امنیت

چک لیست امنیتی ویندوز سرور چیست؟

برای افزایش امنیت ویندوز سرور (Windows Server) باید ضعف‌های امنیتی محیط و اپلیکیشن‌ها شناسایی و سپس رفع شوند. برای این منظور یک فهرست یا اصطلاحاً چک‌لیست امنیتی تهیه می‌شود که مدیران شبکه همه بندهای آن را یک‌به‌یک اجرا می‌کنند. بندهای چک‌لیست امنیتی ویندوز سرور در واقع تنظیمات یا تمهیداتی هستند است که باید در سیستم‌عامل اعمال شوند. بندهای چک‌لیست همیشه و برای همه سازمان‌ها/شرکت‌ها یکسان نیستند، بلکه بسته به وظایف، سیاست‌ها و اولویت‌های هر سازمان/شرکت فرق می‌کنند. با تهیه چک‌لیست دقیق و سپس اجرای صحیح بندهای آن می‌توان امنیت ویندوز سرور و به‌تبع آن، امنیت شبکه و سازمان را ارتقا داد. البته ارتقای امنیت ویندوز سرور به‌تنهایی کافی نیست و مدیران شبکه برای تأمین امنیت کلاینت‌ها و زیرساخت شبکه نیز باید برنامه جامعی داشته باشند که چنین مواردی خارج از موضوع این مقاله است.

در ادامه این مقاله، نخست خلاصه‌ای از توضیحات و توصیه‌های مایکروسافت درباره اهمیت امنیت شبکه و قابلیت‌های امنیتی ویندوز سرور بازگو می‌شود. سپس برای آشنایی بیشتر با محتوای چک لیست‌های امنیتی ویندوز سرور، نمونه‌ای از آن‌ها به نقل از سایت شرکت Netwrix بیان خواهد شد.

چرا چک لیست امنیتی ویندوز سرور مهم است؟

مایکروسافت می‌گوید، سطح امنیت یک سازمان بر همه اعضا و زیرمجموعه‌های آن سازمان تأثیر دارد. نبود یا کمبود امنیت برای سازمان‌ها خطرناک است. گاهی وقوع یک حمله امنیتی همه امور عادی و روزمره شرکت/سازمان را مختل یا متوقف می‌کند. هرچه شما زودتر متوجه حمله شوید، بهتر می‌توانید با آن مقابله کنید و از اثراتش بکاهید. هکرها و مهاجمان سایبری معمولاً کار خود را با تحقیق و جستجو شروع می‌کنند. آن‌ها ابتدا نقاط ضعف‌ شبکه یا محیط کارتان را پیدا و سپس حمله می‌کنند. پس از آنکه مهاجم (به طرق مختلف) به محیط نفوذ کرد، با شیوه‌ای موسوم به حرکت تدریجی (lateral movement) به دنبال راه‌هایی می‌گردد که او را به‌ هدفش نزدیک‌تر می‌کند. مثلاً شاید مهاجم بکوشد سطح دسترسی خود را افزایش دهد تا بتواند ظرف مدت کوتاهی (معمولاً ۲۴ تا ۴۸ ساعت پس از اولین نفوذ) کنترل سازمان را به دست بگیرد. هدف شما از تهیه و اجرای چک لیست امنیتی ویندوز، شناسایی هرچه زودتر این‌گونه حملات و پاسخ دادن به آن‌هاست. هرچه مهاجم دیرتر شناسایی شود، خسارت بیشتری می‌تواند به بار آورد و سخت‌تر می‌شود او را از شبکه بیرون انداخت.

شما با اجرای بندهای چک لیست امنیتی ویندوز سرور می‌کوشید زمانی را که مهاجم لازم دارد تا کنترل شبکه را به دست بگیرد، از چند ساعت به چند هفته یا حتی چند ماه افزایش دهید. هرچه این زمان طولانی‌تر شود، احتمال شناسایی حمله و مهاجم افزایش می‌یابد فلذا شما برای خنثی‌کردن حمله زمان بیشتری خواهید داشت. برای این منظور باید جلوی حرکت تدریجی مهاجم را بگیرید و امنیت سیستم‌هایتان را افزایش دهید. آن‌گاه با ارتقای علائم هشداردهنده مختلف می‌توانید حمله را شناسایی کنید و با حذف موجودیت‌ها (identities) و سیستم‌های آسیب‌دیده، به حمله پاسخ دهید.

بخش بعدی مقاله بر این موضوع تمرکز دارد که چطور می‌توان دستیابی مهاجم به مجوزهای بیشتر و گردش آزادانه او در شبکه‌ را برایش دشوار و حملات را زودتر شناسایی کرد.

