ايمن سازي ويندوز سرور 2003

[Farhad3614]

اگر تا به حال از ويندوز سرورNTيندوز سرور 2000استفاده كرده با شيد ، احتمالا متوجه شده ايد كه مايكرو سافت آنها را به صورت پيش فرض، غير ايمن طراحي كرده است . گرچه مايكروسافت و ساز و كارهاي امنيتي متعددي ايجاد كرده است ، اما نصب آنها به عهده كاربران است . اين در حالي است كه وقتي مايكرو سافت ويندوز 2003 را انتشارداد ، با اين كار ، فلسفه جديد اين است كه بايد به صورت پيش فرض ايمن باشد. به باشيد كلي اين ايده بسيار خوبي است ، اما مايكروسافت نتوانيد آن را به طور كامل پياده كند . با آن كه سرور بايد به طور كامل پياده كند . با آن كه ويندوز 2003 را انتشار داد ، با اين كار ، فلسفه خود را تغيير داد .

فلسفه جديد اين است كه سرور با يد به صورت پيش فرض ايمن باشد. به طور كلي اين ايده بسيار خوبي است ، اما مايكروسافت نتوانست آن را به طور كامل پياده كند . با آن كه ويندوز 2003 بدون شك ايمن تر از ويندوز NTيا ويندوز2000است ، اما هنوز هم نقصاني در آن ديده مي شود . در اينجا ما اعمال ساده اي را كه شما مي توانيد براي ايمن تر كردن ويندوز سرور 2003 انجام دهيد شرح مي دهيم .

نقش خود را بدانيد
شناخت نقش سروردر روند ايمن سازي بسيار حياتي است. نقش هاي متعددي وجود دارد كه ويندوز سرور ممكن است بر عهده داشته با شد .
براي مثال سرور ممكن است بر عهده داشته باشد . براي مثال ويندوز سرور 2003 ميتوانيد در نقش يك كنترل كننده دامنه ( domin Contoller ) ، يك سرور عضو ( member server )، سرور پايه( )سرور فايل ( )، سرور پرينت ( ) ، سرور پايانه ( ) و يا حالت هاي متعدد ديگر عمل كند. يك سرور همچنين مي تواند تركيبي از اين نقش ها را به عهده داشته باشد.
مشكل اينجاست كه سرئر در هر كدام از اين نقش ها ، نيازهاي امنيتي خاص خودش رادارد . براي مثال ، اگر قرار است كه سرور شما در نقش يك سرو ر IISكار كند ، شما بايد سرويس ها ي IISرا فعال كنيد، در حالي كه اگر سرور قرار است فقط به عنوان يك سرور فايل و پرينت كار كند، فعال كردن IISريسك امنيتي بزرگي خواهد بود. اين موضوع رابد ين د ليل مطرح كرد م كه بدانيد روش خاصي وجود ندارد كه بتوانيد در هر شرايطي آن را دنبال كرده و انتظار نتيجه از آن داشته باشيد . نيازهاي امنيتي يك سرور با توجه به نقش سرور و محيط سرور ( server`s environment ) تفاوت هاي بسياري دارند . از آنجا كه روشهاي متعددي براي ايمن سازي يك سرور وجود دارد ، من فقط موارد ضروري و اساسي را براي فعال كردن يك سرور فايل ساده و در عين حال ايمن ، شرح خواهم داد . سعي خواهم كرد مواردي را مشخص كنم كه وقتي سرور در نقش هاي مختلف كار ، شما بايد به طور متفاوت انجام دهيد اما حتما به اين نكته توجه داشته باشيد كه ااين اعامال در حكم يك راهنماي عمومي براي ايمن سازي همه انواع سرور نيست.

امنيت فيزيكي
براي رسيدن به امنيت واقعي سرور شما بايد در مكان امني قرار گيرد معمولا" اين به معني قرار دادن سرور پشت درهاي بسته است امنيت فيزيكي بسيار همه ماست زيرا بسياري از بازارهاي مديريتي مي‌تواند به عنوان ابزار هك كننده به كارگرفته شود هر شخصي با حداقل مهارت و با استفاده از چنين ابزارهايي در صورت يكه دسترسي فيزيكي به ماشين داشته باشد مي‌تواند يك سرور را در عرض چند دقيقه هك كند تنها راه گلوگيري از چنين حمله‌هايي قراردادن سرور در يك محجيط امن است. اين در مورد هر سرور ويندوز 2003 صرف نظر از نقش ان، صادق است.


