حصاري‌ گرداگرد وينـدوز

در این بخش می‌توانید در رابطه با امنيت و کلیه مباحث مربوط به آن بحث و تبادل نظر نمایید

مدیران انجمن: SHAHRAM, شوراي نظارت

ارسال پست
Captain I
Captain I
نمایه کاربر
پست: 433
تاریخ عضویت: یک‌شنبه ۱۲ اردیبهشت ۱۳۸۹, ۱:۴۸ ب.ظ
سپاس‌های ارسالی: 733 بار
سپاس‌های دریافتی: 1344 بار

حصاري‌ گرداگرد وينـدوز

پست توسط abbas.m.k »

ايجاد يك خط‌مشي امنيتي براي مديريت حساب‌هاي كاربري و رمز‌هاي عبور در ويندوز

نويسنده: برايان‌ هيل منبع: آرس تكنيكا ترجمه: محمد ناصح تصویر

اشاره:

آخرين حمله به گوگل، ‌مسائل امنيتي را به بزرگ‌ترين نگراني مديران IT تبديل كرده است. اما ايمن‌سازي يك شبكه مستلزم صرف زمان و هزينه بسيار زيادي است؛ به‌گونه‌اي كه پياده‌سازي مؤثرترين راهكارهاي امنيتي براي مشاغل كوچك و متوسط امكان‌پذير نيست. اطمينان يافتن از درستي خط مشي امنيتي مورد استفاده مي‌تواند شروع خوبي براي كارگاه‌هاي ويندوز باشد. در اين مقاله نحوه ايجاد يك خط‌مشي گروهي را براي ايمن‌سازي AD (سرنام Active Directory) براساس كارآمدترين روش‌هاي فعلي بررسي مي‌شود. به‌علاوه اين خط‌مشي به گونه‌اي طراحي مي‌شود كه مشكلات عملياتي را به حداقل ممكن برساند.



پيش از شروع كار در نظر داشته باشيد كه در همه موارد ذكر شده درباره خط مشي‌هاي مختلف،‌گزينه‌هاي ذكر شده همگي در مسير مشخصي د‌رGroup Policy Editor قرار دارند. براي دسترسي به اين ابزار ابتدا كليد تركيبي Windows Key+ R را فشار دهيد و در كادر محاوره‌اي باز شده عبارت gpedit.msc را تايپ كرده وكليد Enter را فشار دهيد. سپس از سمت چپ اين پنجره به مسير Computer Configuration> Windos Settings>Security Settings برويد. همه گزينه‌هايي كه در بخش‌هاي مختلف مقاله درباره آن‌ها بحث شده است،‌ در اين قسمت موجود هستند(شكل زير).
 تصویر 

خط‌مشي رمز عبور
Account Policy > Password Policy
هنگام بحث درباره مسائل امنيتي، استفاده از رمزعبور نخستين گزينه‌اي است كه به ذهن هر فرد مي‌رسد، بنابراين، كار را از همين گزينه آغاز مي‌كنيم. در سيستم‌عامل ويندوز براي استفاده از رمز عبور، شش گزينه مختلف وجود دارد:
1- گزينه Minimum Password Age
2- گزينه Maximum Password Age
3- گزينه Minimum Password Length
4- گزينه Enforce Password History
5- گزينه Password Must Meet Complexity Requirement
6- گزينه Store Passwords Using Reversible Encryption
گزينه Maximum Password Age حداكثر زماني را كه كاربران در اختيار دارند تا اعتبار رمزعبورآن‌ها به اتمام برسد، مشخص مي‌كند.


