فا

‫ تنظيمات امنيتي ويندوز كه اغلب ناديده گرفته مي‌شوند

IRCAR201302167
تاريخ: 5/12/91
 
برخي تنظيمات امنيتي معمول، مهم و كليدي وجود دارند كه اغلب به‌طور كلي مورد توجه قرار نگرفته يا اينكه به درستي تنظيم نمي‌گردند. در اين مقاله به اين تنظيمات خواهيم پرداخت.
ضعف خط مشي كلمات عبور
اغلب سازمان‌ها به كارمندان خود اجازه مي‌دهند كه از كلمات عبور ضعيف استفاده كنند. نيازمندي‌هاي كلمات عبور كه مايكروسافت براي اكتيو دايركتوري به شكل پيش‌فرض تنظيم كرده است، از كيفيت مناسبي برخوردار نيست. البته داشتن يك كلمه عبور ضعيف قطعاً بهتر از نداشتن كلمه عبور است، ولي با تكنولوژي‌هاي موجود، برتري اين وضعيت نسبت به وضعيت بدون كلمه عبور چندان قابل توجه نيست. ابزارهايي مانند L0phtCrack، Cain و ابزارهاي ديگر مي‌توانند كلمات عبور ضعيف و نسخه درهم‌سازي شده آنها را به سرعت بشكنند. با استفاده از تكنولوژي‌هاي ديگري مانند جداول RainBow و حملات ديكشنري، اين ابزارها بي‌نهايت دقيق و كامل عمل خواهند كرد.
بايد اطمينان حاصل كرد كه كلمات عبور ايجاد شده و در برابر تمامي تكنولوژي‌هاي مختلف، تست شده‌اند. كلمات عبور به شكل ايده‌آل بايد از حداقل 15 كاراكتر تشكيل شده باشند. يك راه براي كمك به رسيدن به اين منظور، استفاده از عبارات عبور است. در زير مثال‌هايي از عبارات عبور را مشاهده مي‌كنيد:
  • I love my doll Hercules.
  • Honesty is the best policy.
عبارات فوق بيش از 15 كاراكتر بوده و به خاطر سپردن و تايپ آنها نيز راحت‌تر از كلمات عبور معمول است.
پيكربندي نامناسب خط مشي كلمات عبور
هنوز شركت‌ها و مديران شبكه‌اي وجود دارند كه خط مشي كلمات عبور اكتيو دايركتوري را به‌طور كامل درك نمي‌كنند. از سال 2000 و به‌طور دقيق‌تر با عرضه ويندوز 2000، خط مشي كلمات عبور براي كاربران دامنه يكسان بوده است. به‌طور پيش‌فرض خط مشي كلمات عبور در خط مشي دامنه پيش‌فرض (Default Domain Policy) تعريف شده است. تعريف مجدد تمام يا بخشي از تنظيمات خط مشي كلمات عبور در يك GPO متفاوت ممكن است. اما آن GPO بايد با دامنه مرتبط باشد و اولويت بيشتري نسبت به خط مشي دامنه پيش‌فرض داشته باشد. پس از انجام اين تنظيمات، GPO جديد، خط مشي كلمات عبور اصلي را در مورد تنظيمات جديد تحت الشعاع قرار خواهد داد.
اما بايد توجه داشت كه كنترل كلمات عبور محدود در يك OU براي يك GPO لينك شده به آن OU ممكن نيست. اولاً تنها راه كنترل خط مشي كلمات عبور براي كاربران دامنه، يك GPO لينك شده به دامنه است. ثانياً مجموعه تنظيمات خط مشي كلمات عبور، فقط كامپيوترها را تحت تأثير قرار خواهد داد و نه كابران را.
تنظيمات مربوط به دسترسي ناشناس
4 تنظيم Anonymous كليدي وجود دارند كه بايد براي مسدود كردن دسترسي ناشناس، پيكربندي گردند. روش ايجاد ارتباطات ناشناس و اينكه هر نوع دسترسي چه مجوزي را صادر مي‌كند، با اين تنظيمات در ارتباط است. مايكروسافت اغلب تنظيمات را به‌خوبي انجام داده است، اما لازم است كه تمامي تنظيمات به درستي انجام گيرند.
حتي با يك دامنه ويندوز سرور 2012 تازه نصب شده نيز، تمامي تنظيمات در خط مشي گروهي (Group Policy) تعريف نمي‌شوند. تنظيماتي كه نياز به پيكربندي دارند در شكل زير فهرست شده‌اند.
همانطور كه در اين شكل مشاهده مي‌كنيد، فقط يكي از چهار تنظيم در يك GPO از اكتيو دايركتوري تعريف شده است. اين استفاده مناسبي از خط مشي گروهي نيست و نياز به پيكربندي مناسب در دامنه اكتيو دايركتوري دارد.
اين تنظيمات بايد به‌صورت زير پيكربندي گردند:
  • Network access: Allow anonymous SID/Name translation – Disabled
  • Network access: Do not allow anonymous enumeration of SAM accounts – Enabled
  • Network access: Do not allow anonymous enumeration of SAM accounts and Shares – Enabled
  • Network access: Let Everyone permissions apply to anonymous users – Disabled
درست است كه سه تنظيم از چهار تنظيم ياد شده صحيح هستند. اما دو نكته در اينجا وجود دارد. نخست اينكه تمامي چهار تنظيم بايد صحيح باشند. دوم اينكه تمامي تنظيمات بايد از يك GPO در اكتيو دايركتوري پيكربندي شوند و نه فقط يك تنظيم.
كنترل حساب كاربري (UAC)
UAC نخستين بار در ويندوز ويستا عرضه شد. اين تكنولوژي نبايد ناديده گرفته شود، بلكه كاركرد آن و چگونگي پيكربندي صحيح آن بايد در نظر گرفته شود.
اطمينان حاصل كنيد كه UAC فعال بوده و به درستي پيكربندي شده است. نحوه مناسب پيكربندي UAC در شكل زير كه مربوط به يك سيستم ويندوز 7 است نمايش داده شده است.
خلاصه
بسياري مي‌گويند كه ويندوز يك سيستم عامل امن نيست كه البته اين موضوع صحيح نيست. مهم اين است كه تنظيمات و پيكربندي‌هاي امنيتي صحيح در مورد آن اعمال گردد. امنيت Windows Active Directory شما و پايداري آن، وابسته به امنيتي است كه بر روي كنترل كننده‌هاي دامنه، سرورها و دسكتاپ‌ها پيكربندي مي‌كنيد. با توجه به اينكه كلمه عبور مهمترين راه ورودي كامپيوتر است، امنيت كلمات عبور مي‌تواند امنيت كلي سيستم و شبكه را تحت تأثير قرار دهد.
دسترسي ناشناس، كليد ورودي به يك شبكه ويندوز است. چرا كه فقط كافي است كه مهاجم دسترسي به شبكه داشته باشد تا بتواند از آسيب‌پذيري سوء استفاده نمايد. تمامي تنظيمات بر روي تمامي كنترل كننده‌هاي دامنه، سرورها و دسكتاپ‌ها بايد 100% صحيح باشد. حتي اگر فقط يك سيستم مجوز دسترسي ناشناس را صادر كرده باشد، مي‌تواند باعث دسترسي غيرمجاز و حمله بر روي شبكه گردد. اگرچه UAC تكنولوژي چندان محبوبي نيست، ولي فوايد امنيتي آن قابل توجه است.

نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 18 مرداد 1393

دسته‌ها

امتیاز

امتیاز شما
تعداد امتیازها:0