rezahd
February 21st, 2012, 18:30
اگر تا به حال از ویندوز سرورNT ویندوز سرور ۲۰۰۰ استفاده کرده باشید ، احتمالا متوجه شده اید که مایکرو سافت آنها را به صورت پیش فرض، غیر ایمن طراحی کرده است . گرچه مایکروسافت و ساز و کارهای امنیتی متعددی ایجاد کرده است ، اما نصب آنها به عهده کاربران است . این در حالی است که وقتی مایکرو سافت ویندوز ۲۰۰۳ را انتشارداد ، با این کار ، فلسفه جدید این است که باید به صورت پیش فرض ایمن باشد. به باشید کلی این ایده بسیار خوبی است ، اما مایکروسافت نتوانید آن را به طور کامل پیاده کند . با آن که سرور باید به طور کامل پیاده کند . با آن که ویندوز ۲۰۰۳ را انتشار داد ، با این کار ، فلسفه خود را تغییر داد.
فلسفه جدید این است که سرور با ید به صورت پیش فرض ایمن باشد. به طور کلی این ایده بسیار خوبی است ، اما مایکروسافت نتوانست آن را به طور کامل پیاده کند . با آن که ویندوز ۲۰۰۳ بدون شک ایمن تر از ویندوز NTیا ویندوز۲۰۰۰است ، اما هنوز هم نقصانی در آن دیده می شود . در اینجا ما اعمال ساده ای را که شما می توانید برای ایمن تر کردن ویندوز سرور ۲۰۰۳ انجام دهید شرح می دهیم .
● نقش خود را بدانید
شناخت نقش سروردر روند ایمن سازی بسیار حیاتی است. نقش های متعددی وجود دارد که ویندوز سرور ممکن است بر عهده داشته با شد .
برای مثال سرور ممکن است بر عهده داشته باشد . برای مثال ویندوز سرور ۲۰۰۳ میتوانید در نقش یک کنترل کننده دامنه ( domin Contoller ) ، یک سرور عضو ( member server )، سرور پایه( )سرور فایل ( )، سرور پرینت ( ) ، سرور پایانه ( ) و یا حالت های متعدد دیگر عمل کند. یک سرور همچنین می تواند ترکیبی از این نقش ها را به عهده داشته باشد.
مشکل اینجاست که سرئر در هر کدام از این نقش ها ، نیازهای امنیتی خاص خودش رادارد . برای مثال ، اگر قرار است که سرور شما در نقش یک سرو ر IISکار کند ، شما باید سرویس ها ی IISرا فعال کنید، در حالی که اگر سرور قرار است فقط به عنوان یک سرور فایل و پرینت کار کند، فعال کردن IISریسک امنیتی بزرگی خواهد بود. این موضوع رابد ین د لیل مطرح کرد م که بدانید روش خاصی وجود ندارد که بتوانید در هر شرایطی آن را دنبال کرده و انتظار نتیجه از آن داشته باشید . نیازهای امنیتی یک سرور با توجه به نقش سرور و محیط سرور ( server`s environment ) تفاوت های بسیاری دارند . از آنجا که روشهای متعددی برای ایمن سازی یک سرور وجود دارد ، من فقط موارد ضروری و اساسی را برای فعال کردن یک سرور فایل ساده و در عین حال ایمن ، شرح خواهم داد . سعی خواهم کرد مواردی را مشخص کنم که وقتی سرور در نقش های مختلف کار ، شما باید به طور متفاوت انجام دهید اما حتما به این نکته توجه داشته باشید که ااین اعامال در حکم یک راهنمای عمومی برای ایمن سازی همه انواع سرور نیست.
● امنیت فیزیکی
برای رسیدن به امنیت واقعی سرور شما باید در مکان امنی قرار گیرد معمولا” این به معنی قرار دادن سرور پشت درهای بسته است امنیت فیزیکی بسیار همه ماست زیرا بسیاری از بازارهای مدیریتی میتواند به عنوان ابزار هک کننده به کارگرفته شود هر شخصی با حداقل مهارت و با استفاده از چنین ابزارهایی در صورت یکه دسترسی فیزیکی به ماشین داشته باشد میتواند یک سرور را در عرض چند دقیقه هک کند تنها راه گلوگیری از چنین حملههایی قراردادن سرور در یک محجیط امن است. این در مورد هر سرور ویندوز ۲۰۰۳ صرف نظر از نقش ان، صادق است.
● ایجاد یک لیست پایه (baseline)
در کنار امنیت فیزیکیک خوب، توصیه مهم بعدی من این است که قبل ز استفاده از یک سرور ویندوز ۲۰۰۳ نیازهای امنیتی خود را مشخص کنید و به محض به کارگرفتن سرور مومارد مربوطه در خصوص امنیت و سیاست های مبتنی ب ر آنها را نیرز فعال کنید.
بهترین روش در این زمینه ایجاد یک لیست پایه امنیتی است این لیست شامل مدارک و تنظیمات مورد قبول امنیتی است در اکثر شرایط تنظیمایت لیست پایه شما بر اساس نقش سرور کاملا” فرق خواهد داشت.