نكته‌اي كه بايد درباره پايداري كلمه‌عبور به ياد داشته باشيد اين است كه بين سهولت يادآوري رمزعبور و مدت زمان افشاي آن نوعي موازنه وجود دارد. ايده اصلي تعيين مدت پايداري براي يك رمزعبور اين است كه درصورت كشف يك حساب، دسترسي به آن تنها براي مدت محدودي مقدور بوده و سوءاستفاده بلندمدت از اين نوع حساب‌ها امكان‌پذير نباشد. اما اين رويكرد نيز جاي بحث دارد. به‌عنوان مثال، اگر يك مهاجم به يك حساب مديريت نفوذ كند، در مدت كوتاهي مي‌تواند چندين حساب مديريتي ديگر ايجاد كند. با وجود اين، تعيين حداكثر پايداري رمزعبور در حساب‌هاي غير مديريتي تا حدي از افشاي اطلاعات جلوگيري مي‌كند و به همين دليل توصيه مي‌شود كه از يك بازه زماني 20 تا 45 روزه براي استفاده از يك رمزعبور بهره بگيريد. البته، فواصل زماني بيشتر نيز گاهي همان كارايي را دارند.


گزينه Minimum Password Age مدت زماني را تعيين مي‌كند كه يك كاربر پس از تغيير رمزعبور خود بايد منتظر بماند تا بتواند دوباره آن را تغيير دهد. به‌عنوان مثال، اگر اين گزينه را براي هفت روز تنظيم كنيد، كاربري كه امروز رمزعبور خود را تغيير داده است بايد يك هفته منتظر بماند تا بتواند دوباره آن را تغيير دهد. هدف از به‌كارگيري گزينه Minimum Password Age، اجراي درست تنظيمات Enforce Password History است. اين تنظيمات تعداد كلمات عبوري را مشخص مي‌كنند كه AD توانايي يادآوري و جلوگيري از به‌كارگيري آن‌ها توسط ساير كاربران را دارد.


به‌عنوان مثال، اگر براي تنظيمات Enforce Password History مقدار ده را انتخاب كنيد،‌ كاربر در هنگام تغيير رمزعبور خود نمي‌تواند ده رمز عبوري را كه به‌تازگي استفاده كرده است، دوباره به‌كار بگيرد. البته، اگر تنظيمات Minimum Password Age فعال نشوند،‌ كاربران مي‌توانند رمزعبور خود را ده مرتبه تغيير دهند و بلافاصله نخستين رمزعبور را دوباره به‌كار گيرند. بنابراين، اگر مايليد تنظيمات Enforce Password History‌ را فعال كنيد،‌همواره بايد گزينه Minimum Password Age را نيز مقداردهي كنيد. توصيه مي‌كنيم، در اغلب محيط‌ها هر دو گزينه مذكور را فعال‌كرده و تنظيمات Enforce Password History را به‌گونه‌اي پيكربندي كنيد كه رمز‌هاي عبور يك‌سال را نگه‌داري كند (به‌عنوان مثال، اگر ميزان دوام رمزعبور را براي سي روز تنظيم كرده‌ايد، براي مقداردهي گزينه ...Minimum را از عدد دوازده استفاده كنيد).تنظيمات Minimum Password Length و Must Meet Complexity Requirements نيز عملكردي مشابه تنظيمات قبل دارند و فرآيند كشف رمزعبور را مشكل‌تر مي‌كنند.


به‌واسطه افزايش حداقل طول رمزعبور (با استفاده از گزينه Minimum Password Length) كاربران بايد از رمز‌هاي‌عبور طولاني‌تري استفاده كنند كه كشف آن‌ها دشوارتر است. فعال‌سازي گزينه Must Meet Complexity Requirements كاربران را به انتخاب رمز‌هاي‌عبور پيچيده‌تر مجبور مي‌كند. واژه «پيچيده» به معناي وجود سه نوع از كاراكترهاي زير در رمزعبور است: حروف كوچك، حروف بزرگ، اعداد و نمادها.


با وجود اين كه اغلب توصيه مي‌شود تنظيمات مربوط به پيچيدگي رمزعبور را فعال‌كرده و از عبارتي داراي دست‌کم هشت كاراكتر استفاده كنيد، تحقيقات اخير نشان مي‌دهد، اين رويكرد درعمل به اندازه‌اي كه در تئوري به نظر مي‌رسد، كارايي ندارد. علت نيز ساده است: كاربران حافظه محدودي دارند.كاربران عادي هنگام انتخاب رمزعبور از عباراتي مانند Sally#15 يا P@s5word استفاده مي‌كنند كه در مقابل ابزارها و روش‌هاي كشف رمز امروزي (از جمله brute-force) كارايي لازم را ندارند.


