سلام.
چون هنوز قسمتی به نام Security نداریم، این مطلب رو اینجا قرار می دیم.
((نویسنده امیرحسین شریفی. گروه آشیانه))

فورا دست به كار شويد !

همانطور كه همه مي دانيم ، ما براي زنده ماندن صنعت IT خود، نيازمند آنيم كه مشكلات امنيتي آن را حل كنيم. ما بايد ياد بگيريم كه بايد به جنگ چه كساني برويم .

ما كار بزرگي را در پيش رو داريم البته نبايد اينگونه فكر كنيم كه ابتدا دانش فني خود را بالا ببريم و بعد شروع به بالا بردن امنيت شبكه خود كنيم. بايد بدون تامل و وقفه همين حالا شروع كنيم. بايد همين حالا و در كنار هم فرهنگ امنيت را براي ديگران جا بيندازيم تا تمامي اجزاي شبكه ما از امنيت كافي برخوردار باشد ، تمامي سيستم هاي ما امن شوند و تمامي كاركنان خود را آموزش دهيم.

اين سري از مقالات كه از كتاب Hardening Windows System تهيه شده است و درباره محكم سازي تمامي انواع ويندوز هاي شركت مايكروسافت مي باشد كه قصد ما بر اين است تا قسمت هايي از اين كتاب با ارزش را بيان كنيم. اميد است كه روشنگر راه بي پايان كساني باشد كه قدم در اين راه نهاده اند.



بخش اول

اين كار ها را همين حالا انجام دهيد !

پيشگفتار

ما يك مشكل بزرگ داريم. ما معمولا نمي دانيم كه براي امن كردن سيستم هاي ويندوزي خود به چه چيزهايي نياز داريم. ما فقط مي دانيم كه بايد يك كارهايي انجام دهيم ولي نمي دانيم كه چه كاري ! همانطور كه براي جلوگيري از سرقت هاي خانگي راهي وجود ندارد براي امن كردن 100 درصد سيستم هاي ويندوزي و يا هر سيستم عامل ديگري راهي وجود ندارد. البته ما نيز در اينجا با طرح سوال هاي زيادي اين مساله را تا حدي تفهيم خواهيم كرد و خواهيم گفت كه چگونه سيستم هاي ويندوزي خود را از انواع حملات محافظت كنيم.

اما به جاي محكم سازي خودكار سيستم عامل، به جاي امنيت فيزيكي سيستم ها، به جاي فرهنگ سازي براي هر كدام از افراد سازمان و قبل از انجام هر كاري ما ابتدا بايد برخي مشكلات موجود در سيستم هايمان را اصلاح كنيم. وقتي شبكه ما مورد هجوم قرار گرفت و اطلاعات مهم آن به سرقت رفت نبايد كس ديگري را مقصر اين امر بدانيد.

لطفا دست نگه داريد ، همين الان دست نگاه داريد! شما بايد كنترل امنيت اطلاعات خود را در دست بگيريد. منظور من از امنيت اطلاعات، امنيت كامپيوتر هاي شما نيست! آنها فقط بخشي از امنيت اطلاعات شما مي باشد.

شما به يك برنامه جامع و فراگيري براي هر مكاني كه اطلاعات در آن نقش دارد، نياز داريد. در پردازنده مركزي (mainframe ) ، در سرور وب لينوكس ، در Active Directory ، در PDA و بله حتي در مغز ها و ذهن هاي كارمندان، شركا و مشتريان خود !

ما مي دانيم كه شما بايد چه كاري انجام دهيد، بنابراين اجازه بدهيد كه با هم آن را دنبال كنيم.

اجازه بدهيد كه مدل امنيت اطلاعات خود را تغيير دهيم. «سيستم هاي محكم سيستم هايي مي باشند كه امن هستند» . منظور من هم از سيستم ، كامپيوتر ها ، شبكه و افراد در آن مي باشند. به هر حال، چه بايد كرد ؟ ابتدا يك اساس نامه بنويسيد. مديران خود را به كار بگيريد. شما بايد هر چيزي و هر كسي كه در اطلاعات شما دخيل مي باشند را محكم كنيد.

