آموزش 31 روش امن کردن ویندوز XP در شبکه های سازمانی قسمت 3 (نسخه چاپی)

26- فعال کردن قابلیت Auditing یا بازرسی : این قابلیت را معمولا بر روی سرور ها فعال می کنند ( هر چند که فقط فعال می کنند و هیچگونه نظارتی نمی کنند ) ، اما در مواقعی خاص نیز شما مجبور هستید که این قابلیت را بر روی Workstation ها نیز فعال کنید ، مخصوصا زمانی که دزدی اطلاعات رخ می دهد . فلسفه انجام عملیات بازرسی یا Audit خیلی ساده است ، شما تا زمانی که سقف منزلتان تخریب نشده است نخواهید فهمید که نم داشته است یا دچار مشکل بوده است ، اما اگر بازدید های مرتب و ماهیانه از ساختمان داشته باشید نقاط ضعف و سست آنرا بخوبی شناسایی می کند و راهکار مقابله با آنرا نیز اجرا خواهید کرد . در شبکه هم همینوطر است شما با مرور و بازرسی لاگ های سیستمی می توانید از وجود فعالیت های غیر عادی در شبکه مطلع شده و در صدد مقابله با آن بر آیید . برای فعال کردن این قابلیت پیشنهاد می شود که موارد زیر را به ترتیب فعال کنید :

Account logon events >>>>> Success, failure
Account management >>>>> Success, failure
Logon events >>>>>>>>>> Success, failure
Object access >>>>>>>>>> Success
Policy change >>>>>>>>>> Success, failure
Privilege use >>>>>>>>>> Success, failure
System events >>>>>>>>>> Success, failure

منظور از Success و Failure این است که چه نوع فعالیتی می بایست لاگ برداری شود و در حقیقت سطح لاگ برداری را تعیین می کند ، در قسمت اول نیز رویدادی را که می خواهیم لاگ برداری شود را انتخاب کرده ایم .

27- غیر فعال کردن اشتراک های پیشفرض سیستم : در ویندوز XP و 2003 مایکروسافت کلیه درایو ها را بصورت مخفی برای انجام تنظیمات مدیریتی تحت شبکه به اشتراک گذاشته است ، این قابلیت هم می تواند مفیر باشد و هم مضر باشد . اینگونه اشتراک ها را می توان با استفاده از کنسول Computer Management غیر فعال کرد ، اما به محض restart شدن به حالت اولیه باز خواهند گشت . اشتراک های پیشفرض سیستم ویندوز به شرح زیر هستند :

  • C$ و D$ و E$ و ... : ریشه هر پارتیشن هستند . در ویندوز XP کاربران عضو گروه Administrators و Backup Operators می توانند به اینها دسترسی داشته باشند.
  • $ADMIN یا %SYSTEMROOT است ، در حقیقت پارتیشنی است که در آن ویندوز شما نصب شده است ، مدیران هنگامی که بصورت ریموت به سیستم ها متصل می شوند از این اشتراک استفاده می کنند .
  • $IPC : این پوشه به هنگام مدیریت از راه دور کامپیوتر استفاده می شود و اصلی ترین پوشه پیشفرض اشتراکی می باشد .
  • NetLogon : این اشتراک توسط سرویس NetLogon برای پردازش درخواست های کاربران شبکه برای ورود به سیستم مورد استفاده قرار می گیرد .
  • $PRINT : برای مدیریت از راه دور پرینتر های استفاده می شود .

برای غیر فعال کردن این اشتراک های پیشفرض شما باید از طریق زیر عمل کنید :

  • از طریق منوی استارت Run را انتخاب کرده و در آن Regedit را وارد کرده و اینتر را بزنید.
  • به مسیر مقابل بروید : HKeyLocal Machine\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters
  • یک مقدار DWORD با نام AutoShareWks ایجاد کرده و پارامتر آن را مقدار 0 قرار دهید.

نکته : اینکار اشتراک IPC$ را غیر فعال نمی کند. پس از انجام اینکار حتما فعالیت های نرم افزار های خود را تست کنید که مشکلی بوجود نیامده باشد . برخی از سرویس های ویندوز به این اشتراک ها وابسته هستند و همچنین برخی از نرم افزارهای third party به وجود این اشتراک ها نیاز دارند . شما میتوانید بصورت دستی اشتراک ها را به حالت قبلی خود در بیاورید .

28-غیر فعال کردن ایجاد شدن Dump File : فایل دامپ یا Dump File در حقیقا فایلی است که از فرآیند های سیستم لاگ برداری می کند و در برطرف سازی مشکلات سیستمی که معرفترین آنها مشکل صفحه آبی یا Blue Screen هستند استفاده می شود . اما همین فایل می تواند اطلاعات ارزشمندی مانند رمز عبور سیست مرا در اختیار یک هکر قرار دهد . شما با رفتن به مسیر Control Panel > System > Advanced > Startup and Recovery و غیر فعال کردن گزینه Write debugging Information به حالت None میتوانید از این ریسک هم عبور کنید .

29-غیر فعال کردن Auto run از سی دی رام : یکی از آسانترین روش هایی که یک هکر می تواند یک کد مخرب را در شیکه یا یک سیستم پخش کند ، رایت کد مخرب بر روی سی دی و پخش کردن آن در مجموعه بوسیله Auto run سیستم است . هکر براحتی با استفاده از این قابلیت کد مخرب خود را طوری برنامه ریزی خواهد کرد که به محض ورود و اجرا توسط کاربر اطلاعاتی که در مورد سیستم نیاز دارد را ذخیره و برای هکر ارسال کند و حتی دیگر لازم نیست که به سیستم کاربر نزدیک شود . سی ارسالی ممکن است حاوی موسیقی یا نرم افزارهای بازی جذاب باشد که ضمن وجود کد مخرب بازی را نیز در اختیار کاربر قرار می دهد تا ا سادگی کاربر سوء استفاده کند . شما از طریق سیر زیر می توانید این قابلیت سیستم را غیر فعال کنید :

Start >
Run >
GPEDIT.MSC >
Computer Configuration > 
Administrative Templates >
System > 
Turn autoplay off

30- استفاده از کارت های هوشمند یا سیستم های بایومتریک به جای رمز عبور : هر چقدر هم که Password Policy قویتری داشته باشید باز هم مشاهده خواهید کرد که کاربران رمزهای عبورشان را بر روی مانیتور و کیبورد و در و دیوار یاد داشت می کنند تا آنرا فراموش نکنند . برای پیشگیری و یا ارائه راهکار بهتر است از تجهزیات کارت هوشمند با بایومتریک استفاده کنید که کاربر به جای رمز عبور از آنها استفاده کند . همیشه در نظر داشته باشید که کاربر ممکن است که کارت هوشمند خود را رمز عبور خود را فراموش کرده یا آنرا گم کند اما حتما دست و انگشت و چشم خود را همراه خود به محل کار می آورد !!!!

31-استفاده از پروتکی ایمن IPSec : پروتکل امنیتی IPSec یک پروتکل امنیتی است که اطلاعاتی که تحت شبکه منتقل می شوند ار رمزنگاری کرده و از شنود اطلاعات در حین انتقال جلوگیری می کند . در مقاله ای جداگانه به آموزش راه اندازی IPSec در شبکه خواهیم پرداخت . ITPRO باشید

نویسنده : محمد نصیری

منبع : جزیره امنیت اطلاعات و ارتباطات وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد

مطلب اصلی