نويسنده: برايان هيل منبع: آرس تكنيكا ترجمه: محمد ناصح

اشاره:
آخرين حمله به گوگل، مسائل امنيتي را به بزرگترين نگراني مديران IT تبديل كرده است. اما ايمنسازي يك شبكه مستلزم صرف زمان و هزينه بسيار زيادي است؛ بهگونهاي كه پيادهسازي مؤثرترين راهكارهاي امنيتي براي مشاغل كوچك و متوسط امكانپذير نيست. اطمينان يافتن از درستي خط مشي امنيتي مورد استفاده ميتواند شروع خوبي براي كارگاههاي ويندوز باشد. در اين مقاله نحوه ايجاد يك خطمشي گروهي را براي ايمنسازي AD (سرنام Active Directory) براساس كارآمدترين روشهاي فعلي بررسي ميشود. بهعلاوه اين خطمشي به گونهاي طراحي ميشود كه مشكلات عملياتي را به حداقل ممكن برساند.
پيش از شروع كار در نظر داشته باشيد كه در همه موارد ذكر شده درباره خط مشيهاي مختلف،گزينههاي ذكر شده همگي در مسير مشخصي درGroup Policy Editor قرار دارند. براي دسترسي به اين ابزار ابتدا كليد تركيبي Windows Key+ R را فشار دهيد و در كادر محاورهاي باز شده عبارت gpedit.msc را تايپ كرده وكليد Enter را فشار دهيد. سپس از سمت چپ اين پنجره به مسير Computer Configuration> Windos Settings>Security Settings برويد. همه گزينههايي كه در بخشهاي مختلف مقاله درباره آنها بحث شده است، در اين قسمت موجود هستند(شكل زير).

خطمشي رمز عبور
Account Policy > Password Policy
هنگام بحث درباره مسائل امنيتي، استفاده از رمزعبور نخستين گزينهاي است كه به ذهن هر فرد ميرسد، بنابراين، كار را از همين گزينه آغاز ميكنيم. در سيستمعامل ويندوز براي استفاده از رمز عبور، شش گزينه مختلف وجود دارد:
1- گزينه Minimum Password Age
2- گزينه Maximum Password Age
3- گزينه Minimum Password Length
4- گزينه Enforce Password History
5- گزينه Password Must Meet Complexity Requirement
6- گزينه Store Passwords Using Reversible Encryption
گزينه Maximum Password Age حداكثر زماني را كه كاربران در اختيار دارند تا اعتبار رمزعبورآنها به اتمام برسد، مشخص ميكند.
نكتهاي كه بايد درباره پايداري كلمهعبور به ياد داشته باشيد اين است كه بين سهولت يادآوري رمزعبور و مدت زمان افشاي آن نوعي موازنه وجود دارد. ايده اصلي تعيين مدت پايداري براي يك رمزعبور اين است كه درصورت كشف يك حساب، دسترسي به آن تنها براي مدت محدودي مقدور بوده و سوءاستفاده بلندمدت از اين نوع حسابها امكانپذير نباشد. اما اين رويكرد نيز جاي بحث دارد. بهعنوان مثال، اگر يك مهاجم به يك حساب مديريت نفوذ كند، در مدت كوتاهي ميتواند چندين حساب مديريتي ديگر ايجاد كند. با وجود اين، تعيين حداكثر پايداري رمزعبور در حسابهاي غير مديريتي تا حدي از افشاي اطلاعات جلوگيري ميكند و به همين دليل توصيه ميشود كه از يك بازه زماني 20 تا 45 روزه براي استفاده از يك رمزعبور بهره بگيريد. البته، فواصل زماني بيشتر نيز گاهي همان كارايي را دارند.
گزينه Minimum Password Age مدت زماني را تعيين ميكند كه يك كاربر پس از تغيير رمزعبور خود بايد منتظر بماند تا بتواند دوباره آن را تغيير دهد. بهعنوان مثال، اگر اين گزينه را براي هفت روز تنظيم كنيد، كاربري كه امروز رمزعبور خود را تغيير داده است بايد يك هفته منتظر بماند تا بتواند دوباره آن را تغيير دهد. هدف از بهكارگيري گزينه Minimum Password Age، اجراي درست تنظيمات Enforce Password History است. اين تنظيمات تعداد كلمات عبوري را مشخص ميكنند كه AD توانايي يادآوري و جلوگيري از بهكارگيري آنها توسط ساير كاربران را دارد.