فراموش نكنيد كه امن كردن سيستم هاي اطلاعاتي شما به سادگي نفس كشيدن مي باشد اما مطمئنا شما به تنهايي نمي توانيد تمامي اين موارد را انجام دهيد. اما شما مي توانيد تاثيرات قابل توجهي را روي وضعيت امنيتي شبكه خود با انجام برخي كنترل هاي امنيتي ، ايجاد كنيد.

براي شروع ده مورد از كارهايي كه شما بايد انجام دهيد را آورده ايم كه با انجام آنها به طور قطع وضعيت امنيتي بهتري پيدا مي كنيد.



سياست ها كلمات عبور خود را قوي تر كنيد

يك سياست كلمات عبور قوي از چند طريق امكان پذير است. به نظر من يك سياست كلمات عبور قوي شامل موارد زير است :

- اصرار بر تغيير مكرر پسورد ها

- نياز به پسورد هايي با طول بلند و مركب از حروف بزرگ و كوچك، ارقام و كاراكترهاي مخصوص

- عدم اعطاي مجوز به پسورد هاي پوچ

- چك كردن پسورد ها براي تكراري نبودن آنها

- جلوگيري از عدم شباهت پسورد ها به نام كاربري (User ID )

- اجازده ندادن به كلماتي كه در واژه نامه ها موجود مي باشد.



شما مي توانيد با استفاده از Group Policy Object (GPO) موارد ذكر شده در بالا را بر روي دامنه پيش فرض سرور خود اعمال كنيد:

Security Policy

http://sgnec.net/admin/images/arts/image1.jpg

شكل 1 – اجراي تغييرات سياست هاي كلمات عبور توسط

سياست هاي پسورد هاي قوي مساله بسيار مهمي مي باشد ، زيرا كه نفوذگران با حدس زدن پسورد هاي ضعيف به راحتي مي توانند به سيستم هاي شما نفوذ كنند. اگر پسورد هاي سيستم ها لو روند، ديگر تمامي سخت گيري ها و اجرا و وضع دسترسي ها و حتي رمزنگاري ديگر به درد نمي خورد. شايد بتوان به جرات گفت كه سياستهاي پسوردي قوي يكي از مهمترين مسايلي است كه مي تواند از شكسته شدن بسياري از مسايل امنيتي جلوگيري كند.

من مي دانم كه ممكن شما نمي توانيد اين كار را به تنهايي براي تمامي سازمان انجام دهيد. ولي شما به سادگي مي توانيد با تغيير سياستهاي پسوردي در دامنه ويندوز اين كار را انجام دهيد. همين كارها باعث مي شود كه بسياري از كاركنان خود را در برابر حملات بيمه كنيد. پس مطمئن باشيد و انجام دهيد.

البته شما بايد قادر باشيد و بتوانيد سياسيتهاي امنيتي را روي دامنه خود اعمال كنيد. يعني اينكه بتوانيد از طريق دامنه ويندوز تغييرات را روي سياستهاي پسوردي طوري اعمال كنيد كه نتيجه آن روي تمامي نام هاي كاربري موجود در سرور اعمال گردد، حتي اين موضوع بايد روي نام هاي كاربري محلي نيز اعمال گردد. شما مي توانيد سياست هاي پسورد هاي قوي را به راحتي از طريق ويندوز اعمال كنيد. مثلا اگر شما تصميم داريد كه تمامي مديران سازمان هر 10 روز يك بار پسورد خود را تغيير دهند و يا اينكه از پسورد هايي با 16 كاراكتر استفاده كنند به راحتي مي توانيد آن را از طريق سياست هاي پسوردي ويندوز اعمال كنيد. البته اين موضوع بايد براي هر كسي كه به طوري با سرور در تماس است، براي مثال مسوؤل گرفتن داده هاي پشتيبان، اعمال كنيد.

اگر كمي فكر كنيد ، متوجه خواهيد شد كه چرا داشتن سياست هاي پسوردي مي تواند مهم باشد. مثلا شما فكر كنيد كه اگر پسورد هاي يكي از سرور ها توسط يك مهاجم لو برود چه اتفاقي مي افتد.



توجه كنيد !