بنابر این بهترین کار، ایجاد تعدادی لیستهای پایه متفاوت است که بتوانید آنها را برای انواع مختلف سرور به کابر ببرید. برای مثال، ممکن است شما یک یست پایه برای سرورهای فایل، یک لیست پایه برای کنترل کنندههای دامنه و لیست دیگری برای سرورهای IIS داشته باشید.
ویندوز۲۰۰۳ از ابزاری برخوردار است که محدوده امنیتی و ابزار تحلیل ( And Analysis Tool Security Configuration ) نامیده می شود . این ابزار به شما اجازه می دهد که خط مشی امنیتی جاری سرور را با خط مشی امنیتی لیست پایه که درون یک فایل الگو قرار دارد ، مقایسه کنید . شما می توانید این فایل های الگو را خودتان ایجاد کنید یا اینکه از یکی از انواع آماده آنها استفاده کنید . الگو های امنیتی یک رشته متن براساس فایل های INF هستید که در فولدرSECU %SYSTEMROOT% RITY TEMPLATES ذخیره شده اند . ساده ترین روش برا آزمایش و تغییر الگو های شخصی ، از طریق کنسول مدیریت مایکر سافت ( Console MMC Microsoft Management ) است . برای باز کردن کنسول ، دستور MMCرا در خط دستور Run وارد کنید . وقتی که کنسول خالی بالا می آید ، دستور Add Remove Snap-in را نمایش دهد . کلید Add را کلید کنید ، لیستی از تمام کنسول های Snap-in موجود را خواهید دید . الگو های امنیتی Snap-in را از لیست انتخاب کنید و سپس کلید های Add ، Close و OKرا کلید کنید.
زمانی که الگو های امنیتی Snap-in بالا آمد ، می توانید هر کدام از الگو ها را مشخص کنید . به هنگام مرور درخت کنسول ، خواهید دید که هر الگویی از خط مشی گروه خود تقلید می کند و نام هر الگو ، اهداف آن الگو را منعکس می کند . برای مثال ، HISECDC، یک الگو با امنیت بالا برای کنترل کننده های دامنه ( security domain Controller high) است اگر قصد ایمن سازی یک سرور فایل را دارید ، من استفاده از الگو ی SECUREWS را به شما توصی همی کنم . با دقت در نوع تنظیمات این الگو شاید متو جه شوید که این الگو با وجود ایمن تر کردن سرور نسبت به قبل ، ممکن است جوابگوی نیاز های شما نبا شد . تنظیمات امنیتی خاص ممکن است بیش از حد سخگیرا نه یا اغماضگرا نه با شد . من تو صیه می کنم که یا با تغییرات جزیی در نوع تنظیمات مو جود ، آنها را با نیازهایتان متناسب کنید و یا خط مشی های جدیدی ایجاد کنید . شما می توانید به آسانی با کلیک راست روی فولد ر C: WINDOWS Security Template، داخل کنسول و انتخاب دستور Template New شده
فلسفه جدید این است که سرور با ید به صورت پیش فرض ایمن باشد. به طور کلی این ایده بسیار خوبی است ، اما مایکروسافت نتوانست آن را به طور کامل پیاده کند . با آن که ویندوز ۲۰۰۳ بدون شک ایمن تر از ویندوز NTیا ویندوز۲۰۰۰است ، اما هنوز هم نقصانی در آن دیده می شود . در اینجا ما اعمال ساده ای را که شما می توانید برای ایمن تر کردن ویندوز سرور ۲۰۰۳ انجام دهید شرح می دهیم .
● نقش خود را بدانید
شناخت نقش سروردر روند ایمن سازی بسیار حیاتی است. نقش های متعددی وجود دارد که ویندوز سرور ممکن است بر عهده داشته با شد .
برای مثال سرور ممکن است بر عهده داشته باشد . برای مثال ویندوز سرور ۲۰۰۳ میتوانید در نقش یک کنترل کننده دامنه ( domin Contoller ) ، یک سرور عضو ( member server )، سرور پایه( )سرور فایل ( )، سرور پرینت ( ) ، سرور پایانه ( ) و یا حالت های متعدد دیگر عمل کند. یک سرور همچنین می تواند ترکیبی از این نقش ها را به عهده داشته باشد.
مشکل اینجاست که سرئر در هر کدام از این نقش ها ، نیازهای امنیتی خاص خودش رادارد . برای مثال ، اگر قرار است که سرور شما در نقش یک سرو ر IISکار کند ، شما باید سرویس ها ی IISرا فعال کنید، در حالی که اگر سرور قرار است فقط به عنوان یک سرور فایل و پرینت کار کند، فعال کردن IISریسک امنیتی بزرگی خواهد بود. این موضوع رابد ین د لیل مطرح کرد م که بدانید روش خاصی وجود ندارد که بتوانید در هر شرایطی آن را دنبال کرده و انتظار نتیجه از آن داشته باشید . نیازهای امنیتی یک سرور با توجه به نقش سرور و محیط سرور ( server`s environment ) تفاوت های بسیاری دارند . از آنجا که روشهای متعددی برای ایمن سازی یک سرور وجود دارد ، من فقط موارد ضروری و اساسی را برای فعال کردن یک سرور فایل ساده و در عین حال ایمن ، شرح خواهم داد . سعی خواهم کرد مواردی را مشخص کنم که وقتی سرور در نقش های مختلف کار ، شما باید به طور متفاوت انجام دهید اما حتما به این نکته توجه داشته باشید که ااین اعامال در حکم یک راهنمای عمومی برای ایمن سازی همه انواع سرور نیست.