خوشبختانه راه‌حل اين مشكل ساده است؛ تنظيمات مربوط به پيچيدگي را غيرفعال كرده و از رمز‌عبوري با دست‌کم چهارده كاراكتر استفاده كنيد(شكل زير). سپس براي پيچيده‌ترشدن رمز‌هاي‌عبور چند ترفند ساده را به كاربران خود بياموزيد. پيش از هرچيز از آن‌ها بخواهيد، از يك عبارت به‌يادماندني و نامربوط به‌عنوان رمزعبور استفاده كنند. عنوان كتاب‌ها، آهنگ‌ها، جمله‌اي از متن يك آواز يا يك بيت شعر گزينه‌هاي خوبي محسوب مي‌شوند. با استفاده از اين روش مي‌توان يك رمزعبور پيچيده و به‌يادماندني ايجادكرد، سپس به كاربران خود بگوييد، در رمز‌هاي‌عبور ويندوز مي‌توانند از كاراكتر فاصله نيز استفاده كنند! بسيار عجيب است كه تعداد كمي از كاربران از اين واقعيت آگاهي دارند. در حالي كه به‌واسطه استفاده از فاصله و نقطه‌گذاري (به معناي تايپ‌كردن عبارت با استفاده از شيوه نگارش اختصاصي كاربر) به‌سادگي مي‌توان رمز‌هاي‌عبور بسيار پيچيده‌اي توليدكرد. به ياد داشته باشيد، هنگام استفاده از رويكردهاي مذكور همواره بايد شرايطي را فراهم كنيد كه كاربران نيازي به يادداشت‌كردن رمزعبور خود نداشته باشند. نخستين اقدام براي اين كار، آموزش درست است. البته، هيچ سطحي از آموزش نمي‌تواند جايگزين يك خط مشي قدرتمند و سخت‌گيرانه شود. از سوي ديگر، صرف‌نظر از شدت و ضعف رويكرد مورد استفاده (فرضاً پايداري رمزعبور به مدت 120 روز) تعدادي از كاربران همواره ناراضي هستند. تنها راه‌حل كامل براي ضعف امنيتي رمز‌عبور، استفاده از يك سيستم اعتبارسنجي دوجزئي (مانند كارت‌هاي هوشمند) است. حال نوبت به تنظيمات Store Passwords Using Reversible Encryption مي‌رسد.

 تصویر 

اين تنظيمات براي سازگاري با پروتكل CHAP (سرنام Challenge Handshake Authentication Protocol) كارايي دارند و از آن‌جا كه تمام رمز‌هاي‌عبور حوزه رادر يك فايل متني ذخيره مي‌كنند، هرگز نبايد فعال شوند.


خط‌مشي محدود‌سازي اكانت
Account Policies > Account Lockout Policy
اين بخش فقط سه‌نوع تنظيمات دارد:
- گزينه Account Lockout Duration
- گزينه Account Lockout Threshold
- گزينه Reset Lockout Counter After


تمام اين تنظيمات براي قفل‌كردن حساب‌ها كاربرد دارند. يك حساب كاربري پس از چند تلاش پياپي و ناموفق براي ورود به حساب، قفل مي‌شود تا اشخاص غيرمجاز نتوانند به آن وارد شوند. هدف از قفل‌كردن حساب‌ها مقابله با حمله‌هاي انجام‌شده به شيوه Dictionay يا Brute force است. اين حمله‌ها به‌واسطه واردكردن تعداد زيادي رمزعبور تصادفي در يك بازه زماني كوتاه و به‌منظور ورود به حساب‌كاربري انجام مي‌گيرند. با قفل‌كردن يك حساب، اين حمله‌ها بي‌اثر مي‌شوند. گزينه Account Lockout Threshold تعداد تلاش‌هاي ناموفق را كه پيش از قفل‌شدن حساب امكان انجام آن‌ها وجود دارد، مشخص مي‌كند. توصيه مي‌كنيم، هنگام استفاده از رمزهاي‌عبور طولاني، اين گزينه را با عدد پنج مقداردهي كنيد(شكل زير).


