پورتها را محدود کنید.
تنظیماتتان طوری باشد که فقط کاربران احراز هویت شده بتوانند از شبکه به هر کامپیوتری دسترسی یابند.
به هر کاربری مجوز act as part of the operating system اعطا نکنید.
به اکانتهای میهمان اجازه ندهید با مجوز سرویس (Log on as a service)، رشته وظایف (log on as a batch job)، بهصورت محلی (log on locally) یا از طریق RDP لاگین کنند.
اگر از RDP استفاده میشود، سطح رمزنگاری اتصال RDP را بالا ببرید.
گزینه Enable LMhosts lookup را حذف کنید.
گزینه NetBIOS over TP/IP را غیرفعال کنید.
گزینه ncacn_ip_tcp را حذف کنید.
هم Microsoft Network Client و هم Microsoft Network Server را طوری پیکربندی کنید که همیشه ارتباطاتشان را دیجیتالی امضا کنند.
ارسال پسوردهای رمزنگاری نشده به سرورهای SMB طرف سوم را غیرفعال کنید.
اجازه ندهید کاربر بهصورت ناشناس به دادههای اشتراکیشده دسترسی یابد.
به سیستم محلی (Local System) اجازه دهید برای NTLM از هویت کامپیوتر استفاده کند.
Local System NULL session fallback را غیرفعال کنید.
انواع رمزنگاریهای ممکن برای کربروس را پیکربندی کنید.
مقادیر LAN Manager hash را ذخیره نکنید.
سطح احراز هویت LAN Manager را طوری تنظیم کنید که فقط NTLMv2 را بپذیرد و LM و NTLM را رد کند.
امکان بهاشتراکگذاری فایل و پرینتر از شبکه را حذف کنید. بهاشتراکگذاری فایل و پرینتر به هر کسی اجازه میدهد تا به یک سرور متصل شود و بدون نیاز به شناسه کاربری یا پسورد به دادههای مهم دسترسی یابد.
پیکربندی امنیتی رجیستری ویندوز سرور
تمهیدی بیندیشید تا همه مدیران برای درک جامع نحوه عملکرد رجیستری و هدف هر یک از کلیدهای مختلف آن وقت بگذراند. در سیستمعامل ویندوز بسیاری از ضعفها را میتوان با تغییر کلیدهای خاص رجیستری ترمیم کرد. در ادامه به برخی از آنها اشاره خواهد شد.
مجوزهای رجیستری را پیکربندی کنید. رجیستری را از دسترس کاربران ناشناس دورنگه دارید. اگر دسترسی راه دور به رجیستری را لازم ندارید، برایش مجوز صادر نکنید.
مقدار MaxCachedSockets (REG_DWORD) را روی ۰ تنظیم کنید.
مقدار SmbDeviceEnabled (REG)DWORD را روی ۰ تنظیم کنید.
مقدار AutoShareServer را روی ۰ تنظیم کنید.
مقدار AutoShareWks را روی ۰ تنظیم کنید.
همه مقادیر داده درون کلید NullSessionPipes را پاک کنید.
همه مقادیر داده درون کلید NullSessionShares را پاک کنید.
تنظیمات امنیتی عمومی ویندوز سرور
سرویسهایی را که لازم ندارید غیرفعال کنید. در اکثر سرورها سیستمعامل با تنظیمات پیشفرض نصب شده است. در تنظیمات پیشفرض، اغلب سرویسهای اضافی که سیستم نیازی به آنها ندارد نیز روشن هستند که این به بروز ضعفهای امنیتی منجر میشود. پس همه سرویسهای نا لازم حتماً باید از سیستم حذف شوند.
اجزا یا کام پی ون نتهای نا لازم ویندوز را حذف کنید. اجزای غیرضروری ویندوز باید از سیستمهای مهم حذف شوند تا سرورها امن بمانند.
با انتخاب NTFS یا BitLocker در ویندوز سرور، قابلیت رمزنگاری سیستم فایل (EFS) بومی ویندوز را فعال کنید.
اگر ایستگاه کاری (workstation) حافظه رم زیادی دارد، swapfile ویندوز را غیرفعال کنید. این کار بازده و امنیت را افزایش میدهد زیرا هیچ داده مهمی نمیتواند روی هارددیسک نوشته شود.
از AUOTORUN استفاده نکنید؛ در غیر این صورت کدهای نامطمئن میتوانند بدون اطلاع مستقیم کاربر اجرا شوند؛ مثلاً مهاجم میتواند از روی سیدی اسکریپت خودش را اجرا کند.
سیستم را طوری پیکربندی کنید که پیش از لاگین کردن کاربر، پیغامی رسمی به وی نمایش داده شود. متن پیغام برای مثال میتواند چنین باشد: «استفاده غیرمجاز از این کامپیوتر و منابع شبکه ممنوع است…»
برای لاگین کردن تعاملی، استفاده از کلیدهای ترکیبی Ctrl + Alt + Del را الزامی کنید (در لاگین تعاملی، کاربر نه از راه دور بلکه بهصورت محلی در کامپیوتر لاگین میکند).
برای بیکار ماندن کامپیوتر، محدودیت زمانی تعیین کنید تا جلسههای تعاملی بلااستفاده (idle interactive sessions) محافظت شوند.
مراقب باشید همه فضاهای ذخیرهسازی (volume) از سیستم فایل NTFS استفاده کنند.
مجوزهای Local File/folder را پیکربندی کنید. از دیگر اقدام امنیتی مهم که عمدتاً مغفول میماند، مسدودسازی مجوزهای سطح فایل (file-level) برای سرور است. به طور پیشفرض، ویندوز روی همه فایلها یا فولدرهای محلی محدودیتهای خاصی اعمال نمیکند؛ در اکثر کامپیوترها به گروه Everyone مجوزهای کامل اعطا میشود. گروه Everyone را حذف و در عوض بر اساس نقش کاربران، گروههای مختلف تعریف کنید. به یاد داشته باشید مجوز و سطح دسترسی هر گروه فقط باید بهاندازهای باشد که بتواند وظایفش را انجام دهد و نه بیشتر. سپس بر پایه همین اصل، به گروهها مجوز دسترسی به فایل و فولدر اعطا کنید. گروههای Guest و Everyone و نیز قابلیت لاگین کردن بهصورت ناشناس را با جدیت از فهرست مجوزهای کاربر حذف کنید. ویندوز با این پیکربندی، امنتر خواهد شد.
تاریخ/زمان سیستم را تنظیم و آن را طوری پیکربندی کنید که با تایم سرورهای دامنه هماهنگ باشد.
یک محافظ صفحهنمایش (screensaver) پیکربندی کنید تا هرگاه کنسول بیکار بود، صفحه نمایش کنسول به طور خودکار قفل شود.
تنظیمات Audit Policy
Audit Policy را بهدرستی در ویندوز فعال کنید. شما با Audit Policy مشخص میکنید که چه نوع رویدادهایی باید ردگیری و در بخش log Security ویندوز سرور ثبت شوند.
روش ذخیرهسازی مستمر Event log را طوری پیکربندی کنید که در صورت نیاز رونویسی شود. اندازه آن را تا ۴ گیگابایت تعیین کنید.
بهمنظور مانیتورینگ، کپی رویدادهای ثبت شده را به SIEM (مخفف Security Information and Event Management) ارسال کنید (log shipping).
راهنمای امنیت نرمافزار
نرمافزار ضدویروس نصب و آن را فعال کنید. آن را طوری پیکربندی کنید که روزانه آپدیت شود.
نرمافزار ضد جاسوسافزار نصب و آن را فعال کنید. آن را طوری پیکربندی کنید که روزانه آپدیت شود.
نرمافزاری نصب کنید که یکپارچگی فایلهای مهم سیستمعامل را بررسی کند. ویندوز قابلیتی موسوم به Resource Protection دارد که فایلهای مهم خاص را به طور خودکار بررسی و هر کدام را که معیوب بود با نسخه سالم جایگزین میکند.
پایان کار
با استفاده از GHOST یا Clonezilla از سیستمعاملهایتان ایمیج بگیرید تا همه آنچه روی سیستمعامل نصب شده است و نیز همه تنظیمات امنیتی آن در فایل ایمیج کپی شود. در این صورت اگر برای مثال لازم شد که ویندوز سرور را از نو نصب کنید، همه برنامهها و تنظیمات امنیتی پیشین از روی فایل ایمیج روی ویندوز پیاده میشود و دیگر لازم نیست پس از نصب ویندوز همه نرمافزارها و تنظیمات امنیتی موردنیازتان را دوباره یک به یک اعمال کنید.
کلید لایسنس ویندوز سرورتان را با توجه به نسخه آن (۲۰۱۹/۲۰۱۶/۲۰۱۲/۲۰۰۸/۲۰۰۳) وارد کنید.
سرور را به دامنه متصل کنید و سیاستهای موردنیاز گروه دامنه (domain group) را اعمال کنید.
در پایان یادآوری میشود که چکلیست امنیتی ویندوز سرور هر شرکت/سازمان بسته به اولویتها و شرایط خاص همان شرکت/سازمان تهیه و اجرا میشود. اجرای بندهای چنین چک لیستی به تقویت ویندوز سرور و امنتر شدن شبکه کمک میکند.
منبع:falnic