10 نکته برای امن کردن ویندوز در سازمان ها که باید بدانید

با سلام ، همون طور که دوستان آی تی پرویی عزیرمیدونند در سازمان ها، یکی از راه های معمول اعمال قوانین واجازه سطح دسترسی های مختلف در کامپیوترهای ویندوزی مایکروسافت گروپ پالیسی ها میباشد.در اکثر موارد گروپ پالیسی ها تنطیماتی هستند که به منظور پیکره بندی تنظیمات امنیتی و دیگر رفتارهای عملیاتی هستند که بر روی رجیستری کامپیوترها مینشینند.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

گروپ پالیسی ها میتونند توسط اکتیو دایرکتوری یا Local group policy پیکره بندی و اعمال شوند. این قابلیت تنظیم و پیکره بندی تنظیمات امنیتی با استفاده از گروپ پالیسی یکی از بزرگترین مزیت های کار کردن با کامپیوترهای است سیستم عامل های آنها ویندوزی است. در مقاله زیر میخواهیم به 10 نکته بپردازیم که در صورت در نظر گرفتن آنها تا حد قابل قبولی امنیت سازمان شما حفظ میشود،اکثر این تنظمات مربوط میشود به تنظیمات Group Policy و به همین دلیل توضیحات مختصری ابتدا در موردGroup Policy عنوان کردیم.

1- LM وNTLM v1 را غیر فعال کنید

(LM(LAN Manager و پروتکل های احراز هویت NTLM v1 پروتکل های احراز هویتی میباشند که دارای نقاط آسیب پذیری ای میباشند وترجیحا پیشنهاد میشود از پروتکل های NTLM v2 و Kerberos استفاده شود که از دارای امنیت قابل قبولی هستند. به صورت پیش فرض اغلب سیستم های ویندوزی تمام 4 پروتکل ذکر شده را پشتیبانی میکنند،مگر اینکه سیستم عاملی که شما دارید استفاده میکنید خیلی قدیمی باشد. نکته:این Policy به صورت پیشفرض کانفیگ نشده است،برای کانفیگ و اعمال تغییرات میتوانید به مسیر زیر که در شکل زیر مشخص است رجوع کنید.

وب سایت توسینسو

2- LM Hash Storage را غیر فعال کنید

LM قبلا در ویندوز برای سازگاری با کلاینت های قدیمی مورد استفاده قرار میگیرفت،بویژه برای ویندوز 98 به پایین.زمانیکه شما این گزینه را فعال کنید ویندوز به صورت خودکار LAN Manager hash (LM hash) و Windows NT hash(NT hash) مربوط به پسورد ها را تولید میکند که این LM password Hash ها به آسانی به رمزهای عبور متنی قابل تبدیل هستند و از این رو هکرها با ابزار hash dump میتواند پسورد ها را بدست بیاورد. وقتی شما LM Hash Storage را غیر فعال میکنید با این کار از ذخیره شدن پسورد ها بر روی هارد دیسک کامپیوترتون جلوگیری میکنید.اما مشکلاتی که در صورت فعال کردن این گزینه بوجود خواهد آمد:

  • پسوردها دیگر case sensitive نیستند یعنی PASSWORD با password تفاوتی ندارد،و این به این معنی است که پیچیدگی پسورد شما کاهش میابد.
  • پسوردها به کاراکترهای 7 تایی تقسیم میشوند و به صورت جداگانه Hash میشوند، (ممکن است مورد حمله Brute force قرار بگیرید).
  • پسورد ها حداکثر به 14 کاراکتر ختم میشوند یعنی شما نمیتوانید پسوردی بیشتر از 14 کاراکترداشته باشید.

در شکل زیر میتوانید مسیر تنظیمات مربوطه را مشاهده کنید.

وب سایت توسینسو
  • نکته:درویندوز این تنظیمات به صورت پیش فرض غیر فعال میباشد.
  • نکته:دومین کنترولر پسورد مربوط به یوزرهایی که درEvent طولشان از 15 کاراکتر بیشتر است،LM hash مربوط به آن یوزرها را ذخیره نمیکند.

3-کوتاه نبودن طول پسورد(Minimum password length)

حداقل تعداد پسورد شما باید 12 کاراکتر یا بیشتر باشد.البته در برخی موارد 8 کاراکتر ذکر شده است و در برخی موارد 15 کاراکتر بعنوان یک پسورد قوی عنوان شده است که در دنیای احراز هویت کامپیوترها از آن بعنوان یک پسورد جادویی یاد میشود.و پیشنهاد میشود از پسوردهای 15 کاراکتری استفاده کنید.

وب سایت توسینسو

4-بیشترین دوره پسورد (Maximum password age)

به این معنی که برخی از پسوردها نباید بیشتر از 90 روز مورد استفاده قرار بگیرند.و هر 90 روز یکبار بهتره که تغییر کنند. البته این به نوع سازمان برمیگردد که چقدر امنیت در آنجا مهم است،در برخی از سازمان هایی که امنیت در آنها بسیار مهم است حتی از پسوردهای یکبار مصرف استفاده میشود.