● امنیت فیزیکی
برای رسیدن به امنیت واقعی سرور شما باید در مکان امنی قرار گیرد معمولا” این به معنی قرار دادن سرور پشت درهای بسته است امنیت فیزیکی بسیار همه ماست زیرا بسیاری از بازارهای مدیریتی میتواند به عنوان ابزار هک کننده به کارگرفته شود هر شخصی با حداقل مهارت و با استفاده از چنین ابزارهایی در صورت یکه دسترسی فیزیکی به ماشین داشته باشد میتواند یک سرور را در عرض چند دقیقه هک کند تنها راه گلوگیری از چنین حملههایی قراردادن سرور در یک محجیط امن است. این در مورد هر سرور ویندوز ۲۰۰۳ صرف نظر از نقش ان، صادق است.
● ایجاد یک لیست پایه (baseline)
در کنار امنیت فیزیکیک خوب، توصیه مهم بعدی من این است که قبل ز استفاده از یک سرور ویندوز ۲۰۰۳ نیازهای امنیتی خود را مشخص کنید و به محض به کارگرفتن سرور مومارد مربوطه در خصوص امنیت و سیاست های مبتنی ب ر آنها را نیرز فعال کنید.
بهترین روش در این زمینه ایجاد یک لیست پایه امنیتی است این لیست شامل مدارک و تنظیمات مورد قبول امنیتی است در اکثر شرایط تنظیمایت لیست پایه شما بر اساس نقش سرور کاملا” فرق خواهد داشت.
بنابر این بهترین کار، ایجاد تعدادی لیستهای پایه متفاوت است که بتوانید آنها را برای انواع مختلف سرور به کابر ببرید. برای مثال، ممکن است شما یک یست پایه برای سرورهای فایل، یک لیست پایه برای کنترل کنندههای دامنه و لیست دیگری برای سرورهای IIS داشته باشید.
ویندوز۲۰۰۳ از ابزاری برخوردار است که محدوده امنیتی و ابزار تحلیل ( And Analysis Tool Security Configuration ) نامیده می شود . این ابزار به شما اجازه می دهد که خط مشی امنیتی جاری سرور را با خط مشی امنیتی لیست پایه که درون یک فایل الگو قرار دارد ، مقایسه کنید . شما می توانید این فایل های الگو را خودتان ایجاد کنید یا اینکه از یکی از انواع آماده آنها استفاده کنید . الگو های امنیتی یک رشته متن براساس فایل های INF هستید که در فولدرSECU %SYSTEMROOT% RITY TEMPLATES ذخیره شده اند . ساده ترین روش برا آزمایش و تغییر الگو های شخصی ، از طریق کنسول مدیریت مایکر سافت ( Console MMC Microsoft Management ) است . برای باز کردن کنسول ، دستور MMCرا در خط دستور Run وارد کنید . وقتی که کنسول خالی بالا می آید ، دستور Add Remove Snap-in را نمایش دهد . کلید Add را کلید کنید ، لیستی از تمام کنسول های Snap-in موجود را خواهید دید . الگو های امنیتی Snap-in را از لیست انتخاب کنید و سپس کلید های Add ، Close و OKرا کلید کنید.
زمانی که الگو های امنیتی Snap-in بالا آمد ، می توانید هر کدام از الگو ها را مشخص کنید . به هنگام مرور درخت کنسول ، خواهید دید که هر الگویی از خط مشی گروه خود تقلید می کند و نام هر الگو ، اهداف آن الگو را منعکس می کند . برای مثال ، HISECDC، یک الگو با امنیت بالا برای کنترل کننده های دامنه ( security domain Controller high) است اگر قصد ایمن سازی یک سرور فایل را دارید ، من استفاده از الگو ی SECUREWS را به شما توصی همی کنم . با دقت در نوع تنظیمات این الگو شاید متو جه شوید که این الگو با وجود ایمن تر کردن سرور نسبت به قبل ، ممکن است جوابگوی نیاز های شما نبا شد . تنظیمات امنیتی خاص ممکن است بیش از حد سخگیرا نه یا اغماضگرا نه با شد . من تو صیه می کنم که یا با تغییرات جزیی در نوع تنظیمات مو جود ، آنها را با نیازهایتان متناسب کنید و یا خط مشی های جدیدی ایجاد کنید . شما می توانید به آسانی با کلیک راست روی فولد ر C: WINDOWS Security Template، داخل کنسول و انتخاب دستور Template New شده