بهعنوان مثال، اگر براي تنظيمات Enforce Password History مقدار ده را انتخاب كنيد، كاربر در هنگام تغيير رمزعبور خود نميتواند ده رمز عبوري را كه بهتازگي استفاده كرده است، دوباره بهكار بگيرد. البته، اگر تنظيمات Minimum Password Age فعال نشوند، كاربران ميتوانند رمزعبور خود را ده مرتبه تغيير دهند و بلافاصله نخستين رمزعبور را دوباره بهكار گيرند. بنابراين، اگر مايليد تنظيمات Enforce Password History را فعال كنيد،همواره بايد گزينه Minimum Password Age را نيز مقداردهي كنيد. توصيه ميكنيم، در اغلب محيطها هر دو گزينه مذكور را فعالكرده و تنظيمات Enforce Password History را بهگونهاي پيكربندي كنيد كه رمزهاي عبور يكسال را نگهداري كند (بهعنوان مثال، اگر ميزان دوام رمزعبور را براي سي روز تنظيم كردهايد، براي مقداردهي گزينه ...Minimum را از عدد دوازده استفاده كنيد).تنظيمات Minimum Password Length و Must Meet Complexity Requirements نيز عملكردي مشابه تنظيمات قبل دارند و فرآيند كشف رمزعبور را مشكلتر ميكنند.
بهواسطه افزايش حداقل طول رمزعبور (با استفاده از گزينه Minimum Password Length) كاربران بايد از رمزهايعبور طولانيتري استفاده كنند كه كشف آنها دشوارتر است. فعالسازي گزينه Must Meet Complexity Requirements كاربران را به انتخاب رمزهايعبور پيچيدهتر مجبور ميكند. واژه «پيچيده» به معناي وجود سه نوع از كاراكترهاي زير در رمزعبور است: حروف كوچك، حروف بزرگ، اعداد و نمادها.
با وجود اين كه اغلب توصيه ميشود تنظيمات مربوط به پيچيدگي رمزعبور را فعالكرده و از عبارتي داراي دستکم هشت كاراكتر استفاده كنيد، تحقيقات اخير نشان ميدهد، اين رويكرد درعمل به اندازهاي كه در تئوري به نظر ميرسد، كارايي ندارد. علت نيز ساده است: كاربران حافظه محدودي دارند.كاربران عادي هنگام انتخاب رمزعبور از عباراتي مانند Sally#15 يا P@s5word استفاده ميكنند كه در مقابل ابزارها و روشهاي كشف رمز امروزي (از جمله brute-force) كارايي لازم را ندارند.
خوشبختانه راهحل اين مشكل ساده است؛ تنظيمات مربوط به پيچيدگي را غيرفعال كرده و از رمزعبوري با دستکم چهارده كاراكتر استفاده كنيد(شكل زير). سپس براي پيچيدهترشدن رمزهايعبور چند ترفند ساده را به كاربران خود بياموزيد. پيش از هرچيز از آنها بخواهيد، از يك عبارت بهيادماندني و نامربوط بهعنوان رمزعبور استفاده كنند. عنوان كتابها، آهنگها، جملهاي از متن يك آواز يا يك بيت شعر گزينههاي خوبي محسوب ميشوند. با استفاده از اين روش ميتوان يك رمزعبور پيچيده و بهيادماندني ايجادكرد، سپس به كاربران خود بگوييد، در رمزهايعبور ويندوز ميتوانند از كاراكتر فاصله نيز استفاده كنند! بسيار عجيب است كه تعداد كمي از كاربران از اين واقعيت آگاهي دارند. در حالي كه بهواسطه استفاده از فاصله و نقطهگذاري (به معناي تايپكردن عبارت با استفاده از شيوه نگارش اختصاصي كاربر) بهسادگي ميتوان رمزهايعبور بسيار پيچيدهاي توليدكرد. به ياد داشته باشيد، هنگام استفاده از رويكردهاي مذكور همواره بايد شرايطي را فراهم كنيد كه كاربران نيازي به يادداشتكردن رمزعبور خود نداشته باشند. نخستين اقدام براي اين كار، آموزش درست است. البته، هيچ سطحي از آموزش نميتواند جايگزين يك خط مشي قدرتمند و سختگيرانه شود. از سوي ديگر، صرفنظر از شدت و ضعف رويكرد مورد استفاده (فرضاً پايداري رمزعبور به مدت 120 روز) تعدادي از كاربران همواره ناراضي هستند. تنها راهحل كامل براي ضعف امنيتي رمزعبور، استفاده از يك سيستم اعتبارسنجي دوجزئي (مانند كارتهاي هوشمند) است. حال نوبت به تنظيمات Store Passwords Using Reversible Encryption ميرسد.