یعنی بعنوان مثال اگر مدیر شبکه از این پسورد برای ورود به سیستم استفاده کند دیگر آن پسورد Expire میشود و بعد از آن حتی شخص مدیر شبکه هم نمیتواند از آن استفاده کند و باید از پسورد جدیدی که تولید شده است استفاده کند.(این مورد در برابر حملات Sniffing شگرد خوبی میباشد).البته در ویندوز این مدت 42 است که شما میتوانید طبق شکل زیر به مسیر آن دست پیدا کنید و بسته به سطح امنیتی که میخواهید آن را تغییر دهید.

وب سایت توسینسو

5-رویداد ثبت وقایع (Event Logs)

Evnet Logsها را فعال کنید به منظورLog کردن رویدها.Event Logs فایل های ویژه ای هستند که رویدادهای مهم کامپیوتر شما را ثبت میکنند،بعنوان مثال زمانی که یک یوزر وارد کامپیوتر میشود یا برنامه ای با Error مواجه میشود.هرگاه این مورد از حوادث رخ میدهد ویندوز این وقایع را در Event Log ذخیره میکند که شما میتوانید با استفاده از Event Viewer آنها را بخوانید.کاربران حرفه ای زمانیکه اشکال زدایی میکنند مشکلات را از طریق ویندوز یا دیگر نرم افزارها با استفاده از این روش میتوانند جزئیات سودمندی را بدست بیاورند.

وب سایت توسینسو

6-غیر فعال کردن شمارش Anonymous SID

SID ها (شناسه امنیت) شماره هایی هستند که اختصاص داده شده به هر یوزر،گروه،و دیگر اشیاء امنیتی درویندوز یا دراکتیو دایرکتوری.در ورژن های قبلی سیستم عامل،کاربران احراز هویت نشده میتوانستند ( Queryپرس و جو کنند ) این شماره ها رو برای تشخیص یوزرهای مهم بعنوان مثال Administrator ها ،درواقع این یکی از مشکلات امنیتی بود که هکرها عاشق بهره برداری از آن بودند.به این منظور در Run تایپ کنید Secpol.msc و Enter کنید و با توجه به شکل زیر مسیر را ادمه بدهید.

وب سایت توسینسو

7-اجازه ندادن به اقامت حساب های Anonymous در هر گروهی

این بدین معنی است که شما باید تعداد یوزرهاتون با تعداد افرادی که در سازمانتان قرار دارند و کامپیوتر دارند یکسان باشد و نباید هیچ یوزر اضافه یا ناشناخته ای در بین یوزرهاتون وجود داشته باشد.اگر این تنطیمات به درستی تنظیم نشود،هکرهای ناشناخته میتوانند از راه دور به وسیله همین یوزرهای اضافی و ناشناس که در بین یوزرهای شما قرار دارند دسترسی کاملی داشته باشند بر روی سیستم های داخل سازمان.

8-User Account Control یا به اختصار UAC را فعال کنید

اخیرا،از ویندوز ویستا به بعد UAC به یکی از مهمترین ابزار حفاظتی برای ویندوز و کاربرانی که در وب جستجو میکنن تبدیل شده است.متاسفانه تعداد زیادی از کاربران این ابزار امنیتی را به خاطر بوجود آوردن برخی از مشکلات عدم سازگاری نرم افزارها به پایین ترین حد امنیتی کاهش میدهدند که کاملا کار اشتباهی است. این درست است که ممکن است برخی از این مشکلات رفع شود ولی ممکن است در معرض آسیب هایی قرار بگیریم که ممکن است به سیستم ما آسیب برساند.و پیشنها میشود که ابزار را از کار نیندازید.

وب سایت توسینسو

9-نام مربوط به Local Administrator Account را تغییر دهید

زمانیکه شما نام Administrator Account را تغییر میدهید برخی از هکرهای مبتدی که دانش زیادی ندارند که به جوجه هکرها معروف هستند نمیتوانند سیستم شما را هک کنند که این امر درصد هک شدن شما را کاهش میدهد،البته این نکته رو هم باید ذکر کرد که هکرهایی که دانش بالایی دارن میتوانند یوزرهایی که دسترسی Admin دارند را از روی SID آنها تشخیص دهند.

وب سایت توسینسو

10-Guest Account را غیرفعال کنید

البته یوزرGuest بصورت پیشفرض در ویندوز غیر فعال است و بیان این موضوع صرفا برای این است که شما آن را فعال نکنید.

وب سایت توسینسو

نتیجه گیری

دوستان توجه داشته باشند هیچ شخصی با هیچ ابزاری نمیتوانند امنیت را به طور صد درصد تضمین کند اما ما همیشه امنیت را باید تا سطح قابل قبولی برسانیم تا کمتر مورد آسیب قرار بگیریم و این نکته رو هم اضافه کنم که هر کدام از مطالب بالا میتوانند به خودی خود یک مقاله جداگانه باشند اما صرفا بنده خواستم تا دوستان یکسری آشنایی های اولیه با این نکات داشته باشند.امیدورام مورد پسند دوستان قرار گرفته باشد و اگر نکات دیگری هست ذکر کنند تا همه ما آی تی پرویی ها از آن بهره ببریم.

با احترام

موفق باشید.

نویسنده : شهاب زیرکی جعفر پور

منبع : انجمن تخصصی فناوری اطلاعات ایران

هرگونه برداشت و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد


نظرات