توجه كنيد كه شما فقط مي توانيد يك سياست پسوردي روي دامنه خود داشته باشيد. اين سياست هاي توط GPO بر روي دامنه سرور اعمال مي گردد. اگرچه شما مي توانيد براي گروههاي مختلف، سياست هاي مختلفي را اعمال كنيد، اما شما نمي توانيد از طريق كنترل هاي تكنيكي آن را اعمال كنيد. شما مي توانيد اين كار را از طريق آگاهي دادن به كاربران و مجبور كردن آن براي استفاده از سياست هاي پسوردي سياست هاي مد نظر خود را پياده سازي كنيد.



البته تغيير اصلي سياستهاي پسوردي كاري است كه بايد در آينده انجام گيرد و البته تغيير و ايجاد پسورد هاي پيچيده براي مديران سطح بالا، ممكن است همراه با اجازه، تاييد و كارهايي از اين قبيل همراه باشد. ولي براي اينكه پسورد هاي پيچيده و در نهايت شبكه امني داشته باشيد بايد تمامي اين راهها را بپيماييد.

اکثر قریب به اتفاق هکرها برای نفوذ به سیستم قربانی از IP استفاده می کنند ، اگه این ترفند رو همراه با من انجام بدید دیگه هیشکی نمی تونه IP شما رو دو در کنه یعنی به طور کامل IP شما از دسترس هکرها مخفی میشه!!!!!

برای این کار:
1-ابتدا از منوی Start به Run برید وعبارت MMC را تایپ کرده و اینتر رو بزنید.

2- در پنجره Console1 ، از منوی File به قسمت Add/Remove Snap-in… برید ، در پنجره Add/Remove Snap-in بر روی دکمه Add کلیک کرده و در پنجره Add Standalone Snap-in بر روی IP Security Policy Management کلیک کرده و دکمه Add را بزنید

3- سپس دکمه Finish رو بزنید و در پنجره قبلی بر روی Ok کلیک کنید

4- حالا در همان پنجره Console1 ، یه آیکون با نام IP Security Policy Management که یه کلید زرد روش هست بوجود اومده ؛ شما باید روی این آیکون دابل کلیک کنید تا کلید سبز رنگ بشه ، در پایان از منوی File به Exit رفته و با انتخاب Yes تغییراتی رو که انجام دادیم ، ذخیره کنید!

محكم سازي ويندوز - بخش دوم

نويسنده : امير حسين شريفي تاريخ : 11/05/1384

ايجاد اساس نامه هاي منطقي

تغيير سياست هاي پسوردي ممكن است تا حدي جواب دهد. اگر شما هنوز هم كاربراني داريد كه از پسورد هاي تهي و يا كاركتر هاي ساده استفاده مي كنند ، آنها را از طريق سياست هاي پسوردي وادار كنيد كه اهداف شما را پياده سازي كنند. البته قبل از اين كار تمامي جوانب را بسنجيد زيرا كه اين مساله بسيار مهم و اساسي است. هر كوتاهي در اين زمينه مي تواند ضربه اي به امنيت شبكه شما باشد.

شما مي توانيد براي شروع، ابتدا اساس نامه هاي منطقي براي گروههاي مشخص ايجاد كنيد. اين گروه ها مي توانند آن دسته از افرادي باشند كه «حق دسترسي » ها را در دامنه و برنامه هاي خاص مشخص مي كنند. معمولا اين گروه جزو مديران سيستم و شبكه مي باشند. ابتدا بايد مديران IT و زير مجموعه هاي آنان را مجاب كنيد كه از سياست هاي شما پيروي كنند. شايد لازم باشد در اين راه، به گونه اي آنها را به طور منطقي قانع كنيد كه پسورد هاي قوي مي تواند امنيت سازمان را بهبود بخشد . هر قدر در اين راه قدمهاي موثرتري برداريد، پياده سازي سياست هاي امنيتي راحت تر مي تواند باشد.



تغيير سياستهاي پسوردي براي نام هاي كاربري محلي

نام هاي كاربري محلي در سرور ها و كامپيوتر هاي كاربران را به صورت كامل حذف كنيد. كامپيوتر هايي كه عضو دامنه شبكه مي باشند نيز مي توانند داراي اين نام هاي كاربري باشند. هر نام كاربري كه در اين كامپيوتر ها وجود دارد نمي تواند توسط سياست هاي پسوردي حاكم بر دامنه اصلي شبكه كنترل شود و بايد در همان كامپيوتر به صورت محلي سياستهاي مورد نظر را اعمال كرد.