اين تنظيمات براي سازگاري با پروتكل CHAP (سرنام Challenge Handshake Authentication Protocol) كارايي دارند و از آنجا كه تمام رمزهايعبور حوزه رادر يك فايل متني ذخيره ميكنند، هرگز نبايد فعال شوند.
خطمشي محدودسازي اكانت
Account Policies > Account Lockout Policy
اين بخش فقط سهنوع تنظيمات دارد:
- گزينه Account Lockout Duration
- گزينه Account Lockout Threshold
- گزينه Reset Lockout Counter After
تمام اين تنظيمات براي قفلكردن حسابها كاربرد دارند. يك حساب كاربري پس از چند تلاش پياپي و ناموفق براي ورود به حساب، قفل ميشود تا اشخاص غيرمجاز نتوانند به آن وارد شوند. هدف از قفلكردن حسابها مقابله با حملههاي انجامشده به شيوه Dictionay يا Brute force است. اين حملهها بهواسطه واردكردن تعداد زيادي رمزعبور تصادفي در يك بازه زماني كوتاه و بهمنظور ورود به حسابكاربري انجام ميگيرند. با قفلكردن يك حساب، اين حملهها بياثر ميشوند. گزينه Account Lockout Threshold تعداد تلاشهاي ناموفق را كه پيش از قفلشدن حساب امكان انجام آنها وجود دارد، مشخص ميكند. توصيه ميكنيم، هنگام استفاده از رمزهايعبور طولاني، اين گزينه را با عدد پنج مقداردهي كنيد(شكل زير).

گزينه Account Lockout Duration مدت زمان قفلشدن حساب را مشخص ميكند. توصيه ميكنيم، مقدار اين گزينه را نيز روي پنج دقيقه تنظيم كنيد. اين مدت زمان بهنسبت كوتاه براي خنثيكردن حملههايي كه با تكنيك Dictionarry انجام ميشوند، كافي است.
گزينه Reset Lockout Counter After مدت زماني را مشخص ميكند كه كاربر پس از واردكردن يك رمزعبور اشتباه بايد منتظر بماند تا بتواند رمزعبور جديدي را وارد کند. بهعنوان مثال، اگر اين گزينه را براي پنج دقيقه تنظيم كنيد و يك كاربر چهار مرتبه رمزعبور خود را اشتباه وارد كند، بعد از مدت پنج دقيقه و بدون قفلشدن حساب ميتواند چهار رمزعبور ديگر را نيز وارد كند. توصيه ميكنيم مدت زمان اين گزينه با گزينه Account Lockout Duration يكسان باشد.
خط مشي مميزي
Local Policies > Audit Policy
اين خط مشي موجب ردگيري رخدادها و ثبت آنها در گزارش Security و (در مواردي) گزارش System ميشود. پيش از انجام تنظيمات مربوط به اين خط مشي بايد مواردي را درباره مميزي درذهن داشته باشيد. نخست اينكه استفاده از رويكرد مميزي بدون بازخواني گزارشها بيفايده است. توصيه ميكنيم تنها درصورتي از خط مشي Audit استفاده كنيد كه بتوانيد زمان مناسبي را براي بازخواني گزارشها اختصاص دهيد. با وجود اين، بهمنظور گردآوري مستندات لازم براي اثبات نقض تعهدات قانوني، حتي اگر فرصت بازخواني مرتب گزارشها را نداريد، بهتر است از رويكرد مميزي استفاده كنيد. به اين ترتيب، در صورت نقض تعهدات، با استفاده از ابزارهاي مناسب و صرف زمان ميتوانيد گزارشها را ف_ * ل*_ ت ر كرده و اطلاعات مربوط به رخداد موردنظر را بيابيد. در چنين مواردي بايد گزارش مربوط به رخدادهاي مستقل را بهگونهاي پيكربندي كنيد كه دوره پايداري بسيار طولاني داشته باشند. از آنجا كه بايد اين اقدام را براي تمام سيستمهايي كه قصد مميزي آنها را داريد، به انجام برسانيد بهتر است گزارش رخدادها را با استفاده از قالب Event log ADM واقع در بخش تنظيمات Group Policy پيكربندي كنيد.