ايجاد يك ليست پايه (baseline)
در كنار امنيت فيزيكيك خوب، توصيه مهم بعدي من اين است كه قبل ز استفاده از يك سرور ويندوز 2003 نيازهاي امنيتي خود را مشخص كنيد و به محض به كارگرفتن سرور مومارد مربوطه در خصوص امنيت و سياست هاي مبتني ب ر آنها را نيرز فعال كنيد.
بهترين روش در اين زمينه ايجاد يك ليست پايه امنيتي است اين ليست شامل مدارك و تنظيمات مورد قبول امنيتي است در اكثر شرايط تنظيمايت ليست پايه شما بر اساس نقش سرور كاملا" فرق خواهد داشت.
بنابر اين بهترين كار، ايجاد تعدادي ليست‌هاي پايه متفاوت است كه بتوانيد آنها را براي انواع مختلف سرور به كابر ببريد. براي مثال، ممكن است شما يك يست پايه براي سرورهاي فايل، يك ليست پايه براي كنترل كننده‌هاي دامنه و ليست ديگري براي سرورهاي IIS داشته باشيد.

ويندوز2003 از ابزاري برخوردار است كه محدوده امنيتي و ابزار تحليل ( And Analysis Tool Security Configuration ) ناميده مي شود . اين ابزار به شما اجازه مي دهد كه خط مشي امنيتي جاري سرور را با خط مشي امنيتي ليست پايه كه درون يك فايل الگو قرار دارد ، مقايسه كنيد . شما مي توانيد اين فايل هاي الگو را خودتان ايجاد كنيد يا اينكه از يكي از انواع آماده آنها استفاده كنيد . الگو هاي امنيتي يك رشته متن براساس فايل هاي INF هستيد كه در فولدرSECU %SYSTEMROOT% RITY TEMPLATES ذخيره شده اند . ساده ترين روش برا آزمايش و تغيير الگو هاي شخصي ، از طريق كنسول مديريت مايكر سافت ( Console MMC Microsoft Management ) است . براي باز كردن كنسول ، دستور MMCرا در خط دستور Run وارد كنيد . وقتي كه كنسول خالي بالا مي آيد ، دستور Add Remove Snap-in را نمايش دهد . كليد Add را كليد كنيد ،‌ ليستي از تمام كنسول هاي Snap-in موجود را خواهيد ديد . الگو هاي امنيتي Snap-in را از ليست انتخاب كنيد و سپس كليد هاي Add ، Close و OKرا كليد كنيد.

زماني كه الگو هاي امنيتي Snap-in بالا آمد ، مي توانيد هر كدام از الگو ها را مشخص كنيد . به هنگام مرور درخت كنسول ، خواهيد ديد كه هر الگويي از خط مشي گروه خود تقليد مي كند و نام هر الگو ، اهداف آن الگو را منعكس مي كند . براي مثال ، HISECDC، يك الگو با امنيت بالا براي كنترل كننده هاي دامنه ( security domain Controller high) است اگر قصد ايمن سازي يك سرور فايل را داريد ، من استفاده از الگو ي SECUREWS را به شما توصي همي كنم . با دقت در نوع تنظيمات اين الگو شايد متو جه شويد كه اين الگو با وجود ايمن تر كردن سرور نسبت به قبل ، ممكن است جوابگوي نياز هاي شما نبا شد . تنظيمات امنيتي خاص ممكن است بيش از حد سخگيرا نه يا اغماضگرا نه با شد . من تو صيه مي كنم كه يا با تغييرات جزيي در نوع تنظيمات مو جود ، آنها را با نيازهايتان متناسب كنيد و يا خط مشي هاي جديدي ايجاد كنيد . شما مي توانيد به آساني با كليك راست روي فولد ر C: WINDOWS Security Template، داخل كنسول و انتخاب دستور Template New شده و از منوي ايجاد شده يك الگو ( template) جديد ايجاد كنيد .
وقتي شما يك الگو يامنيتي را مطابق با نياز خود ايجاد كرديد ، به گزينه Add Remove در صفحه Snap-in properties ، يك S nap-in به نام Security Configuration And Analysis را اضافه كنيد . زماني كه Snap-in بالا مي آ يد ، روي Security Configuration كليك راست كنيد وسپس دستور Open Database را از منو انتخاب كنيد . Open را كليد كنيد ، آ نگاه ديتابيس لازم ، با نامي كه شما برايش در نظر گرفته بو ديد ، ايجاد مي شود.