اين سياست ها مي تواند بسيار سخت گيرانه تر باشد. البته در بيشتر سازمان ها از نامهاي كاربري محلي در سيستم ها استفاده نمي كنند البته به جز برخي سرور ها كه نياز به نام هاي كاربري محلي دارند . به هر جهت اگر از نام هاي كاربري محلي استفاده نكنيد نيازي به اينگونه سياست هاي نداريد ولي اگر استفاده كنيد بايد با توافق طرفين پسورد هاي محدودتر و قوي تري انتخاب كنيد. سياست هاي پسوردهاي محلي كه بر كامپيوتر هايي كه به دامنه هاي ويندوز 2000 و يا ويندوز سرور 2003 الحاق مي شوند را مي توان از طريق Group Policy اعمال و مديريت كرد.



تغيير سياست هاي براي نام هاي كاربري منحصر به فرد

اضافه بر سياستهاي پسوردي حاكم بر دامنه سرور و نام هاي كاربري محلي، اين تغييرات مي تواند در سطح خود نام هاي كاربري نيز اعمال گردد. اين كار را زماني مي توانيد انجام دهيد كه شما بخواهيد سياست هاي حاكم بر برخي از نام هاي كاربري مشخص را محكم تر كنيد. تغييرات اعمال شده در مورد نام هاي كاربري منفرد مي تواند ضعف هاي حاكم بر سياست هاي پسوردي دامنه را بهبود بخشد.

براي مثال ممكن است شما نياز داشته باشيد كه براي برخي از پسورد ها از رمزهاي برگشت پذير استفاده كنيد، اگر چه اين امر پيشنهاد نمي گردد و بهتر از آن است كه از جفت نام هاي كاربري استفاده كنيد، مي توانيد از طريق گزينه Store Password Using Reversible Encryption كه در تمامي نام هاي كاربري موجود در دامنه موجود است، استفاده كنيد. گزينه ديگر Password Never Expire است. به پايان رسيدن اعتبار پسورد ها براي اين است كه شما مطمئن شويد كه كاربران پسورد هاي خود را تغيير مي دهند. البته براي برخي از سرويس ها كه از اينگونه پسورد ها استفاده مي كنند مشكل ايجاد مي شود زيرا كه در زماني كه اعتبار پسورد به پايان مي رسد اين سرويس ها نمي توانند در برابر تغيير پسورد ها واكنش نشان دهند و از كار مي افتند. در اين مواقع مي توان به صورت دستي آنها را دوباره راه اندازي كرد كه البته كاريست دشوار اما براي اين دسته از نام هاي كاربري مي توان اين گزينه را فعال كرد.

البته هر دوي اين گزينه هاي مي تواند سياست هاي پسوردي را ضعيف كنند اما برخي از اينگونه تنظيمات مي تواند سياست هاي پسوردي را قوي تر كند. براي مثال گزينه Smart Card Is Required for Interactive Logon مي تواند براي برخي از نام هاي كاربري منفرد تنظيم گردد. شما مي توانيد با نصب اين دسته از كارت هاي هوشمند از دو روش تشخيص هويت براي اين دسته از نام هاي كاربري استفاده كنيد. اين كار براي نام هاي كاربري مديران و يا كاربران رده بالا مي تواند استفاده شود.

گزينه هاي ديگري نيز وجود دارد كه برخي از آنها در زير آمده است :

· User Must Change Password at Next Logon

· Account Is Disabled

· Account Is Sensitive and Cannot Be Delegated

اين تغييرات را مي توانيد از طريق اكتيو دايركتوري و با استفاده از property نام هاي كاربري اعمال كنيد.



2- دسترسي هاي مديريتي راه دور را ببنديد

اگر شما فقط تعداد كمي كامپيوتر براي مديريت داريد شما مي توانيد به صورت محلي آنها را كنترل كنيد. اگرچه بيشتر سازمانها كامپيوتر هاي كمي براي كنترل و مديريت دارند اما شما بايد بتوانيد از راه دور سيستم ها را كنترل كنيد.