دوم اين كه، اغلب رويكردهاي مميزي تنها زماني به درستي عمل ميكنند كه ويژگي مميزي را روي هريك از مؤلفههاي مستقل سيستم فعال كرده باشيد. بهعنوان مثال، تنظيمات Audit Object Access مميزي اشياي سيستمفايلي را كنترل ميكند. اما فعالسازي اين تنظيمات به اجراي فرآيند مميزي منجر نميشود؛ بلكه تنها قابليت مميزي را براي فايلها فعال ميكند. هنگام اجراي فرآيند مميزي اين نكته را به ياد داشته باشيد كه بهمنظور بازبيني دسترسي به فايلها بايد تنظيمات مذكور را فعال كرده و همچنين در برگه تنظيمات امنيتي پيشرفته مربوط به هر فايل يا پوشه تنظيمات مربوط به مميزي را فعال كنيد.
خط مشي مميزي نه گزينه دارد:
1- گزينه Audit Account Logon Events
2- گزينه Audit Account Management
3- گزينه Audit Directory Service Access
4- گزينه Audit Logon Events
5- گزينه Audit Object Access
6- گزينه Audit Policy Change
7- گزينه Audit Privilege Use
8- گزينه Audit Process Tracking
9- گزينه Audit System Events
با وجود اين كه تمام گزينههاي مذكور هنگام اشكالزدايي كارايي دارند، حجم اطلاعات حاصل از فعالسازي اغلب آنها به اندازهاي زياد است كه نميتوان براي مدت طولاني آن را نگهداري كرد. به همين دليل، توصيه ميكنيم، تنها اطلاعات مربوط به گزينههاي Audit Object Access، Audit Policy Change و Audit System Events را بهطور مرتب نگهداري كنيد. همانطور كه پيش از اين گفته شد، گزينه Audit Object Access براي ردگيري دسترسي به فايلها و پوشههاي قالب NTFS كارايي دارد. توصيه ميكنيم فرآيند مميزي را براي ثبت دسترسي موفق و غيرموفق در حوزه پيكربنديكرده، سپس تنظيمات مربوط به دسترسي ناموفق را براي هريك از فايلها و پوشههاي مهم بهطور مستقل فعال كنيد. به اين ترتيب، ميتوانيد فهرست افرادي را كه قصد دسترسي غيرمجاز به اين فايلها و پوشهها را دارند، تهيه كنيد. بهعلاوه، از آنجا كه فرآيند مميزي را در تمام حوزه فعال كردهايد، هنگام اشكالزدايي ميتوانيد اين ويژگي را براي هريك از فايلها و پوشهها فعال كنيد تا كاربري كه محتواي فايلها و پوشهها را ويرايش ميكند، دقيقاً شناسايي شود.هنگام مميزي رخدادها همواره بايد دو گزينه Audit Policy Change و System Events فعال باشند. زيرا ممكن است يك مهاجم كه بهطور غيرمجاز وارد سيستم شده، بخواهد فرآيند مميزي را غيرفعال يا گزارش Security را پاك كند. غيرفعالكردن فرآيند مميزي نوعي تغيير خطمشي است. بنابراين درپايان كار دستکم يك گزارش مميزي در اختيار داريد كه كاربر تغييردهنده خطمشي سيستم را معرفي ميكند. پاككردن گزارش Security بهعنوان يك رخداد سيستمي طبقهبندي شده است و در گزارش رخدادهاي System ثبت ميشود. با وجود اين كه اقدامات فوق تضميني براي ثبت تمام وقايع نيستند (زيرا مهاجم ميتواند ابتدا فرآيند مميزي را غيرفعال كرده و سپس گزارشها را پاك كند و به اين ترتيب هيچ ردي از خود برجاي نگذارد)، اما شرايط دشوارتري را براي پاككردن آثار حمله به سيستم فراهم ميكنند.