توصیه‌های مایکروسافت برای افزایش امنیت ویندوز سرور و کشف حملات و جلوگیری از آن‌ها

ویندوز سرور و به‌ویژه نسخه ۲۰۱۶ و ۲۰۱۹ قابلیت‌های امنیتی بومی‌ای دارند که به تقویت سیستم‌عامل و کشف فعالیت‌های خرابکارانه کمک می‌کند. در ادامه، برخی از توصیه‌های مایکروسافت برای ارتقای امنیت ویندوز سرور و استفاده هرچه بهتر از قابلیت‌های این سیستم‌عامل خلاصه‌وار توضیح داده می‌شود.

بنیان کارتان را امن بنا کنید

ویندوز سرور پیکربندی امنی دارد. اگر می‌خواهید همچنان امن‌ بماند، حتماً آن را به‌روز نگه دارید، از داده‌هایتان نسخه پشتیبان بگیرید و تنظیمات امنیتی ویندوز سرور را مبتنی بر توصیه‌های مایکروسافت و استانداردهای امنیتی سازمان متبوعتان پیکربندی کنید.

از جدیدترین به‌روزرسانی‌های امنیتی ویندوز سرور غافل نشوید

مایکروسافت مرتباً برای سیستم‌عامل‌های خود از جمله ویندوز کلاینت و ویندوز سرور، آپدیت‌ها و وصله‌های جدیدی منتشر می‌کند. برخی از این آپدیت‌ها امنیتی هستند و ویندوز سرور را در برابر خطرها و ضعف‌هایی که تازه کشف شده‌اند، محافظت می‌کنند. برخی از به‌روزرسانی‌ها نیز به نرم‌افزار امنیتی ویندوز دیفندر اختصاص دارند تا بدافزارها و جاسوس‌افزارهای جدید را شناسایی کند.

تنظیمات امنیتی ویندوز سرور را پیکربندی کنید

همه نسخه‌های ویندوز تنظیمات امنیتی دارند. تنظیمات امنیتی ویندوز به امن‌تر شدن کامپیوترهایتان کمک می‌کنند. مایکروسافت بر مبنای توصیه‌های امنیتی خود، حداقل‌های امنیتی موردنیاز شرکت‌ها/سازمان‌ها را منتشر می‌کند. این توصیه‌ها حاصل تجارب امنیتی در دنیای واقعی است که درنتیجه همکاری با سازمان‌های تجاری و دولتی آمریکا به دست آمده است.

در حداقل‌های امنیتی ویندوز سرور مواردی همچون تنظیمات پیشنهادی برای ویندوز فایروال، ویندوز دیفندر، و دیگر تنظیمات امنیتی لحاظ می‌شود.

از اطلاعات و سیستم‌هایتان بک‌آپ بگیرید

شما باید در بازه‌های زمانی منظم از سیستم‌عامل ویندوز سرور، از جمله از اپلیکیشن‌ها و داده‌های ذخیره شده در آن بک‌آپ‌ بگیرید. این کار آثار حمله باج‌افزارها به ویندوز سرور را کاهش می‌دهد. بک‌آپ‌گیری باید مرتباً انجام شود تا در صورت حمله باج‌افزارها اطلاعات‌ به‌راحتی قابل بازیابی باشند.

اگر می‌خواهید نسخه‌های پشتیبان در محل فیزیکی مجموعه خودتان تهیه و ذخیره شوند، می‌توانید از راهکارهایی مثل System Center Data Protection Manager استفاده کنید. برای بک‌آپ‌‌گیری ابری نیز می‌‌توانید از Microsoft Azure Backup Server بهره ببرید. شرکای مایکروسافت نیز برای بک‌آپ‌گیری محصولاتی ارائه داده‌اند.

مدیریت و پایش با استفاده از Operations Management Suite

راهکار مدیریت آی‌تی ابری Operations Management Suite که به‌اختصار OMS نیز خوانده می‌شود کمکتان می‌کند تا زیرساخت‌های فیزیکی و ابری خود را مدیریت و محافظت کنید. این راهکار به‌صورت یک سرویس ابری پیاده‌سازی شده است و کاربر می‌تواند مدیریت اپلیکیشن‌ها، خدمات و زیرساخت‌هایتان را با کمترین هزینه اضافی آغاز کند. ضمناً OEM مرتباً با قابلیت‌های جدید آپدیت می‌شود و هزینه‌های مداوم نگهداری و ارتقا را به طرز چشمگیری کاهش می‌دهد.