به طور ساده تر بگويم : درست است كه شما نياز به مديريت راه دور روي يك سرور داريد ولي نبايد آن را براي بقيه كاربران باز كنيد. مديريت راه دور را ببنديد :

1- اگر ممكن است از IPSec و يا ديگر پروتكل ها استفاده كنيد . شما مي توانيد با استفاده از IPSec برخي پورت هايي كه توسط برنامه هاي مديريت راه دور استفاده مي شوند را ببنديد و فقط به برخي از مديران ايستگاههاي كاري خاص اجازه دسترسي و مديريت راه دور دهيد. براي مثال دسترسي به پورت 3389 ، كه براي برنامه Terminal Service استفاده مي شوند ، را ببنديد و فقط آن را براي برخي از ايستگاههاي كاري باز كنيد.سياست هاي IPsec فقط مي تواند روي سيستم هاي ويندوزي 2000 ، 2003 و XP اعمال گردد.

محكم سازي ويندوز

2- در بيشتر مواقع ، فقط برخي از نام هاي كاربري اجازه دسترسي به بقيه كامپيوتر ها را در شبكه دارا مي باشند. بقيه نام هاي كاربري را قفل كنيد. در دامنه هاي ويندوز 2000 و يا ويندوز 2003 سرور با استفاده از Access This Computer from the Network مي توانيد كاربران را براي دسترسي هاي راه دور كنترل كنيد. لازم به ذكر است كه اين گزينه را مي توانيد با استفاده از مسير زير پيدا كنيد :

Computer Configuration è Windows Setting è Security Setting è Local Policies è User Right Assignment è Access This Computer from the Network


http://www.sgnec.net/admin/images/arts/Harden_windows2.JPG

3- با استفاده از مجوزهاي كاربران، از دسترسي آنها به Remote Desktop و يا همان ترمينال سرويس جلوگيري كنيد. اين كار را مي توانيد توسط گزينه Allow Log On Through Terminal Services انجام دهيد:

Computer Configuration è Windows Setting è Security Setting è Local Policies è User Right Assignment è Allow Log On Through Terminal Services


http://www.sgnec.net/admin/images/arts/Harden_windows3.JPG



4- دسترسي راه دور را از طريق solicited Remote Assistance روي سرور ها كنترل كنيد. Remote Assistance براي ويندوزي هاي XP و 2003 ابزاري است كه به ويندوز اين امكان را مي دهد كه با استفاده از يك ايميل يا IM و يا يك فايل Remote Assistance را فراخواني كند. يك كاربر معمولي به يك كاربر ديگر اجازه مي دهد كه از راه دور كامپيوترش را كنترل كند. همين موضوع اگر به طور منطقي كنترل نگردد ، مي تواند باعث حادثه اي ناگوار شود. مديريت خاصي همچون محدود كردن استفاده آن توسط كاربران مجاز ، محدود كردن مدت زمان استفاده و آموزش تمامي كاربران براي استفاده درست از آن ، را مي توان روي آن اعمال كرد. براي مديريت آن مي توانيد از مسير زير استفاده كنيد :

Computer Configuration è Administrative Templates è System è Remote Assistance è Solicited Remote Assistance Properties

http://www.sgnec.net/admin/images/arts/Harden_windows4.JPG





5- شما حتي مي توانيد Remote Assistance را غير فعال كنيد. اين خصيصه باعث مي شوند كه پيشنهادي براي استفاده از Remote Assistance توسط كاربران داده نشود. (اين درخواست بايد توسط كاربر داده شود)

6- سرور هاي حساس را از طريق خود كنسول سرور مديريت كنيد. فقط به دليل اينكه شما بايد چندين سرور را مديريت كنيد استفاده از مديريت هاي راه دور لازم مي گردد و اين بدان معني نمي باشد كه تمامي سرور ها بايد از همين طريق مديريت گردند. بسيار مراقب باشيد كه سرور هايي كه نقش حساسي دارند و يا داده هاي حساسي را نگهداري مي كنند فقط از طريق كنسول خود سرور مديريت گردند و پسورد مديريت آنها را از طريق يك كامپيوتر ديگر و در طول شبكه هيچگاه وارد نكنيد.