 تصویر 

گزينه Account Lockout Duration مدت زمان قفل‌شدن حساب را مشخص مي‌كند. توصيه مي‌كنيم، مقدار اين گزينه را نيز روي پنج دقيقه تنظيم كنيد. اين مدت زمان به‌نسبت كوتاه براي خنثي‌كردن حمله‌هايي كه با تكنيك Dictionarry انجام مي‌شوند، كافي است.


گزينه Reset Lockout Counter After مدت زماني را مشخص مي‌كند كه كاربر پس از واردكردن يك رمزعبور اشتباه بايد منتظر بماند تا بتواند رمزعبور جديدي را وارد کند. به‌عنوان مثال، اگر اين گزينه را براي پنج دقيقه تنظيم كنيد و يك كاربر چهار مرتبه رمزعبور خود را اشتباه وارد كند، بعد از مدت پنج دقيقه و بدون قفل‌شدن حساب مي‌تواند چهار رمزعبور ديگر را نيز وارد كند. توصيه مي‌كنيم مدت زمان اين گزينه با گزينه Account Lockout Duration يكسان باشد.


خط ‌مشي ‌مميزي
‌Local Policies > Audit Policy
اين خط مشي موجب ردگيري رخدادها و ثبت آن‌ها در گزارش Security و (در مواردي) گزارش System مي‌شود. پيش از انجام تنظيمات مربوط به اين خط مشي بايد مواردي را درباره مميزي درذهن داشته باشيد. نخست اين‌كه استفاده از رويكرد مميزي بدون بازخواني گزارش‌ها بي‌فايده است. توصيه مي‌كنيم تنها درصورتي از خط مشي Audit استفاده كنيد كه بتوانيد زمان مناسبي را براي بازخواني گزارش‌ها اختصاص دهيد. با وجود اين، به‌منظور گردآوري مستندات لازم براي اثبات نقض تعهدات قانوني، حتي اگر فرصت بازخواني مرتب گزارش‌ها را نداريد، بهتر است از رويكرد مميزي استفاده كنيد. به اين ترتيب، در صورت نقض تعهدات، با استفاده از ابزارهاي مناسب و صرف زمان مي‌توانيد گزارش‌ها را ف_ * ل*_ ت ر كرده و اطلاعات مربوط به رخداد موردنظر را بيابيد. در چنين مواردي بايد گزارش مربوط به رخدادهاي مستقل را به‌گونه‌اي پيكربندي كنيد كه دوره پايداري بسيار طولاني داشته باشند. از آنجا كه بايد اين اقدام را براي تمام سيستم‌هايي كه قصد مميزي آن‌ها را داريد، به انجام برسانيد بهتر است گزارش رخدادها را با استفاده از قالب Event log ADM واقع در بخش تنظيمات Group Policy پيكربندي كنيد.


دوم اين كه، اغلب رويكردهاي مميزي تنها زماني به درستي عمل مي‌كنند كه ويژگي مميزي را روي هريك از مؤلفه‌هاي مستقل سيستم فعال كرده باشيد. به‌عنوان مثال، تنظيمات Audit Object Access مميزي اشياي ‌سيستم‌فايلي را كنترل مي‌كند. اما فعال‌سازي اين تنظيمات به اجراي فرآيند مميزي منجر نمي‌شود؛ بلكه تنها قابليت مميزي را براي فايل‌ها فعال مي‌كند. هنگام اجراي فرآيند مميزي اين نكته را به ياد داشته باشيد كه به‌منظور بازبيني دسترسي به فايل‌ها بايد تنظيمات مذكور را فعال كرده و همچنين در برگه تنظيمات امنيتي پيشرفته مربوط به هر فايل يا پوشه تنظيمات مربوط به مميزي را فعال كنيد.