گزينههاي امنيتي
Local Policies > Security Options
آخرين خطمشي، بزرگترين و متغيرترين رويكرد امنيتي است. گزينههاي امنيتي در واقع تنظيماتي هستند كه در هيچيك از خطمشيهاي پيشين طبقهبندي نميشوند. بررسي تمام گزينههاي موجود در اين بخش فرصت زيادي را ميطلبد، به همين دليل، بحث خود را روي مفيدترين گزينهها كه در اغلب محيطها كاربرد دارند، متمركز ميكنيم. اين گزينهها را در فهرست زير مشاهده ميكنيد. اجازه دهيد كار را از دو گزينه نخست آغاز كنيم. خطمشيگروهي، تنظيماتي را در اختيار كاربرميگذارد كه با استفاده از آن ميتوانيد دو حساب دروني Administrator و Guest را فعال و غيرفعال كرده و نام آنها را تغيير دهيد. با وجود اين كه بعضي از متخصصان توصيه ميكنند هردو حساب مذكور را (به دليل غيرفعالبودن حساب Guest بهطور پيشفرض و پايان يافتن شناسه SID مربوط به حساب كاربري Administrator با تركيب يكساني از ارقام) غيرفعال كنيد، ما به چند دليل اين توصيه را نميپذيريم؛ نخست اين كه حساب دروني Administrator تنها حسابي است كه نميتوان آن را قفل كرد. اگر اين حساب را غيرفعال كرده و گزينه Account Lockout را فعال كنيد، با خطر اجراي حملههاي DoS (سرنامDenial of Service) مواجه ميشويد. يك مهاجم ميتواند بهواسطه مسدود كردن دائمي تمام حسابهاي مديريتي (بهعنوان مثال توسط اسكريپتي كه با استفاده از يك رمزعبور اشتباه دائم براي ورود به سيستم تلاش ميكند) اين نوع حملهها را اجرا كند.
Please Login or Register to see this code
توصيه ما اين است كه نام حساب Administrator را با استفاده از يك عنوان نامربوط (بهعنوان مثال Jack Jones) تغييرداده و يك رمزعبور طولاني و پيچيده براي آن انتخاب كنيد كه در دسترس سايرين قرار ندارد. سپس حساب كاربري Guest را فعال كرده و مجوزهاي دسترسي آن را قفل كنيد. براي اين حساب نيز يك رمزعبور پيچيده و طولاني انتخاب كرده و نام آن را به Administrator تغيير دهيد. اين اقدامات فرصت مناسبي را فراهم ميكند تا بتوانيد مهاجم احتمالي را با استفاده از فرآيند مميزي شناسايي كنيد.
نكته ديگري كه بايد درنظر داشته باشيد، اين است كه خطمشيهاي مذكور مانند اغلب خطمشيهاي گروهي همواره اجرا ميشوند. بنابراين، اگر يك كاربر بخواهد نام حساب Administartor را تغيير دهد يا حساب Guest را فعال كند، اين حسابها به اندازه بازه زماني موردنياز براي تازهسازي خطمشي (كه بهطور پيشفرض 120 دقيقه است) قابل دسترسي نخواهند بود. حال نوبت به گزينه Shut down system immediately if unable to log security audits ميرسد. عملكرد اين گزينه دقيقاً بر نام آن منطبق است. در صورتي كه فضاي اختصاصي گزارش Security كاملاً اشغال شود (با فرض اين كه ويژگي ثبت دورهاي وقايع غيرفعال باشد)، اين گزينه سيستم را خاموش ميكند. بهطور كلي توصيه ميكنيم اين گزينه را غيرفعال باقي گذاريد، زيرا شرايط مناسبي را براي اجراي حملههاي DoS (عمدي يا غيرعمدي) فراهم ميكند. اگر در محيطي كار ميكنيد كه براساس قرارداد يا قانون، رعايت قواعد مميزي در آن ضروري است به ناچار بايد تنظيمات اخير را نيز فعال كنيد. پس از بررسي گزينههاي مذكور بايد به سراغ گزينههاي Logon با اين شرح برويم: Do not display last user name و Message text for users attempting to logon و Message title for users attempting to logon و Prompt user to change password before expiration.