محكم سازي ويندوز - قسمت سوم

نويسنده : امير حسين شريفي تاريخ : 30/05/1384

دسترسي ها را بر «ايستگاههاي مدير» محدود كنيد

چند ايستگاه كاري مشخص را به عنوان ايستگاههاي مدير انتخاب كنيد و فقط از طريق اين ايستگاهها شبكه را مديريت كنيد. اين ايستگاهها را تا آنجا كه مي توانيد محكم كنيد. ابتدا آنها را در مكاني امن قرار دهيد. ويندوز جديد روي آن نصب كنيد و آخرين سرويس پك ها و اصلاحيه هاي مايكروسافت را روي آن نصب كنيد. البته تمامي اين كارها را هنگامي انجام دهيد كه از شبكه خارج هستيد. با استفاده از IPSec و ديواره هاي آتش شخصي تمامي ورودي ها و خروجي هاي به اين ايستگاهها را كنترل كنيد. با استفاده از سياستگذاري هاي خاص و با استفاده از نرم افزارهاي محدود كننده، از نصب هر گونه نرم افزار نا مربوطي روي اين ايستگاهها جلوگيري كنيد. اين ايستگاهها را فقط براي انجام امور مديريت شبكه استفاده كنيد و از انجام كارهاي ديگري همچون بازي هاي رايانه اي و گوش دادن موسيقي خودكاري كنيد.



امنيت فيزيكي تمامي سيستم ها را برقرار كنيد

از سيستم هاي خودتان شروع كنيد. اگر از لب تاپ استفاده مي كنيد آيا براي امنيت فيزيكي و قفل كردن آن فكري انديشيده ايد؟ در هنگامي كه اتاق خود را ترك مي كنيد آيا آن را در اتاق مي گذاريد و بدون قفل كردن آن، اتاق را ترك مي كنيد؟ در يك هتل چطور ؟ بسياري از هارد هاي اينگونه لب تاپ ها مي توانند از آن به راحتي جدا شوند ، پس در نگهداري اطلاعات حساس و مهم در اينگونه سيستم ها حتما دقت كنيد. خبر هاي زيادي را حتما شنيده ايد مبني بر به سرقت رفتن هارد ديسك يك سيستم و در معرض خطر قرار گرفتن يك سازمان و يا كارمندان آن. در بسياري از مواقع ارزش اطلاعات يك لب تاپ از خود آن لب تاپ بسيار با ارزش تر است در اين مواع بهتر آن است كه هارد ديسك را در هنگام ترك لب تاپ از آن جداكنيد و با خود ببريد .

PDA ها چطور؟ چه اطلاعات حساسي در آنها وجود دارد كه مي تواند از بين رفتن آنها شما را متضرر كند ؟ اگر كامپيوتر شما روميزي است از لحاظ فيزيكي چه كسي به آن دسترسي دارد؟ براي يك مركز داده (data center) و يا يك لب تاپ مسافرتي ، امنيت فيزيكي بسيار با اهميت است. چرا بايد يك هكر خود را با استفاده از كدهاي مخرب به دردسر بيندازد، در صورتيكه به راحتي مي تواند با سرقت كليه اين اطلاعات تمامي آنچه كا نياز دارد به دست آورد؟ چه چيزي مي تواند از شبكه شما دفاع كند در حاليكه شخصي مي تواند به راحتي با استفاده از يك CD-ROM كليه اطلاعات را ضبط كند و يا كدهاي مخربي را در سيستم شما اجرا كند؟ يا با استفاده از USB و حافظه هاي فلش تمامي اطلاعات مورد نياز را در آن ذخيره كند ؟

سرور هاي خود را حتما قفل كنيد؟ تمامي درايو هاي CD-ROM و فلاپي را از سيستم هايي كه در معرض عموم قرار دارند خارج كنيد. مطمئن شويد كه دسترسي به مركز داده ها براي هركسي ممكن نيست . براي درهاي باز نگهبان بگذاريد و با آموزش آنها ، ورود افراد به مركز داده ها را به صورت متمركز كنترل كنيد و با استفاده از دوربين هاي مدار بسته تمامي اتاق ها و به خصوص اتاقهاي مهم را زير نظر بگيريد.