خط‌ مشي مميزي نه گزينه دارد:
1- گزينه Audit Account Logon Events
2- گزينه Audit Account Management
3- گزينه Audit Directory Service Access
4- گزينه Audit Logon Events
5- گزينه Audit Object Access
6- گزينه Audit Policy Change
7- گزينه Audit Privilege Use
8- گزينه Audit Process Tracking
9- گزينه Audit System Events


با وجود اين كه تمام گزينه‌هاي مذكور هنگام اشكال‌زدايي كارايي دارند، حجم اطلاعات حاصل از فعال‌سازي اغلب آن‌ها به اندازه‌اي زياد است كه نمي‌توان براي مدت طولاني آن را نگه‌داري كرد. به همين دليل، توصيه مي‌كنيم، تنها اطلاعات مربوط به گزينه‌هاي Audit Object Access، Audit Policy Change و Audit System Events را به‌طور مرتب نگه‌داري كنيد. همان‌طور كه پيش از اين گفته شد، گزينه Audit Object Access براي ردگيري دسترسي به فايل‌ها و پوشه‌هاي قالب NTFS كارايي دارد. توصيه مي‌كنيم فرآيند مميزي را براي ثبت دسترسي موفق و غيرموفق در حوزه پيكربندي‌كرده، سپس تنظيمات مربوط به دسترسي ناموفق را براي هريك از فايل‌ها و پوشه‌هاي مهم به‌طور مستقل فعال كنيد. به اين ترتيب، مي‌توانيد فهرست افرادي را كه قصد دسترسي غيرمجاز به اين فايل‌ها و پوشه‌ها را دارند، تهيه كنيد. به‌علاوه، از آن‌جا كه فرآيند مميزي را در تمام حوزه فعال كرده‌ايد، هنگام اشكال‌زدايي مي‌توانيد اين ويژگي را براي هريك از فايل‌ها و پوشه‌ها فعال كنيد تا كاربري كه محتواي فايل‌ها و پوشه‌ها را ويرايش مي‌كند، دقيقاً شناسايي شود.هنگام مميزي رخدادها همواره بايد دو گزينه Audit Policy Change و System Events فعال باشند. زيرا ممكن است يك مهاجم كه به‌طور غيرمجاز وارد سيستم شده، بخواهد فرآيند مميزي را غيرفعال يا گزارش Security را پاك كند. غيرفعال‌كردن فرآيند مميزي نوعي تغيير خط‌مشي است. بنابر‌اين درپايان كار دست‌کم يك گزارش مميزي در اختيار داريد كه كاربر تغييردهنده خط‌مشي سيستم را معرفي مي‌كند. پاك‌كردن گزارش Security به‌عنوان يك رخداد سيستمي طبقه‌بندي شده است و در گزارش رخدادهاي System ثبت مي‌شود. با وجود اين كه اقدامات فوق تضميني براي ثبت تمام وقايع نيستند (زيرا مهاجم مي‌تواند ابتدا فرآيند مميزي را غيرفعال كرده و سپس گزارش‌ها را پاك كند و به اين ترتيب هيچ ردي از خود برجاي نگذارد)، اما شرايط دشوارتري را براي پاك‌كردن آثار حمله به سيستم فراهم مي‌كنند.

گزينه‌هاي امنيتي
Local Policies > Security Options
آخرين خط‌مشي، بزرگ‌ترين و متغيرترين رويكرد امنيتي است. گزينه‌هاي امنيتي در واقع تنظيماتي هستند كه در هيچ‌يك از خط‌مشي‌هاي پيشين طبقه‌بندي نمي‌شوند. بررسي تمام گزينه‌هاي موجود در اين بخش فرصت زيادي را مي‌طلبد، به همين دليل، بحث خود را روي مفيدترين گزينه‌ها كه در اغلب محيط‌ها كاربرد دارند، متمركز مي‌كنيم. اين گزينه‌ها را در فهرست زير مشاهده مي‌كنيد. اجازه دهيد كار را از دو گزينه نخست آغاز كنيم. خط‌مشي‌گروهي، تنظيماتي را در اختيار كاربرمي‌گذارد كه با استفاده از آن مي‌توانيد دو حساب دروني Administrator و Guest را فعال و غيرفعال كرده و نام آن‌ها را تغيير دهيد. با وجود اين كه بعضي از متخصصان توصيه مي‌كنند هردو حساب مذكور را (به دليل غيرفعال‌بودن حساب Guest به‌طور پيش‌فرض و پايان يافتن شناسه SID مربوط به حساب كاربري Administrator با تركيب يكساني از ارقام) غيرفعال كنيد، ما به چند دليل اين توصيه را نمي‌پذيريم؛ نخست اين كه حساب دروني Administrator تنها حسابي است كه نمي‌توان آن را قفل كرد. اگر اين حساب را غيرفعال كرده و گزينه Account Lockout را فعال كنيد، با خطر اجراي حمله‌هاي DoS (سرنامDenial of Service) مواجه مي‌شويد. يك مهاجم مي‌تواند به‌واسطه مسدود كردن دائمي تمام حساب‌هاي مديريتي (به‌عنوان مثال توسط اسكريپتي كه با استفاده از يك رمزعبور اشتباه دائم براي ورود به سيستم تلاش مي‌كند) اين نوع حمله‌ها را اجرا كند.