عملكرد اين تنظيمات نيز از نام آنها مشخص است و فعالسازي تمام آنها ضروري است. عدم نمايش آخرين نام كاربري در صفحه ورود به سيستم، يكي از بهبودهاي جانبي امنيت سيستم است (زيرا نام حساب كاربري معمولاً اطلاعات خوبي را در اختيار مهاجم ميگذارد)، اما همين بهبود جزئي نيز مؤثر است. اگر لازم است مهاجمان سيستم را تحت پيگرد قانوني قرار دهيد، نمايش يك كادر پيغام بزرگ در صفحه ورود به سيستم و نمايش پيغامي مبني بر غيرقانونيبودن دسترسي غيرمجاز به آن كمك بزرگي محسوب ميشود. بهعلاوه، هنگام تعيين تاريخ انقضا براي رمزهايعبور، تشويق كاربران براي انتخاب رمزعبور جديد پيش از انقضاي رمزعبور قبلي، يك ضرورت است. هنگام بهكارگيري تنظيمات اخير، ترغيب كاربران براي تغيير رمزعبور پيش از انقضاي آن، بهويژه زماني كه در گوشيهاي موبايل از ويژگي ActiveSync استفاده ميكنند، تأثير بسياري بر افزايش امنيت سيستم دارد. بعضي از گوشيهاي موبايل مانند آيفون از قابليت تغيير رمزعبور مورد استفاده در يك دامنه پس از انقضاي آن پشتيباني نميكنند. در مقابل، هنگامي كه رمزعبور مورد استفاده كاربر منقضي ميشود، گوشي به دفعات زياد و در يك بازه زماني كوتاه براي ورود به سيستم اقدام كرده و درنتيجه حساب را قفل ميكند.
پيشنهاد ما اين است كه از تنظيمات اوليه كه همان چهارده روز است، براي گزينه Prompt user to change password before expiration در تنظيمات Logon استفاده كنيد. بازههاي زماني كوتاهتر زمان كافي را در اختيار كاربران نميگذارد و درصورت مسافرت يا رفتن آنها به تعطيلات رمزعبور منقضي ميشود. تنظيمات
Send unencrypted password to third-party SMB servers امكان ناديدهگرفتن درخواست كدگذاري و اجبار سيستم به ارسال رمزهايعبور در قالب يك فايل متني ساده را براي سرورهاي SMB متفرقه فراهم ميكند. توصيه ميكنيم همواره اين گزينه را غيرفعال كنيد، زيرا يك شكاف امنيتي بزرگ در سيستم ايجاد ميكند. اگر بخواهيد رمزهايعبور را در قالب فايلهاي متني ساده ارسال كنيد، ميزان پيچيدگي و طول آنها اهميتي نخواهد داشت. حتي در شرايطي كه با يك سرور متفرقه سروكار داريد و آن سرور از سيستماعتبارسنجي كدگذاري شده پشتيباني نميكند، بهتر است بهجاي فعالكردن گزينه مذكور، در صورت امكان سرور را بهروز كرده يا از سرور ديگري استفاده كنيد.
گروه بعدي تنظيمات، براي دسترسي به شبكه كاربرد دارند و شامل Do not allow anonymous enumeration of SAM accounts و Do not allow anonymous enumeration of SAM accounts and shares هستند. اين تنظيمات قابليت سيستم را براي ارسال درخواست ناشناس جهت دريافت فهرست حسابها و فايلهاي مشترك كنترل ميكند. اين تنظيمات در اصل براي سازگاري با سيستمهاي قديمي طراحي شدهاند و همواره بايد غيرفعال باشند.