محافظت از موجودیت‌های ممتاز (Privileged identities)

موجودیت‌های ممتاز (Privileged identities) حساب‌ها یا اکانت‌هایی هستند که مجوزهای دسترسی سطح بالایی دارند. مثلاً کاربرانی که عضو گروه‌ Domain Admins، مدیران (Administrators) محلی یا حتی Power Users هستند، موجودیت‌ ممتاز محسوب می‌شوند. اکانت‌هایی که برای انجام امور مهمی مثل تهیه بک‌آپ، خاموش کردن سیستم یا دیگر مجوزهای فهرست شده در گروه User Rights Assignment در کنسول Local Security Policy مجوز مستقیم دارند نیز می‌توانند موجودیت‌ ممتاز به حساب آیند.

شما باید از موجودیت‌های ممتاز در برابر حملات محافظت کنید. پس اول باید بدانید که موجودیت‌های ممتاز چگونه آسیب می‌بینند تا سپس بتوانید برای محافظت از آن‌ها در برابر مهاجمان برنامه‌ریزی کنید.

موجودیت‌های ممتاز چطور آسیب می‌بینند؟

موجودیت‌های ممتاز اغلب وقتی آسیب می‌بینند که سازمان‌ها برای محافظت از آن‌ها دستورالعملی نداشته باشند. مثلاً اقدامات نسنجیده زیر از جمله مواردی هستند که موجودیت‌های ممتاز را به خطر می‌اندازند:

اعطای مجوزهای بیش از حد نیاز: سطح دسترسی کاربران به شبکه فقط باید به اندازی باشد که بتوانند وظایفشان را انجام دهند و نه بیشتر. اما یکی از رایج‌ترین مشکلات امنیتی در شبکه‌ها این است که به کاربران بیش از آنچه که واقعاً لازم است مجوز دسترسی اعطا می‌شود. مثلاً ممکن است به کاربری که DNS را مدیریت می‌کند، مجوز مدیریت اکتیو دایرکتوری هم اعطا شود. معمولاً علت اعطای مجوزهای چندگانه، این است که مدیران شبکه نمی‌خواهند سطوح مدیریت مختلفی پیکربندی کنند. اما این کار خطرناک است، چون اگر مهاجم به چنین اکانتی دسترسی پیدا کند، هم‌زمان به چند مجوز مهم دست‌ می‌یابد.

ثبت ورود، همیشه با مجوزهای سطح بالا: یکی دیگر از اشتباه‌‌های رایج امنیتی، امکان استفاده کاربران از مجوزهای سطح بالا برای مدت نامحدود است. این اشتباه حتی بین حرفه‌های آی‌تی نیز رایج است؛ آن‌ها نیز گاهی با اکانت‌های ممتاز در کامپیوترهای دسکتاپ لاگین می‌کنند و با همان اکانت کارشان را انجام می‌دهند، وب‌‌گردی می‌کنند، و به ایمیل‌های عادی‌شان سر می‌زنند.

تحقیق و مهندسی اجتماعی: اکثر تهدیدهای مهم با تحقیق درباره سازمان آغاز می‌شود و سپس از طریق مهندسی اجتماعی پیش می‌رود. مثلاً مهاجم می‌تواند با جعل (فیشینگ) ایمیل به اکانت‌های معتبر (و نه الزاماً اکانت‌های سطح بالا) نفوذ کند و سپس از این اکانت‌های معتبر برای تحقیق بیشتر درباره شبکه و شناسایی اکانت‌های ممتاز (با مجوزهای مدیریتی) بهره ببرد.

اکانت‌های سطح بالا با مجوزهای سطح بالا: مهاجمان حتی با یک حساب کاربری معمولی بدون مجوزهای سطح بالا نیز می‌توانند به اکانت‌هایی با مجوزهای سطح بالادست پیدا کنند. یکی از رایج‌ترین روش‌ها برای این منظور استفاده از حملات Pass-the-Hash یا Pass-the-Token است. البته مهاجمان برای نفوذ به اکانت‌های ممتاز روش‌هایی دیگری هم دارند، چون پیوسته روش‌های جدیدی پیدا می‌کنند. پس حتماً ترتیبی اتخاذ کنید تا کاربران با اکانت‌هایی که کمترین سطح دسترسی را دارند در شبکه لاگین کنند. با این کار، توانایی مهاجمان برای دسترسی به موجودیت‌های ممتاز کاهش می‌یابد.

تقویت ویندوز سرور

ویندوز سرور مکانیسم‌های امنیتی داخلی و ابزارهای امنیتی قدرتمندی دارد که با پیکربندی آن‌ها سرور امن‌تر و دسترسی به آن سخت‌تر می‌شود. ابزارهای ویندوز سرور برای این منظور عبارت‌اند از:

Control Flow Guard

یکی از ابزارهای امنیتی ویندوز سرور که در نسخه ۲۰۱۶ معرفی شد، Control Flow Guard است. این ابزار، سیستم‌عامل و اپلیکیشن‌ها را در برابر حملاتی که اساس کارشان ایجاد تغییر در محتوای حافظه است، محافظت می‌کند.