Please Login or Register to see this code

توصيه ما اين است كه نام حساب Administrator را با استفاده از يك عنوان نامربوط (به‌عنوان مثال Jack Jones) تغييرداده و يك رمزعبور طولاني و پيچيده براي آن انتخاب كنيد كه در دسترس سايرين قرار ندارد. سپس حساب كاربري Guest را فعال كرده و مجوزهاي دسترسي آن را قفل كنيد. براي اين حساب نيز يك رمزعبور پيچيده و طولاني انتخاب كرده و نام آن را به Administrator تغيير دهيد. اين اقدامات فرصت مناسبي را فراهم مي‌كند تا بتوانيد مهاجم احتمالي را با استفاده از فرآيند مميزي شناسايي كنيد.


نكته ديگري كه بايد درنظر داشته باشيد، اين است كه خط‌مشي‌هاي مذكور مانند اغلب خط‌مشي‌هاي گروهي همواره اجرا مي‌شوند. بنابراين، اگر يك كاربر بخواهد نام حساب Administartor را تغيير دهد يا حساب Guest را فعال كند، اين حساب‌ها به اندازه بازه زماني موردنياز براي تازه‌سازي خط‌مشي (كه به‌طور پيش‌فرض 120 دقيقه است) قابل دسترسي نخواهند بود. حال نوبت به گزينه Shut down system immediately if unable to log security audits مي‌رسد. عملكرد اين گزينه دقيقاً بر نام آن منطبق است. در صورتي كه فضاي اختصاصي گزارش Security كاملاً اشغال شود (با فرض اين كه ويژگي ثبت دوره‌اي وقايع غيرفعال باشد)، اين گزينه سيستم را خاموش مي‌كند. به‌طور كلي توصيه مي‌كنيم اين گزينه را غيرفعال باقي گذاريد، زيرا شرايط مناسبي را براي اجراي حمله‌هاي DoS (عمدي يا غيرعمدي) فراهم مي‌كند. اگر در محيطي كار مي‌كنيد كه براساس قرارداد يا قانون، رعايت قواعد مميزي در آن ضروري است به ناچار بايد تنظيمات اخير را نيز فعال كنيد. پس از بررسي گزينه‌هاي مذكور بايد به سراغ گزينه‌هاي Logon با اين شرح برويم: Do not display last user name و Message text for users attempting to logon و Message title for users attempting to logon و Prompt user to change password before expiration.


