ويندوز سرور 2003

[Vahid]

ويندوز سرور 2003WINDOWS SP1:

مايكروسافت Service Pack1 ويندوز سرور 2003 را با افزايش مسايل امنيتي منتشر كرد و اين قدمي است بزرگ در راهي كه مابكروسافت برداشته است.

من هميشه از مقالات براي روشن كردن نقاط ضعف امنيتي ويندوز و شركت مايكروسافت استفاده مي كردم ولي اين بار مي خواهم بر عكس عمل كنم. بعد از انتشار SP1 براي ويندوز 2003 من ستايشگر مايكروسافت شده ام. بعد از هجده ماه از تست نسخه اول، در حال حاضر SP1 منتشر شده است با امكانات امنيتي اضافي ! و من اينجا برخي از امكانات مورد علاقه خود را بيان مي كنم:

رويكردي تازه :

آنچه كه براي من بسيار جالب و حائز اهميت است تغيير رويكرد امنيتي و بهبود آن است. مايكروسافت SP1 را با تغييرات امنيتي قابل قبولي ارائه داده است. اسناد زيادي حاكي از آن است كه مشتريان از عدم وجود امنيت در سرور هاي خود رنج مي برند. آنها همچنين بيان مي كنند كه مديريت به روز رساني ( Update Management ) بسيار وقت گير و رنج آور است و از همه مهمتر آنكه بايد آنها در انتها تست كنند كه آيا اين به روز رساني ها با سيستم هاي بحراني آنها تداخل دارند يا نه !

همين اسناد حكايت از آن دارد كه ره آورد ويندوز سرور امنيت لازم را براي مشتريان ايجاد نمي كند و اين وضعيت قابل قبولي براي آنها نمي باشد.

من واقعا متعجب هستم ! نه توجيهي ، نه مراقبتي ، نه سرزنشي، با فروشنده ناز و افاده اي ! آنها خيلي ساده قبول مي كنند كه مشكل دارند و حالا برخي اصلاحيه هاي معقول امنيتي را ارائه داده اند.

مرورگر IE امن شده است :

بعد از مدتها انتظارات امنيتي ، اين بار مرورگر IE با كلي مسايل امنيتي ارائه شده است كه فقط نمونه آن را مي توان در XP SP2 ديد. اين به روز رساني ها شامل برخي اصلاحيه هايي شامل مديريت بهتر Add-on ها، پشتيباني بهتر از Group Policy ها، ممانعت از Pop-up ها و موارد بيشمار ديگر. حداقل اين خوبي را دارد كه ديگر سوء استفاده از IE در ويندوز سرور كمتر مي شود ولي بهتر آن است كه براي IE امكانات امنيتي بيشتري در نظر بگيريم.

ديواره آتش :

در مقاله هاي قبلي بيان كردم كه هنوز يك ديواره آتش كاملي براي ويندوز سرور وجود ندارد ولي مانند آنچه كه در XP SP2 نيز وجود دارد داراي امكانات خوبي است ، همچون XP SP2 آن هم از حفاظت در boot-time پشتيباني مي كند ، پيكربندي هاي محلي، بازرسي ورودي هاي كاربران ، يكپارچگي بهتردر Group Policy ، پشتيباني دستورات خط فرمان از آن و ديگر خصيصه هاي امنيتي خوبي كه ارائه داده است. اما هنوز فاقد برخي خصيصه هاي همچون كنترل ترافيك ورودي و خروجي مي باشد ، ولي براي بسياري از كاربران مبتدي داراي امكانات خوبي است.

نصب به همراه به روز رساني امنيتي :

يك چيز جالب، اين موضوع خيلي معمولي و جالب بود : كاربران شروع به نصب ويندوز مي كردند و قبل از اينكه اصلاحيه هاي امنيتي را دريافت و نصب كنند توسط سيستم هاي ديگر در شبكه ويروسي مي شدند و حتي بودن در پشت يك ديواره آتش نيز كفايت نمي كند. اما ديگر اين يك مشكل براي گذشته مي باشد. در هنگام نصب SP1 ويندوز تمامي ارتباطات بيروني شبكه قطع مي گردد تا عمل نصب تا پايان انجام گيرد و تمامي اصلاحيه هاي امنيتي نيز نصب گردد و پيكربندي نحوه به روز رساني پايان يابد. همين موضوع دليل مهمي مي باشد كه شما پس از نصب ويندوز 2003 حتما SP1 را نصب كنيد.

امنيت RPC و DCOM :

اگرچه براي امنيت RPC و DCOM تكنولوژي هاي مختلفي وجود دارد و اكثر آنها مي توانند از سوءاستفاده مصون بمانند. متاسفانه دستيابي به اين برنامه ها بسيار پيچيده مي باشد. تا الان اسنادي كه براي محكم سازي اين سرويس ها در دسترس هست بسيار محدود مي باشد و بيشتر تكنيك ها هنوز در سطح آزمايشي مي باشد. اگر بهترين تلاش را هم به خرج دهيد باز هم ناكافي مي باشد.

SP1 خصوصيات زيادي را براي مديريت كنترل دسترسي به RPC و DCOM به وجود آورده است. به وسيله اين خصايص مي توان دسترسي هاي روي DCOM را محدود تر كرد. همچنين يك كليد محدود كردن دسترسي در رجيستري وجود دارد به نام RestrictRemoteClients كه مي توان توسط آن دسترسي راه دور و anonymous را روي سرويس RPC مسدود كرد. همچنين ديواره آتش جديد پشتيباني بهتري را از سرويس RPC مي كند كه شامل كنترل هوشمند و جزيي تر روي سرويس RPC مي باشد.

پيشگيري از اجراي داده ها :

خصيصه هاي جديد SP1 براي ويندوز امكاني را فراهم مي آورد تا از امكانات سخت افزاري سود بهتري برد تا از اجراي كد ها در محيطهاي غير اجرايي جلوگيري كند. همين موضوع باعث جلوگيري از اجراي كدهاي سرريزي بافر عمومي مي گردد.

ويزاردهاي پيكربندي امنيتي :

ويزاردهاي جديد پيكربندي امنيتي در SP1 باعث مي شود كه بدون داشتن دانش كافي، امنيت خوبي را براي سرور ايجاد كرد. اين ويزاردها بر اساس پيشنهاد هايي مي باشد كه بر مبناي امنيت بهتر سيستم در نظر گرفته شده است و از طريق فعال و غير فعال كردن برخي سرويس ها كار را دنبال مي كند. حتي اگر از روش هاي عمومي و يا پيچيده براي محكم سازي استفاده كنيد ، SCW به راحتي مي تواند روال بندي شود. SCW فايل پيكربندي خود را در يك فايل XML ذخيره مي كند و شما مي توانيد به راحتي با تغيير آن ، نيازهاي خود را مرتفع كنيد.

Hot Patching:

يكي از خصيصه هاي مورد علاقه من كه به تازگي در SP1 ايجاد شده است نصب اصلاحيه ها ، حتي در زماني كه سرويس مورد نظر در حال استفاده باشد، است. همين امر باعث جلوگيري از دوباره راه اندازي هاي سيستم پس از نصب اصلاحيه ها مي گردد. شما فقط در هنگام به روز رساني كرنل ويندوز نياز به راه اندازي دوباره سيستم داريد.
SP1 علاوه بر داشتن خصوصيات بالا تمامي اشكالاتي كه تا به حا در سرور 2003 وجود داشته است را نيز اصلاح كرده است و پشتيباني بهتري را نيز از آن مي كند و از لحاظ امنيتي نيز استراتژي هاي جديدي را در پيش گرفته است.