Windows Defender

ویندوز دیفندر (Windows Defender) از زمان انتشار Windows 8 جزو این سیستم‌عامل بوده است و هنوز هم هست. این نرم‌افزار امنیتی بومی، تجهیزات ویندوزی را در برابر ویروس‌ها، بدافزارها، جاسوس‌افزارها و دیگر تهدیدهای امنیتی محافظت می‌کند. ویندوز دیفندر برای اجرا روی ویندوز سرور بهینه شده است و به طور پیش‌فرض در ویندوز سرور ۲۰۱۶ و ویندوز سرور ۲۰۱۹ فعال است. می‌توانید ویندوز دینفدر را با استفاده از Group Policy، پاورشل، Windows Management Instrumentation (WMI) یا از رابط کاربری خود ویندوز دیفندر پیکربندی کنید.

DeviceGuard

با استفاده از Device Guard می‌توان مشخص کرد که کدام کدها (از جمله کدهای user mode و kernel mode) اجازه دارند روی سرور اجرا شوند. با تعریف سیاستی جهت یکپارچه‌سازی کد (code integrity policy) می‌توانید کدهای مد کرنل و مد کاربر خاصی تعریف کنید که فقط آن‌ها روی سیستم اجرا شوند. این سیاست، جلوی اجرای کدهای مخرب را می‌گیرد.

Secure Boot

بوت امن یا Secure Boot یکی از استانداردهای صنعت کامپیوترهای شخصی است که کمک می‌کند دستگاه شما فقط نرم‌افزاری را که صلاحیت آن توسط شرکت سازنده دستگاه تأیید شده است، بوت کند. بوت امن با بلوکه کردن نرم‌افزارهای تأییدنشده (فاقد امضا) به ایمن ماندن تجهیزات کامپیوتری در برابر حمله روت کیت‌ها و دیگر حملات بدافزاری سطح پایین (نزدیک به سطح سخت‌افزار)، کمک می‌کند. وقتی یک دستگاه کامپیوتری روشن می‌شود، سخت‌افزار آن (firmware)، امضای همه قطعات نرم‌افزار بوت را بررسی می‌کند تا از اعتبارشان اطمینان یابد. اگر همه امضاهای نرم‌افزار تأیید شدند، سخت‌افزار، سیستم‌عامل را استارت می‌زند. اطمینان حاصل کنید که Secure Boot در سفت افزار دستگاهتان فعال شده باشد.

Operating Management Suite

می‌توانید با استفاده از Operating Management Suite (به‌اختصار، OMS)، تهدیدها و نیز دستگاه‌هایی را که نرم‌افزارها و ضدویروس‌هایشان آپدیت نشده است شناسایی کنید.

ارتقای سازوکارهای تشخیص خطر

تشخیص خطر یکی از بخش‌های ضروری امنیت ویندوز سرور است. هرچه خطرها را زودتر شناسایی کنید، راحت‌تر و پیش از آنکه مهاجم کنترل کامل شبکه را به دست گیرد، می‌توانید به آن پاسخ دهید. مایکروسافت برای این منظور ابزارها و قابلیتی در ویندوز سرور فراهم آورده است که Windows Defender Advanced Thread Protection (به‌اختصار ATP) نام دارد. ویندوز سرور همیشه اطلاعات مهم امنیتی را در بخش ثبت رویدادها (events log) ذخیره می‌کند. ویندوز سرور با ثبت این اطلاعات کمکتان می‌کند تا بر فعالیت‌های مشکوک در سرور متمرکز شوید؛ فعالیت‌های مشکوکی همچون:

متصل شدن یک وسیله USB به یک سرور

ریست کردن پسوردی که انتظارش را نداشتید

قفل کردن یک حساب کاربری

دسترسی راه دور به پایگاه‌داده‌های SAM (مخفف Security Account Manager)