عملكرد اين تنظيمات نيز از نام آن‌ها مشخص است و فعال‌سازي تمام آن‌ها ضروري است. عدم نمايش آخرين نام كاربري در صفحه ورود به سيستم، يكي از بهبودهاي جانبي امنيت سيستم است (زيرا نام حساب كاربري معمولاً اطلاعات خوبي را در اختيار مهاجم مي‌گذارد)، اما همين بهبود جزئي نيز مؤثر است. اگر لازم است مهاجمان سيستم را تحت پيگرد قانوني قرار دهيد، نمايش يك كادر پيغام بزرگ در صفحه ورود به سيستم و نمايش پيغامي مبني بر غيرقانوني‌بودن دسترسي غيرمجاز به آن كمك بزرگي محسوب مي‌شود. به‌علاوه، هنگام تعيين تاريخ انقضا براي رمز‌هاي‌عبور، تشويق كاربران براي انتخاب رمزعبور جديد پيش از انقضاي رمزعبور قبلي، يك ضرورت است. هنگام به‌كارگيري تنظيمات اخير، ترغيب كاربران براي تغيير رمزعبور پيش از انقضاي آن، به‌ويژه زماني كه در گوشي‌هاي موبايل از ويژگي ActiveSync استفاده مي‌كنند، تأثير بسياري بر افزايش امنيت سيستم دارد. بعضي از گوشي‌هاي موبايل مانند آي‌فون از قابليت تغيير رمزعبور مورد استفاده در يك دامنه پس از انقضاي آن پشتيباني نمي‌كنند. در مقابل، هنگامي كه رمزعبور مورد استفاده كاربر منقضي مي‌شود،‌ گوشي به دفعات زياد و در يك بازه زماني كوتاه براي ورود به سيستم اقدام كرده و درنتيجه حساب را قفل مي‌كند.


پيشنهاد ما اين است كه از تنظيمات اوليه كه همان چهارده روز است، براي گزينه Prompt user to change password before expiration در تنظيمات Logon استفاده كنيد. بازه‌هاي زماني كوتاه‌تر زمان كافي را در اختيار كاربران نمي‌گذارد و درصورت مسافرت يا رفتن آن‌ها به تعطيلات رمزعبور منقضي مي‌شود. تنظيمات
Send unencrypted password to third-party SMB servers امكان ناديده‌گرفتن درخواست كدگذاري و اجبار سيستم به ارسال رمز‌هاي‌عبور در قالب يك فايل متني ساده را براي سرورهاي SMB متفرقه فراهم مي‌كند. توصيه مي‌كنيم همواره اين گزينه را غيرفعال كنيد، زيرا يك شكاف امنيتي بزرگ در سيستم ايجاد مي‌كند. اگر بخواهيد رمز‌هاي‌عبور را در قالب فايل‌هاي متني ساده ارسال كنيد، ميزان پيچيدگي و طول آن‌ها اهميتي نخواهد داشت. حتي در شرايطي كه با يك سرور متفرقه سروكار داريد و آن سرور از سيستم‌اعتبارسنجي كدگذاري شده پشتيباني نمي‌كند،‌ بهتر است به‌جاي فعال‌كردن گزينه مذكور، در صورت امكان سرور را به‌روز كرده يا از سرور ديگري استفاده كنيد.


گروه بعدي تنظيمات، براي دسترسي به شبكه كاربرد دارند و شامل Do not allow anonymous enumeration of SAM accounts و Do not allow anonymous enumeration of SAM accounts and shares هستند. اين تنظيمات قابليت سيستم را براي ارسال درخواست ناشناس جهت دريافت فهرست حساب‌ها و فايل‌هاي مشترك كنترل مي‌كند. اين تنظيمات در اصل براي سازگاري با سيستم‌هاي قديمي طراحي شده‌اند و همواره بايد غيرفعال باشند.