حال نوبت به تنظيمات امنيتي شبكه ميرسد كه شامل LAN Manager authentication level ،Minimum Session security for NTLM SSP based (including secure RPC) clients و Minimum session security for NTLM SSP based (including secure RPC) servers هستند. گزينه LAN Manager authentication level كمترين نسخه برنامه مديريت LAN را كه براي صدور مجوز دسترسي به منابع در شرايط خاص مورداستفاده قرار گرفته است، مشخص ميكند. در اغلب شبكههايي كه از ويندوز 2000 يا سيستمهاي پيشرفتهتر با توپولوژي Single Forest استفاده ميكنند، ميتوان از پروتكل Kerberos بهعنوان يك راهحل جايگزين استفاده كرد. با وجود اين، در شرايط خاصي (مانند زماني كه پروتكل Kerberos توسط ديوار آتش مسدود ميشود) حتي در چنين سيستمهاي پيشرفتهاي نيز ميتوان از پروتكل NTLM استفاده كرد. از آنجا كه تمام نسخههاي برنامه Lan Manager (شامل آخرين نسخه پروتكل اخير با عنوان NTLM2) داراي نقاطضعف بزرگي هستند، تا حدممكن بايد از پروتكل Kerebros استفاده كنيد. به همين دلايل توصيه ميكنيم، براي گزينه LAN Manager authentication level تنها از تنظيمات SendNTLMv2 response only.Refuse LM and NTLM استفاده كنيد. در ويندوز 7 و ويندوز سرور 2008 همين تنظيمات به طور پيشفرض انتخاب شده است، اما در سيستمعاملهاي قديميتر بايد اين كار را دستي انجام دهيد. در مقابل، گزينه Minimum session security for NTLM SSP based client/server علاوه بر اينكه براي تحميل بهكارگيري پروتكل NTLMv2 كاربرد دارد، امكان تحميل فرآيند كدگذاري 128 بيتي را نيز فراهم ميكند. توصيه ما اين است كه استفاده از پروتكل NTLMv2 و فرآيند كدگذاري 128 بيتي را به هر دو طرف سيستم تحميل كنيد.
باز هم يادآوري ميكنيم، اين تنظيمات در ويندوز 7 و ويندوز سرور 2008 بهطور پيشفرض انتخاب شدهاند، اما در ساير سيستمعاملها چنين نيست. تنظيمات Shutdown: Clear virtual memory pagefile اطلاعات ذخيره شده در pagefile را هنگام خاموشكردن سيستم پاك ميكند. درباره فايل صفحهبندي اين نگراني وجود دارد كه ممكن است اطلاعات حساس (مانند اطلاعات كدگذاري شده) را بهصورت متن ساده در حافظه ذخيره كند و سپس اين اطلاعات به ديسك سيستم منتقل شوند.
از آنجا كه اين اطلاعات درون فايل صفحهبندي و روي ديسك سيستم ذخيره ميشوند، يك كاربر با استفاده از برنامههاي بازيابي اطلاعات ميتواند محتواي ديسك را مورد دسترسي قرار داده و اطلاعات كدگذاري شده را بازخواني كند. بهواسطه پاككردن فايل صفحهبندي اين خطر را كاهش ميدهيد. البته، اين اقدام امنيتي به قيمت كندشدن فرآيند خاموشكردن سيستم تمام ميشود (گاهي تأخير در انجام اين فرآيند كاملاً مشهود است). بهتر است تا زماني كه قابليتهاي امنيتي فيزيكي مناسبي در اختيار داريد، اين تنظيمات غيرفعال باقي بمانند.
گزينه User Account Control: Admin Approval Mode for the Built-in Administrator account آخرين گزينهاي است كه در اين مقاله موردبررسي قرار ميدهيم. اين گزينه در اصل دسترسي حساب Administrator به پيغامهاي بالاپر را در طول فرآيند اجراي اقداماتي كه نيازمند مجوز مدير سيستم هستند،
بررسي ميكند.
اين گزينه بهطور پيشفرض غيرفعال است! توصيه ميكنيم اين گزينه را فعال كنيد. با وجود اين كه پيغامهاي مذكور كمي آزاردهنده هستند، از ديدگاه امنيتي مزاياي بسياري براي مدير سيستم به همراه دارند. در اين مقاله اصول اوليه يك خطمشي امنيتي مناسب را براي اغلب محيطهاي كاري بررسي كرديم. بهواسطه پيادهسازي اين خطمشي و فعالسازي تنظيمات مناسب، بدون صرفهزينه اضافي ميتوانيد امنيت محيط كاري خود را به حد مطلوب ارتقا دهيد.
news.parseek.com