تقویت محیط‌های Hyper-V

بسیاری از سازمان‌ها بسیار به مراکز داده مجازی متکی هستند. مراکز داده مجازی نیز باید مانند زیرساخت‌های فیزیکی‌ به‌خوبی محافظت شوند. هایپروایزر یا مجازی‌سازی بومی ویندوز موسوم به Hyper-V نیز از این قاعده مستثنی نیست. ویندوز سروری که در ماشین مجازی اجرا می‌شود باید درست مانند زمانی که در سرور فیزیکی اجرا می‌شود، ازنظر امنیتی تقویت شود. محیط‌های مجازی چندین ماشین مجازی دارند که هاست فیزیکی آن‌ها مشترک است؛ لذا هم‌هاست فیزیکی و هم ماشین‌های مجازی‌ای که روی آن ‌هاست اجرا می‌شوند باید محافظت شوند، زیرا اگر مهاجم به یک هاست نفوذ کند، می‌تواند به چندین ماشین مجازی آسیب بزند و جریان کار و خدمات شبکه را بیشتر مختل کند. برای افزایش امنیت ویندوز سرور در محیط‌های مجازی می‌توانید از همان روش‌های امن‌سازی ویندوز سرور در محیط‌های فیزیکی بهره ببرید. ویندوز سرور ۲۰۱۶ و ۲۰۱۹ برای تقویت محیط‌های Hyper-V سه قابلیت ویژه دارد:

Shielded Virtual Machine و Guarded fabric: چون وضعیت و حافظه ماشین‌های مجازی در یک فایل ذخیره می‌شود، بعید نیست که این فایل از طریق سیستم ذخیره‌سازی، از شبکه یا حین بک‌آپ‌گیری مورد حمله واقع شود. امروزه همه ماشین‌های مجازی و از جمله Hyper-V در معرض این ضعف هستند. مهاجم می‌تواند فایل ماشین مجازی را مستقیماً دست‌کاری یا فایل‌های ماشین مجازی را در محیط دیگری کپی کند. ماشین‌ مجازی محافظت شده (shielded virtual machine) می‌تواند از چنین حملاتی جلوگیری کند. قابلیت بعدی یعنی Guard fabric سه جزء دارد: Host Guardian Service،یک یا چند هاست محافظت شده (guarded host)، و ماشین‌های مجازی محافظت شده (Shielded virtual machine).

Virtual machine Trusted Platform Module (TPM): ویندوز سرور ۲۰۱۶ و ویندوز سرور ۲۰۱۹ از TPM در ماشین‌های مجازی پشتیبانی می‌کنند. این ماژول به شما اجازه می‌دهد فناوری‌های امنیتی پیشرفته‌ای مانند BitLocker Drive Encryption را در ماشین‌های مجازی به کار بگیرید.

Software-Defined Networking – Micro-segmentation firewall: ویندوز سرور ۲۰۱۶ و ویندوز سرور ۲۰۱۹ از شبکه‌سازی نرم‌افزار محور یا SDN (مخفف Software-Defined Networking) پشتیبانی می‌کند. شبکه‌سازی نرم‌افزار محور روشی برای پیکربندی و مدیریت متمرکز تجهیزات شبکه مجازی (مثل Hyper-V Virtual Switch) است. شبکه نرم‌افزار محور اجازه می‌دهد شبکه مجازی مرکز داده و نحوه تعامل آن با شبکه فیزیکی‌تان را به‌صورت پویا مدیریت کنید. یکی از فناوری‌های SDN، فایروال مرکز داده (Datacenter Firewall) است. این فناوری، مدیریت متمرکز سیاست‌های فایروال را امکان‌پذیر و به محافظت از ماشین‌های مجازی در برابر ترافیک نامطلوب اینترنت و شبکه‌های اینترانت شما کمک می‌کند. در چک لیست امنیتی ویندوز سرور چه مواردی درج می‌شود

چک لیست امنیتی ویندوز سرور حاوی بندهایی است که نشان می‌دهد هر یک از بخش‌های خاص ویندوز سرور چگونه باید تنظیم شود تا سیستم‌عامل و به تبع آن، شبکه در برابر حملات احتمالی مقاومت بیشتری داشته باشد. بندهای چک لیست امنیتی ویندوز سرور بسته به شرایط، نیازها و اولویت‌های هر سازمان ممکن است متفاوت باشد. چک لیست‌ امنیتی معمولاً به چند حوزه خاص می‌پردازد که هر حوزه شامل بندهایی است. برای آشنایی با محتوای چک لیست‌های امنیتی ویندوز سرور یک نمونه از آن در ادامه بیان شده است.

پیشنهاد مطالعه چک‌لیست نگهداری سرور؛ پادکست؛ ویدئو

نمونه‌ای از یک چک لیست امنیتی ویندوز سرور

امنیت سازمانی

برای هر سرور رکوردی از موجودی‌های آن داشته باشید. این رکورد، حداقل‌های پیکربندی را به شکل مستند مشخص و هر تغییر در سرور را ثبت می‌کند.

پیش از اعمال هر تغییری در سخت‌افزار یا نرم‌افزار سرور، آن تغییر را کاملاً بیازمایید و ارزشیابی کنید.