راز نگهدار باشيد

ياد بگيريد كه هميشه جلو دهان خود را بگيريد! اين را يك گستاخي مپنداريد و به صورت مداوم آن را تمرين كنيد. هيچگاه راجع به مطالبي كه ممكن است مسايل امنيتي سازمان را مورد تهديد قرار دهد با كسي صحبت نكنيد. نحوه محكم سازي هاي امنيتي و يا مواردي كه شامل نقاط ضعف سيستم را نشان مي دهد را با هر كسي مطرح نكنيد. حتي بعضي مواقع همين مسايل امنيتي كوچك مي تواند كل امنيت يك سازمان را به خطر اندازد. من مطمئن هستم كه شما همچين كاري را انجام نمي دهيد ولي ديده ام و شنيده ام كه همين مسايل چگونه باعث حمله به يك شبكه مي شود. شايد شما هم شنيده باشيد كه چگونه يك نوجوان شانزده ساله با فهم اينكه رمز عبور استفاده شده توسط كارمند FBI چهار حرف بيشتر نمي باشد ، چگونه به شبكه فدرال امريكا نفوذ مي كند و امنيت سيستم هايي را به خطر مي اندازد كه بيش از ميليونها دلار خرج امنيت آنها شده بود. شما بايد اطلاعاتي كه توسط شما منتشر مي شود و يا در سرور هاي وب شما به نمايش گذاشته مي شود اطلاع كاملي داشته باشيد. درباره امنيت اطلاعات خود به گونه اي فكر كنيد كه انگار داريد درباره امنيت خانواده خود و يا امنيت كشور خود فكر مي كنيد.



EFS را از كار بيندازيد

به جز در مواردي كه شما با توجه به اساس نامه امنيتي براي مديريت EFS استفاده مي كنيد، اين گزينه را غير فعال كنيد. EFS به طور پيش فرض فعال مي باشد، در نتيجه كاربران به راحتي مي توانند با استفاده از اين سرويس فايل هاي خود را رمزنگاري كنند بدون اينكه بدانند چگونه مي توان داده هاي از دست رفته را بازيابي كرد. شما مي توانيد EFS را در Group Policy از كار بيندازيد.

براي اينكه اين سرويس را در هر ايستگاه كاري از كار بيندازيد از Local Group Policy استفاده كنيد. ولي با دستورا آمده در زير مي توانيد اين سرويس را در سطح دامنه شبكه غير فعال كنيد:



تمامي شبكه هاي بيسيمي كه از ارتباطات امنيتي محكم استفاده نمي كنند را ببنديد

شبكه هاي بيسيم به راحتي قابل پياده سازي هستند. نقاط دسترسي ( Access Point) به راحتي و با هزينه بسيار كمي ، كامپيوتر هاي روميزي و لپ تاب ها را به شبكه متصل مي كنند. متاسفانه اين دستگاهها به صورت پيش فرض ، بدون هيچ امكان امنيتي پيكربندي شوند و باعث مي شوند كه به غير از كاربران اصلي ، هر كسي كه در مجاورت ما باشد بتواند به شبكه كابلي ما دسترسي پيدا كند. با آنكه براي شبكه هاي بسيم امكان پياده سازي امكانات امنيتي (از قبيل WEP ) مي باشد ولي كاربران از اينگونه امكانات استقبال نمي كنند.

بهترين سياست براي شبكه هاي بيسيم، قطع كردن كليه ارتباطات بيسيمي مي باشد كه از طريق امني ارتباط برقرار نكرده اند. اين كار تنها راهي است كه مي توانيد به كاركنان خود آموزش دهيد كه در هنگام استفاده از شبكه هاي بيسيم موارد امنيتي را در نظر بگيرند و از آن تبعيت كنند.

سياستهاي شبكه هاي بيسيم بايد شما رمزنگاري (Encryption) و احراز هويت (Authentication ) باشد. اين كار را مي توانيد توسط Protected EAP و احراز هويت ها 802.1x پياده سازي كنيد. در شبكه هاي بيسيم قديمي مي توانيد براي ارتباطات شبكه هاي بيسيم و شبكه هاي كابلي از ارتباطات *** استفاده كنيد.