حال نوبت به تنظيمات امنيتي شبكه مي‌رسد كه شامل LAN Manager authentication level ،‌Minimum Session security for NTLM SSP based (including secure RPC) clients و Minimum session security for NTLM SSP based (including secure RPC) servers هستند. گزينه LAN Manager authentication level كمترين نسخه برنامه مديريت LAN را كه براي صدور مجوز دسترسي به منابع در شرايط خاص مورداستفاده قرار گرفته است، مشخص مي‌كند. در اغلب شبكه‌هايي كه از ويندوز 2000 يا سيستم‌‌هاي پيشرفته‌تر با توپولوژي Single Forest استفاده مي‌كنند، مي‌توان از پروتكل Kerberos به‌عنوان يك راه‌حل جايگزين استفاده كرد. با وجود اين، در شرايط خاصي (مانند زماني كه پروتكل Kerberos توسط ديوار آتش مسدود مي‌شود) حتي در چنين سيستم‌هاي پيشرفته‌اي نيز مي‌توان از پروتكل NTLM استفاده كرد. از آن‌جا كه تمام نسخه‌هاي برنامه Lan Manager (شامل آخرين نسخه پروتكل اخير با عنوان NTLM2) داراي نقاط‌ضعف بزرگي هستند، تا حدممكن بايد از پروتكل Kerebros استفاده كنيد. به همين دلايل توصيه مي‌كنيم، براي گزينه LAN Manager authentication level تنها از تنظيمات SendNTLMv2 response only.Refuse LM and NTLM استفاده كنيد. در ويندوز 7 و ويندوز سرور 2008 همين تنظيمات به طور پيش‌فرض انتخاب شده است، اما در سيستم‌عامل‌هاي قديمي‌تر بايد اين كار را دستي انجام دهيد. در مقابل، گزينه Minimum session security for NTLM SSP based client/server علاوه بر اين‌كه براي تحميل به‌كارگيري پروتكل NTLMv2 كاربرد دارد، امكان تحميل فرآيند كدگذاري 128 بيتي را نيز فراهم مي‌كند. توصيه ما اين است كه استفاده از پروتكل NTLMv2 و فرآيند كدگذاري 128 بيتي را به هر دو طرف سيستم تحميل كنيد.


باز هم يادآوري مي‌كنيم، اين تنظيمات در ويندوز 7 و ويندوز سرور 2008 به‌طور پيش‌فرض انتخاب شده‌اند، اما در ساير سيستم‌عامل‌ها چنين نيست. تنظيمات Shutdown: Clear virtual memory pagefile اطلاعات ذخيره شده در pagefile را هنگام خاموش‌كردن سيستم پاك مي‌كند. درباره فايل صفحه‌بندي اين نگراني وجود دارد كه ممكن است اطلاعات حساس (مانند اطلاعات كدگذاري شده) را به‌صورت متن ساده در حافظه ذخيره كند و سپس اين اطلاعات به ديسك سيستم منتقل شوند.


از آنجا كه اين اطلاعات درون فايل صفحه‌بندي و روي ديسك سيستم ذخيره مي‌شوند،‌ يك كاربر با استفاده از برنامه‌هاي بازيابي اطلاعات مي‌تواند محتواي ديسك را مورد دسترسي قرار داده و اطلاعات كدگذاري شده را بازخواني كند. به‌واسطه پاك‌كردن فايل صفحه‌بندي اين خطر را كاهش مي‌دهيد. البته، اين اقدام امنيتي به قيمت كندشدن فرآيند خاموش‌كردن سيستم تمام مي‌شود (گاهي تأخير در انجام اين فرآيند كاملاً مشهود است). بهتر است تا زماني كه قابليت‌هاي امنيتي فيزيكي مناسبي در اختيار داريد، اين تنظيمات غيرفعال باقي بمانند.


گزينه User Account Control: Admin Approval Mode for the Built-in Administrator account آخرين گزينه‌اي است كه در اين مقاله موردبررسي قرار مي‌دهيم. اين گزينه در اصل دسترسي حساب Administrator به پيغام‌هاي بالاپر را در طول فرآيند اجراي اقداماتي كه نيازمند مجوز مدير سيستم هستند،
بررسي مي‌كند.


اين گزينه به‌طور پيش‌فرض غيرفعال است! توصيه مي‌كنيم اين گزينه را فعال كنيد. با وجود اين كه پيغام‌هاي مذكور كمي آزاردهنده هستند، از ديدگاه امنيتي مزاياي بسياري براي مدير سيستم به همراه دارند. در اين مقاله اصول اوليه يك خط‌مشي امنيتي مناسب را براي اغلب محيط‌هاي كاري بررسي كرديم. به‌واسطه پياده‌سازي اين خط‌مشي و فعال‌سازي تنظيمات مناسب، بدون صرف‌هزينه اضافي مي‌توانيد امنيت محيط كاري خود را به حد مطلوب ارتقا دهيد.

news.parseek.com
[HIGHLIGHT=#1F497D] بهترين مترجم كيست كه سكوت را ترجمه كند.  
ارسال پست

بازگشت به “امنيت”