مرتباً ریسک‌ها را برآورد کنید. برای به‌روزرسانی برنامه مدیریت ریسک، از نتایج این برآورد بهره ببرید. فهرستی اولویت‌بندی شده از همه سرورها داشته باشید تا اطمینان یابید که ضعف‌های امنیتی طبق برنامه زمانی ترمیم می‌شوند.

همه سرور را در سطح بازبینی یکسان نگه دارید.

آماده‌سازی ویندوز سرور

تا زمانی که سیستم‌عامل نصب و تقویت شود، کامپیوترهای تازه نصب شده را از ترافیک شبکه متخاصم

(hostile network traffic) محافظت کنید. همه سرورهای جدید در شبکه DMZ را که به اینترنت وصل نیستند، تقویت کنید.

برای بایوس/سفت افزار پسورد تعیین کنید تا از تغییرات غیرمجاز در تنظیمات استارت‌آپ سرور جلوگیری شود.

لاگین کردن خودکار با اکانت مدیریتی در کنسول بازیابی (ریکاوری) را غیرفعال کنید.

ترتیب بوت دستگاه‌ها را طوری تنظیم کنید که به طور غیرمجاز و خودکار از رسانه‌های دیگر بوت نشوند.

نکات امنیتی در نصب ویندوز سرور

مراقب باشید سیستم طی فرایند نصب خاموش نشود.

برای پیکربندی سیستم بر اساس یک نقش (role) خاص، از Security Configuration Wizard استفاده کنید.

مراقب باشید همه وصله‌های مناسب، ترمیم‌های فوری و سرویس پک‌ها به‌درستی اعمال شوند. وصله‌های امنیتی، ضعف‌های شناخته‌شده‌ای را که مهاجمان برای نفوذ به سیستم ممکن است از آن‌ها بهره ببرند، ترمیم می‌کنند. پس از نصب ویندوز سرور، بلافاصله آن را به‌وسیله WSUS یا SCCM با جدیدترین وصله‌ها آپدیت کنید.

قابلیت اعلام خودکار انتشار وصله‌های جدید را فعال کنید. هرگاه وصله‌ای منتشر شد، آن وصله باید فوراً با استفاده از WSUS یا SCCM تحلیل، تست و نصب شود.

تقویت امنیت حساب کاربری در ویندوز سرور

مطمئن از استاندارد بودن و قوی بودن پسوردهای مدیریتی و سیستمی‌تان اطمینان حاصل کنید. مخصوصاً مراقب باشید که در پسورد اکانت‌های ممتاز (اکانت‌هایی که سطح دسترسی بالایی دارند)، از کلمات معنادار یا لغت‌نامه‌ای استفاده نشود. هر پسورد باید دست‌کم ۱۵ کاراکتر داشته و ترکیبی از حرف، عدد، علائم خاص و کاراکترهای نامرئی (مثل CTRL) باشد. همه پسوردها را هر ۹۰ روز یک‌بار عوض کنید.

سیاست‌های گروهی (Group Policy) جهت مسدودسازی اکانت‌ها را طبق بهترین شیوه‌های پیشنهادشده تنظیم کنید.

اجازه ندهید کاربران، اکانت‌ مایکروسافتی ایجاد کنند و با آن در کامپیوترها لاگین کنند.

اکانت میهمان (Guest account) را غیرفعال کنید.

نباید اجازه دهید به کاربران ناشناس، مجوز Everyone اعطا شود.

برای شمارش اکانت‌ها و داده‌های به‌ اشتراک ‌نهاده شده SAM به‌صورت ناشناس، مجوز صادر نکنید.

ترجمه SID/Name به‌صورت ناشناس را غیرفعال کنید.

حساب‌های کاربری بلااستفاده را فوراً غیرفعال یا حذف کنید.

پیکربندی امنیت شبکه

دیواره آتش (فایروال) ویندوز را در همه پروفایل‌ها (دامنه‌ها، خصوصی، عمومی) فعال و طوری پیکربندی کنید که به طور پیش‌فرض ترافیک ورودی را بلوکه کند.

مسدودسازی پورت را در سطح تنظیمات شبکه فعال کنید. دریابید که کدام پورت‌ها باید باز باشند. دسترسی به تمام دیگر پورت‌ها را محدود کنید.

تنظیمات‌تان طوری باشد که فقط کاربران احراز هویت شده بتوانند از شبکه به هر کامپیوتری دسترسی یابند.

به هر کاربری مجوز act as part of the operating system اعطا نکنید.

به اکانت‌های میهمان اجازه ندهید با مجوز سرویس (Log on as a service)، رشته وظایف (log on as a batch job)، به‌صورت محلی (log on locally) یا از طریق RDP لاگین کنند.