به كامپيوتر هاي روميزي و لپ تاب هاي آسيب پذير اجازه اتصال به شبكه را ندهيد

اگر چه سياست هاي نصب اصلاحيه ها و سياست هاي آنتي ويروس مي تواند تا حدي از سيستم ها محافظت كند ولي برخي مواقع لپ تاب هايي كه به شبكه متصل مي شوند امكان داشتن ويروس را دارند و همين موضوع مي تواند امنيت شبكه ما را تحت تاثير قرار دهد. اين بدان دليل است كه اين كاربران ممكن است كه سيستم هاي خود را به روز نكرده باشند. اگر اين سيستم هاي ويروسي باشند با اتصالشان به شبكه به راحتي مي توانند سيستم هاي ديگر را نيز آلوده كنند. براي كامپيوتر هاي روميزي نيز همچنين است و در صورتيكه سيستم ها به روز نباشند همين اتفاق نيز براي آنها اتفاق خواهد افتاد.

كاربران ممكن است كه سيستم هاي خود را از خانه بياورند و پيمانكارن ممكن است كه بدون حفاظ سيستم هاي خود را به شبكه داخلي متصل كنند. سياست هاي امنيتي خود را طوري اعمال كنيد كه تمامي اين اتصالات را قطع كند.

فقط هنگامي به اين سيستم ها اجازه اتصال به شبكه را صادر كنيد كه خود را به روز كرده باشند. به دليل اينكه راههاي تكنيكي براي اعمال اين سياست نداريم راههاي اجبار آن براي كاربران مشكل است ولي بايد براي اعمل آن راهي پيدا كنيد.

در زير راههاي مديريت اينگونه ارتباطات آمده است :

- از گزينه هاي احراز هويت استفاده كنيد :

اگر يك كامپيوتر (كارمندي كه قصد استفاده از شبكه را دارد ، يك پيمانكاريا يك مهاجم) قصد اتصال به شبكه را داشته باشد تا هنگامي كه احراز هويت نكرده باشد نتواند از سيستم استفاده كند. اگر شما سيستم هاي احراز هويت را مديريت مي كنيد بايد سيستم هايي را كه به طور سهوي به روز نشده اند را حذف كنيد.



- از گارانتي هاي شبكه اي استفاده كنيد

بخشي از شبكه را جدا كنيد و فقط به سيستم هاي سيار اختصاص دهيد. دسترسي هاي آن دسته از سيستم ها را قطع كنيد تا هنگامي كه در اين بخش به روز شده باشند و تمامي نرم افزارهاي مخرب روي آن حذف گردد.



از Runas استفاده كنيد

اگر شما نياز داريد كه برخي مواقع حق دسترسي خود را گسترش دهيد (مثلا در حد Administrator ) از دو سطح دسترسي استفاده كنيد. با دسترسي كم از امكانات ايميل و مرور وب و گزارش هاي خود استفاده كنيد . بيشتر ويروس ها و كرم هاي اينترنتي فقط به يك حركت ساده از جمله باز كردن يك ايميل منتشر مي شوند. اگر كاربر حق دسترسي كاملي نداشته باشد چنين كدهاي مخربي نمي توانند به راحتي سيستم را تحت تاثير قرار دهند. در ويندوز 2000 و XP گزينه اي به نام Runas وجود دارد كه حق دسترسي هاي دو مرحله اي را ايجاد مي كند . اين گزينه در هنگامي استفاده مي شود كه نياز باشد يك برنامه كاربردي(Application) با استفاده از حق دسترسي بالاتر اجرا گردد.

اگر روي برنامه مورد كليك راست كنيد گزينه Runas را كليك كنيد و نام كاربري و پسورد كاربر با حق دسترسي مشخص را وارد كنيد مي توانيد برنامه فوق را با حق دسترسي كاربري داده شده اجرا كنيد.

سلام اینایی که شما گفتید زیاده سخته بابا ما به همین جوریشم راضیم کسی با ما کاری نداره توضیحات زیاد و خسته کننده هست کوچولو ترش نمیتونید بکنید

توضیح خلاصه این که اگر اطلاعات شدیدا محرمانه ندارید، حتی آنتی ویروس هم نصب نکنید. سعی کنید با همه ویروس ها بسازید و وقتی دیدید ویندوز دیگه خیلی داره اذیت می کنه، برش گردونید به ویندوزی که قبلا ازش Image گرفتید (کاری که من می کنم و به همه توصیه می کنم).

اما اگر تو شبکه ای هستید که خیلی از فایل های خودش رو به کلی سری می دونه، وظیفه مدیر شبکه هست که این ها رو به همه گوشزد کنه.