سپس ، روي Security Configuration And Analysis كليد راست كنيد و دستور Template Import را از منوي ميانبر انتخاب كنيد. آنگاه ليستي از كليه الگوهاي موجود را خواهيد ديد . الگويي كه تنظيمات امنيتي شما را در بر مي گيرد ،‌انتخاب كنيد و سپس Open را كليد كنيد . پس از آنكه الگوي شما وارد شد ، دوباره روي Security Configuration And Analysis كليك راست كرده ودستور Analyze Computer Now را از منوي ميانبر انتخاب كنيد . ويندوز مكاني براي نوشتن گزارش خطا ( error log )در اختيار شما قرار مي دهد . مسير فايل را وارد كرده و OK را كليك مي كنيم . در اين مرحله ،‌ويندوز تنظيمات امنيتي موجود در سرور شما را با فايل الگو مقايسه مي كند . شما مي توانيد نتايج اين مقايسه را با مرور در كنسول Security Configuration And Analysis مشاهده كنيد . تنظيمات خط مشي هر گروهي ، هم تنظيمات جاري و هم تنظيمات الگو زا نمايش مي دهد . وقتي كه به اين ليست دست پيدا كنيد، يعني ان كه زمان اجراي خط مشي امنيتي مبتني بر الگو فرا رسيده است . به همين منظور ، براي آخرين بار روي Security Configure And Analysis كليك راست كنيد و دستور Configure Computer Now را از منوي ميانبر انتخاب كنيد . آنگاه اين ابزار خط مشي امنيتي كامپيوتر شما را براي هماهنگ شدن با خط مشي الگو تغيير مي دهد . خط مشي هاي گروهي از يك خصلت موروثي بر خوردارند.
يك خط مشي گروهي ممكن است در سطح كامپيوتر محلي ، سايت ، دامنه يا در سطح OU به كار رود . وقتي كه شما يك سرويس امنيتي مبتني بر الگو را نصب مي كنيد ، در حقيقت در اين سطوح كاربردي تغيير ايجاد مي كنيد . ساير خط مشي هاي گروهي نيز به طور مستقيم تحت تاثير قرار نمي گيرند ، گر چه خط مشي هاي نهايي ممكن است باعث تغييري در تنظيمات نوعي خط مشي شود كه از سطوح بالاتر به به ارث برده شده .

تغيير دادن اعتبارهاي داخلي
سالها مايكرو سافت به شما توصيه كرده است كه نام كاربر مدير ا( Administrator account ) را تغيير دهيد و قابليت ايجاد كاربر ميهمان ( Quest account ) را غير فعال كنيد تا به وضعيت امنيتي خوبي دست يابيد. در ويندوز سرور 2003، به صورت پيش فرض ، قابليت ايجاد كاربر مهمان غير فعال شده است ، اما وظيفه تغيير نام مدير سيستم همچنان بر عهده شما است . اين تغيير نام ، ايده خوبي است زيرا هكر ها و مهاجمان معمولي سعي مي كنند تا به ( Administrator account ) آسيب بر سانند . تعداد زيادي از ابزارهاي هك وجود دارد كه نام اصلي Administrator account را از طريق امتحان S I D پيدا مي كنيد ،‌متاسفانه ، شما نمي توانيد اين account را تغيير دهيد و به همين دليل راهي براي جلوگيري از دستيابي چنين ابزارهايي به نام اصلي Administrator account و تغيير توضيحات اين account را به همه توصيه مي كنم و براي اين كار دو دليل دارم .
اول اينكه ; بسياري ار هكرهاي تازه كار يا غير حرفه اي ممكن است از وجود چنين ابزارهايي اطلاع نداشته باشند و دوم آنكه ،‌تغيير نام Administrator account به يك نام خاص ،‌امكان رديابي و كنترل حملات روي اين account را براي شما فراهم مي كند .
نكته ديگر مربوط به سرورهاي عضو است. سرورهاي عضو هر كدامAdministrator account داخلي خاص خود را دارند كه كاملا با Administrator account دامنه فرق دارد . شما مي توانيد سيستمي ايجاد كنيد كه سرور عضو براي خود از يك نام Administrator account و كلمه عبور جداگانه استفاده كنند . هدف اين است كه اگر افرادي نام Administrator account و كلمه عبور يك سرور عضو را پيدا كردند ،‌ نتوانند از طريق اين اطلا عات بقيه سرور ها را هك كنند. البته ؛ اگر شما وضعيت امنيتي فيزيكي خوبي د ر محل داشته با شيد ،‌طبيعي است از آنجا كه كسي نمي تواند به هيچ سروري دسترسي پيدا كند ،‌نخواهد توانست account محلي آن را هم پيدا كند.