اگر از RDP استفاده می‌شود، سطح رمزنگاری اتصال RDP را بالا ببرید.

گزینه Enable LMhosts lookup را حذف کنید.

گزینه NetBIOS over TP/IP را غیرفعال کنید.

گزینه ncacn_ip_tcp را حذف کنید.

هم Microsoft Network Client و هم Microsoft Network Server را طوری پیکربندی کنید که همیشه ارتباطات‌شان را دیجیتالی امضا کنند.

ارسال پسوردهای رمزنگاری نشده به سرورهای SMB طرف سوم را غیرفعال کنید.

اجازه ندهید کاربر به‌صورت ناشناس به داده‌های ‌اشتراکی‌شده دسترسی یابد.

به سیستم محلی (Local System) اجازه دهید برای NTLM از هویت کامپیوتر استفاده کند.

Local System NULL session fallback را غیرفعال کنید.

انواع رمزنگاری‌های ممکن برای کربروس را پیکربندی کنید.

مقادیر LAN Manager hash را ذخیره نکنید.

سطح احراز هویت LAN Manager را طوری تنظیم کنید که فقط NTLMv2 را بپذیرد و LM و NTLM را رد کند.

امکان به‌اشتراک‌گذاری فایل و پرینتر از شبکه را حذف کنید. به‌اشتراک‌گذاری فایل و پرینتر به هر کسی اجازه می‌دهد تا به یک سرور متصل شود و بدون نیاز به شناسه کاربری یا پسورد به داده‌های مهم دسترسی یابد.

پیکربندی امنیتی رجیستری ویندوز سرور

تمهیدی بیندیشید تا همه مدیران‌ برای درک جامع نحوه عملکرد رجیستری و هدف هر یک از کلیدهای مختلف آن وقت بگذراند. در سیستم‌عامل ویندوز بسیاری از ضعف‌ها را می‌توان با تغییر کلیدهای خاص رجیستری ترمیم کرد. در ادامه به برخی از آن‌ها اشاره خواهد شد.

مجوزهای رجیستری را پیکربندی کنید. رجیستری را از دسترس کاربران ناشناس دورنگه دارید. اگر دسترسی راه دور به رجیستری را لازم ندارید، برایش مجوز صادر نکنید.

مقدار MaxCachedSockets (REG_DWORD) را روی ۰ تنظیم کنید.

مقدار SmbDeviceEnabled (REG)DWORD را روی ۰ تنظیم کنید.

مقدار AutoShareServer را روی ۰ تنظیم کنید.

مقدار AutoShareWks را روی ۰ تنظیم کنید.

همه مقادیر داده درون کلید NullSessionPipes را پاک کنید.

همه مقادیر داده درون کلید NullSessionShares را پاک کنید.

تنظیمات امنیتی عمومی ویندوز سرور

سرویس‌هایی را که لازم ندارید غیرفعال کنید. در اکثر سرورها سیستم‌عامل با تنظیمات پیش‌فرض نصب شده است. در تنظیمات پیش‌فرض، اغلب سرویس‌های اضافی که سیستم نیازی به آن‌ها ندارد نیز روشن هستند که این به بروز ضعف‌های امنیتی منجر می‌شود. پس همه سرویس‌های نا لازم حتماً باید از سیستم حذف شوند.

اجزا یا کام پی ون نت‌های نا لازم ویندوز را حذف کنید. اجزای غیرضروری ویندوز باید از سیستم‌های مهم حذف شوند تا سرورها امن بمانند.

با انتخاب NTFS یا BitLocker در ویندوز سرور، قابلیت رمزنگاری سیستم فایل (EFS) بومی ویندوز را فعال کنید.

اگر ایستگاه کاری (workstation) حافظه رم زیادی دارد، swapfile ویندوز را غیرفعال کنید. این کار بازده و امنیت را افزایش می‌دهد زیرا هیچ داده مهمی نمی‌تواند روی هارددیسک نوشته شود.

از AUOTORUN استفاده نکنید؛ در غیر این صورت کدهای نامطمئن می‌توانند بدون اطلاع مستقیم کاربر اجرا شوند؛ مثلاً مهاجم می‌تواند از روی سی‌دی اسکریپت خودش را اجرا کند.

سیستم را طوری پیکربندی کنید که پیش از لاگین کردن کاربر، پیغامی رسمی به وی نمایش داده شود. متن پیغام برای مثال می‌تواند چنین باشد: «استفاده غیرمجاز از این کامپیوتر و منابع شبکه ممنوع است…»

برای لاگین کردن تعاملی، استفاده از کلیدهای ترکیبی Ctrl + Alt + Del را الزامی کنید (در لاگین تعاملی، کاربر نه از راه دور بلکه به‌صورت محلی در کامپیوتر لاگین می‌کند).

برای بیکار ماندن کامپیوتر، محدودیت زمانی تعیین کنید تا جلسه‌های تعاملی بلااستفاده (idle interactive sessions) محافظت شوند.

مراقب باشید همه فضاهای ذخیره‌سازی (volume) از سیستم فایل NTFS استفاده ‌کنند.

مجوزهای Local File/folder را پیکربندی کنید. از دیگر اقدام امنیتی مهم که عمدتاً مغفول می‌ماند، مسدودسازی مجوزهای سطح فایل (file-level) برای سرور است. به طور پیش‌فرض، ویندوز روی همه فایل‌ها یا فولدرهای محلی محدودیت‌های خاصی اعمال نمی‌کند؛ در اکثر کامپیوترها به گروه Everyone مجوزهای کامل اعطا می‌شود. گروه Everyone را حذف و در عوض بر اساس نقش کاربران، گروه‌های مختلف تعریف کنید. به یاد داشته باشید مجوز و سطح دسترسی هر گروه فقط باید به‌اندازه‌ای باشد که بتواند وظایفش را انجام دهد و نه بیشتر. سپس بر پایه همین اصل، به گروه‌ها مجوز دسترسی به فایل و فولدر اعطا کنید. گروه‌های‌ Guest و Everyone و نیز قابلیت لاگین کردن به‌صورت ناشناس را با جدیت از فهرست مجوزهای کاربر حذف کنید. ویندوز با این پیکربندی، امن‌تر خواهد شد.

تاریخ/زمان سیستم را تنظیم و آن را طوری پیکربندی کنید که با تایم سرورهای دامنه هماهنگ باشد.

یک محافظ صفحه‌نمایش (screensaver) پیکربندی کنید تا هرگاه کنسول بیکار بود، صفحه نمایش کنسول به طور خودکار قفل شود.

تنظیمات Audit Policy

Audit Policy را به‌‌درستی در ویندوز فعال کنید. شما با Audit Policy مشخص می‌کنید که چه نوع رویدادهایی باید ردگیری و در بخش log Security ویندوز سرور ثبت ‌شوند.

روش ذخیره‌سازی مستمر Event log را طوری پیکربندی کنید که در صورت نیاز رونویسی شود. اندازه آن را تا ۴ گیگابایت تعیین کنید.

به‌منظور مانیتورینگ، کپی رویدادهای ثبت شده را به SIEM (مخفف Security Information and Event Management) ارسال کنید (log shipping).

راهنمای امنیت نرم‌افزار

نرم‌افزار ضدویروس نصب و آن را فعال کنید. آن را طوری پیکربندی کنید که روزانه آپدیت شود.

نرم‌افزار ضد جاسوس‌افزار نصب و آن را فعال کنید. آن را طوری پیکربندی کنید که روزانه آپدیت شود.

نرم‌افزاری نصب کنید که یکپارچگی فایل‌های مهم سیستم‌عامل را بررسی کند. ویندوز قابلیتی موسوم به Resource Protection دارد که فایل‌های مهم خاص را به طور خودکار بررسی و هر کدام را که معیوب بود با نسخه سالم جایگزین‌ می‌کند.

پایان کار

با استفاده از GHOST یا Clonezilla از سیستم‌عامل‌هایتان ایمیج بگیرید تا همه آنچه روی سیستم‌عامل نصب شده است و نیز همه تنظیمات امنیتی آن در فایل ایمیج کپی ‌شود. در این صورت اگر برای مثال لازم شد که ویندوز سرور را از نو نصب کنید، همه برنامه‌ها و تنظیمات امنیتی پیشین از روی فایل ایمیج روی ویندوز پیاده می‌شود و دیگر لازم نیست پس از نصب ویندوز همه نرم‌افزارها و تنظیمات امنیتی موردنیازتان را دوباره یک به‌ یک اعمال کنید.

کلید لایسنس ویندوز سرورتان را با توجه به نسخه آن (۲۰۱۹/۲۰۱۶/۲۰۱۲/۲۰۰۸/۲۰۰۳) وارد کنید.

سرور را به دامنه متصل کنید و سیاست‌های موردنیاز گروه دامنه (domain group) را اعمال کنید.

در پایان یادآوری می‌شود که چک‌لیست امنیتی ویندوز سرور هر شرکت/سازمان بسته به اولویت‌ها و شرایط خاص همان شرکت/سازمان تهیه و اجرا می‌شود. اجرای بندهای چنین چک لیستی به تقویت ویندوز سرور و امن‌تر شدن شبکه کمک می‌کند.

منبع:falnic

مقالات مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا